Zwei-Faktor- und Multi-Faktor-Authentifizierung im öffentlichen IT-Sektor

Gleichzeitig hat sich in den letzten Jahren gezeigt, dass der öffentliche Sektor immer mehr ins Visier von Cyberkriminellen gerät und die Bedrohungen zunehmen. Insbesondere die geopolitischen Herausforderungen haben zu einer veränderten Sicherheitslage geführt. Zudem eignen sich Hacker KI-basierte Werkzeuge an. Experten gehen davon aus, dass diese in Zukunft nicht nur für Desinformationskampagnen, sondern vermehrt auch für die Erstellung von Schadcode oder für ausgeklügelte Social-Engineering-Angriffe eingesetzt werden. Damit steigt die Gefahr von Datenverlusten. Dies ist insbesondere für Einrichtungen des öffentlichen Sektors verheerend, da sie in der Regel große Mengen sensibler Daten wie Gesundheits-, Finanz-, Straf-, Bildungs- oder Sozialdaten verarbeiten.

Aufgrund der Sensibilität dieser Daten ist es wichtig, dass der öffentliche Sektor angemessene Sicherheitsmaßnahmen und Datenschutzrichtlinien einführt, um die Privatsphäre der Bürger zu schützen.

Zwei-Faktor-Authentifizierung für Schutz von Benutzer und Mitarbeiterkonten

Die Sicherheit sensibler Daten und der kontrollierte Zugang zu kritischen Systemen sind von entscheidender Bedeutung, um die Integrität und Vertraulichkeit der in öffentlichen Einrichtungen verarbeiteten Informationen zu gewährleisten. Hier kommt die Zwei-Faktor-Authentifizierung (2FA) ins Spiel. Sie kann die Sicherheit erhöhen, unberechtigte Zugriffe verhindern und auch dazu beitragen, Datenschutzanforderungen zu erfüllen. Damit sich Berechtigte für verschiedene Plattformen oder Anwendungen verifizieren und authentifizieren können.

Grundsätzlich gibt es mehrere Faktoren, um sich zu authentifizieren. Im Gegensatz zur immer noch verbreiteten Ein-Faktor-Authentifizierung wird bei der 2-Faktor-Authentifizierung neben einem Passwort oder einer PIN als erstem Faktor ein zweiter Faktor benötigt, um sich zu authentifizieren.

Dies kann zum Beispiel ein One-Time-Password (OTP) sein, das an ein mobiles Gerät gesendet wird. Selbst wenn potenzielle Angreifer den ersten Faktor kennen, weil sie im Besitz geleakter Zugangsdaten sind oder diese im Rahmen einer Phishing- oder Malware-Attacke erbeutet haben, erschwert ihnen die Abfrage eines zweiten Faktors den Zugriff auf ein Konto oder System erheblich. Denn sie können nur die erste Zugangshürde – den ersten Faktor – überwinden. Ohne das notwendige Werkzeug zur Generierung des zweiten Faktors, z. B. das mit dem Benutzerkonto verknüpfte Gerät, bleibt ihnen der Zugang verwehrt. Die 2FA bietet eine zusätzliche Sicherheitsebene sowohl für den Schutz von Benutzerkonten als auch von Mitarbeiterkonten in öffentlichen Einrichtungen. Aber auch Insider-Bedrohungen werden minimiert. Die 2FA sorgt dafür, dass auch autorisierte Benutzer neben ihrem Passwort einen weiteren Schritt benötigen, um sich an Systemen oder Anwendungen zu authentifizieren.

In einigen Fällen sind öffentliche Einrichtungen gesetzlich verpflichtet, strenge Sicherheitsstandards einzuhalten. Dazu gehören neben der EU-Datenschutz-Grundverordnung (DSGVO) auch andere Cybersicherheitsgesetze, -vorschriften und -regelungen, wie zum Beispiel NIS2. Die Implementierung von 2FA kann dazu beitragen, diese Compliance-Anforderungen zu erfüllen.

