NIS-2 und DORA: Gemeinsame Compliance-Anforderungen als Chance für mehr IT-Sicherheit
Regulatorische Komplexität als Herausforderung und Chance Die stetig wachsende Zahl an Regulierungen stellt Unternehmen branchenübergreifend vor...
2 Min. Lesezeit
Florian Scheuer
:
10.07.18 00:00
Haben Sie sich jemals gefragt, warum Sie bei einer Anmeldung bei DRACOON aus mehreren Authentifizierungsoptionen (E-Mail-Anmeldung, Anmeldung über Active Directory, OpenID Connect oder RADIUS) wählen müssen? Der Grund ist, dass ein Benutzer sich bei DRACOON alternativ mit mehreren dieser Methoden am System anmelden kann. Zudem gibt es bis heute bei DRACOON keinen eindeutigen Benutzernamen, der für eine Anmeldung genutzt werden kann. Zwar muss die E-Mail-Adresse eindeutig sein, aber diese Eindeutigkeit ist lediglich auf eine Authentifizierungsmethode festgelegt.
Diese beiden Beschränkungen erfordern, dass der Nutzer bei jeder Anmeldung dem Server mitteilen muss, welche Authentifizierungsmethode genutzt werden soll. Unsere eigenen Erfahrungen damit und das Feedback unserer Kunden dazu ist sehr negativ: selbst erfahrene Benutzer wählen immer wieder versehentlich die falsche Methode und können sich folglich nicht anmelden. Dieses Problem trat insbesondere bei DRACOON für Windows/Mac häufig auf. Zudem wurden von Benutzermanagern oft zusätzliche (nicht benötigte) Authentifizierungsmethoden bei Benutzern versehentlich aktiviert.
Auf der Haben-Seite bietet diese Funktion kaum Mehrwerte für unsere Kunden. Lediglich ein einziger wirklicher Vorteil besteht: Melden sich sämtliche Benutzer über eine externe Benutzerdatenbank (z.B. ein Active Directory oder einen OpenID-Connect-fähigen Identity Provider) an, so kann dies bei einer veränderten Netzwerkkonfiguration (z.B. hat sich die Adresse der Nutzerdatenbank geändert) dazu führen, dass eine Anmeldung unmöglich wird – und damit auch eine Korrektur der Konfiguration. Einige wenige Administratoren (Konfigurationsmanager) haben daher für ihren eigenen Account zusätzlich eine Anmeldung per E-Mail-Adresse und lokalem Passwort aktiviert, so dass sie sich im Notfall noch anmelden können. Dies wäre jedoch auch mit einem separaten zusätzlichen Benutzerkonto umsetzbar.
Auf Basis dieser Betrachtung haben wir uns dazu entschieden, die Nutzung unterschiedlicher Authentifizierungsmethoden für einen einzelnen Account nicht länger zu unterstützen. Davon nicht betroffen ist die weiterhin mögliche Nutzung verschiedener Authentifizierungsmethoden in einer DRACOON-Umgebung. Das bedeutet, dass beispielsweise weiterhin gleichzeitig einige Benutzerkonten mit Active-Directory-Anmeldung und andere Benutzerkonten mit E-Mail-Anmeldung existieren können.
Mit dem nächsten LTS-Release wird die Option, mehr als eine Authentifizierungsmethode mit einem Benutzer zu verknüpfen, nicht mehr verfügbar sein. Bestehende Benutzer, die zwei oder mehr Authentifizierungsmethoden nutzen können, sollten vor einem Update angepasst werden. Wir empfehlen, für die betroffenen Benutzerkonten je ein oder mehrere zusätzliche Benutzerkonten mit unterschiedlicher Authentifizierungsmethode anzulegen.
Der Benutzer Max Mustermann besitzt einen Account mit zwei Authentifzierunungsmethoden. Er kann sich über Active Directory (max.mustermann) und lokal über E-Mail-Adresse (max.mustermann@firma.de) anmelden.
Max Mustermann legt für seinen lokalen Benutzer einen zusätzlichen Account an und weißt ihm die benötigten Berechtigungen und Rollen zu. Anschließend entfernt er die lokale Authentifizierungsmethode aus seinem alten Account. Er besitzt nun zwei voneinander unabhängige Accounts.
Wir werden einen für die jeweilige Umgebung eindeutigen Benutzernamen für jeden Account einführen, der unabhängig von E-Mail-Adressen bestehen kann. Damit wird es erstmals möglich, dass ein Nutzer zwei unterschiedliche Accounts mit der gleichen E-Mail-Adresse (aber unterschiedlichen Benutzernamen) verwendet. Zudem müssen bei der Anmeldung neben dem Benutzernamen und dem Passwort keine weiteren Informationen (wie Authentifizierungsmethode) mehr ausgewählt werden, was die Nutzung von DRACOON erheblich vereinfacht.
Mittelfristig ergeben sich durch diese Vereinfachung weitere Optionen im Bereich des Policy-Managements, um beispielsweise konkrete Vorgaben zu machen, aus welchen IP-Adressbereichen eine Anmeldung für bestimmte Benutzer möglich sein soll.
Es ist erforderlich, vor dem Update alle betroffenen Accounts wie oben beschrieben auf mehrere Accounts aufzuteilen. Vor dem Einspielen des Updates wird geprüft, ob weiterhin Accounts mit mehreren Authentifizierungsmethoden existieren. Ist dies der Fall, lässt sich das Update nicht installieren.
Regulatorische Komplexität als Herausforderung und Chance Die stetig wachsende Zahl an Regulierungen stellt Unternehmen branchenübergreifend vor...
Von Verträgen und technischen Dokumentationen bis hin zu sensiblen Kundendaten und Geschäftsgeheimnissen – der Austausch kritischer Unternehmensdaten...
Digitale Kommunikation unter NIS-2: Warum Cybersicherheit jetzt entscheidend ist Digitale Kommunikation ist das Rückgrat moderner Unternehmen. Sie...
Mit Multi-Faktor-Authentifizierung schützen Sie Ihre digitalen Accounts neben dem Passwort mit einem zusätzlichen Sicherheitsschritt. Der große...
1 Min. Lesezeit
E-Mail-Verschlüsselung ist für den sicheren und DSGVO-konformen Datenaustausch unerlässlich, um sensible Informationen und personenbezogene Daten...
EIN LEISTUNGSFÄHIGER CLOUD-SPEICHER FÜR DEN PROFESSIONELLEN EINSATZ