ich habe heute großartige Neuigkeiten für Sie! Gartner positioniert Microsoft im Magic Quadrant 2018 für Access Management das zweite Jahr in Folge im „Leaders Quadrant, Worldwide“. Ausschlaggebend waren unser ganzheitliches Unternehmenskonzept und die Umsetzbarkeit auf dem Markt für Access Management-Produkte. Informieren Sie sich hier in einem kostenlosen Exemplar des Berichts.

Laut Gartner zeichnen sich Leader durch eine starke Umsetzung und die Antizipation zukünftiger Anforderungen an die Technologie, Methodologie oder das Bereitstellungsmodell aus. Leader sind sich auch der Bedeutung bewusst, die Access Management-Lösungen in verwandten oder kombinierten Produktangeboten haben.

Erster in „Vision“ im Leaders Quadrant

Microsoft führt die Kategorie „Completeness of Vision“ (Ganzheitliches Unternehmenskonzept) im Leaders Quadrant an – das zweite Jahr in Folge. Wir sind überzeugt, dass unsere positive Entwicklung in der Kategorie „Execution“ (Umsetzung) auch unser Engagement widerspiegelt, eine Strategie umzusetzen, die Unternehmen in ihrer aktuellen Situation unterstützt und gleichzeitig auf die Anforderungen vorbereitet, die die Identitätsverwaltung von morgen stellt.

Wir bei Microsoft befürworten Richtlinien für den bedingten Zugriff und den Identitätsschutz als unverzichtbare Voraussetzungen für eine Identitäts- und Zugriffsmanagementlösung auf Weltniveau. Wir haben viel Arbeit in die Integration produktübergreifender Sicherheitsrichtlinien in ein vielfältiges Ökosystem mit Windows 10, Office 365 und EMS investiert, um Ihnen transparente Einblicke und Kontrolle über die gesamte Benutzerumgebung zu geben. Zudem haben wir in diesem Jahr Anregungen und Feedback von unseren Kunden berücksichtigt, um die Benutzeroberfläche zu verbessern und die zentrale Verwaltung aller Identitäten noch einfacher zu machen. Wir sehen unsere Aufgabe darin, innovative, umfassende Identitäts- und Zugriffsmanagementlösungen zu bieten – für Ihre Mitarbeiter, Partner und Kunden.

Dabei hätten wir unsere führende Position nicht ohne die Mitwirkung und Unterstützung unserer Kunden und Partner verteidigen können – vielen Dank!

Beste Grüße,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

Wichtig:

Diese Grafik wurde von Gartner als Teil eines größeren Forschungsdokuments veröffentlicht und sollte unter Berücksichtigung des Gesamtberichts beurteilt werden. Sie erhalten den Gartner-Bericht auf Anfrage von Microsoft.

Gartner spricht keine Empfehlung für die in seinen Publikationen bewerteten Hersteller, Produkte oder Services aus und rät Technologie-Anwendern nicht, sich ausschließlich für die höchstplatzierten oder sonst wie bezeichneten Anbieter zu entscheiden. Gartner Forschungspublikationen spiegeln die Meinungen von Gartner wider und sollten nicht als Fakten ausgelegt werden. Gartner übernimmt für die vorliegenden Untersuchungsergebnisse keinerlei Gewähr, weder ausdrücklich noch stillschweigend, und schließt jegliche Zusicherung wie z. B. der handelsüblichen Qualität oder der Eignung für einen bestimmten Zweck aus.

The post Vision + Umsetzung: Microsoft im Gartner Magic Quadrant für Access Management erneut als Leader positioniert appeared first on Microsoft 365 Blog.

solange es Kennwörter gibt, solange werden sie ausgespäht. In diesem Blog befassen wir uns mit einer Angriffsart, die in der letzten Zeit DEUTLICH zugenommen hat, und einigen Best Practices, mit denen Sie sich dagegen verteidigen können. Eine solche Attacke wird allgemein als Kennwort-Spray-Angriff bezeichnet.

