Das neue Sicherheitskonzept in Windows 10, Teil 2: Mehr zum Thema Authentifizierung

Für einem Großteil der in Windows 10 verbesserten Sicherheitsmaßnahmen gilt: Die Art und Weise, wie Nutzer und Software ihre Identität nachweisen, wird sich grundlegend verändern. Nein, das war kein Fehler...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Für einem Großteil der in Windows 10 verbesserten Sicherheitsmaßnahmen gilt: Die Art und Weise, wie Nutzer und Software ihre Identität nachweisen, wird sich grundlegend verändern. Nein, das war kein Fehler im letzten Satz. Genau wie Personen kann auch eine Software eine Identität haben und Anwendungen müssen legitimieren (können), dass sie die sind, für die sie sich ausgeben.

Die zugrunde liegende Technologie ist altbewährt: Hier kommen Public-Key-Infrastruktur (PKI) und Zertifikate zum Einsatz wie sie auch im Internet verwendet werden.

Wir alle haben schon indirekt mit Zertifikaten zu tun gehabt, beispielsweise beim Besuch von Websites, die das sichere https-Webprotokoll verwenden. Wer kennt nicht das Popup-Fenster mit der Frage, ob wir das Sicherheitszertifikat der Website akzeptieren wollen?

Zertifikate und Identität
Was ist eigentlich ein Webzertifikat? Im Prinzip handelt es sich dabei um einen Text, der bestätigt, dass Sie bei der richtigen URL gelandet sind. Der Text und die dazugehörigen Felder wurden von einer vertrauenswürdigen Zertifizierungsstelle digital signiert und zwar mithilfe des privaten Schlüssels eines öffentlich/privaten Schlüsselpaars.

Abbildung 1

Hier finden Sie einen umfassenden Überblick über die Funktionsweise von öffentlich/privaten Schlüsseln in Signaturen. Kurz gesagt: Im Gegensatz zur symmetrischen Verschlüsselung werden hier unterschiedliche Schlüssel verwendet, wobei jeder Key entschlüsseln kann, was der andere verschlüsselt hat. Um eine Signatur zu erstellen, können Sie einen Text mit dem privaten Key verschlüsseln. Der Empfänger entschlüsselt ihn dann mit einem öffentlichen Key, der für jeden zugänglich ist.

Wenn Sie jetzt neugierig geworden sind, können Sie sich ein Zertifikat ansehen, indem Sie auf das Schloss-Symbol in der Adressleiste klicken.

Warum sollte für systemeigene Anwendungen nicht derselbe Identitätsnachweis verwendet werden wie für webbasierte?

Vertrauenswürdige Software
Dafür gibt es überhaupt keinen Grund! Die Hersteller von mobilen Geräten setzen bereits seit Jahren eine ähnliche Signaturfunktion ein. Zum Beispiel kann ich nicht jede App auf mein iPhone oder iPad laden, sondern nur Apps, die aus dem App Store von Apple stammen und die digital authentifiziert wurden. Dasselbe gilt für den Microsoft Store.

Durch die Verwendung von Signierungsprozessen wurde mobile Malware zwar deutlich minimiert, konnte jedoch nicht vollständig beseitigt werden. Einige Schadprogramme rutschen selbst den Wächtern der App-Stores durch, auch wenn deren Erfolgsbilanz bisher recht beeindruckend ist.

Inspiriert von mobiler Software, führt Microsoft in Windows 10 nun eine Umgebung mit vertrauenswürdigen Anwendungen ein. Dabei können Geräte und Server gesperrt und gezwungen werden, ausschließlich authentifizierte Software zu nutzen.

Das ist ausgesprochen sinnvoll (und schon lange fällig), doch für Administratoren und Nutzer, die es gewohnt sind, nach Lust und Laune Software herunterzuladen, wird das ein echter Kulturschock. Der Preis für die bisherige Praxis nach dem Motto „erlaubt ist, was gefällt“ war allerdings hoch: Hacker mussten sich keine Gedanken machen, dass ihre APTs nicht geladen werden könnten, wenn Nutzer nur die Dateianhänge von Phishing-E-Mails öffneten.

Theoretisch hätten signierte Anwendungen genau die Malware blockiert, die Sicherheitsvorfälle bei großen Handelsketten, Banken und Institutionen aus dem Gesundheitswesen ausgelöst hat.

