IT-Security
Identitätsprüfungen bekämpfen Malware

IT-Security

Wenn man das Motto der Grundstücksmakler etwas umformuliert, kann man sagen: Sicherheit ist Authentifizierung, Authentifizierung und noch mal Authentifizierung. Die meisten Sicherheitsprobleme treten auf, weil es keine Möglichkeit gibt nachzuweisen, dass ein bestimmtes Stück Software auch wirklich das ist, was es vorgibt, zu sein. Der Rest der Probleme entsteht, weil es keine Methode gibt, die beweist, dass ein bestimmter Nutzer ebenfalls der ist, der er vorgibt, zu sein. Die Authentifizierung trifft voll ins Schwarze, was die gegenwärtigen Kopfschmerzen im IT-Sicherheitsbereich anbelangt.

Beispiel SecureWave

Deshalb hat mich letztens ein Gespräch mit einer Softwarefirma fasziniert, die behauptet, dass ihr Produkt Buffer Overflows und andere Malware stoppen kann. Was noch besser ist – die Tools von SecureWave tun dies ohne ein periodisch wiederkehrendes Abonnement, um die Tools auf dem neuesten Stand zu halten.

Das SecureWave System – wie auch die Systeme seiner Konkurrenten – enthält eine ‘Weiße Liste’ von Programmen, die laufen dürfen. Und anstelle eine Liste von Programmnamen zu benutzen, basiert die Weiße Liste auf digitalen Signaturen von jedem Teil der freigegebenen Software. Außerdem ist sie verschlüsselt, damit sie niemand korrumpieren kann.

Wenn dies alles mit einem starken System für die Nutzer Authentifizierung kombiniert wird, wie zum Beispiel dem zeitbasierten Token von RSA , könnte viel Malware, Spyware und Computerbetrug schon in ihren Anfängen gestoppt werden.

Token als Lösung

Natürlich gibt es immer menschliches Versagen. Tokens könnten gestohlen werden und es könnten Personen dazu überredet werden, die Sicherheitssysteme zu umgehen. Der verurteilte Hacker Kevin Mitnik beschreibt diese Probleme in seinem Buch “Die Kunst der Täuschung”. Und wie der Sicherheitsguru Bruce Schneier kürzlich betonte, können starke Authentifizierungssysteme von Trojanern umgangen werden, wenn nicht etwas getan wird, um die Trojaner zu stoppen.

Damit also die IT-Sicherheit verbessert wird, müssen wir anfangen, Software und Menschen dazu zu bringen, dass sie zuerst ihre Identität nachweisen, bevor ihnen erlaubt wird, irgendetwas zu tun. Die Tage von Software, die frei und wild über Ihre Server läuft, sind gezählt.

Nun ist es an der Zeit, eine Entscheidung darüber zu treffen, wer die Token für die Authentifizierung der Nutzer besitzen wird.
Ich weiß nicht, wie es Ihnen geht, aber das Letzte, was ich mir von meiner Bank oder irgendeinem anderen Lieferanten wünsche, ist, dass sie mir einen Sicherheitstoken geben, damit ich mich in meinen Account einloggen kann.

Wem gehört die Identität

Es würde nicht lange dauern und ich schleppe einen Koffer voller Token für die verschiedenen Accounts und Rollen, die ich in meinem täglichen Leben benutze, mit mir rum. Mir scheint, dass ein Sicherheitstoken keine persönlichen Daten enthalten sollte, und für eine beliebige Anzahl von Anwendungen nutzbar sein sollte, wobei jede nicht unbedingt Kenntnis von den anderen Anwendungsmöglichkeiten hat, die der Token sonst noch bietet. Ich würde lieber meinen eigenen Token kaufen und ihn an die Systeme anschließen, die ich benutze.

Deshalb war ich ganz besonders an der Ankündigung des Sicherheitsspezialisten RSA letzten Monat interessiert. Dabei ging es um einen Authentifizierungsdienst, der dazu gedacht ist, großen Einzelhandelsorganisationen, wie Banken eine starke Authentifizierung zu bieten, wobei keine der Parteien große Investitionen in die nachgestellte Sicherheitstechnologie durchführen musste. Ob sich das RSA System als Erfolg oder Fehlschlag erweist, ist für mich nicht sonderlich wichtig, aber es ist ein erstes Zeichen einer neuen Ära, die starke Authentifizierung für alle bietet.

Phishing Angriffe oder andere Arten des Missbrauchs persönlicher Daten stehen für einfache Passwörter und selbst die Chip-und-Pin-Sicherheit für Kreditkarten könnte schon bald der Vergangenheit angehören. Es wird bald der Tag kommen, da wir alle unseren eigenen Sicherheitstoken besitzen wollen, in der gleichen Weise wie die meisten Leute eine Armbanduhr besitzen.