Unkomplizierter Notfallzugang mit YubiKeys

Shakeel Aziz

Shakeel Aziz

5 minute read
security key prompt

Notfallzugänge („Break-Glass-Konten“) sind Konten für den Notfallzugriff, die in verschiedenen Notsituationen den Zugriff auf kritische Systeme ermöglichen. In der jüngsten Ankündigung von Microsoft zur Durchsetzung der Multi-Faktor-Authentifizierung (MFA) für Anmeldungen mit Microsoft Entra ID werden die damit verbundenen Auswirkungen auf Notfallzugänge und Sicherheitsverbesserungen hervorgehoben: „Wir haben Ihre Fragen zu Notfallzugängen oder „Break-Glass-Konten“ gehört. Wir empfehlen für diese Konten eine Authentifizierung gemäß FIDO2 oder mit Zertifikaten (wenn sie als MFA konfiguriert sind), anstatt nur mit einem langen Passwort. Beide Methoden erfüllen die MFA-Anforderungen.“

Notfallzugänge sind in verschiedenen Situationen ein wichtiges Sicherheitsnetz. Hier einige Beispiele:

  • Netzwerk- oder Serviceausfall: Wenn die Netzwerkverbindung oder der Internetzugang unterbrochen wird, verhindert dies die Authentifizierung über Telefonie und drahtlose Netzwerke.
  • Ausfall von Verbunddiensten (Federation Services): Wenn der Identitätsprovider für die Verbundauthentifizierung ausfällt.
  • Fehlen von Mitarbeitenden mit privilegierten Rechten: Wenn Inhaber privilegierter Rollen, zum Beispiel der globale Administrator, das Unternehmen verlassen haben oder nicht erreichbar sind.
  • Nichtverfügbarkeit des Tools für die Verwaltung privilegierter Zugriffe (PAM): Wenn PAM-Tools (Privileged Access Management) zur sicheren Speicherung der Zugangsdaten für Benutzer mit privilegierten Zugriffsrechten wegen Störungen oder Wartungsarbeiten nicht verfügbar sind.

Die Sicherheit dieser Konten erhält jedoch oft zu wenig Aufmerksamkeit. Das muss nicht so sein: Es gibt gerätegebundene Passkeys in speziell zur Verbesserung der Sicherheit entwickelten Geräten wie YubiKeys, mit denen die Authentifizierung zuverlässig abgesichert werden kann. Was die Besonderheiten von Notfallzugängen mit YubiKeys betrifft: Entscheidend sind vor allem die enormen Vorteile bei der Verbesserung der Kontosicherheit.

Warum YubiKeys ein wichtiges Sicherheitstool für Notfallzugänge sind

Einer der größten Vorteile von YubiKeys ist die passwortlose Authentifizierung mit Passkeys. Passkeys verringern den Aufwand bei der Passwortverwaltung und Sicherheitsverstöße durch offengelegte Passwörter. Die passwortlose Authentifizierung ist nicht nur sicherer, sondern auch bequemer. Im Notfall haben Sie immer eine unkomplizierte und sichere Zugriffsmöglichkeit. Weitere Vorteile:

  • Phishing-resistente MFA mit Hardware-Unterstützung
    • Die auf YubiKeys gespeicherten Passkeys sorgen über das FIDO2-Protokoll zuverlässig für Sicherheit und bieten Phishing-resistente MFA. Anders als Passwörter, die durch Phishing oder Diebstahl kompromittiert werden können, kommt bei gerätegebundenen Passkeys auf YubiKeys Public-Key-Kryptografie zum Einsatz. Die Domain wird an die Zugangsdaten gebunden. Die Passkeys befinden sich in der Hardware des YubiKey und können grundsätzlich nicht exfiltriert oder per Fernzugriff kompromittiert werden. Der private Schlüssel verlässt niemals den Authenticator – ein Höchstmaß an Sicherheit für Unternehmen.
  • Weniger Abhängigkeit von externen Services
    • Passkeys auf YubiKeys funktionieren unabhängig von herkömmlichen MFA-Methoden, die sich auf externe Systeme wie SMS- oder Push-Benachrichtigungen stützen und daher von Netzwerkverbindung und Telekommunikation abhängen. Bei Serviceausfällen sind die gerätegebundenen Passkeys auf YubiKeys in diesem Fall eine zuverlässige Authentifizierungsmethode, die nicht von solchen Abhängigkeiten betroffen ist.
  • Ideal für die externe Speicherung
    • YubiKeys haben keine beweglichen Bauteile. Ihr simples und zuverlässiges Design und die Halbleiterbauweise tragen zu ihrer Zuverlässigkeit bei. Sie benötigen keine Batterien und keine externe Stromquelle. Der Strom kommt direkt über die USB- oder NFC-Verbindung – ideal für die Offline-Speicherung und externe Standorte.

Jetzt wissen wir, warum YubiKeys ein wichtiges Sicherheitstool für Notfallzugänge sind. Nun geht es um die einzelnen Schritte bei der Einrichtung. Wenn Sie folgendermaßen vorgehen, sind Ihre Notfallzugriffskonten sicher und bei Bedarf leicht zugänglich.

Die Einrichtung von YubiKeys für Notfallzugänge

  1. Erstellung der Sicherheitsgruppe: Als Erstes erstellen Sie eine Sicherheitsgruppe speziell für Ihre Notfallzugänge. Weisen Sie dieser Gruppe die Rolle des globalen Administrators zu.
  2. Reine Cloud-Konten: Erstellen Sie native Konten für den Identitäts- und den Serviceprovider. So benötigen Sie keine Verbundkonten und keine Synchronisierung.
  3. Registrierung von zwei YubiKeys: Für jeden Notfallzugang müssen zwei YubiKeys registriert sein, um die Redundanz zu gewährleisten.

Hier einige weitere Best Practices für die Kontosicherheit:

  • Ausschluss von Richtlinien: Stellen Sie sicher, dass Ihre Richtlinien nicht den Zugriff auf Ihre Notfallzugänge verhindern. Im Notfall müssen Sie freien Zugang haben.
  • Sichere Speicherung: Bewahren Sie die YubiKeys an sicheren, separaten Orten auf, um unbefugten Zugriff zu verhindern.
  • Dokumentation der Verfahren: Dokumentieren Sie sorgfältig den Zugriff auf Notfallzugänge und ihre Nutzung. Schulen Sie Ihr Team im Umgang mit diesen Verfahren.
  • Regelmäßige Prüfung: Testen Sie die Prozesse regelmäßig, damit sie im Notfall wie erwartet funktionieren.

Überwachen Sie außerdem kontinuierlich Aktivitäten rund um Notfallzugänge. Lassen Sie sich warnen, wenn jemand Änderungen an ihnen vornimmt oder sie zum Einsatz bringt. Überprüfen Sie regelmäßig, wer Zugriff hat. Nur autorisierte Mitarbeitende sind dazu berechtigt. So bleibt die Sicherheit und Integrität Ihrer Verfahren für den Notfallzugriff gewährleistet.

YubiKeys sind eine ausgezeichnete Lösung für die Sicherung von Notfallzugängen: Unterstützung für passwortlose Authentifizierung, starke Phishing-resistente MFA, weniger Abhängigkeit von externen Services und ein Halbleiterdesign, das sich ideal für die externe Speicherung eignet. Mit YubiKeys und diesen Best Practices sind Ihre Notfallkonten immer sicher und einsatzbereit. Durch regelmäßige Schulungen, strenge Tests und eine kontinuierliche Überwachung haben Sie immer alles im Griff. So ist im Notfall der Zugriff auf Ihre kritischen Systeme garantiert.

Verpassen Sie nicht unseren aktuellen Blog (en). Darin geht es um die MFA-Vorgaben von Microsoft und die kürzlich angekündigten FIDO2-APIs für Microsoft Entra ID, mit denen Unternehmen alternative, vom Administrator gesteuerte Provisioning-Clients entwickeln oder einsetzen können, um die Einrichtung von YubiKeys zu unterstützen. Lesen Sie auchhier unseren aktuellen Blog-Beitrag, um mehr über die Integration von YubiKeys im gesamten IT-Ökosystem von Microsoft zu erfahren. Wenn Sie Fragen haben oder wissen möchten, wie Sie YubiKeys für Ihr Unternehmen implementieren können, dann können Sie sich hier an unser Team wenden.

Talk to our teamTalk to our team

Share this article:
  • Die innovativen Schlüssellösungen von Yubico ermöglichen skalierbare Unternehmenssicherheit und Phishing-resistente, passwortlose AuthentifizierungHeute gab Yubico, der führende Anbieter von Sicherheitsschlüsseln zur Hardware-Authentifizierung, die bevorstehende Veröffentlichung der Firmware YubiKey 5.7 für die YubiKey 5 Serie, die Sicherheitsschlüsselserie sowie die Sicherheitsschlüsselserie für Unternehmen bekannt. Read more
  • Introducing new features for Yubico Authenticator for iOSWe’re excited to share the new features now available for Yubico Authenticator for iOS in the latest app update on the App Store. Many of these improvements aim to address frequently requested features from our customers, while providing additional new functionalities for a seamless authentication experience on iOS.  With increased interest in going passwordless and […]Read moreiOSYubico Authenticator
  • color feature image michiganMichigan Office of Child Support Case StudyThe Michigan Office of Child Support (OCS) successfully implemented YubiKey MFA to secure and streamline access to statewide systems. With over 800,000 children served annually, OCS faced the challenge of managing access for 1,900+ county and state workers, each with varying IT policies. By adopting YubiKeys, they ensured phishing-resistant security, enabling efficient, passwordless authentication. This solution not only enhances security but also improves operational efficiency, supporting Michigan’s commitment to protecting families and maintaining high standards in child support enforcement.Read moregovernmentMFAYubiKey
  • Platform independent digital identity for all Many are understandably concerned that the great invention called the Internet, initially created by researchers for sharing information, has become a major threat to democracy, security and trust. The majority of these challenges are caused by stolen, misused or fake identities. To mitigate these risks, some claim that we have to choose between security, usability […]Read moreDigital IdentityEUDIFounderStina Ehrensvard