Bei einem Kennwort-Spray-Angriff versuchen Kriminelle, sich mit den meistverwendeten Kennwörtern bei vielen verschiedenen Konten und Diensten anzumelden, um Zugang zu kennwortgeschützten Ressourcen zu erhalten. Die Angriffe haben normalerweise unterschiedlichste Organisationen und Identitätsanbieter zum Ziel. Beispiel: Ein Angreifer nutzt ein allgemein erhältliches Toolkit wie MailSniper, um alle Benutzer in mehreren Organisationen aufzulisten und dann „K@ÑÑw0rt“ und „Kennwort1“ bei all diesen Konten auszuprobieren. Ein Angriff könnte wie folgt aussehen:

Bei diesem Angriffsmuster werden die meisten Erkennungsverfahren ausgetrickst, da der Angriff aus Sicht eines Einzelnutzers oder eines Unternehmens wie ein isolierter fehlgeschlagener Anmeldeversuch aussieht.

Für den Angreifer ist es ein reines Zahlenspiel: Er weiß, es gibt Kennwörter, die sehr beliebt sind. Obwohl die gängigsten Kennwörter nur für 0,5–1,0 % der Konten genutzt werden, erzielt der Angreifer alle tausend Konten ein paar Treffer, was ausreicht, um Wirkung zu zeigen.

Über die Konten werden Daten aus E-Mails ausgelesen, Kontaktinformationen gesammelt, Phishing-Links versendet oder einfach nur die Zielgruppe für Kennwort-Spray-Angriffe vergrößert. Die anfänglichen Ziele kümmern die Angreifer wenig. Es geht nur darum, erfolgreich einzudringen und diesen Vorteil auszunutzen.

Die gute Nachricht ist, dass Microsoft bereits zahlreiche Werkzeuge implementiert hat und anbietet, um solche Angriffe zu vereiteln. Weitere folgen in Kürze. Im weiteren Verlauf erfahren Sie, was Sie sofort und in den kommenden Monaten tun können, um Kennwort-Spray-Angriffen entgegenzuwirken.

Vier einfache Schritte zur Abwehr von Kennwort-Spray-Angriffen

Schritt 1: Cloudauthentifizierung

Die Cloud verzeichnet täglich Milliarden von Anmeldungen bei Microsoft-Systemen. Mithilfe unserer Algorithmen zur Erkennung von Sicherheitsverletzungen können wir Angriffe bereits im Vorfeld erkennen und abblocken. Die Systeme für Echtzeiterkennung und -schutz sind cloudgestützt und daher nur bei Verwendung der Azure AD-Authentifizierung in der Cloud (einschließlich der Pass-Through-Authentifizierung) verfügbar.

Smart Lockout

Wir nutzen Smart Lockout in der Cloud, um zwischen Anmeldeversuchen zu unterscheiden, die vom zulässigen Benutzer ausgeführt werden, und Anmeldeversuchen, die von einem Angreifer ausgehen könnten. Wir können den Angreifer aussperren und dem zulässigen Benutzer weiterhin die Verwendung des Kontos ermöglichen. So werden Denial-of-Service-Situationen für den Benutzer vermieden und maßlose Kennwort-Spray-Angriffe verhindert. Dies gilt für alle Azure AD-Anmeldungen unabhängig von der Lizenzebene und für alle Anmeldungen bei Microsoft-Konten.

Mandanten, die Active Directory-Verbunddienste (AD FS) verwenden, können Smart Lockout ab März 2018 nativ in AD FS in Windows Server 2016 nutzen. Warten Sie, bis diese Funktion über Windows Update verfügbar wird.

IP-Lockout

IP-Lockout analysiert Milliarden von Anmeldungen, um die Qualität des Datenverkehrs zu beurteilen, der von jeder einzelnen IP-Adresse bei Microsoft-Systemen eingeht. Anhand der Analyse ermittelt IP-Lockout IP-Adressen, von denen arglistige Handlungen ausgehen, und blockiert die entsprechenden Anmeldeversuche in Echtzeit.

Angriffssimulationen

Der Angriffssimulator ist als Bestandteil von Office 365 Threat Intelligence jetzt in der Public Preview verfügbar. Damit können Kunden Angriffe auf eigene Endbenutzer simulieren, feststellen, wie sich Benutzer im Angriffsfall verhalten, Richtlinien aktualisieren und gewährleisten, dass die geeigneten Sicherheitsanwendungen verfügbar sind, um ihr Unternehmen vor Bedrohungen wie Kennwort-Spray-Angriffen zu schützen.

