Unkomplizierter Notfallzugang mit YubiKeys

Shakeel Aziz

Shakeel Aziz

5 minute read
security key prompt

Notfallzugänge („Break-Glass-Konten“) sind Konten für den Notfallzugriff, die in verschiedenen Notsituationen den Zugriff auf kritische Systeme ermöglichen. In der jüngsten Ankündigung von Microsoft zur Durchsetzung der Multi-Faktor-Authentifizierung (MFA) für Anmeldungen mit Microsoft Entra ID werden die damit verbundenen Auswirkungen auf Notfallzugänge und Sicherheitsverbesserungen hervorgehoben: „Wir haben Ihre Fragen zu Notfallzugängen oder „Break-Glass-Konten“ gehört. Wir empfehlen für diese Konten eine Authentifizierung gemäß FIDO2 oder mit Zertifikaten (wenn sie als MFA konfiguriert sind), anstatt nur mit einem langen Passwort. Beide Methoden erfüllen die MFA-Anforderungen.“

Notfallzugänge sind in verschiedenen Situationen ein wichtiges Sicherheitsnetz. Hier einige Beispiele:

  • Netzwerk- oder Serviceausfall: Wenn die Netzwerkverbindung oder der Internetzugang unterbrochen wird, verhindert dies die Authentifizierung über Telefonie und drahtlose Netzwerke.
  • Ausfall von Verbunddiensten (Federation Services): Wenn der Identitätsprovider für die Verbundauthentifizierung ausfällt.
  • Fehlen von Mitarbeitenden mit privilegierten Rechten: Wenn Inhaber privilegierter Rollen, zum Beispiel der globale Administrator, das Unternehmen verlassen haben oder nicht erreichbar sind.
  • Nichtverfügbarkeit des Tools für die Verwaltung privilegierter Zugriffe (PAM): Wenn PAM-Tools (Privileged Access Management) zur sicheren Speicherung der Zugangsdaten für Benutzer mit privilegierten Zugriffsrechten wegen Störungen oder Wartungsarbeiten nicht verfügbar sind.

Die Sicherheit dieser Konten erhält jedoch oft zu wenig Aufmerksamkeit. Das muss nicht so sein: Es gibt gerätegebundene Passkeys in speziell zur Verbesserung der Sicherheit entwickelten Geräten wie YubiKeys, mit denen die Authentifizierung zuverlässig abgesichert werden kann. Was die Besonderheiten von Notfallzugängen mit YubiKeys betrifft: Entscheidend sind vor allem die enormen Vorteile bei der Verbesserung der Kontosicherheit.

Warum YubiKeys ein wichtiges Sicherheitstool für Notfallzugänge sind

Einer der größten Vorteile von YubiKeys ist die passwortlose Authentifizierung mit Passkeys. Passkeys verringern den Aufwand bei der Passwortverwaltung und Sicherheitsverstöße durch offengelegte Passwörter. Die passwortlose Authentifizierung ist nicht nur sicherer, sondern auch bequemer. Im Notfall haben Sie immer eine unkomplizierte und sichere Zugriffsmöglichkeit. Weitere Vorteile:

  • Phishing-resistente MFA mit Hardware-Unterstützung
    • Die auf YubiKeys gespeicherten Passkeys sorgen über das FIDO2-Protokoll zuverlässig für Sicherheit und bieten Phishing-resistente MFA. Anders als Passwörter, die durch Phishing oder Diebstahl kompromittiert werden können, kommt bei gerätegebundenen Passkeys auf YubiKeys Public-Key-Kryptografie zum Einsatz. Die Domain wird an die Zugangsdaten gebunden. Die Passkeys befinden sich in der Hardware des YubiKey und können grundsätzlich nicht exfiltriert oder per Fernzugriff kompromittiert werden. Der private Schlüssel verlässt niemals den Authenticator – ein Höchstmaß an Sicherheit für Unternehmen.
  • Weniger Abhängigkeit von externen Services
    • Passkeys auf YubiKeys funktionieren unabhängig von herkömmlichen MFA-Methoden, die sich auf externe Systeme wie SMS- oder Push-Benachrichtigungen stützen und daher von Netzwerkverbindung und Telekommunikation abhängen. Bei Serviceausfällen sind die gerätegebundenen Passkeys auf YubiKeys in diesem Fall eine zuverlässige Authentifizierungsmethode, die nicht von solchen Abhängigkeiten betroffen ist.
  • Ideal für die externe Speicherung
    • YubiKeys haben keine beweglichen Bauteile. Ihr simples und zuverlässiges Design und die Halbleiterbauweise tragen zu ihrer Zuverlässigkeit bei. Sie benötigen keine Batterien und keine externe Stromquelle. Der Strom kommt direkt über die USB- oder NFC-Verbindung – ideal für die Offline-Speicherung und externe Standorte.

Jetzt wissen wir, warum YubiKeys ein wichtiges Sicherheitstool für Notfallzugänge sind. Nun geht es um die einzelnen Schritte bei der Einrichtung. Wenn Sie folgendermaßen vorgehen, sind Ihre Notfallzugriffskonten sicher und bei Bedarf leicht zugänglich.

