Bundesamt für Sicherheit in der Informationstechnik

M 4.441 Multifaktor-Authentisierung für den Cloud-Benutzerzugriff

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein kontrollierter Zugriff auf die Ressourcen und Daten unterschiedlicher Cloud-Anwender stellt einen wesentlichen Aspekt bei der Realisierung einer mandantenfähigen Cloud-Lösung mit einer heterogenen Anwenderstruktur dar. Hierzu können unterschiedliche Authentisierungsverfahren eingesetzt werden.

Eine sichere Lösung stellt hierbei eine Multifaktor-Authentisierung dar. Dabei sind mindestens zwei Faktoren für eine erfolgreiche Authentisierung erforderlich. Häufig werden dabei Wissen (ein Passwort, eine PIN oder Ähnliches) und Besitz (eine Chipkarte, ein USB -Stick oder Ähnliches) kombiniert. Eine Zwei-Faktor-Authentisierung kann z. B. über eine hardwarebasierte Authentisierung mit Chipkarten oder USB -Sticks oder über Einmal-Passwörter, die von Hardwarekomponenten generiert werden, realisiert werden.

Bei der Umsetzung einer Cloud-Lösung sind im Bezug auf die Authentisierung folgende Punkte zu beachten:

  • Der Zugriff auf alle IT-Systeme oder Cloud-Dienste muss in jedem Fall durch eine Authentisierung der zugreifenden Benutzer oder IT-Systeme abgesichert werden, auch wenn dies nur durch ein Passwort erfolgt.
  • Für sicherheitskritische Anwendungsbereiche sollte eine starke Authentisierung, also mindestens eine Zwei-Faktor-Authentisierung, verwendet werden, wenn der Zugang zum genutzten Cloud-Dienst direkt über das Internet erfolgt.
  • Eine Multifaktor-Authentisierung ist insbesondere für die Anmeldung von privilegierten Cloud-Benutzern zur Verwaltung von Cloud-Diensten zu empfehlen. Darüber hinaus muss der Cloud-Anwender risikobasiert entscheiden, ob dieses sichere Authentisierungsverfahren auf weitere Benutzer seiner Cloud-Dienste auszuweiten ist.
  • Es wird empfohlen, eine Multifaktor-Authentisierung für Self-Service-Portale einzurichten. Dort können die Cloud-Benutzer ihre Cloud-Dienste verwalten und über eine Anwendung direkt die geänderten Cloud-Anforderungen und damit verbundenen Cloud-Ressourcen an die automatisierte Orchestrierung des Cloud-Diensteanbieters übergeben, die dieser entsprechend in Rechnung stellen kann. Für Sicherheitsempfehlungen bzgl. der weiterführenden Absicherung für ein Self-Service-Portal wird auf den Baustein B 5.21 Webanwendungen verwiesen, da die Portale zumeist als Webanwendung bereitgestellt werden.
  • Es gibt auch Szenarien, in denen ein Benutzer schon vor Anmeldung an Cloud-Dienste eine Multifaktor-Authentisierung durchläuft. Dies kann z. B. bei der Benutzeranmeldung an das Kundennetz des Cloud-Anwenders oder beim Aufbau einer VPN -Verbindung aus dem Kundennetz zur Cloud der Fall sein. Dann kann eine nochmalige Multifaktor-Authentisierung bei der Anmeldung an die Cloud entfallen.

Prüffragen:

  • Wird für sicherheitskritische Anwendungsbereiche ( z. B. Verwaltung, Self-Service-Portal, oder Schutzbedarf höher als "normal") eine Multifaktor-Authentisierung eingesetzt, wenn der Zugang zum genutzten Cloud-Dienst direkt über das Internet erfolgt?

  • Wird Multifaktor-Authentisierung für die Anmeldung von privilegierten Cloud-Benutzern eingesetzt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK