Starke Authentifizierung als Voraussetzung für Cyber-Versicherungen Zwei- oder Mehr-Faktor-Authentifizierung gefordert
18. Januar 2017Drei große Versicherer haben auf der CeBIT 2016 angekündigt, dass künftig eine Zertifizierung nach der VdS-Richtlinie-3473 die Voraussetzung für Cyber-Versicherungen ab einer gewissen Deckungshöhe ist. Ein zentraler Bestandteil bei der Umsetzung der Richtlinie ist die Implementierung einer starken Zwei- oder Mehr-Faktor-Authentifizierung.
Risiko: Cyberattacke
Die Zahl der Cyber-Angriffe steigt von Jahr zu Jahr an. Kleine und mittlere Unternehmen (KMU) geraten dabei verstärkt in den Fokus der Angreifer. Hilfe versprechen Cyber-Versicherungen. Sie versichern das Risiko, das sich aus einer Cyber-Attacke ergibt. Auf die Höhe der Prämie hat neben der Größe eines Unternehmens und der Branche auch die Qualität der IT-Sicherheit Einfluss.
Kann der Versicherungsnehmer einen soliden, anerkannten Informationssicherheitsschutz nachweisen, fällt sie in der Regel niedriger aus. Konzerne sind meist nach ISO 27001 oder nach dem BSI-Grundschutz zertifiziert. Für kleine und mittlere Unternehmen sind diese umfangreichen Sicherheits-Frameworks kein gangbarer Weg, da sie weder die Zeit, die Ressourcen oder das Know-how dafür besitzen, sie umzusetzen. Unter der Leitung der „VdS Schadenverhütung“ (VdS) wurde deshalb ein Verfahren entwickelt, das dem Pareto-Prinzip folgt – die Richtlinie 3473. Es ist auf die Bedürfnisse und knappen Ressourcen von KMUs zugeschnitten und ermöglicht es, den Informationssicherheitsstatus zu auditieren und zu zertifizieren.
Auf insgesamt 38 Seiten umfasst die Richtlinie 3473 die Mindestanforderungen an die Informationssicherheit und konzentriert sich da-bei auf das technisch und organisatorisch Wesentliche. Sie ist in die vier Themenkomplexe Organisation, Technik, Prävention und Management unterteilt. Die einzelnen Beschreibungen der Maßnahmen sind sehr konkret und einfach gehalten. Welche davon Pflicht sind, wird explizit in der Richtlinien-Beschreibung durch „Muss“-Vorgaben ersichtlich, während reine Empfehlungen als „Sollte“-Hinweise auf-geführt sind. So ist etwa die Verwendung eines Schutzes gegen Schadsoftware eine Muss-Vorgabe, der Echtzeit-Schutz jedoch den Sollte-Hinweisen zugeordnet.
Aktueller Zustand
Wenn ein Unternehmen einen ersten Überblick über den Stand seiner eigenen Cyber-Sicherheit haben will, kann es den VdS-Quick-Check nutzen, eine Selbstauskunft mit 39 Fragen. Die Befragung schließt mit einem ausführlichen Statusbericht zur Informationssicherheit ab. Dabei zeigt eine Matrix mithilfe von Ampelfarben, wo Handlungsbedarf besteht. Auf dem Weg zur Zertifizierung folgt dann in einem zweiten Schritt das Quick-Audit durch einen unabhängigen Auditor und im Anschluss daran die VdS-Zertifizierung.
Ein wesentlicher Bestandteil der VdS-Richtline umfasst die Verwaltung und Sicherung der eingesetzten IT-Systeme. Neben Regelungen zur Inventarisierung oder Maßnahmen für mobile IT-Systeme muss auch ein Basisschutz gewährleistet werden. Sichere Authentifizierung spielt hier eine besonders signifikante Rolle. Die Richtlinie widmet ihr den Abschnitt 10.3.7, der dem Kapitel 10 „IT-Systeme“ zugeordnet ist. Bei allen dort aufgeführten Maßnahmen handelt es sich um Muss-Vorgaben, sie sind daher für eine erfolgreiche Zertifizierung essentiell.
Die Umsetzung der Maßnahmen ist keine einfache Aufgabe für die IT, da die Ausgabe und kontinuierliche Verwaltung von digitalen Identitäten einen erheblichen Administrationsaufwand nach sich zieht. Genau hier punktet eine integrierte Authentifizierungslösung wie sie HID Global anbietet, denn sie adressiert die Aspekte Sicherheit, Administration, Flexibilität und Kosten. Mehr Sicherheit ergibt sich durch die Zwei- oder Mehr-Faktor-Authentifizierung, mit der sich potenzielle Sicherheitslücken beseitigen und unberechtigte Zugriffe zuverlässig verhindern lassen. Mit einem standardbasierten Konzept lässt sich ein sicherer Zugang zu internen und auch Cloud-basierten Anwendungen realisieren.
Ein weiterer wesentlicher Vorteil einer integrierten Gesamtlösung liegt in der vereinfachten, zentralisierten Administration unterschiedlicher Anmeldedaten über ihren gesamten Lebenszyklus hinweg. Beispielsweise lassen sich mit Lösungen wie dem ActivID-Credential-Management-System (CMS) Smartcards sowie die damit verbundenen Schlüssel und Daten, PKI-Zertifikate und Einmal-Passworte zentral und sehr sicher administrieren. Dabei sind Smartcards im gewohnten Kreditkartenformat genauso zu verwalten wie USB-Token und Secure-µSD-Karten, die bei Smartphones und Tablets eingesetzt werden.
Zukunftsfähigkeit
Ergänzt durch die ActivID-Authentifizierungsplattform von HID ergibt sich eine hohe Flexibilität, denn mit dieser Lösung kann eine adaptive Authentifizierungsstrategie umgesetzt werden. Das heißt, es lassen sich unterschiedliche Zugangsebenen festgelegen, indem definiert wird, welche Anmeldedaten eine Person für die Authentifizierung benötigt und welche Art von Zugang gewährt wird. Nicht zuletzt kann eine solche Komplettlösung, die unterschiedlichste und neueste Authentifizierungsmethoden unterstützt, auch unter Kostenaspekten punkten, denn damit lassen sich Investitionen für den Aufbau und die Instandhaltung mehrerer Authentifizierungsinsellösungen für unterschiedliche Zwecke vermeiden.
Auf die Zukunft ausgerichtete Authentifizierungslösungen sollten sowohl unterschiedliche Authentifizierungsmethoden und Zugangskanäle wie klassische Remote- und VPN-Zugänge als auch Anmeldeverfahren für moderne Cloud-basierte Anwendungen unterstützen. Nur wenn eine Lösung all diese Schnittstellen und Standards integriert, lassen sich bestehende Infrastrukturen jederzeit modular erweitern. Unternehmen sind so auch für künftige Anforderungen gerüstet, ohne sich finanziell zu überfordern.
Dirk Losse
ist Pre-Sales Manager Central Europe & Turkey, Identity Assurance bei HID Global in Walluf.