Die Implementierung von Zwei-Faktor-Authentifizierung (2FA) für die Anmeldung bei Office 365 ist ein wichtiges Puzzleteil bei der Nutzung der Cloud ohne Sicherheitsrisiken. „Eine nutzerfreundliche und flexible 2FA-Lösung bietet zahlreiche Vorteile“, erklärt Johan Nylén, Partner Solutions Architect beim Identity- und Security-Spezialisten Nexus Group.
Unternehmen verlagern ihre On-Premise-Anwendungen zunehmend in Cloud-Umgebungen. Microsoft Office 365 ist beispielsweise eine beliebte Cloud-Anwendung, die von immer mehr Anwendern genutzt wird.
„Die meisten Unternehmen speichern in Office 365 wichtige Ressourcen und vertrauliche Informationen, die vor unbefugten Zugriffen geschützt werden müssen. Zudem gilt es, regionale und internationale Datenschutzgesetze und -richtlinien zu berücksichtigen. Das heißt, dass ein Login nur mit Passwort keine ausreichend sichere Lösung ist“, konstatiert Nylén.
Identitäten aus dem Active Directory nutzen
Es wird eine ganze Reihe von 2FA-Lösungen auf dem Markt angeboten. Bei der Wahl des richtigen Systems für Ihr Unternehmen sollten Sie mehrere Kriterien berücksichtigen.
„Zunächst darf die 2FA-Lösung nicht die Verwaltung oder Synchronisierung von Nutzerpasswörtern in der Cloud erfordern. Das bedeutet nämlich nicht nur ein Sicherheitsrisiko, sondern verursacht auch zusätzlichen Verwaltungsaufwand“, warnt Nylén.
Außerdem sollte die 2FA-Lösung die Verwendung Ihres lokalen Microsoft Active Directory erlauben, denn das erleichtert Ihnen das Leben um ein Vielfaches.
Login per nutzerfreundlicher Mobil-App
„Aber noch viel wichtiger ist, dass die Lösung Ihren Nutzern das Leben erleichtert. Viel zu viele 2FA-Lösungen scheitern in dieser Hinsicht – die Anwender finden sie umständlich und mühsam“, berichtet Nylén.
Eine wirklich komfortable 2FA-Lösung bietet Unterstützung für die Anmeldung per Smartphone-App.
„Eine App ist nicht für jeden Nutzer oder jede Situation die optimale 2FA-Methode. Ihre 2FA-Lösung sollte also unbedingt auch noch andere Anmeldeverfahren wie beispielsweise PKI-Karten unterstützen. In der Mehrzahl der Fälle ist aber eine Smartphone-App die Lösung der Wahl“, so Nylén.
Wichtig ist natürlich, dass sich die Mobil-App wirklich komfortabel bedienen lässt. Die vier Hauptkriterien sind eine intuitive und übersichtliche Benutzeroberfläche, Push-Benachrichtigungen für Authentifizierungs-Aufforderungen, Support für die Anmeldung mit Touch ID und anderen Fingerabdrucklesern sowie Unterstützung für Face ID.
Support für neue Login-Verfahren
„Aber eine nutzerfreundliche und sichere Mobil-App wird wohl nicht für alle Zeiten die 2FA-Methode der Wahl sein. Angesichts der schnellen technologischen Entwicklung sollten Sie darauf achten, dass Ihre 2FA-Lösung zukunftssicher ist und neue Login-Verfahren unterstützen kann, wenn diese auf den Markt kommen und wenn sich die Anforderungen der unterschiedlichen Nutzergruppen ändern“, empfiehlt Nylén.
Dieser Meinung ist auch Benjamin Zeuner, Produktverantwortlicher für die Login-Plattform Hybrid Access Gateway von Nexus. Zudem verweist er als weiteres entscheidendes Kriterium für die Bedienfreundlichkeit einer 2FA-Lösung darauf hin, dass sie Ihre einzige Lösung sein sollte. Zu viele verschiedene Lösungen führen schnell zu Frustration bei den Anwendern.
Eine 2FA-Lösung für sämtliche Ressourcen
„Manche Unternehmen bedenken das gar nicht: Sie installieren eine wirklich komfortable 2FA-App für Office 365 – die dann aber ausschließlich für Office 365 genutzt werden kann. Dann implementieren sie eine weitere 2FA-Lösung für eine ihrer lokalen Anwendungen, eine dritte für Salesforce und eine vierte für einen anderen Service. Das Hin- und Herspringen zwischen unterschiedlichen Lösungen ist bei den Nutzern alles andere als beliebt – und dieser Anwendungsmix verursacht auch einen riesigen Verwaltungsaufwand“, so Zeuner.