Die Einrichtung von YubiKeys für Notfallzugänge

  1. Erstellung der Sicherheitsgruppe: Als Erstes erstellen Sie eine Sicherheitsgruppe speziell für Ihre Notfallzugänge. Weisen Sie dieser Gruppe die Rolle des globalen Administrators zu.
  2. Reine Cloud-Konten: Erstellen Sie native Konten für den Identitäts- und den Serviceprovider. So benötigen Sie keine Verbundkonten und keine Synchronisierung.
  3. Registrierung von zwei YubiKeys: Für jeden Notfallzugang müssen zwei YubiKeys registriert sein, um die Redundanz zu gewährleisten.

Hier einige weitere Best Practices für die Kontosicherheit:

  • Ausschluss von Richtlinien: Stellen Sie sicher, dass Ihre Richtlinien nicht den Zugriff auf Ihre Notfallzugänge verhindern. Im Notfall müssen Sie freien Zugang haben.
  • Sichere Speicherung: Bewahren Sie die YubiKeys an sicheren, separaten Orten auf, um unbefugten Zugriff zu verhindern.
  • Dokumentation der Verfahren: Dokumentieren Sie sorgfältig den Zugriff auf Notfallzugänge und ihre Nutzung. Schulen Sie Ihr Team im Umgang mit diesen Verfahren.
  • Regelmäßige Prüfung: Testen Sie die Prozesse regelmäßig, damit sie im Notfall wie erwartet funktionieren.

Überwachen Sie außerdem kontinuierlich Aktivitäten rund um Notfallzugänge. Lassen Sie sich warnen, wenn jemand Änderungen an ihnen vornimmt oder sie zum Einsatz bringt. Überprüfen Sie regelmäßig, wer Zugriff hat. Nur autorisierte Mitarbeitende sind dazu berechtigt. So bleibt die Sicherheit und Integrität Ihrer Verfahren für den Notfallzugriff gewährleistet.

YubiKeys sind eine ausgezeichnete Lösung für die Sicherung von Notfallzugängen: Unterstützung für passwortlose Authentifizierung, starke Phishing-resistente MFA, weniger Abhängigkeit von externen Services und ein Halbleiterdesign, das sich ideal für die externe Speicherung eignet. Mit YubiKeys und diesen Best Practices sind Ihre Notfallkonten immer sicher und einsatzbereit. Durch regelmäßige Schulungen, strenge Tests und eine kontinuierliche Überwachung haben Sie immer alles im Griff. So ist im Notfall der Zugriff auf Ihre kritischen Systeme garantiert.

Verpassen Sie nicht unseren aktuellen Blog (en). Darin geht es um die MFA-Vorgaben von Microsoft und die kürzlich angekündigten FIDO2-APIs für Microsoft Entra ID, mit denen Unternehmen alternative, vom Administrator gesteuerte Provisioning-Clients entwickeln oder einsetzen können, um die Einrichtung von YubiKeys zu unterstützen. Lesen Sie auchhier unseren aktuellen Blog-Beitrag, um mehr über die Integration von YubiKeys im gesamten IT-Ökosystem von Microsoft zu erfahren. Wenn Sie Fragen haben oder wissen möchten, wie Sie YubiKeys für Ihr Unternehmen implementieren können, dann können Sie sich hier an unser Team wenden.

Talk to our teamTalk to our team

Share this article:
  • Yubico LogoYubico liefert PIN-Verbesserungen mit dem neuen YubiKey 5 – Verbesserte PIN-SchlüsselUm sich auf die sich ständig weiterentwickelnden Cyber-Bedrohungen vorzubereiten, passen Regierungen weltweit die Authentifizierungsanforderungen für Online-Dienste an und aktualisieren sie, was direkte Auswirkungen auf viele Unternehmen und deren Mitarbeiter hat. Zwar gibt es derzeit keine universelle Regelung für eine robustere Multi-Faktor-Authentifizierung (MFA), doch wird deren Notwendigkeit in einer Reihe von Anforderungen hervorgehoben, darunter PSD2, DSGVO […]Read moreYubiKey
  • Die innovativen Schlüssellösungen von Yubico ermöglichen skalierbare Unternehmenssicherheit und Phishing-resistente, passwortlose AuthentifizierungHeute gab Yubico, der führende Anbieter von Sicherheitsschlüsseln zur Hardware-Authentifizierung, die bevorstehende Veröffentlichung der Firmware YubiKey 5.7 für die YubiKey 5 Serie, die Sicherheitsschlüsselserie sowie die Sicherheitsschlüsselserie für Unternehmen bekannt. Read more
  • Seamless security for your Microsoft ecosystemNot all MFA is created equal—the YubiKey provides phishing-resistant protection at every stage of your Microsoft journey The YubiKey is a modern multi-protocol hardware security key supporting Smart Card (PIV) and FIDO that delivers an optimized user experience and offers phishing-resistant two-factor, multi-factor authentication (MFA) and passwordless authentication at scale across Microsoft environments. The YubiKey […]Read more
  • Yubico LogoYubico apporte des améliorations en matière de code PIN avec la nouvelle YubiKey 5 – Clés PIN amélioréesPour faire face à l’évolution constante des cybermenaces, les gouvernements du monde entier adaptent et actualisent les exigences d’authentification pour les services en ligne,  impactant directement des milliers d’organisations et leurs employés. Bien qu’il n’existe actuellement aucune réglementation universelle imposant une authentification multi-facteur (MFA) plus robuste, la nécessité d’une telle mesure est mise en évidence […]Read moreYubiKey