GlobalSign Blog

02 Aug 2017

So wichtig ist starke Authentifizierung in der Finanzbranche

Datenverlust oder Datenpannen sind für jedes Unternehmen ein Alptraum, aber in der Finanzbranche ist der Verlust meist am gravierendsten. Zusätzlich zu konkreten Kosten, wie Bußgeldern und Anwaltskosten, sind vor allem die Auswirkungen auf den Ruf verheerend. Laut American Banker würden 82% aller Kunden eine Bank im Falle einer Datenpanne verlassen und 74% wählen eine Bank nach deren Ruf aus. In der Finanzbranche ist Vertrauen der Schlüssel zum Erfolg; ein sicherer Kunde ist ein zufriedener Kunde.

82% aller Kunden würden eine Bank im Falle einer Datenpanne verlassen.

Die Notwendigkeit von Vertrauen und Sicherheit ist eine Herausforderung mit den immer neuen Technologien, wie cloudbasierte Dienste oder Mobilität im Unternehmen. Zwar bieten sie deutliche Vorteile fürs Unternehmen, aber es entstehen auch Schwachstellen oder neue Angriffspunkte für böswillige Dritte auf der Suche nach Kunden oder anderen vertraulichen Finanzdaten. Bedenken Sie die Konsequenzen die es hätte, wenn ein Hacker eine Schwachstelle entdecken würde und Zugang zu Unternehmensressourcen über ein Mitarbeiterhandy erlangen würde und damit Zugang zu allen wichtigen Accounts. Ohne groß ins Detail zu gehen ist klar, dass die Konsequenzen fatal wären.

Deswegen ist es wichtig sich Gedanken über die Sicherheit zu machen und gerade Finanzunternehmen müssen sich ein paar Fragen stellen:

  • Wie stellen Sie sicher, dass nur die richtigen, autorisierten mobilen Geräte Zugang auf Ihr Unternehmensnetzwerk und -ressourcen haben (z.B. WLan, VPNs, Mail-Server, Datei-Systeme)?
  • Wie stellen Sie sicher, dass nur die richtigen, autorisierten Leute Zugang zu geschützten und vertraulichen Informationen und Ressourcen haben?

Sicherer mobiler Zugang/ Abweisen von unbefugten Geräten

Mit einer mobilen Arbeiterschaft kann die Produktivität signifikant verbessert werden – Unternehmen profitieren von 240 Extrastunden Arbeit pro Jahr von Mitarbeitern, die mobil arbeiten. Aber ist der Einsatz von mobilen Geräten sicher? Laut einer aktuellen Studie von Ponemon denken 67% der Unternehmen, dass eine Datenpanne sicher oder wahrscheinlich ist, weil Mitarbeiter mit Ihren Handys auf vertrauliche Unternehmensinformationen zugreifen.

Was kann ein Unternehmen also tun, um sowohl die Vorteile von mobilen Arbeiten zu nutzen, ohne dadurch leichtes Spiel für Hacker zu sein? Die Lösung ist ganz einfach – dank PKI. PKI reguliert den Zugang zu vertraulichen Informationen und verhindert, dass bösartige Geräte Zugriff haben. Mit zertifikatsbasierter Authentifizierung stellen Sie sicher, dass nur die Benutzer und mobilen Geräte mit einem richtig konfigurierten digitalen Zertifikat Zugriff auf Ihre Unternehmensnetzwerke und -ressourcen haben.

Manche Sicherheitspakete für Mobilgeräte bieten nur Benutzerauthentifizierung, aber wir finden, dass es wichtig ist das Gerät selbst zu authentifizieren. Ein ‚bösartiges‘ unautorisiertes Gerät ist im Grunde der erste Schritt zu Ihrem Unternehmensnetzwerk. Sobald ein Hacker ein Gerät in Ihr Netzwerk schleust, ist es viel leichter Kommunikationen oder vertraulichen Austausch abzufangen, Malware zu verbreiten oder andere unangenehme Dinge zu tun.

Unautorisierten Benutzerzugang verhindern

Es ist wichtig, dass Finanzunternehmen Sicherheitslösungen einführen, die Mitarbeiter gegenüber den verschiedenen Unternehmensressourcen ausweist. Nicht nur von Mobilgeräten aus, sondern auch von Desktops. Wir sehen oft Beispiele, die zeigen, dass Benutzername und Passwort alleine nicht mehr ausreichen – meist, weil damit zu viel Verantwortung in die Hände der Benutzer gelegt wird.

Passwörter müssen komplex genug sein, dass sie nicht einfach erraten werden können, aber leicht genug, dass man sie sich auswendig merken kann und nicht irgendwo aufschreiben oder speichern muss. Auf Grund von immer steigender Komplexität und der Vielzahl von verschiedenen Logins pro Benutzer, werden Passwörter oft mehrfach genutzt oder aufgeschrieben. Besonders, wenn für persönliche und Unternehmenszwecke das gleiche Passwort verwendet wird, ist das gefährlich. Erst vor kurzem wurde darüber berichtet, wie Hacker sich Zugang zu 500 Millionen Yahoo Accounts verschafft haben. Wenn dort nur von ein paar Ihrer Mitarbeiter die gleichen Passwörter verwendet werden, wie im Unternehmen… eine gruselige Vorstellung!

Zwei weitere Aufgaben, die zertifikatsbasierte Authentifizierung bewältigt, sind unverlässliche Passwörter zu ersetzen und unautorisierter Benutzerzugang zu verhindern. So können nur Benutzer mit richtig konfigurierten Zertifikaten auf Unternehmensressourcen und -informationen zugreifen. Selbst wenn jemand den Benutzernamen und das Passwort herausfindet, kann der Hacker immer noch nicht ohne das Zertifikat Zugang erhalten. Dies ist besonders für Finanzinstitute, die täglich mit vertraulichen Informationen umgehen von großer Bedeutung. Und das Beste ist: zertifikatsbasierte Authentifizierung kann sowohl für Desktops als auch für Mobilgeräte eingesetzt werden.

Rollenbasierter Zugang

Ein weiterer Vorteil von digitalen Zertifikaten als Authentifizierungsfaktor ist, dass Unternehmen ihre Gruppenrichtlinien und -erlaubnisse nutzen können, um zu bestimmen welche Benutzer, Maschinen oder Geräte Zugriff auf verschiedene Ressourcen und Netzwerke haben, je nachdem welche Rolle sie im Unternehmen haben. Ein Schalterbeamte braucht zum Beispiel andere Tools als ein Account Manager.

Und noch ein weiterer Vorteil: die gleiche Lösung kann für alle Endpunkte und Benutzer genutzt werden und ist mit den meisten bekannten Cloud-Anwendungen kompatibel. Häufige Anwendungen sind zum Beispiel Windows Login, Zugriff auf Unternehmens-E-Mails, WLan Netzwerke, VPNs und Zugang zu cloudbasierten Diensten wie Google Apps, Salesforce, Office365 und SharePoint.

Unternehmen schauen oft auf externe Risiken und ignorieren interne. Zwei-Faktor-Authentifizierung mit digitalen Zertifikaten verbessert die Sicherheit und hilft eine Datenpanne von wichtigen Information des Unternehmens zu verhindern.

Mehr Informationen zu zertifikatsbasierter Authentifizierung für mobiles Arbeiten und um unautorisierten Zugang zu verhindern, erklären wir in unserem aktuellen Webinar: Authentifizierung mit digitalen Zertifikaten.

von Lea Toms

Artikel teilen