Sie können also viel gewinnen, wenn Sie sich für eine 2FA-Lösung entscheiden, die für viele verschiedene digitale Ressourcenarten genutzt werden kann – unabhängig vom jeweiligen Anbieter und unabhängig davon, ob die Anwendungen lokal oder cloudbasiert sind.
Unterstützung für sämtliche Nutzer
„Um Ihnen die Arbeit zu erleichtern, sollte die Lösung möglichst alle Nutzertypen unterstützen, ob es sich nun um interne oder externe handelt“, empfiehlt Nylén.
Dies kann sich als schwierig erweisen, da die meisten 2FA-Lösungen keine externen Identitäten wie die schwedische BankID, Telia und SITHS unterstützen.
„Das ist aber ein sinnvolles Feature, insbesondere da die Nutzung externer Identitäten den Erwartungen nach auch in Ländern stark zunehmen wird, in denen sie heute nur eine untergeordnete Rolle spielen. Einer der Gründe für diese Annahme ist die EU-Verordnung eIDAS, die 2018 in Kraft tritt“, sagt Nylén.
Zwischenzeitlich ist es ratsam, sich für eine Lösung zu entscheiden, mit der Sie Ihre eigenen elektronischen Identitäten an externe Nutzer vergeben können.
Einmal anmelden, alle digitalen Ressourcen nutzen
„Letztlich macht es für Ihre Nutzer keinen Unterschied, ob Sie eine Anmelde-Plattform für interne Anwender und eine für externe haben – für Sie aber ganz bestimmt“, erklärt Zeuner.
Und macht sehr wohl einen Unterschied für die Nutzer, ob die Lösung Single Sign-On (SSO) unterstützt, gibt Lloyd Rodrigues, Produktmanager bei Nexus, zu bedenken.
„Anstatt sich zuerst bei Office 365 anzumelden und dann beim Projektmanagement-System und anschließend noch bei einem dritten System, ermöglicht SSO Ihren Nutzern die einmalige Anmeldung für den Zugriff auf alle digitalen Ressourcen, die Sie mit den 2FA-Lösungen schützen. Die Anwender finden das natürlich toll“, berichtet Rodrigues.
Die 2FA-Lösung sollte am besten auch ein Portal bereitstellen, in dem alle verfügbaren lokalen Anwendungen, Systeme und Cloud-Services eines Nutzers zusammengefasst sind und wo er sie bequem finden kann.
Integration in das Identity-Management-System
Ein letztes Kriterium für die Auswahl eines wirklich nutzerfreundlichen und flexiblen 2FA-Systems ist, ob sich die Lösung in Ihr Identity-Management-System integrieren lässt.
„Das macht die Registrierung neuer Nutzer, den Entzug von Zugriffsrechten, das Blockieren von Berechtigungsnachweisen, die Änderung von PINs usw. extrem einfach und sicher, unabhängig davon, ob Sie Mobil-Apps, PKI-Karten oder andere 2FA-Verfahren nutzen“, stellt Nylén fest.
Er hat im Laufe seiner Karriere mit vielen verschiedenen 2FA-Lösungen gearbeitet und verwendet jetzt einen Großteil seiner Zeit darauf, Unternehmen und Partner beim Einstieg in die Nexus 2FA-Lösung zu unterstützen.
Technische Dokumentation online verfügbar
„Es ist schon ein Segen, mit einem System zu arbeiten, das alle Kriterien für eine wirklich nutzerfreundliche und flexible 2FA-Lösung erfüllt. Großartig ist aber auch, dass wir die gesamte Dokumentation, die für die Implementierung der Lösung und die Integration neuer Anwendungen erforderlich ist, online auf Nexus Docs anbieten – das ist eine große Arbeitserleichterung für alle Beteiligten“, findet Nylén.
Die Nexus 2FA-Lösung – die Login-Plattform Nexus Hybrid Access Gateway und die Mobil-App Nexus Personal Mobile – ist Teil der Nexus Smart ID Lösung.
„Die Smart ID Lösung umfasst Identity-Management und eine ganze Reihe weiterer Funktionen. Die Nutzer können sich damit visuell ausweisen, sich sicher an verschiedensten Systemen anmelden, Türen öffnen, Transaktionen signieren, Zahlungen vornehmen und Follow-me-Printing nutzen – mir nur einer einzigen Smart ID“, erklärt Rodrigues abschließend.