Ein neu­er Stern am Info­Sec Him­mel wur­de ent­deckt, Exper­ten nen­nen ihn „Authen­ti­zi­tät“. In der NIS2 Richt­li­nie 2022/2555 wird neben den seit Jah­ren eta­blier­ten Info­Sec Schutz­zie­len Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit auch die Authen­ti­zi­tät ver­pflich­tend gefor­dert. Die­se Neue­rung erfor­dert von NIS2-betrof­fe­nen Unter­neh­men eine Erwei­te­rung ihres Risi­ko­ma­nage­ments, ins­be­son­de­re im Kon­text der ISO 27001-Zertifizierung.

Was bedeu­tet “Authen­ti­zi­tät” aber für die Informationssicherheit?

Es geht dar­um, dass Daten vor der Ver­ar­bei­tung geprüft wer­den, ob die­se von einer authen­ti­schen (gemäß Duden: „echt; den Tat­sa­chen ent­spre­chend und daher glaub­wür­dig“) Quel­le stam­men und die­se unver­än­dert sind. Gleich­zei­tig müs­sen Sys­te­me auch sicher­stel­len, dass über­mit­tel­te Infor­ma­tio­nen und aus­ge­lös­te Aktio­nen zuver­läs­sig von einem über­prüf­ba­ren Kom­mu­ni­ka­ti­ons­part­ner stam­men und die­ser Nach­weis auch zu einem spä­te­ren Zeit­punkt prüf­bar bleibt.

In der Pra­xis gelingt die Sicher­stel­lung von Authen­ti­zi­tät mit einer klas­si­schen HTTP/TLS Ver­schlüs­se­lung nicht, da belie­bi­ge Con­nec­ted Devices eine ver­schlüs­sel­te Ver­bin­dung auf­bau­en und bspw. sen­si­ble Sen­sor­da­ten über­mit­teln kön­nen. Die Pro­to­kol­lie­rung der IP-Adres­se des Sen­ders als Iden­ti­täts­mach­weis ist eben­falls unzu­rei­chend, da IP-Adres­sen sehr ein­fach gefälscht wer­den können.

Je nach Risi­ko­be­wer­tung wer­den daher zukünf­tig im IoT-Umfeld über­mit­tel­te Daten mit einer kryp­to­gra­phi­schen Signa­tur unter­zeich­nen müs­sen, oder sich mit indi­vi­du­el­len Pass­wör­tern oder kryp­to­gra­fi­schen Zer­ti­fi­ka­ten an APIs authen­ti­sie­ren müs­sen. Egal ob mit indi­vi­du­el­len Pass­wör­tern je End­point oder siche­ren End­point-Zer­ti­fi­ka­ten – die­se Sicher­heits­at­tri­bu­te müs­sen lese- und kopier­ge­schützt auf allen End­points abge­legt sein.

Haus­aus­for­de­run­gen und Lösungsansätze

Ein wesent­li­cher Aspekt der Authen­ti­zi­tät ist die Absi­che­rung von IoT- und ver­netz­ten Sys­te­men. Hier grei­fen bis­he­ri­ge Metho­den wie IP-Adress-Pro­to­kol­lie­rung oder TLS nicht aus­rei­chend, da IP-Adres­sen gefälscht wer­den kön­nen und eine ver­schlüs­sel­te Ver­bin­dung allein kei­ne Aus­sa­ge über die Echt­heit des Sen­ders trifft.

Lösungs­an­sät­ze für eine ver­bes­ser­te Authen­ti­zi­tät umfassen:

  • Kryp­to­gra­fi­sche Signa­tu­ren für über­mit­tel­te Daten.
  • Indi­vi­du­el­le Zugangs­da­ten oder Zer­ti­fi­ka­te zur Authen­ti­fi­zie­rung an APIs.
  • Fäl­schungs­si­che­re Spei­che­rung von Sicher­heits­at­tri­bu­ten auf Endpoints.

Kon­kre­te Aus­wir­kung der Authentizitätsverpflichtung

Die Ein­füh­rung von Authen­ti­zi­tät als Schutz­ziel führt zu weit­rei­chen­den Anpas­sun­gen in der IT-Sicher­heits­stra­te­gie:

  1. Ver­pflich­ten­de Authen­ti­fi­zie­rung von Per­so­nen und End­points: Bei­spiels­wei­se durch Bio­me­trie, Mul­ti-Fak­tor-Authen­ti­sie­rung (MFA) oder Zer­ti­fi­kats-basier­te Ver­fah­ren.
  2. Sicher­stel­lung der Daten­in­te­gri­tät wäh­rend der Über­tra­gung: Etwas durch digi­ta­le Signa­tu­ren oder Ende-zu-Ende Ver­schlüs­se­lung mit Cli­ent-Zer­ti­fi­ka­ten.
  3. Nach­weis­ba­re Authen­ti­zi­täts­prü­fung: Bei­spiels­wei­se durch eine Signa­tur­va­li­die­rung, bevor Daten oder Befeh­le akzep­tiert wer­den.
  4. Pro­to­kol­lie­rung der Authen­ti­zi­täts­prü­fung: Für eine spä­te­re Nach­voll­zieh­bar­keit und Com­pli­ance-Erfül­lung.

Schluss­fol­ge­rung

Mit der NIS2-Richt­li­nie rückt Authen­ti­zi­tät als neu­es Schutz­ziel in den Mit­tel­punkt der Infor­ma­ti­ons­si­cher­heit. Unter­neh­men müs­sen ihre Sicher­heits­ar­chi­tek­tur ent­spre­chend anpas­sen, um sicher­zu­stel­len, dass Daten und Kom­mu­ni­ka­ti­ons­part­ner zwei­fels­frei iden­ti­fi­ziert wer­den kön­nen. Nur so kann ein hoher  Schutz­stan­dard auf­recht­erhal­ten und regu­la­to­ri­sche Anfor­de­run­gen erfüllt werden.

Wie gut ist Ihr Unter­neh­men auf die­se Anfor­de­run­gen vorbereitet?