Empfohlene Sofortmaßnahmen:

1. Bei Verwendung der Cloudauthentifizierung sind Sie auf der sicheren Seite.
2. Bei Verwendung von AD FS oder eines anderen Hybridszenarios achten Sie im März 2018 auf ein AD FS-Upgrade mit Smart Lockout.
3. Nutzen Sie den Angriffssimulator, um Ihren Sicherheitsstatus proaktiv zu bewerten und Anpassungen vorzunehmen.

Schritt 2: Mehrstufige Authentifizierung

Ein Kennwort ist der Schlüssel für den Zugriff auf ein Konto. Bei einem erfolgreichen Kennwort-Spray-Angriff hat der Angreifer das richtige Kennwort jedoch erraten. Um das zu verhindern, benötigen wir mehr als nur ein Kennwort, um zwischen dem Kontoinhaber und dem Angreifer zu unterscheiden. Sie haben folgende drei Möglichkeiten:

Risikobasierte mehrstufige Authentifizierung

Azure AD Identity Protection nutzt die oben erwähnten Anmeldedaten und setzt zusätzlich auf erweitertes maschinelles Lernen und algorithmische Erkennung, um jede Anmeldung beim System einer Risikobewertung zu unterziehen. Dadurch können Unternehmenskunden in Identity Protection Richtlinien erstellen, durch die ein Benutzer aufgefordert wird, sich über eine zweite Stufe zu authentifizieren. Das ist allerdings nur dann erforderlich, wenn für den Benutzer oder die Sitzung Risiken erkannt wurden. Dies entlastet Benutzer und erschwert Angreifern ihr Vorhaben. Erfahren Sie hier mehr über Azure AD Identity Protection.

Mehrstufige Always On-Authentifizierung

Um die Sicherheit weiter zu erhöhen, können Sie Azure MFA verwenden. So müssen Benutzer immer die mehrstufige Authentifizierung verwenden – sowohl bei der Cloudauthentifizierung als auch in AD FS. Während Endbenutzer ihre Geräte immer zur Hand haben und häufiger eine mehrstufige Authentifizierung durchführen müssen, ist dies die sicherste Methode für Ihr Unternehmen. Sie sollte für jeden Administrator in einem Unternehmen aktiviert sein. Weitere Informationen zur Azure Multi-Factor Authentication finden Sie hier und zur Konfiguration von Azure MFA für AD FS finden Sie hier.

Azure MFA als primäre Authentifizierungsmethode

In AD FS 2016 können Sie Azure MFA als primäre Methode für die kennwortfreie Authentifizierung verwenden. Dies ist eine großartige Möglichkeit, Kennwort-Spray-Angriffen und Kennwortdiebstahl vorzubeugen, denn wenn es kein Kennwort gibt, kann es auch nicht ausgespäht werden. Diese Methode eignet sich sehr gut für die unterschiedlichsten Gerätetypen mit verschiedenen Formfaktoren. Darüber hinaus können Sie Kennwörter jetzt erst als zweite Authentifizierungsstufe verwenden, nachdem Ihr Einmalkennwort (OTP) mit Azure MFA überprüft wurde. Weitere Informationen zur Verwendung von Kennwörtern als zweite Authentifizierungsstufe finden Sie hier.

Empfohlene Sofortmaßnahmen:

1. Wir empfehlen dringend, die mehrstufige Always On-Authentifizierung für alle Administratoren in Ihrem Unternehmen zu aktivieren, insbesondere für Abonnementbesitzer und Mandantenadministratoren. Sie sollten wirklich sofort handeln.
2. Um den übrigen Benutzern eine optimale Erfahrung zu bieten, empfehlen wir die risikobasierte mehrstufige Authentifizierung, die bei Verwendung von Azure AD Premium P2-Lizenzen verfügbar ist.
3. Verwenden Sie andernfalls Azure MFA für die Cloudauthentifizierung und AD FS.
4. Führen Sie in AD FS ein Upgrade auf AD FS unter Windows Server 2016 aus, um Azure MFA als primäre Authentifizierungsmethode speziell für den gesamten Extranetzugriff zu verwenden.

