Kontakt

Lösungen für die Zwei-Faktor-Authentifizierung (2FA)

Schutz von Identitäten und Daten mit starker Authentifizierung

Zwei-Faktor-Authentifizierung (2FA)

Zwei-Faktor-Authentifizierungsmethoden basieren auf einer Vielzahl von Technologien, allen voran Einmalpasswörter (OTPs) und Public Key Infrastructure (PKI).Wo liegen die Unterschiede und welches Verfahren sollten Sie für Ihr Unternehmen nutzen?

Einmalpasswörter (OTPs)

Einmalpasswörter (OTPs) sind eine Form der „symmetrischen“ Authentifizierung, bei der ein einmalig gültiges Passwort gleichzeitig an zwei Stellen generiert wird: auf dem Authentifizierungsserver und auf dem Hardware- oder Software-Token, das sich im Besitz des Benutzers befindet. Stimmt das von Ihrem Token generierte OTP mit dem vom Authentifizierungsserver generierten OTP überein, war die Authentifizierung erfolgreich und Sie erhalten Zugriff.

PKI-Authentifizierung

Die PKI-Authentifizierung ist eine Form der „asymmetrischen“ Authentifizierung, die sich auf ein Paar ungleicher Verschlüsselungs-Keys stützt: auf einen privaten und einen öffentlichen Verschlüsselungs-Key.PKI-zertifikatbasierte Hardware-Token, z. B. Smartcards und USB-Token, speichern geheime, private Verschlüsselungs-Keys sicher. Wenn Sie sich beispielsweise am Server Ihres Unternehmensnetzwerks authentifizieren, gibt der Server eine numerische „Challenge“ aus. Diese Challenge wird mit Ihrem privaten Verschlüsselungs-Key signiert. Wenn es eine mathematische Korrelation zwischen der signierten Challenge und Ihrem öffentlichen PKI-Schlüssel gibt, der Ihrem Netzwerkserver bekannt ist, ist die Authentifizierung erfolgreich und Sie erhalten Zugriff auf das Netzwerk.(Diese Erläuterung ist stark vereinfacht. Weitere Informationen erhalten Sie in der Videoreihe The Science of Secrecy von Simon Singh.)

Welche Methode zur starken Authentifizierung ist die beste?

Bei der Authentifizierung gibt es keine Universallösung, die allen Anforderungen gerecht wird. Nachfolgend finden Sie einige Aspekte, die Sie bei der Auswahl der für Ihr Unternehmen am besten geeigneten Methode beachten sollten:

Während die OTP-Authentifizierung, z. B. mit OTP-Anwendungen, für die meisten Anwendungsfälle in Unternehmen einen ausreichenden Schutz bietet, können manche Branchen wie Behörden und Gesundheitswesen, die ein höheres Maß an Sicherheit erfordern, gesetzlich dazu verpflichtet werden, die PKI-Sicherheit zu nutzen.

Branchenstandards und -vorgaben

Bei der PKI-Authentifizierung wird ein privater Verschlüsselungs-Key verwendet, der nicht übertragbar ist, wenn er in einem Hardware-Token vorgehalten wird. Aufgrund ihres asymmetrischen Charakters wird PKI oft für Anwendungsfälle genutzt, die eine höhere Sicherheit erfordern. Die Sicherheit von OTPs wird jedoch auch zunehmend von vielen Branchen, wie z. B. dem Gesundheitswesen in den USA, anerkannt und erfüllt die EPCS-Compliance-Anforderungen der DEA für elektronische Rezepte für Medikamente, die in die Kategorie Betäubungsmittel fallen, wenn eine FIPS-konforme OTP-Anwendung verwendet wird.

Abhängig von den für Ihre Branche relevanten Vorschriften muss das von Ihnen genutzte Hardware- oder Software-Token möglicherweise FIPS 140-2 in Nordamerika bzw. Common Criteria in anderen Ländern erfüllen.

Physischer und logischer Zugriff

Wenn eine Kombination aus physischem und logischem Zugriff erforderlich ist, eignen sich Hardware-Token, die die RFID-basierte physische Zugangskontrolle unterstützen. Weitere Informationen gibt es auf unserer Produktseite für die physische und logische Zugriffskontrolle.

