Multi-Faktor-Authentifizierung in der Cloud
Thema dieses Artikels ist ein Projekt, bei dem unser Kunde seine bestehende on premise Multi-Faktor-Authentifizerung auf eine Cloud-basierte Lösung (Azure Active Directory) für alle Cloud-Services (wie Exchange Online, Teams, SharePoint usw.) umgestellt hat. Ein spannendes und anspruchsvolles Projekt, in dem die eine oder andere Hürde überwunden werden musste.
Ausgangssituation
Unter Multi-Faktor-Authentifizierung, kurz MFA, versteht man ein Verfahren für den sicheren Zugriff aufs Firmennetzwerk, bei dem sich der Benutzer außer mit Namen und Passwort mit zusätzlichen Angaben authentifizieren muss. Das ist in der Regel die Mobiltelefonnummer, erklärt Projektleiter Moritz.
Einer unserer Kunden, ein großes Pharmaunternehmen, wollte von seiner bedarfsbezogenen on premise MFA-Lösung zu einer allgemeingültigen MFA-Lösung in Azure wechseln. Die Gründe: auf der einen Seite Kostenersparnis, da MFA ohnehin Bestandteil der unternehmenseigenen Azure-Lizenzen ist und damit kein weiteres System finanziert werden muss, auf der anderen Seite Reduktion der Komplexität, weil auf diese Weise Authentifizierung und MFA-Komponenten in einer Welt zusammengebracht werden.
Unser Auftrag
Wir wurden mit der unternehmensweiten Einführung und Bereitstellung von Azure MFA betraut. Das umfasste die komplette Bandbreite angefangen von Design, Konfiguration, technischer Konzeption, Methoden, Verwaltung und Benutzerdokumentation für alle betroffenen Betriebssysteme einschließlich Mobilplattformen über die Unterweisung des Service Desks in Sachen Troubleshooting und Lösungen bis hin zur Kommunikation und Koordination des Enrollments. Einrichten mussten die Benutzer MFA dann jeder für sich selbst.
Projektverlauf
Das Ganze wurde im laufenden Betrieb für 100.000 Benutzer auf allen Kontinenten durchgeführt. Das Projekt dauerte etwa ein Jahr und führte zu einer Enrollment-Quote von 80%. Ein großer Erfolg. Das Schwierigste, so Moritz, war die Sensibilisierung der Mitarbeiter. Diejenigen, die bereits mit der on premise-Version arbeiteten, sahen keinen Grund, auf die Azure-Version zu wechseln, und die anderen, die keine Multi-Faktor-Authentifizierung nutzten, erkannten keinen Vorteil in den erhöhten Sicherheitsvorkehrungen. Unser Team musste erst einmal verstehen, wie die Leute genau arbeiten. Wir sind dann so vorgegangen, dass wir in jedem Land Ansprechpartner gewonnen haben, die die Sache mit uns vorantrieben, so dass es keine sprachlichen oder kulturellen Hürden gab.
Mit Widerständen hatten wir vorab gerechnet, erzählt Moritz, aber nicht mit den anderen Herausforderungen: Microsoft änderte während dieser Zeit 2-3 Mal die Prozesse, so dass wir jedes Mal wieder von vorne anfangen mussten.
Technisch bestand die Herausforderung zum einen in der Abdeckung aller Bereiche, denn es gibt natürlich keine 1:1-Übernahme der Funktionalitäten aus dem on premise-System, und zum anderen in der Definition der Ausnahmen, deren Zahl so gering wie möglich gehalten werden musste. Ein Kinderspiel verglichen mit dem Aufwand, die Leute mitzunehmen. Die Quote von technischem Anteil zu Kommunikation lag am Ende bei 30 zu 70 %.
Fazit
Das Projekt zeigt, wie wichtig Multi-Faktor-Authentifizierung ist. Das gilt auch für kleine Unternehmen, die vielleicht die Kosten scheuen. Unsere Empfehlung: Es gibt verschiedene Systeme, auch kostengünstige, die alle die Grundfunktionen enthalten. Das Minimum ist die Sicherung administrativer und privilegierter Accounts. Wer nicht über die IT-Kompetenz verfügt, sollte einen Dienstleister hinzuziehen. Essentiell ist es in jedem Fall, die Mitarbeiter immer wieder für die Gefahren von Sicherheitslecks und Hackerangriffen zu sensibilisieren.
03.07.2023 12:25
Ergänzende Informationen