Die Multi-Faktor-Authentifizierung: weitere Sicherheitsebene

Die Multi-Faktor-Authentifizierung (MFA) erweitert die Zwei-Faktor-Authentifizierung (2FA) um mindestens einen weiteren Faktor und bietet damit eine zusätzliche Sicherheitsebene. Im Gegensatz zur 2FA, bei der nur zwei Authentifizierungsfaktoren verwendet werden, werden bei der MFA mindestens drei Authentifizierungsfaktoren verwendet. Durch die Implementierung biometrischer oder verhaltensbiometrischer Authentifizierungsschritte sind sie benutzerfreundlich und bieten gleichzeitig ein hohes Maß an Sicherheit. Dies kann die Akzeptanz solcher Lösungen im öffentlichen Sektor erheblich erleichtern – sofern eine MFA nicht bereits gesetzlich vorgeschrieben ist.

Ein weiterer Vorteil von MFA-Lösungen ist ihre Skalierbarkeit. So können unterschiedliche Authentifizierungsmöglichkeiten für verschiedene Benutzergruppen oder Anwendungen implementiert werden. Gerade bei komplexen Bedrohungen wie ausgeklügelten Social-Engineering-Angriffen ist ein umfassender Schutz wichtig. Nachgelagerte Authentifizierungsmethoden wie die risikobasierte Authentifizierung (Risk-based-Authentication, RBA) können eingesetzt werden, um den Schutz auch bei einer Kontoübernahme in Echtzeit (Account Takeover, ATO) zu gewährleisten. Dies stellt eine sinnvolle Ergänzung zu bereits bestehenden Methoden wie 2FA und MFA dar, um den Schutz zu erweitern und auch im Falle eines erfolgreichen ATO optimal vorbereitet zu sein.

Funktionen und Vorteile eines CIAM-Systems für die öffentliche Verwaltung

Customer Identity and Access Management (CIAM) und Lösungen sind für den öffentlichen Sektor von unschätzbarem Wert, um die Verwaltung sensibler Daten zu vereinfachen und Herausforderungen zu bewältigen. Neben den sicherheitsrelevanten Aspekten, die ein CIAM-System bietet, ist ein großer Vorteil, dass Benutzeridentitäten

Ein CIAM-System dient als Vermittler zwischen den Backend-Anwendungen und den Benutzern, die sich über ihre Computer und mobilen Geräte anmelden. Bei der Registrierung eines neuen Benutzers wird ein neues Konto im Repository angelegt. Die Mandantenfähigkeit des Systems ermöglicht die administrative Trennung verschiedener Benutzergruppen wie Privat- und Firmenkunden, Makler und Mitarbeiter. Darüber hinaus stellen Schnittstellen sicher, dass eine CIAM-Lösung im Idealfall kundenbezogene Informationen ereignisgesteuert an Drittsysteme, wie zum Beispiel das Customer Relationship Management, liefern kann. Die Implementierung beider Authentifizierungstechnologien in Zusammenarbeit mit erfahrenen Partnern ist unkompliziert und es gibt Unternehmen, die sich auf die Bedürfnisse des öffentlichen Sektors spezialisiert haben.

CIAM und Datensicherheit: Schlüsseltechnologien für den öffentlichen Sektor

Der öffentliche IT-Sektor befindet sich im Umbruch, wobei Modernisierung und Effizienzsteigerung im Vordergrund stehen. Gleichzeitig steigt die Bedrohung durch Cyber-Angriffe auf öffentliche Einrichtungen, was die Notwendigkeit des Schutzes sensibler Daten unterstreicht. Zwei-Faktor-Authentifizierung bietet einen grundlegenden Schutz, während Multi-Faktor-Authentifizierung eine zusätzliche Sicherheitsebene durch mindestens drei Authentifizierungsfaktoren bietet. Diese Technologien sind für den öffentlichen Sektor, der häufig gesetzlichen Sicherheitsstandards unterliegt, von großer Bedeutung.

Darüber hinaus spielen CIAM und eine wichtige Rolle bei der Verwaltung sensibler Daten für Versicherungsunternehmen. Sie ermöglichen die einfache Verarbeitung von Kundeninformationen und die administrative Trennung von Benutzergruppen. Die Implementierung dieser Technologien in Zusammenarbeit mit erfahrenen Partnern stellt eine effektive Möglichkeit dar, den Sicherheitsanforderungen des öffentlichen Sektors gerecht zu werden.

Stephan Schweizer

ist Chief Executive Officer bei Nevis Security.