Multi-Faktor-Authentifizierung

Unabhängig von der verwendeten Zwei-Faktor-Authentifizierungstechnologie kann die Sicherheit erhöht werden, wenn zusätzliche kontextuelle Attribute eines Anmeldeversuchs bewertet werden, z. B. verschiedene geräte- und verhaltensbasierte Variablen. Weitere Informationen finden Sie auf der Seite für die kontextbasierte Authentifizierung.

Abwehr verschiedener Bedrohungen

Unterschiedliche Authentifizierungstechnologien eignen sich für unterschiedliche Bedrohungen. Einen Überblick über die verschiedenen Authentifizierungsverfahren und Bedrohungen finden Sie im Whitepaper Sicherheit leistungsstarker Authentifizierungslösungen.

Kosten für Bereitstellung und Administration

Die OTP-Authentifizierung ist in der Regel erschwinglicher, einfacher und schneller zu implementieren, da keine PKI-Infrastruktur eingerichtet werden muss, bei der für jeden Benutzer digitale PKI-Zertifikate von einer Zertifizierungsstelle erworben werden müssen. Im Gegensatz zur OTP-Authentifizierung, bei der OTP-Anwendungen verwendet werden, kann die PKI-Authentifizierung auf mobilen Geräten und Desktop-PCs der Benutzer installiert werden. Dabei muss für jeden Benutzer ein Hardware-Token angeschafft werden, auf dem der private Verschlüsselungs-Key sicher gespeichert wird. Aus diesem Grund ist die OTP-Authentifizierung in der Regel mit geringeren Bereitstellungskosten und weniger Aufwand für die IT-Mitarbeiter verbunden.

Wenn ein Software-Token verwendet wird – unabhängig davon, ob es sich um PKI- oder OTP-basierte Token handelt – kann der Token-Ersatz „over the Air“ durchgeführt werden. So entfallen die Kosten für den Versand eines Ersatz-Hardware-Token.

Erhaltung vorhandener Investitionen

Unternehmen, die bereits eine PKI- oder OTP-basierte Zwei-Faktor-Authentifizierungslösung nutzen, suchen nach Möglichkeiten, ihre aktuellen Investitionen beibehalten zu können.
Wenn PKI-Token bereits verwendet werden, können Unternehmen bestehende Implementierungen erweitern oder aufrüsten, um der zunehmenden Mitarbeitermobilität Rechnung zu tragen. Zu diesem Zweck können Unternehmen die Fortschritte in der mobilen Technologie, z. B. Bluetooth-Smart-PKI-Lesegeräte, verwenden, um bestehende Token-Lösungen beizubehalten und gleichzeitig die vorhandene PKI-Infrastruktur zu nutzen.
Wenn bereits OTP-Token eingesetzt werden, können Unternehmen bestehende Investitionen beibehalten, indem Lösungen nutzen, die Token und RADIUS-Server von Drittanbietern unterstützen. Alternativ eignen sich Lösungen, die vorhandene, standardbasierte Token in eine neue Lösung importieren können (z. B. OATH-basierte Token).

Unternehmen, die die Mobilität der Mitarbeiter unterstützen oder die starke Authentifizierung auf Partner und Berater ausweiten, können auf zunehmend transparente Authentifizierungsmethoden zurückgreifen. Software- und mobile Token sowie tokenlose Lösungen bieten eine komfortablere Authentifizierung, die die Implementierung sicherer Mobilitätsinitiativen erleichtert.


Gemalto stellt uns eine kostengünstige, sichere und geschützte Authentifizierungsinfrastruktur zur Verfügung, die zahlreiche Cloud-Services unterstützt. Sie gibt unserem PKI-Service mehr Flexibilität, damit sich die Benutzer an Cloud-Anwendungen auf jedem beliebigen Computer oder Gerät im Büro oder Zuhause authentifizieren können.
Masashi Tadokoro
Vertriebsleiter
Nippon Registry Authentication


Bild – Zugriffsmanagement – Häufig gestellte Fragen

Was ist Cloud-Zugriffsmanagement?

Funktionsweise


Produkte zur Zwei-Faktor-Authentifizierung


  • SafeNet-OTP-Authentifikatoren: Gemalto bietet eine umfassende Palette an hardware- und softwarebasierten sowie mobilen OTP-Authentifikatoren, die es Unternehmen ermöglichen, beim Schutz von Unternehmenslösungen unterschiedlichste Sicherheitsstufen einzuhalten – sei es lokal, in der Cloud, remote oder virtuell.
  • SafeNet-OOB-Authentifikatoren von Gemalto:Mit der Out-of-Band-Authentifizierung über Push-Benachrichtigungen, SMS oder E-Mail nutzen die OOB-Authentifikatoren von Gemalto einen anderen Kommunikationskanal als denjenigen, auf den zugegriffen wird, um einen einmalig gültigen Passcode bereitzustellen. So werden sowohl die Sicherheit als auch die Benutzerfreundlichkeit erhöht.
  • MobilePKI Office-Suite: Die MobilePKI Office-Lösungen von Gemalto ermöglichen es Unternehmen, die PKI-Sicherheit auf Smartphones und Tablet-PCs zu erweitern und somit auf mobilen Geräten verfügbar zu machen. Dazu zählen auch digitale Signaturen, Verschlüsselung und die starke Authentifizierung.
  • Logische und physische Zugriffskontrolle: Durch die Kombination von physischen Zugangskontrollen und logischem Zugriff können Unternehmen den physischen Zugang zu Büroräumen und Industrie- und Produktionsstandorten und gleichzeitig den Zugriff auf vertrauliche Netzwerke und Anwendungen schützen.
  • PKI-Authentifikatoren: Die zertifikatbasierten SafeNet-PKI-Token von Gemalto ermöglicht den sicheren Zugriff auf zahlreiche Ressourcen und andere fortschrittliche Sicherheitsanwendungen, z. B. digitale Signaturen, E-Mail-Verschlüsselung und Zwei-Faktor-Authentifizierung.


CTA – Gartner-Marktleitfaden für die Benutzerauthentifizierung

Gartner-Marktleitfaden für die Benutzerauthentifizierung

Aktuelle Informationen und Trends zur Benutzerauthentifizierung

Jetzt kostenlos herunterladen

Häufig gestellte Fragen zur Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) stellt sicher, dass ein Benutzer derjenige ist, der er zu sein vorgibt. Je mehr Faktoren zur Bestimmung der Identität einer Person herangezogen werden, desto größer ist das Vertrauen in die Authentizität.

Genauso wie Sie nicht möchten, dass Ihre Bank den Zugang zu Ihrem Girokonto mit nur einem einfachen Passwort schützt, möchten Sie auch sicherstellen, dass Ihre Ressourcen geschützt sind, indem Sie Ihre Mitarbeiter bitten, einen zusätzlichen Authentifizierungsfaktor bereitzustellen. So wird die Identität der Mitarbeiter sichergestellt und Zugangsdaten werden vor Hackerangriffen und Diebstahl geschützt. Für den Zugriff auf wertvolle Assets (z. B. VPN, Citrix, Outlook Web Access oder Cloud-Anwendungen) sollte nicht nur ein Faktor – oft ein schwaches Passwort – verwendet werden.

Durch die Zwei-Faktor-Authentifizierung wird der Schutz kritischer Ressourcen verbessert, indem die Wahrscheinlichkeit von Angriffen auf die Sicherheit durch Identitätsdiebstahl, Phishing und Online-Betrug drastisch reduziert wird.

Es gibt verschiedene Authentifizierungsmethoden, mit denen die Identität einer Person überprüft werden kann. SafeNet bietet zahlreiche Authentifizierungsmethoden und Formfaktoren, mit denen Kunden verschiedene Anwendungsfälle, Sicherheitsstufen und Bedrohungen abdecken können.

