GlobalSign Blog

03 Mai 2016

Was ist Zertifikat-basierte Authentifizierung und warum sollte ich sie verwenden?

Es ist kein Geheimnis, dass Passwörter keine zuverlässige Methode mehr zur Benutzerauthentifizierung sind. Dieses Problem zusammen mit der wachsenden Anzahl an Bring your own Device (BYOD) Situationen und die wachsende Bedrohung durch Rogue-Computer veranlasst viele in der IT-Branche, sich zu fragen, wie sie gewährleisten können, dass nur genehmigte Benutzer und Geräte Zugang erhalten können. Glücklicherweise sind digitale Zertifikate sowohl für Benutzer- als auch Computer-Anwendungsfälle geeignet. Werfen wir einen genaueren Blick auf Zertifikat-basierte Authentifizierung und warum und wie sie eingesetzt wird.

Hinweis: Dieser Post setzt ein Basiswissen über digitale Zertifikate voraus. Für einführende Informationen zu Zertifikaten und Kryptografie mit öffentlichen Schlüsseln lesen Sie unseren Artikel hier.

Was ist Zertifikat-basierte Authentifizierung?

Zertifikat-basierte Authentifizierung ist die Verwendung eines digitalen Zertifikats, um einen Benutzer, einen Computer oder ein Gerät zu identifizieren, bevor diesem Zugang zu einer Ressource, einem Netzwerk, einer Anwendung usw. gewährt wird. Sie wird im Fall der Benutzerauthentifizierung oft in Abstimmung mit herkömmlichen Methoden eingesetzt, wie z.B. Benutzername und Passwort.

Ein Unterscheidungsmerkmal der Zertifikat-basierten Authentifizierung ist, dass im Gegensatz zu einigen Lösungen, die nur für Benutzer funktionieren, wie Biometrie und Einmal-Passwörter (OTP), die gleiche Lösung für alle Endpunkte verwendet werden kann – Benutzer, Computer, Geräte und selbst das wachsende Internet der Dinge (IoT).

Warum wird Zertifikat-basierte Authentifizierung eingesetzt?

Einfache Implementierung und permanente Verwaltung

Die meisten Zertifikat-basierten Lösungen sind heutzutage mit einer Cloud-basierten Verwaltungsplattform ausgestattet, die es Administratoren leicht macht, Zertifikate für neue Mitarbeiter auszustellen, Zertifikate zu erneuern und Zertifikate zu widerrufen, wenn ein Mitarbeiter das Unternehmen verlässt. Lösungen, die sich in Active Directory integrieren, können den Registrierungs- und Ausstellungsprozess erleichtern, indem sie die automatische Registrierung und Installation ermöglichen.

Anders als bei manchen Authentifizierungsmethoden wie Biometrie oder OTP-Token wird keine zusätzliche Hardware benötigt. Zertifikate werden lokal auf dem Computer oder Gerät gespeichert. Dies spart nicht nur Kosten, sondern kann auch Verwaltungsprobleme mit dem Verteilen, Ersetzen und Widerrufen von Token verringern.

Benutzerfreundlich

Man muss immer einen Kompromiss zwischen mehr Sicherheit und den damit verbundenen Kosten und der Belastung für die Endnutzer schließen. Die meisten Leute denken nicht daran, aber der Einsatz von Zertifikaten ist sehr einfach für den Endbenutzer. Nachdem das Zertifikat installiert ist (und in einigen Fällen kann dies automatisch erfolgen), muss nichts weiter getan werden. Darüber hinaus unterstützen die meisten Unternehmenslösungen bereits Zertifikat-basierte Authentifizierung.

Nutzung vorhandener Richtlinien für die Zugangskontrolle

Sie können auch einfach vorhandene Gruppenrichtlinien und Zugangsrechte nutzen, um zu kontrollieren, welche Benutzer und Computer Zugang zu verschiedenen Anwendungen und Netzwerken haben.  Auf diese Weise können Sie sicherstellen, dass nur privilegierte Benutzer Zugang zu sensiblen oder kritischen Operationen haben.

Gegenseitige Authentifizierung

Ein weiterer Vorteil bei der Verwendung von Zertifikaten ist, dass sie auch die gegenseitige Authentifizierung ermöglicht, d. h. beide an der Kommunikation beteiligten Parteien ermitteln selbst, ob diese Kommunikation von einem Benutzer-zu-Benutzer oder einem Benutzer-zu-Rechner oder einem Rechner-zu-Rechner stammt. Ein Client muss beispielsweise seine Identität gegenüber einem Firmen-Intranet nachweisen und das Intranet muss dem Client seine Identität nachweisen, bevor eine Verbindung hergestellt werden kann.

Ausweitung auf externe Benutzer

Zertifikate können auch leicht an Benutzer außerhalb des Unternehmens ausgeliefert werden (z.B. Partner, unabhängige Vertragspartner und freie Mitarbeiter), die evtl. Zugang zu Ihren Netzwerken benötigen. Diese benötigen keine zusätzliche Software auf ihrem lokalen Rechner und die Benutzerfreundlichkeit bedeutet, dass Sie kaum zusätzliche Schulungen durchführen müssen.

Wie wird Zertifikat-basierte Authentifizierung eingesetzt?

Zertifikat-basierte Authentifizierung ist ziemlich flexibel und kann auf vielfältige Art eingesetzt werden. Hier sind einige der häufigsten Anwendungsfälle, von denen uns unsere Kunden berichten. Sie werden feststellen, dass das gemeinsame Thema bei all diesen und Zertifikat-basierter Authentifizierung im Allgemeinen ist, den Zugang nur genehmigten Benutzern und Computern zu erlauben, und nicht autorisierte Benutzer oder Rogue-Computer davon abzuhalten.

Benutzerauthentifizierung

  • Windows-Anmeldung
  • Zugang zu Unternehmens-E-Mail, internen Netzwerken oder Intranets
  • Zugang zu Cloud-basierten Diensten, wie Google Apps, Sharepoint und Salesforce

Computer- und Geräteauthentifizierung

  • Identifizierung von Computern Vor-Ort/im Außeneinsatz, die mit Back-End-Diensten kommunizieren müssen (zum Beispiel Bezahl-Kioske im Verbrauchermarkt)
  • Identifizierung aller Laptops und mobilen Geräte von Mitarbeitern, bevor der Zugang zu WLAN-Netzwerken, VPNs, Gateways etc. erteilt wird.
  • Identifizierung aller Server im Unternehmen, um gegenseitige Authentifizierung zu ermöglichen

Hier finden Sie ausführlichere Kundenberichte.

Für weitere Informationen zur Zertifikat-basierten Authentifizierung lade ich Sie ein, unser Webinar Zertifikat-basierte Authentifizierung zur Unterstützung von BYOD und IoT anzusehen.

von Lea Toms

Artikel teilen