Bundesamt für Sicherheit in der Informationstechnik

M 4.441 Multifaktor-Authentisierung für den Cloud-Benutzerzugriff

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein kontrollierter Zugriff auf die Ressourcen und Daten unterschiedlicher Cloud-Anwender stellt einen wesentlichen Aspekt bei der Realisierung einer mandantenfähigen Cloud-Lösung mit einer heterogenen Anwenderstruktur dar. Hierzu können unterschiedliche Authentisierungsverfahren eingesetzt werden.

Eine sichere Lösung stellt hierbei eine Multifaktor-Authentisierung dar. Dabei sind mindestens zwei Faktoren für eine erfolgreiche Authentisierung erforderlich. Häufig werden dabei Wissen (ein Passwort, eine PIN oder Ähnliches) und Besitz (eine Chipkarte, ein USB -Stick oder Ähnliches) kombiniert. Eine Zwei-Faktor-Authentisierung kann z. B. über eine hardwarebasierte Authentisierung mit Chipkarten oder USB -Sticks oder über Einmal-Passwörter, die von Hardwarekomponenten generiert werden, realisiert werden.

Bei der Umsetzung einer Cloud-Lösung sind im Bezug auf die Authentisierung folgende Punkte zu beachten:

  • Der Zugriff auf alle IT-Systeme oder Cloud-Dienste muss in jedem Fall durch eine Authentisierung der zugreifenden Benutzer oder IT-Systeme abgesichert werden, auch wenn dies nur durch ein Passwort erfolgt.
  • Für sicherheitskritische Anwendungsbereiche sollte eine starke Authentisierung, also mindestens eine Zwei-Faktor-Authentisierung, verwendet werden, wenn der Zugang zum genutzten Cloud-Dienst direkt über das Internet erfolgt.
  • Eine Multifaktor-Authentisierung ist insbesondere für die Anmeldung von privilegierten Cloud-Benutzern zur Verwaltung von Cloud-Diensten zu empfehlen. Darüber hinaus muss der Cloud-Anwender risikobasiert entscheiden, ob dieses sichere Authentisierungsverfahren auf weitere Benutzer seiner Cloud-Dienste auszuweiten ist.
  • Es wird empfohlen, eine Multifaktor-Authentisierung für Self-Service-Portale einzurichten. Dort können die Cloud-Benutzer ihre Cloud-Dienste verwalten und über eine Anwendung direkt die geänderten Cloud-Anforderungen und damit verbundenen Cloud-Ressourcen an die automatisierte Orchestrierung des Cloud-Diensteanbieters übergeben, die dieser entsprechend in Rechnung stellen kann. Für Sicherheitsempfehlungen bzgl. der weiterführenden Absicherung für ein Self-Service-Portal wird auf den Baustein B 5.21 Webanwendungen verwiesen, da die Portale zumeist als Webanwendung bereitgestellt werden.
  • Es gibt auch Szenarien, in denen ein Benutzer schon vor Anmeldung an Cloud-Dienste eine Multifaktor-Authentisierung durchläuft. Dies kann z. B. bei der Benutzeranmeldung an das Kundennetz des Cloud-Anwenders oder beim Aufbau einer VPN -Verbindung aus dem Kundennetz zur Cloud der Fall sein. Dann kann eine nochmalige Multifaktor-Authentisierung bei der Anmeldung an die Cloud entfallen.

Prüffragen:

  • Wird für sicherheitskritische Anwendungsbereiche ( z. B. Verwaltung, Self-Service-Portal, oder Schutzbedarf höher als "normal") eine Multifaktor-Authentisierung eingesetzt, wenn der Zugang zum genutzten Cloud-Dienst direkt über das Internet erfolgt?

  • Wird Multifaktor-Authentisierung für die Anmeldung von privilegierten Cloud-Benutzern eingesetzt?

Stand: 14. EL Stand 2014