12.10.2020 | Thomas Bühler
Zentrales Authentisierungs- und Autorisierungsmanagement - Eine Chance für die Zukunft
IT-Architekten stehen heutzutage vor der Herausforderung, vielseitige Anforderungen des Fachbereichs, der Sicherheit und der Regulatoren erfüllen zu müssen. Die Themen reichen von der Cloud-Integration über die Multi-Faktor-Anmeldung bis hin zur App-Integration und das unter dem Aspekt des stetig steigenden Schutzbedarfs, welcher wiederum neue Ansätze erfordert.
Nehmen wir einmal das Beispiel der risikobasierten Authentifizierung, bei der die Absicherung einer Anmeldung unter Einbezug weiterer Parameter wie Gerätekonfiguration, Umgebungsinformationen, Räume, Geräusche, Nearby WiFis, IP-Adresse, WLAN-SSIDs, Geolocation und biometrischer Eigenschaften des Nutzers mit einbezogen werden. Damit kann zwar die Sicherheit insgesamt wesentlich gesteigert werden, jedoch erhöhen sich die Anforderung an Infrastruktur deutlich. Die Vorstellung, dass sich jede Fachanwendung eigenständig um die Prüfung der Kriterien einer risikobasierten Anmeldung kümmern muss, zeigt die Grenzen dezentraler Lösungen auf.
Allgemein werden durch eine Steigerung des Zentralisierungsgrads der Komponenten einer Authentifizierungs- und Autorisierungsinfrastruktur Redundanzen vermieden, die Effizienz gesteigert und die Benutzerfreundlichkeit erhöht. Die Temet verfügt über eine umfangreiche Fachkompetenz in diesem Bereich. Gern unterstützen wir Kunden im Aufbau und in der Optimierung ihrer Authentifizierungs- und Autorisierungsinfrastruktur.
Lange Historie
Im Jahre 1965 beschreibt P. A. Crisman in seinem Buch «The Compatible Time-Sharing System – A Programmer’s Guide (2nd edition)» am M. I. T. erstmals die Anforderung an eine Benutzerauthentifizierung und Lance J. Hoffman macht sich im Jahre 1970 Gedanken darüber, wie Zugriffssysteme zentral organisiert werden können. Diese beiden Meilensteine gelten als Geburtsstunde des Authentisierungs- und Autorisierungsmanagements in der IT. Im Jahre 1976 führte IBM die damals erste kommerzielle Anwendung auf Basis des Mainframe System/370 mit einem Anmelde- und Berechtigungssystem ein, allgemein bekannt als «Resource Access Control Facility (RACF)». Microsoft zog mit Windows NT 3.51 im Jahre 1995 nach. Ab diesem Zeitpunkt war es üblich, dass Benutzer eindeutig identifiziert und Rechte zentral verwaltet wurden.
Allgemeine Themenübersicht
In der heutigen Zeit bauen die meisten Unternehmen auf eine zentrale Verwaltung ihrer Identitäten, Rollen, Rechte und Workflows in Form eines Identity Access Management System (IAM). Zu einem klassischen IAM-System gehören auch die Bereitstellung von Informationen sowie Prozesse zur Authentifizierung und Autorisierung. So bieten die meisten Lösungen Möglichkeiten zum Zurücksetzen eines Passworts an, das für die technische Sicherstellung einer Authentifizierung am einzelnen Zielsystem benötigt wird. Die eigentliche Durchführung der Benutzerauthentifizierung und die Umsetzung der Rechte im Zielsystem wird durch die jeweilige Fachapplikation gesteuert. Die klassischen Modelle weisen Schwachstellen auf, die primär in der Ausgestaltung nicht-funktionaler Anforderungen begründet sind. So muss ein IAM-System hoch vertrauliche und gegen Integritätsverletzungen anfällige Credentials verwalten und den Zielsystemen in einer angemessenen Form zugänglich machen. Kommen Replikationsmechanismen zum Einsatz, müssen beispielsweise die Passwörter im Klartext vorliegen oder private Schlüssel dezentral verteilt werden. Führt das IAM-System die Authentifizierung und die Autorisierung selbst durch, erhöhen sich die Verfügbarkeitsanforderungen des Verwaltungs-systems wesentlich. Kommen wiederum Verzeichnisdienste als Authentisierungs- und Autorisierungsproxys zum Einsatz, werden die Prinzipien der Reconciliation verletzt und ein Kontrollverlust der tatsächlichen Umsetzungsstände in den Anwendungen ist die Folge. Weitere Nachteile entstehen im Bereich des Single Sign-on und hinsichtlich des Umstands, dass jede Anwendung die Durchführung der Anmeldung selbst steuern muss. Daher empfiehlt sich eine Trennung der Verwaltung von Identitäten und den operativen relevanten Authentifizierungs- und Autorisierungsinfrastrukturen.