  • Hardware-basierte Authentifizierung – Zusätzliche Hardware, die der Benutzer tatsächlich besitzt und ohne die eine Authentifizierung nicht möglich ist.
  • Out-of-Band-Authentifizierung – Hardware, die sich bereits im Besitz des Benutzers befindet und mit der Informationen sicher per SMS oder E-Mail empfangen werden können.
  • Softwarebasierte Authentifizierung – Diese Authentifizierungsmethoden nutzen eine Softwareanwendung auf dem Computer, Smartphone oder mobilen Gerät des Benutzers.
  • Einmalpasswort (OTP) – Es werden dynamische, Einmalpasswörter (OTPs) zur ordnungsgemäßen Benutzerauthentifizierung an wichtigen Anwendungen sowie für Daten generiert. Das kann über ein Token, ein Mobilgerät oder die grid-basierte Authentifizierung erfolgen.
  • Zertifikatbasierte USB-Token – Sie ermöglichen einen sicheren Remote-Zugriff und andere erweiterte Anwendungen wie digitale Signaturen, Passwortverwaltung, Netzwerkanmeldung und kombinierten physischen und logischen Zugriff mit einem einzigen USB-Token.
  • Zertifikatbasierte Smartcard-Token – Starke Multi-Faktor-Authentifizierung im herkömmlichen Kreditkartenformat, damit Unternehmen ihre PKI-Sicherheitsanforderungen erfüllen können.
  • Hybrid-Authentifikatoren – Authentifikatoren, die Einmalpasswörter, verschlüsselte Flash-Speicher und zertifikatbasierte Technologien auf demselben leistungsstarken Authentifizierungsgerät kombinieren.
 

Die kontextbasierte Authentifizierung verwendet Kontextinformationen, um festzustellen, ob die Identität eines Benutzers authentisch ist oder nicht. Sie wird als Ergänzung zu anderen starken Authentifizierungstechnologien empfohlen.

Die neue Generation der SafeNet-Lösungen für die Authentifizierung ermöglicht IT-Administratoren einen vielschichten Ansatz für die Zugriffskontrolle. Mitarbeiter können einfach und sicher auf Unternehmens- und SaaS-Anwendungen zugreifen, sofern sie zuvor vom Administrator definierte Richtlinien einhalten. Wenn ein Benutzer die geltenden Zugriffsregeln nicht einhält, kann er aufgefordert werden, einen zusätzlichen Authentifizierungsfaktor zu präsentieren, bevor ihm der Zugriff gewährt wird. Das kann je nach den geltenden Unternehmensrichtlinien eine SMS oder ein einmalig gültiger Passcode sein, der von einem Smartphone-Token oder einem Hardware-Token generiert wird. Klicken Sie hier, um die Infografik zur kontextbasierten Authentifizierung anzuzeigen.

Durch den Wechsel in die Cloud verschwimmen die Grenzen der traditionellen Netzwerksicherheitsumgebung. Unternehmen stehen vor der Herausforderung, einheitliche Richtlinien für die Zugangskontrolle auf verteilte Unternehmensressourcen bereitzustellen, zu implementieren und zu verwalten. Mit der zunehmenden Verbreitung von SaaS gibt es keinen zentralen Einstiegspunkt für Unternehmensanwendungen mehr.

SafeNet-Authentifizierungslösungen meistern diese Herausforderung, indem sie es Unternehmen ermöglichen, den sicheren Zugriff durch föderierte Identitäten nahtlos auf die Cloud auszuweiten. SafeNet-Authentifizierungsplattformen nutzen die bestehende Authentifizierungsinfrastruktur des Unternehmens, ermöglichen die Ausweitung der lokalen Benutzeridentitäten in die Cloud und schaffen somit einheitliche Zugriffskontrollrichtlinien für Cloud- und Netzwerkanwendungen.Hier erfahren Sie mehr über die starke Authentifizierung für cloud-basierte SaaS-Anwendungen und Services.  

SafeNet bietet eine zentrale Verwaltungslösung für die Definition und Durchsetzung von Zugriffskontrollen für alle virtuellen, cloud-basierten und lokalen Ressourcen und ermöglicht die Ausweitung der Zwei-Faktor-Authentifizierung (2FA) auf alle Benutzer für alle Risikostufen. Das gilt auch für mobile Mitarbeiter.

Unterschiedliche Authentifizierungsmethoden und Formfaktoren richten sich an die jeweiligen Risikostufen der Benutzer.Daher nutzt ein Mitarbeiter, der nur Zugriff auf das Unternehmensportal hat, beispielsweise eine andere Authentifizierungsmethode bzw. einen anderen Formfaktor als der IT-Administrator des Unternehmens.

