Was ist die External Authentication Method (EAM)?

Was ist eine External Authentication Method (EAM)?

Moderne Technologie-Stacks umfassen eine Vielzahl interner und externer Services. Die Entkopplung von Services ist ein Schlüsselelement der Mikroservices-Architektur. Auf diese Weise können Unternehmen schneller Mehrwert schaffen und dabei das Risiko von Ausfällen verringern. Die Ausweitung der Anzahl der in die Softwareentwicklung einbezogenen Services bringt jedoch auch Nachteile mit sich. Jeder neue Service macht die Identitäts- und Zugriffsverwaltung (IAM) komplexer.

Jeder neue Service bringt potenziell einen neuen Ansatz zur Authentifizierung mit sich, der möglicherweise nicht mit Sicherheits- oder Regulierungsrichtlinien vereinbar ist. Eine schlechte Authentifizierungssicherheit in einem einzigen Dienst kann zu kostspieligen Cyberangriffen und Datenkompromittierungen führen.

Traditionelle External Authentication Methods (EAM) nutzen Identitätsanbieter (IdPs) wie Okta, Entra ID und Google Identity zur Authentifizierung von Benutzern. Diese Lösungen validieren Anmeldedaten und erzwingen die Multifaktor-Authentifizierung, bewerten aber keine Risikosignale in Echtzeit.

CrowdStrike geht bei EAM noch einen Schritt weiter, indem wir die Authentifizierung mit einer fortschrittlichen Risikoanalyse kombinieren. CrowdStrike Falcon® Next-Gen Identity Security evaluiert kontinuierlich Risikobewertungen von Benutzern, Vertrauenssignale von Geräten und Threat Intelligence, bevor der Zugriff gewährt wird. Dieser Ansatz verhindert, dass Angreifer die Authentifizierung mithilfe von gestohlenen Anmeldedaten, MFA-Ermüdungsangriffen oder kompromittierten Endgeräten umgehen.

Dieser Artikel untersucht die kritischen Elemente der EAM, ihren Authentifizierungsablauf, Vorteile, Risiken, Herausforderungen und Lösungen.

Das EAM-Ökosystem verstehen

Bei herkömmlichen EAM-Implementierungen wird die Authentifizierung an Drittanbieter-IdPs ausgelagert, die Benutzerdaten, MFA oder biometrische Daten überprüfen, bevor sie ein Authentifizierungstoken (z. B. JWT oder SAML) ausstellen. Dieser Ansatz vereinfacht zwar die Identitätsverwaltung, bewertet aber keine Risikofaktoren wie kompromittierte Anmeldedaten, ungewöhnliches Anmeldeverhalten oder die Sicherheitslage von Endgeräten.

CrowdStrike Falcon® Next-Gen Identity Security verbessert EAM durch die Einführung einer risikobasierten Authentifizierung. Anstatt IdPs blind zu vertrauen, evaluiert Falcon Next-Gen Identity Security:

• Risikobewertungen der Benutzer: kennzeichnet Benutzer, die ungewöhnliches Anmeldeverhalten zeigen.
• Gerätevertrauen: gewährleistet, dass sich nur sichere, verwaltete Geräte authentifizieren können.
• Threat Intelligence: identifiziert kompromittierte Anmeldedaten, MFA-Bombing-Versuche oder Angreifertaktiken.

Dieser risikobasierte Ansatz geht über die bloße Überprüfung von Anmeldedaten hinaus – er stellt sicher, dass Authentifizierungsanfragen von legitimen Benutzern auf sicheren Geräten stammen.

Die Auslagerung des Authentifizierungsprozesses verbessert die Sicherheit, die Skalierbarkeit und die Benutzererfahrung. Zudem verringert sie das mit einer dezentralen Identitätsverwaltung verbundene Risiko. 

EAM verwendet das Zero-Trust-Sicherheitsmodell. Standardmäßig vertraut EAM keinem Benutzer und keinem Gerät und verlangt eine explizite Verifizierung zur Authentifizierung einer Identität. EAM unterstützt Unternehmen zudem dabei, Compliance-Anforderungen zu erfüllen, indem es bewährte Verfahren für den Umgang mit Daten anwendet. 

Föderierte Identitätsanbieter

Föderierte Identitätsanbieter fungieren als verlässliche Quelle für die Identitätsauthentifizierung. Bekannte Beispiele für föderierte Identitätsanbieter sind Okta, Azure AD und Google Identity. Diese Anbieter überprüfen die Identität der Benutzer und stellen ein JWT- oder SAML-Token aus, das anschließend von Geschäftsanwendungen zur Autorisierung und Sitzungsverwaltung verwendet wird. 

Mit diesem zentralisierten Authentifizierungsmodell beseitigen Unternehmen die Notwendigkeit – und das Risiko – mehrerer voneinander unabhängiger Authentifizierungssysteme für jeden einzelnen Dienst in ihrem Technologie-Stack.

Single Sign-On

Single Sign-On (SSO) ist ein Authentifizierungsmodell, das es Benutzern ermöglicht, sich mit einer einzigen zentralen Identität bei mehreren Anwendungen anzumelden. Mit SSO lagern einzelne Geschäftsanwendungen die Authentifizierung an einen zentralen Identitätsanbieter aus. SSO macht eine wiederholte Authentifizierung überflüssig, bietet eine nahtlose Benutzererfahrung, reduziert die Kennwortmüdigkeit und minimiert Sicherheitsrisiken. 

Multifaktor-Authentifizierung

Die Multifaktor-Authentifizierung (MFA) erhöht die EAM-Sicherheit, indem sie den Benutzer zu einer zusätzlichen Überprüfung auffordert, bevor seine Identität bestätigt wird. MFA verwendet in der Regel einen Benutzernamen/ein Kennwort zusammen mit einem anderen Authentifizierungsfaktor als eine der üblichen MFA-Optionen, wie SMS, App-basierte Einmalpasswörter (One-time Passwords, OTPs), Biometrie oder Hardware-OTP-Token. Durch die Durchsetzung von MFA reduzieren EAM-Implementierungen das Risiko von Brute-Force-Angriffen und den Schaden, der durch Datenlecks verursacht wird.

So funktioniert EAM: Authentifizierungsablauf

Der Authentifizierungsablauf in einer durch CrowdStrike erweiterten EAM-Bereitstellung beinhaltet eine zusätzliche Ebene der Risikoanalyse:

1. Der Benutzer initiiert eine Anmeldeanfrage.

2. Die Authentifizierungsanfrage wird von Falcon Next-Gen Identity Security abgefangen, das in Echtzeit Risikosignale auswertet, bevor die Anfrage an den Identitätsanbieter weitergeleitet wird.

3. Es findet eine risikobasierte Entscheidungsfindung statt:

• Wenn die Anmeldung risikoarm ist → Der Benutzer wird zur Standardauthentifizierung an den Identitätsanbieter (IdP) weitergeleitet.
• Wenn die Anmeldung mit einem hohen Risiko verbunden ist → CrowdStrike wendet adaptive Sicherheitskontrollen an, z. B. das Sperren des Zugriffs, das Erzwingen einer Step-up-Authentifizierung oder das Alarmieren der Sicherheitsteams.

4. Der IdP überprüft die Anmeldedaten und die MFA und stellt ein JWT/SAML-Token aus.

5. CrowdStrike überwacht kontinuierlich die Sitzungsaktivität auf Risiken nach der Authentifizierung.

Vier wesentliche Vorteile von EAM für moderne Unternehmen

EAM vereinfacht die Identitäts- und Zugriffsverwaltung für Unternehmen und macht die Pflege interner Datenbanken und Dienste zur Speicherung von Benutzerdaten überflüssig. 

Die vier Hauptvorteile von EAM sind: 

1. Proaktive Bedrohungsabwehr: Im Gegensatz zu herkömmlichen IdPs blockiert Falcon Next-Gen Identity Security aktiv identitätsbasierte Angriffe, bevor sie Anwendungen erreichen.

2. Risikobasierte Zugriffskontrolle: CrowdStrike bewertet kontinuierlich Benutzer-, Geräte- und Bedrohungssignale, um festzustellen, ob eine Anmeldung erlaubt, überprüft oder blockiert werden sollte.

3. Verbesserte Compliance- und Sicherheitslage: Unternehmen, die Falcon Next-Gen Identity Security for EAM verwenden, können das Authentifizierungsrisiko in Echtzeit überwachen und reduzieren so das Risiko von Anmeldeinformationsdiebstahl, MFA-Fatigue-Angriffe und Kontoübernahmen.

4. Reibungsloses Benutzererlebnis ohne Abstriche bei der Sicherheit: Indem CrowdStrike unnötige Authentifizierungshürden für Benutzer mit geringem Risiko beseitigt, wird ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit geschaffen.

Potenzielle Risiken und Herausforderungen von EAM

EAM vereinfacht Identitätsverwaltung und Sicherheit, birgt aber auch Risiken und operative Herausforderungen. Bei der Entwicklung einer EAM-Strategie sollten Unternehmen die häufigsten Stolpersteine im EAM-Bereich berücksichtigen.