Zentralisierung als Schlüssel zum Erfolg
IT-Architekten stehen heutzutage vor der Herausforderung, vielseitige Anforderungen des Fachbereichs, der Sicherheit und der Regulatoren erfüllen zu müssen. Die Themen reichen von der Cloud-Integration über die Multi-Faktor-Anmeldung bis hin zur App-Integration unter Beachtung des stetig steigenden Schutzbedarfs, der wiederum neue Ansätze erfordert. Nehmen wir einmal das Beispiel der risikobasierten Authentifizierung, die die Absicherung einer Anmeldung unter Einbezug weiterer Parameter ausserhalb des eigentlichen Basis-Credential gewährleistet. Beispiele hierfür sind Gerätekonfiguration sowie Umgebungsinformationen wie Räume, Geräusche, Nearby WiFis, IP-Adresse, WLAN-SSIDs, Geolocation, biometrische Eigenschaften des Nutzers oder Uhrzeit. Damit kann die Sicherheit insgesamt wesentlich gesteigert werden. Von besonderer Bedeutung bezüglich der oben aufgeführten Aspekte sind dabei die Gerätekonfigurationen und die Umgebungsinformationen. Bei der Gerätekonfiguration ist oft ausschlaggebend, ob das Gerät von der Trägerschaft selbst verwaltet wird oder es sich dabei um ein Gerät der Kategorie Bring your own device (BYOD) handelt. Im Falle von BYOD gelten üblicherweise höhere Authentisierungsanforderungen als bei internen Geräten. Allgemein können die eingesetzte Softwareversion, der Patch-Stand, ein aktueller Virenschutz, eine Root- bzw. Jailbreak-Erkennung bei mobilen Endgeräten, der verwendete Browser und dessen Einstellungen sowie die Auflösung des Geräts Auskunft darüber geben, ob eine Authentisierung anerkannt werden soll oder nicht. Bei den Umgebungsinformationen geht es vor allem darum, mittels eines weiteren Prüfkriteriums die anderen Parameter abzusichern. So können die Geolocation-Informationen durch eine Analyse der Umgebungsgeräusche abgesichert werden, wie das Beispiel des Abgleichs einer GPS-Koordinate in den Schweizer Bergen mit der einer indischen Grossstadt verdeutlicht. Weiter kann die MAC-Adresse eines WLAN-Routers dazu verwendet werden, den Aufenthaltsort auf die Umgebung eines Raums zu beschränken. Mittels GPS-Abgleich lässt sich die Konsistenz der Information prüfen und unerwünschte VPN-Tunnel können umgangen werden. Eine Profilierung von Nearby WiFis schafft wiederum die Möglichkeit, in Kombination mit der Zeit den gewohnten Aufenthaltsort zu bestimmen. Hierbei muss beachtet werden, dass jede Fachanwendung eigenständig die Prüfung der Kriterien der risikobasierten Anmeldung steuern muss. Das Beispiel verdeutlicht eindrücklich, warum eine Zentralisierung des Authentisierungs- und Autorisierungsmanagements für die Abbildung derartiger Anforderungen unumgänglich ist.
Schlussfolgerung und Ausblick
Flexibilität bezüglich Authentifizierungs- und Autorisierungsinfrastrukturen bildet eine wesentliche Grundvoraussetzung für den Betrieb zeitgemässer IT-Umgebungen. Diesbezüglich gilt es zu klären, inwieweit ein architektonisches Gesamtkonzept unter Berücksichtigung aktueller Anforderungen und hinsichtlich Sicherheit, Effizienz und Benutzerfreundlichkeit optimal zu einer Einheit zusammengefügt werden kann. In Bezug auf Authentifizierungs- und Autorisierungsinfrastrukturen sollte daher ein Mittelweg im Spannungsfeld von Anforderungen, Abwärtskompatibilität, Flexibilität und Vermeidung bekannter Probleme bei bestehenden Lösungen gefunden werden. Moderne Architekturansätze ermöglichen es zudem, von technologischen Errungenschaften wie der risikobasierten Anmeldung zu profitieren. Diese Lösungskonzepte lassen sich nur durch eine Zentralisierung erreichen. Allgemein werden durch eine Steigerung des Zentralisierungsgrads der Komponenten einer Authentifizierungs- und Autorisierungsinfrastruktur Redundanzen vermieden, die Effizienz gesteigert und die Benutzerfreundlichkeit erhöht. Zudem ermöglicht die Wiederverwendbarkeit dieser Komponenten Synergieeffekte über die Grenzen der Institution hinaus und trägt zur Vereinfachung der Architektur bei.
Temet-Kernkompetenz im Authentisierungs- und Autorisierungsmanagement
Die Temet verfügt über zahlreiche Spezialisten, die ihre Kompetenz und langjährige Erfahrung im Aufbau und in der Weiterentwicklung von Authentifizierungs- und Autorisierungsinfrastruktur mehrfach bewiesen haben und in den vergangenen Jahren massgeblich Kundenprojekte geprägt haben. Dazu zählen wesentliche Beiträge im Bereich des elektronischen Patientendossiers (EPD), im Umfeld des Bundesgesetzes über elektronische Identifizierungsdienste (eID-Gesetz) und im Bereich des Bildungswesens. Die Temet war zudem massgeblich am Aufbau und am Betrieb einer der wichtigsten Identitätsplattformen im schweizerischen Versicherungsumfeld beteiligt. Als Mitglied der OpenID Foundation sowie der FIDO Alliance verfolgen wir zudem unmittelbar die Entwicklungen am Markt.