Stärkere PKI-Integration: Anmeldedaten und FIDO
Ja, Microsoft wird Ihnen erlauben, interne Anwendungen selbst zu signieren, so dass Unternehmen bestehende Software weiterhin verwenden können. Und natürlich werden Hacker immer einen Weg finden, die neuen Sicherheitsmaßnahmen zu umgehen – sie haben es sogar schon geschafft, Zertifizierungsstellen zu infiltrieren, um gefälschte Zertifikate auszustellen. Im Vergleich zum derzeitigen Ad-hoc-Prinzip bei der Applikationssicherheit ist das dennoch eine enorme Verbesserung.

Bei den Anmeldedaten der Benutzer verfolgt Microsoft einen ähnlichen Ansatz. Aus Jim Alkoves Blog-Eintrag wissen wir, dass Windows 10 sich von der rein passwortbasierten Authentifizierung lösen wird.

Genau wie Anwendungen erhalten auch die Nutzer einen digitalen Identitätsnachweis, der auf öffentlich/privaten Schlüsseln basiert. Unternehmen können die Public-Key-Infrastruktur ihres bevorzugten Herstellers oder die Microsoft-PKI nutzen – das spielt keine Rolle.

Der große Vorteil: Die Nutzer müssen kein Passwort eingeben!

Microsoft gehört zur Fast Identity Online (FIDO) Alliance und integriert deren passwortfreies, auf einem offenen Standard basierendes Authentifizierungsprotokoll in Windows 10.

Kurz gesagt generieren die Nutzer zuerst öffentlich/private Schüssel für jedes Smartphone, jedes Tablet und jeden Laptop und registrieren die öffentlichen Schlüssel in Active Directory. Wird eines der Geräte verwendet interagieren diese zunächst mit einem Authentifikator – zum Beispiel einem Fingerabdruckleser oder einer biometrischen Stimmerkennung. Anschließend geben sie eine einfache, vierstellige PIN ein oder verwenden eine andere Methode als zweiten Faktor.

Schließlich wird das Gerät nach einem signierten Identitätsnachweis gefragt, um den Besitz des privaten Schlüssels nachzuweisen.

FIDO ist eigentlich noch ein bisschen komplizierter. Im nächsten Blog-Eintrag werde ich daher näher darauf eingehen und bei der Gelegenheit weitere der geplanten Sicherheitsverbesserungen für Windows 10 erläutern.

The post Das neue Sicherheitskonzept in Windows 10, Teil 2: Mehr zum Thema Authentifizierung appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

was-ist-pgp-verschlüsselung-und-wie-funktioniert-sie?
Was ist PGP-Verschlüsselung und wie funktioniert sie?
PGP ist eine Verschlüsselungsmethode, die Sicherheit und Datenschutz für Online-Kommunikation bietet. Wir erläutern, wie PGP-Verschlüsselung funktioniert und wie Sie sie nutzen können.
wie-finde-ich-heraus,-in-welchen-active-directory-gruppen-ich-mitglied-bin?
Wie finde ich heraus, in welchen Active Directory-Gruppen ich Mitglied bin?
Die Fähigkeit, aktuelle Benutzerlisten und -gruppen zu verwalten und zu pflegen, ist entscheidend für die Sicherheit eines Unternehmens. Es gibt eine Reihe verschiedener Möglichkeiten, um festzustellen, zu welchen Gruppen ...
einigkeit-in-der-führungsetage?-wie-führungskräfte-und-it-sicherheitsverantwortliche-über-die-größten-cyberbedrohungen-denken
Einigkeit in der Führungsetage? Wie Führungskräfte und IT-Sicherheitsverantwortliche über die größten Cyberbedrohungen denken
Datenschutz-Verstöße kosten Unternehmen weltweit Milliarden Euro, zerstören das Vertrauen in die betroffenen Unternehmen und können sich negativ auf Marke und Image auswirken – mit realen Folgen wie Kurseinbrüchen und Umsatzeinbußen....
acht-ereignisse,-die-die-cybersecurity-verändert-haben
Acht Ereignisse, die die Cybersecurity verändert haben
„Wer sich nicht an die Vergangenheit erinnern kann, ist dazu verdammt, sie zu wiederholen.“ – George Santayana „I‘m the creeper: Catch me if you can“ – so freundlich und harmlos...