IT-Sicherheit ist heute in aller Munde. Jeder versteht etwas anderes darunter: Pen-Tests; Sicheres Coding oder Exploits; Antivirus, Antispam; Datenschutz; Immer noch Firewalls; Sicherheitsberatung; Identitymanagement; Authentifizierung. Das Thema „IT-Sicherheit“ ist ein breites Spektrum. Und jeder beschäftigt sich deswegen auch mit „IT-Sicherheit“. Wir beschäftigen uns mit dem Spezialgebiet der sicheren oder starken Authentifizierung – der Mehr-Faktor-Authentifizierung.
Status Quo der proprietären Software und des Marktes
IT-Sicherheitsunternehmen sind eben oftmals sehr spezialisiert und daher eher kleine Unternehmen. Vor wenigen Jahren war dies noch ausgeprägter und viele wichtige Player am Markt hatten weniger als ein paar hundert Mitarbeiter weltweit.
Doch weil IT-Sicherheit in aller Munde kam, wurde das Thema und damit die Unternehmen auch im größeren Umfeld interessant und das Karussell der Merger and Akquisitions nahm Fahrt auf. Wer kennt noch Safeword Tokens? Secure Computing, Aladdin, SafeNet, Gemalto, Thales gaben und geben sich ein munteres Wechseln der Firmennamen und Produktlabels. Einstmals hatten Aladdin, SafeNet und Gemalto eigene Smartcard-Produkte und Portfolios. Diese sind nun endgültig in Gemalto aufgegangen.
Bei einem Unternehmenszusammenschluss wächst das Unternehmen aber auch das Produktportfolio. Das ist wie nach Weihnachten – neues Spielzeug kommt, altes muss aus dem Kinderzimmer weichen! Und so wird auch das gewachsene Unternehmen sein Produktportfolio aufräumen und Produkte wie SafeWord 2008, SAM Express und dieses Jahr SafeNet Authentication Manager (der OTP-Teil) gehen End-of-Life.
Das Lebensende in einer proprietären Welt
Im Falle von proprietärer Software bedeutet End-of-Life oftmals auch das Aus für die Software. Hat der Hersteller die Software bspw. nach Benutzern lizensiert, ist es Ihnen als Kunde nach dem End-of-Life nicht möglich, auch nur eine weitere Benutzerlizenz für diese Software zu erwerben! Wenn Sie also nach dem End-of-Life zweite Faktoren für neue Benutzer im Unternehmen ausrollen wollen, dann ist auch das nicht mehr möglich. Sie haben nur 1000 Benutzer lizensiert? Der 1000-und-erste Benutzer kann in dem alten System keinen 2FA-Token mehr erhalten! Lizenz überschritten!
Nicht nur wegen des fehlenden Supports und der fehlenden Weiterentwicklung – Nein, sogar wegen der fehlenden Funktionalität sind Sie gezwungen von ihrem bestehenden System wegzumigrieren.
Zwar bieten Hersteller oftmals vermeintlich attraktive Migrationspfade zu dem anderen proprietären Produkt aus dem Portfolio an – doch Sie wissen selber, dass Migrationen mit hohem Kosten- und Zeitaufwand verbunden sind.
Painpoint: Mehr-Faktor-Authentifizierung
Die Migration eines Mehr-Faktor-System kann ungangenehme Schmerzfaktoren mit sich bringen. Zwei-Faktor-Authentifizierung bedeutet i.d.R. die Kombination aus Wissen und Besitz bei der Anmeldung. Der Besitzfaktor (Harward-Token oder eine registrierte Smartphone-App…) ist an das Backend gebunden und gleichzeitig an den Benutzer verteilt. Verteilt im Feld. Weltweit.
Im Extremfall kann die Migration eines Besitzfaktors also bedeuten, dass die da draußen verteilten Besitzfaktoren eingesammelt und neue Besitzfaktoren verteilt werden müssen.
Je nach Anzahl der Benutzer, Struktur Ihres Unternehmens, Workflows der Benutzer kann das ein langwieriger, teurer und schmerzhafter Prozess sein – selbst wenn das neue Produkt vom vermeindlich gleichen Hersteller kommt. (Dabei kommt es nicht vom gleichen Hersteller, sondern jetzt nach dem Merger nur aus dem gleichen Portfolio!)
privacyIDEA
Unsere Mitarbeiter sind seit 2004 im Bereich der Zwei- oder Mehr-Faktor-Authentifizierung tätig und können daher die Schmerzen der Kunden nachvollziehen. Diese Erfahrungen haben wir in privacyIDEA integriert.
Mit privacyIDEA ermöglichen wir Ihnen bereits seit einer Weile eine sanfte Migration. Ohne jeglichen Zeitdruck betreiben Sie privacyIDEA und Ihre alte Software parallel, ohne dass der Benutzer etwas davon merken muss. Peu à peu teilen Sie neue Token innerhalb von privacyIDEA aus.
Mit der kommenden Version 3.1 wird es außerdem möglich sein, die Seeds alter Token in privacyIDEA zu importieren und die Token den Benutzern automatisch zuzuordnen und die alte Token-PIN automatisch zu setzen. Kein Aufwand für die Benutzer, minimaler Aufwand für die IT.
Viele Kunden, wie das Klinikum Hanau, vertrauen bereits auf privacyIDEA und haben erfolgreich migriert.
Und was bringt die Zukunft?
Und wenn Sie mal von privacyIDEA wegmigireren wollen? Warum?
privacyIDEA ist Open Source. Mit privacyIDEA ereilt Sie nie das Schicksal, dass Sie den 1000-und-ersten Benutzer nicht ausrollen können. privacyIDEA läuft und läuft und läuft.
Investieren Sie in Ihre Zukunft! Investieren Sie in Open Source! Investieren Sie in privacyIDEA!