SafeNet bietet verschiedene Methoden, um einen sicheren Zugriff von mobilen Geräten auf Netzwerkressourcen, E-Mails, VDIs und mehr zu gewährleisten:

  • Benutzerauthentifizierung – Identifizieren Sie Benutzer, die über VPN, WLAN, Zugriffspunkte und VDI auf Unternehmensressourcen zugreifen.
  • Zertifikatanmeldung für iOS-Geräte – Nur Benutzer, deren Geräte mit Zertifikaten ausgestattet sind, können auf Unternehmensressourcen zugreifen.
  • Geräteerkennung mit kontextbasierter Authentifizierung – Erkennt registrierte Benutzer, die sich über einen mobilen Browser an webbasierten Anwendungen anmelden.

SafeNet-Authentifizierungslösungen helfen dabei, den Zugriff für mitarbeitereigene Geräte zu sichern, indem sie Benutzer dazu verpflichten, ihre Geräte zu registrieren. So können Unternehmen entscheiden, dass nur zuvor registrierte Geräte auf das Netzwerk zugreifen dürfen oder dass nicht registrierte Geräte vom Benutzer eine zusätzliche Authentifizierungsmethode verlangen, z. B. einen einmalig gültigen Passcode.

Die Notwendigkeit, einheitliche Zugriffsrichtlinien für SaaS-Anwendungen, cloud-basierte Lösungen und On-Premise-Umgebungen zu implementieren, ist für die Einrichtung und Aufrechterhaltung eines sicheren Zugriffs in modernen Arbeitsumgebungen, die stark von der Mobilität beeinflusst werden, unerlässlich.

Unter dem Druck, Kosten zu senken und einen Mehrwert zu erbringen, sind IT-Administratoren ständig auf der Suche nach Möglichkeiten, ihre Gesamtbetriebskosten zu senken. Die optimierte Verwaltung umfasst die Benutzerverwaltung, Bereitstellung, das Single-Sign-On, die starke Authentifizierung, Autorisierung, Berichterstellung und Auditierung sowie Richtlinienbenachrichtigungen, die in LDAP/Active Directory integriert sind.

Die zentral verwalteten Authentifizierungslösungen von SafeNet basieren auf einer zentralen Management-Plattform, die Folgendes unterstützt:

  • Sichere Mobilität für Mitarbeiter sowohl von firmeneigenen als auch von privaten Mobilgeräten
  • Sicherer Remote-Zugriff (VPN) auf Unternehmensnetzwerke
  • Sicherer Zugriff auf Cloud-Anwendungen
  • Sicherer Zugriff auf virtuelle Desktop-Infrastrukturen (VDI)
  • Sichere Netzwerkanmeldung
  • Sicherer Zugriff auf Webportale
  • Erweiterte Sicherheitsanwendungen wie Pre-Boot-Authentifizierung und digitale Signatur
 

Eine fragmentierte IT-Umgebung wirkt sich nachteilig auf die Sicherheit und Compliance aus. Der Schutz des Mitarbeiterzugriffs auf Unternehmensressourcen in derart fragmentierten Umgebungen ist in der Tat eine Herausforderung. SafeNet-Authentifizierungslösungen bieten eine zentrale Verwaltungsstelle, die konsistente Zugriffskontrollen für die gesamte IT-Umgebung anwendet. Unsere Lösungen bieten über 100 nahtlose Out-of-the-Box-Integrationen für die Cloud, VPNs, VDIs, Webportale und LANs und decken so zahlreiche Anwendungsfälle ab.

SafeNet gewährleistet ein reibungsloses Management für IT-Administratoren durch:

  • Vollständig automatisierte Workflows
  • Management by Exception für Lösungen
  • Zentrale Audit-Trails für alle Zugriffe
  • Self-Service-Portal für Benutzer
  • Sicheren Zugriff für alle Geräte
  • Over-the-Air-Bereitstellung von Software-Token

Das Bestreben nach einem akzeptablen Maß an Zugriffssicherheit ohne Belastung der Benutzer sowie die Notwendigkeit, mehrere Geräte zu unterstützen, veranlasst Unternehmen dazu, Lösungen einzuführen, die nur minimale Auswirkungen auf die Benutzerzufriedenheit haben. SafeNet bietet Benutzern eine reibungslose Authentifizierung mit verschiedenen 2FA-Token sowie tokenlosen Authentifizierungsmethoden und föderiertem SSO für die Cloud.


Ressourcen zur Zwei-Faktor-Authentifizierung

Symbol Lösungsübersicht – SafeNet MobilePASS+

Lösungsübersicht – SafeNet MobilePASS+

Weitere Informationen über die einfache und sichere Out-of-Band-Authentifizierung mit Push-Benachrichtigungen, bei der sich Benutzer mit nur einem Fingertipp auf ihrem mobilen Gerät authentifizieren können und die einen geringen Verwaltungsaufwand und fortschrittliche Sicherheitsfunktionen bietet.

Lösungsübersicht herunterladen

Symbol Lösungsübersicht – SafeNet MobilePKI Office

Lösungsübersicht – SafeNet MobilePKI Office

MobilePKI Office von Gemalto nutzt die Bluetooth-Smart-Technologie und erweitert die PKI-Funktionalität auf Smartphones und Tablet-PCs und macht so digitale Signaturen, E-Mail-Verschlüsselung und starke Zwei-Faktor-Authentifizierung auf diesen Geräten möglich.

Lösungsübersicht herunterladen

Symbol Whitepaper – Sicherheit leistungsstarker Authentifizierungslösungen

Whitepaper – Sicherheit leistungsstarker Authentifizierungslösungen

Der Nachweis der Authentifizierung ist eine komplexe Angelegenheit. Dieses Whitepaper gibt eine detaillierte Übersicht über verschiedene Authentifizierungsverfahren und die zugrunde liegenden Sicherheitsmechanismen und untersucht, wie wirksam verschiedene Methoden gegen verschiedene Angriffe sind.

Whitepaper herunterladen

Whitepaper-Symbol – Probleme der mobilen Sicherheit in Unternehmen

Whitepaper – Probleme der mobilen Sicherheit in Unternehmen

Die Nachfrage nach mobilen Geräten in Unternehmen steigt ständig. Was sagen IT-Experten zu den Bedenken hinsichtlich Datenzugriff und Sicherheit? Gemalto wollte es wissen und hat 900 Entscheidungsträger in der IT aus aller Welt zu diesem Thema befragt. Dieser Bericht fasst die Umfrageergebnisse zusammen und beschreibt, was dies für die Zukunft der Mobilität am Arbeitsplatz bedeutet.

Whitepaper herunterladen

Symbol – A4-E-Book – Authentifizierung für mobile Mitarbeiter

A4-E-Book – Authentifizierung für mobile Mitarbeiter

Es müssen einige Hindernisse überwunden werden, was viele Unternehmen abschreckt. Dieses E-Book beschreibt wichtige Leitlinien für Unternehmen, damit diese ihren Mitarbeitern das bequeme, sichere, skalierbare, richtlinienkonforme und kostengünstige mobile Arbeiten ermöglichen können.

E-Book herunterladen

Video Thumbnail – Authentifizierung per Push-Benachrichtigung über Mobilgeräte mit MobilePASS+

Authentifizierung per Push-Benachrichtigung über Mobilgeräte mit MobilePASS+

Entdecken Sie, wie einfach es ist, sich über ein Smartphone mit Push-Authentifizierung und MobilePASS+ zu authentifizieren.

Video ansehen


Informationen anfordern

 

Vielen Dank für Ihr Interesse an unseren Lösungen. Bitte füllen Sie das Formular aus, um weitere Informationen zu erhalten oder um von einem SafeNet Mitarbeiter kontaktiert zu werden.

 

Ihre Angaben

* E-Mail-Adresse:  
* Vorname:  
* Nachname:  
* Unternehmen:  
* Telefon:  
* Land:  
* State (US Only):  
* Province (Canada/Australia Only):  
* Stadt:  
Bemerkungen:  
 

 Mit dem Ausfüllen dieses Formulars willige ich ein, im Rahmen der beschriebenen Datenschutzbestimmungen Informationen von Gemalto und seinen Tochtergesellschaften zu erhalten.