Warum Authentifizierung unser ständiger Begleiter ist

Eine der wichtigsten Grundlage zum Schutz Ihres Unternehmens ist die Authentifizierung. Daher wollen wir Ihnen in diesem Blogbeitrag die Bedeutung des Authentifizierungsverfahren vorstellen – also das Verfahren, eine Person, einen Account oder ein System jeglicher Art zu erkennen und widerzuerkennen. 

Egal ob Einkäufe ohne Bargeld tätigen, den PC einschalten oder Soziale Medien nutzen - Authentifizierung findet ständig statt! Grundvoraussetzung dafür ist jedoch, dass die zu authentifizierende Person oder System bekannt gemacht werden muss. So auch, wenn man auf dem Weg zum Arbeitsplatz am Empfang vorbeikommt: Die Person am Empfang hat die eingetretene Person authentifiziert und im Anschluss autorisiert, also die Erlaubnis erteilt, das Gebäude zu betreten. Was passiert bei diesem Vorgang? Die eintretende Person ist dem Empfang bekannt, denn: sie steht auf einer Liste der Mitarbeiter oder Besucher oder genießt ein Gewohnheitsrecht. 

Werden wir an dieser Stelle etwas genauer: aus IT-Security Sicht darf es so etwas wie ein Gewohnheitsrecht nicht geben. Entweder die Person ist bekannt oder nicht. Weitere Faktoren wie Status oder Handlung sind hier erst einmal nicht relevant. Nehmen wir an die Person ist bekannt und ihr wurde ein Zugang zum Arbeitsplatz eingerichtet. Um den Arbeitsplatz zu nutzen, muss eine Anmeldung im System erfolgen. Dabei muss sichergestellt werden, ob die Person, die den Zugang nutzen möchte, auch die Person ist, die den Zugang nutzen darf.  

Hier gibt es schon viele Möglichkeiten der Authentifizierung: meist geschieht dies über die Eingabe der Nutzer ID und eines Passwortes oder einer PIN. Je nach Risikoeinstufung kann das schon genügen, doch das ist meist nicht der Fall. So werden andere Methoden genutzt, beispielsweise ein „one time password“ aus der Smarthone Authenticator App. Dabei wird im Vorfeld im Austausch zwischen dem authentifizierenden System und der Smartphone-App eine gemeinsame Frage genutzt, um ein zeitlich begrenztes Passwort zu generieren. Erreicht dieses Passwort den Prüfserver nicht rechtzeig oder wurde es mit einer anderen Frage ausgestellt, so wird es als ungültig erkannt. Eine weitere sehr bekannte Variante der Authentifizierung ist auch der SMS-Versand einer Frage, welche im Anschluss überprüft wird. In beiden Fällen muss die Person ein zweites Gerät bereithalten. Daher wird diese Vorgehensweise auch Zwei-Faktor-Authentifizierung genannt. 

Stellen Sie sich einmal vor, dass Sie sich an jeder Anwendung, die Sie benutzen wollen, so anmelden müssen. Die Aussage „Muss das sein?! Ich habe das doch schon gemacht“ ist berechtigt. Hier ist der Punkt, an dem wir in die Welt des Single-Sign-On (SSO) eintauchen. SSO findet beim Anwender großen Zuspruch, allerdings nicht unter diesem Begriff, da es im besten Fall einfach automatisch funktioniert und damit quasi unsichtbar ist. 

Greifen wird unser Beispiel zu Beginn mit der Authentifizierung am Empfang wieder auf: Was ist, wenn der Empfang den Mitarbeiter nicht kennt und ihm nicht zweifelsfrei einem Namen auf der Liste zuordnen kann? In diesem Fall könnte beim Chef nachgefragt werden, ob der Mitarbeiter bekannt ist. Wenn der Chef dies bestätigt, da es sich beispielsweise um den neuen Auszubildenden Max Müller handelt, so ist die Person authentifiziert und darf das Gebäude betreten. Dieses Vorgehen beruht auf der Vertrauensstellung zum gemeinsamen Chef. Beim SSO läuft das nicht anders ab. Klarer wird dies, wenn wir diese Vorgehensweise anhand eines etablierten Standards erläutern (SAML). 

Die Vertrauensstellung wird über SSL Zertifikate realisiert. Wenn wir den kryptographischen Sachverhalt außen vorlassen, so kann folgende Aussage getroffen werden: Wenn sich der IDP und SP im Vorfeld bekannt gemacht haben, kann der SP zweifelsfrei prüfen, ob die bereitgestellte NutzerID tatsächlich von dem ihm bekannten IDP stammt oder nicht. Aber auch der IDP möchte zweifelsfrei wissen, dass die Anfrage vom SP nach der NutzerID auch vom SP stammt. Dies geschieht auf die gleiche Art und Weise. Der Kommunikationsfluss ist also wie folgt: 

1. Unbekannter Nutzer greift auf Applikation zu. 
2. Der SP der Applikation schickt den unbekannten Nutzer mit einer Anfrage der NutzerID zum IDP. 
3. Der IDP stellt die Gültigkeit der Anfrage sicher, authentifiziert die Person und stellt die ID bereit. 
4. Der nun bekannte Nutzer überträgt die NutzerID zum SP. 
5. Der SP stellt die Gültigkeit der Antwort sicher und meldet den Nutzer am System an. 

Solange der IDP also ohne eine Nachauthentifizierung die NutzerID an viele SP bereitstellen kann, wird der Nutzer nicht erneut aufgefordert, sich zu authentifizieren. Ebenfalls wichtig in diesem Szenario ist, dass das Merkmal „NutzerID“ auch ein gemeinsames ist.