Ausfallrisiko durch externe IdP-Abhängigkeiten 

Traditionelle EAM-Lösungen sind vollständig auf externe Identitätsanbieter angewiesen. Wenn ein Identitätsanbieter (IdP) ausfällt, schlägt die Authentifizierung fehl, wodurch Benutzer von kritischen Anwendungen ausgeschlossen werden. Eine Kompromittierung im IdP-System könnte sensible Benutzerdaten durchsickern lassen oder Anwendungen Angriffen durch Identitätswechsel aussetzen. Unternehmen müssen ihre Richtlinien zur Token-Ausgabe regelmäßig überprüfen, um diese Risiken zu minimieren und sicherzustellen, dass nachgelagerte Anwendungen die bewährten Validierungsverfahren befolgen. 

So hilft CrowdStrike:

• Offline-Risikobewertung: Falcon Next-Gen Identity Security verhindert eine vollständige Sperrung durch den Identitätsanbieter, indem es Risikosignale kontinuierlich auswertet, selbst wenn der Identitätsanbieter nicht erreichbar ist.
• adaptive Sicherheitskontrollen: Im Falle eines IdP-Ausfalls kann Falcon Next-Gen Identity Security Backup-Authentifizierungsmechanismen durchsetzen, um die Geschäftskontinuität aufrechtzuerhalten.

Die Richtlinien sollten kurzlebige Token mit begrenztem Geltungsbereich vorsehen, um das Risiko des Missbrauchs durch böswillige Akteure zu verringern. Darüber hinaus ist es unerlässlich, die Sicherheitslage des Identitätsanbieters regelmäßig zu bewerten und Service-Level-Agreements (SLAs) zur Gewährleistung der Verantwortlichkeit abzuschließen. 

Mangelhafte Verfahren bei der Identitätsverwaltung 

Uneinheitliche Verfahren zur Identitätsverwaltung seitens des externen Identitätsanbieters (IdP) können zur Erstellung doppelter Konten führen, was Anmeldeprobleme verursacht und den IT-Aufwand erhöht. Um dies zu vermeiden, konfigurieren Sie Anwendungen mit einer eindeutigen Entitäts-ID und stellen Sie sicher, dass Benutzerkonten mit einer eindeutigen Kennung verknüpft sind. 

Risiken durch verwaiste Konten und Herausforderungen beim Offboarding

Das Fehlen von Workflows für das Offboarding von Benutzern kann zu verwaisten Konten führen, bei denen das Benutzerkonto im Identitätsanbieter (IdP) aktiv bleibt, auch nachdem der Benutzer das Unternehmen verlassen hat. Dadurch erhöht sich das Risiko eines unbefugten Zugriffs. Das Risiko verwaister Konten kann durch die Implementierung automatisierter Deaktivierungs-Workflows gemindert werden, die Konten zwischen dem Identitätsanbieter und internen Systemen synchronisieren.

Unterstützung und Sicherung von EAM-Lösungen

EAM reduziert den Zeit- und Arbeitsaufwand für die Implementierung eines Authentifizierungssystems erheblich und ermöglicht so erhöhte Sicherheit, Compliance, Standardisierung und Skalierbarkeit. EAM bietet Endbenutzern ein nahtloses Anmeldeerlebnis über alle Anwendungen hinweg und macht eine wiederholte Authentifizierung überflüssig. 

Die traditionelle IdP-Authentifizierung allein reicht nicht aus, um moderne Identitätsangriffe zu stoppen. CrowdStrike Falcon® Next-Gen Identity Security verbessert EAM, indem es Risikosignale in Echtzeit analysiert und sicherstellt, dass nur vertrauenswürdige Benutzer und sichere Geräte Zugriff erhalten.

• Verhindern Sie identitätsbasierte Angriffe, bevor die Authentifizierung stattfindet.
• Blockieren Sie Angreifer mit gestohlenen Anmeldedaten oder MFA-Fatigue-Angriffen.
• Erzwingen Sie die adaptive Authentifizierung mit risikobasierten Richtlinien.

CrowdStrike Falcon® Next-Gen Identity Security und ITDR bieten Echtzeitsicherheit vor identitätsbasierten Angriffen und ermöglichen es Unternehmen, diese Bedrohungen zu erkennen und darauf zu reagieren, sobald sie auftreten. Außerdem bietet es professionelle Identitätsschutzdienste zur proaktiven Überwachung von Bedrohungen im Zusammenhang mit Identitätsanbietern (IdP), darunter Azure ID, Okta und Entra ID.