KI Hinweis: Alle Zusammenfassungen wurden automatisch per KI erstellt und können Ungenauigkeiten enthalten.
← Zurück 15:15 – 15:30 (15 Min.) · Public Sector-Stage · Vortrag Public Sector Track Bühne (Strategic)
Public Sector Security

On-Prem Identity Provider mit FIDO - Grundlage des Vertrauens

Erfahren Sie, wie Sie einen modernen On‑Prem‑Identity‑Provider einsetzen, der lokale Ressourcen und Cloud‑Anwendungen schützt. Wir zeigen Authentifizierung passend zu User Journey und Datenkritikalität – teils ohne zusätzliche Geräte, für alle Nutzer. Außerdem erfahren Sie, wie Sie Ihren eigenen On‑Prem‑FIDO‑Server nutzen und FIDO‑Authentifikatoren wie Karten, Mitarbeiterausweise und USB‑Keys effizient verwalten.

HS

Harald Speckbrock

Wichtigste Erkenntnisse

5 Punkte

01

FIDO bietet hohe Sicherheit und flexible Authentifizierungsoptionen für On-Premises-Umgebungen.

02

Passwörter sind weiterhin verbreitet, reichen aber oft nicht mehr aus.

03

Man-in-the-Middle-Angriffe sind selbst bei klassischen 2FA-Systemen möglich, FIDO schützt davor effektiver.

04

FIDO kann als Token, Karte oder App implementiert werden und eignet sich auch für Unternehmen mit individuellen Anforderungen.

05

Moderne Authentifizierung sollte Standardprotokolle wie SAML und OIDC unterstützen, sodass eine Migration von älteren Protokollen ratsam ist.

Kurzfassung

Der Vortrag behandelt sichere Authentifizierungsmethoden in On-Premises-Umgebungen, mit Fokus auf FIDO (Fast Identity Online). Besonders für Produktionsbetriebe und Betreiber kritischer Infrastrukturen sind lokale, cloud-unabhängige Lösungen entscheidend. Neben Passwörtern und klassischen Zwei-Faktor-Verfahren wird auf die Vorteile und den Einsatz von FIDO-Tokens sowie deren Integration in verschiedene Unternehmensumgebungen eingegangen. Abschließend werden praktische Umsetzungsmöglichkeiten sowie die Unterstützung diverser Protokolle und Auth-Varianten erläutert.

Langfassung

In dieser Präsentation wird das Thema sichere Authentifizierung in On-Premises-Umgebungen ausführlich beleuchtet, insbesondere für Unternehmen aus Produktionsumfeld und Betreiber kritischer Infrastrukturen. Dabei wird erläutert, warum viele moderne Authentifizierungsverfahren, wie FIDO (Fast Identity Online), häufig nur als Cloud-Service angeboten werden, was für viele dieser Unternehmen aus Compliance- und Sicherheitsgründen nicht praktikabel ist.

Die Referentin / der Referent weist darauf hin, dass klassische Authentifizierungsverfahren, insbesondere das Passwort, zwar weit verbreitet, aber gerade aus regulatorischen oder internen Sicherheitsgründen oft nicht mehr ausreichend sind. Multifaktor-Authentifizierung und Einmalpasswörter bieten erhöhte Sicherheit, sind aber ebenfalls teilweise angreifbar, etwa durch Man-in-the-Middle-Angriffe.

FIDO wird als moderner Standard vorgestellt, der ursprünglich für Endkonsumenten entwickelt wurde (z.B. von PayPal, Google, eBay) und inzwischen Einzug in Unternehmensumgebungen gefunden hat – prominentes Beispiel ist BMW. Der große Vorteil liegt in der Standardisierung, hoher Sicherheit durch Presence Detection sowie in der breiten Geräteunterstützung (Android, iOS, verschiedene Browser ohne zusätzliche Treiber).

Für verschiedene Anwendungsfälle gibt es flexible Implementierungen: Hardware-Tokens, Karten mit FIDO und sogar softwarebasierte Lösungen auf Smartphones (Device-Bound Passkey per App). Bechtle bzw. die präsentierende Firma kann solche Lösungen sowohl hardware- als auch softwareseitig und als maßgeschneiderte Karten anbieten (z.B. Integration bestehender RFID-Türsysteme, individuelle Designs).

Ein weiterer Kernpunkt betrifft die Integration in bestehende Unternehmens- und IT-Landschaften. Die vorgestellte Lösung unterstützt wichtige Standardprotokolle wie SAML und OIDC für Webanwendungen, mit (noch eingeschränkter) Unterstützung für Radius-basiertes Authentifizieren. Die Migration von älteren zu modernen Protokollen wird empfohlen, um FIDO optimal nutzen zu können. Die Authentifizierungsdienste, wie SAS-PCE (SafeNet Authentication Service – Private Cloud Edition) und SafeNet Access Exchange, werden mit FIDO-Servern ergänzt.

Die Benutzerverwaltung und -einbindung wird durch Automatisierung (z.B. E-Mail-Verteilung und Selbstregistrierung über Gruppenberechtigung im Active Directory) vereinfacht, insbesondere bei großer Nutzerzahl.

Password ist immer noch das Mittel der Wahl. Bei den meisten Systemen, die man aufsetzt, fängt man mit dem Password an, aber für bestimmte Anwendungsfälle ist es regulatorisch oder von der internen Security Policy einfach nicht mehr ausreichend.

— Bedeutung und Limitierung von Passwörtern in der heutigen Authentifizierungslandschaft.

Das Problem ist, dass die fischbar sind. Das heißt, die sogenannte Man-in-the-Middle-Attack kann dazu führen, dass diese Verfahren, obwohl sie sicherer sind als ein Passwort, trotzdem ausgehebelt werden.

— Aufzeigen der Grenzen selbst bei Zwei-Faktor-Methoden wie Einmalpasswörtern wegen Phishing.

Der Vorteil bei diesem Fast Identity Online ist, im Gegensatz zu anderen etablierten Verfahren, dass es standardisiert ist und auch mit modernen Geräten funktioniert.

— Hervorhebung der Geräteunabhängigkeit und Standardisierung von FIDO.

Interessant ist es auch, dass sich viele, die sich mit FIDO-Sticks schon beschäftigt haben, die kennen die Yubi-Keys, so ähnlich wie Tempotaschentücher.

Schlüsselwörter

FIDOOn-Premises AuthentifizierungMultifaktor-AuthentifizierungSAML/OIDCKritische Infrastruktur

Produkte / Programme

FIDO (Fast Identity Online)Microsoft EntraSafeNet Authentication Service (SAS-PCE)SafeNet Access ExchangeYubiKey

Genannte Personen

Nicht explizit genanntPayPalGoogleeBayBMW