Schritt 3: Bessere Kennwörter für alle

Trotz aller oben genannten Sicherheitsvorkehrungen besteht eine wichtige Voraussetzung für die wirksame Verteidigung gegen Kennwort-Spray-Angriffe darin, dass alle Benutzer über schwer zu ermittelnde Kennwörter verfügen. Häufig wissen Benutzer nicht genau, wie ein solches „starkes“ Kennwort aufgebaut sein muss. Microsoft unterstützt Sie dabei mit folgenden Lösungen:

Gesperrte Kennwörter

In Azure AD wird bei jeder Kennwortänderung und -zurücksetzung eine Prüfung auf gesperrte Kennwörter durchgeführt. Bei Angabe eines neuen Kennworts werden Fuzzyübereinstimmungen mit einer Liste von Wörtern gesucht, die niemand jemals in seinem Kennwort verwenden darf (und auch Leetspeak – das Ersetzen von Buchstaben durch ähnliche Zeichen – wird nicht akzeptiert). Bei einer Übereinstimmung wird das Kennwort abgelehnt, und der Benutzer muss ein Kennwort wählen, das schwieriger zu erraten ist. Wir ergänzen und aktualisieren die Liste häufig angegriffener Kennwörter in kurzen Abständen.

Angepasste gesperrte Kennwörter

Um das Konzept gesperrter Kennwörter weiter zu verbessern, haben Mandanten die Möglichkeit, ihre Listen gesperrter Kennwörter individuell anzupassen. So können Administratoren Begriffe wählen, die typisch für ihr Unternehmen sind – beispielsweise berühmte Mitarbeiter und Gründer, Produkte, Orte, regionale Gegebenheiten usw. – und verhindern, dass sie in Benutzerkennwörtern verwendet werden. Da diese Liste zusätzlich zur globalen Liste gilt, müssen Sie sich nicht für eine von beiden entscheiden. Die Funktion befindet sich in der eingeschränkten Vorschau und wird dieses Jahr eingeführt.

Gesperrte Kennwörter für Änderungen in der lokalen Umgebung

In diesem Frühjahr wird ein Werkzeug eingeführt, mit dem Unternehmensadministratoren Kennwörter in hybriden Azure AD-Active Directory-Umgebungen sperren können. Listen mit gesperrten Kennwörtern werden zwischen der Cloud und Ihren lokalen Umgebungen synchronisiert und mit dem Agent auf jedem Domänencontroller durchgesetzt. Das hilft Administratoren sicherzustellen, dass Benutzerkennwörter nicht so einfach ausgespäht werden können – ganz gleich, ob sie in der Cloud oder in der lokalen Umgebung geändert werden. Die Funktion wurde im Februar 2018 in der eingeschränkten privaten Vorschau eingeführt und soll dieses Jahr allgemein verfügbar werden.

Ändern Sie Ihre Sichtweise auf Kennwörter

Viele Annahmen über gute Kennwörter sind falsch. Eine rechnerische Herangehensweise, die normalerweise hilfreich sein sollte, führt in unserem Fall zu einem vorhersagbaren Benutzerverhalten: Wenn man beispielsweise bestimmte Zeichentypen und regelmäßige Kennwortänderungen vorschreibt, entstehen bestimmte Kennwortmuster. Lesen Sie unser Whitepaper mit Kennwortanleitungen, um mehr zu erfahren. Wenn Sie Active Directory mit PTA oder AD FS verwenden, aktualisieren Sie Ihre Kennwortrichtlinien. Bei Verwendung cloudverwalteter Konten sollten Sie erwägen, Kennwörter festzulegen, die niemals ablaufen.

Empfohlene Sofortmaßnahmen:

1. Sobald das Werkzeug für gesperrte Kennwörter von Microsoft veröffentlicht wird, sollten Sie es lokal installieren, um Benutzern zu helfen, bessere Kennwörter zu erstellen.
2. Überprüfen Sie Ihre Kennwortrichtlinien, und erwägen Sie, niemals ablaufende Kennwörter zu verwenden. So verhindern Sie, dass Benutzer bei der Kennworterstellung saisonale Muster verwenden.

Schritt 4: Weitere großartige Funktionen in AD FS und Active Directory

Wenn Sie mit AD FS und Active Directory die Hybridauthentifizierung verwenden, haben Sie weitere Möglichkeiten, um Ihre Umgebung vor Kennwort-Spray-Angriffen zu schützen.

Der erste Schritt: Unternehmen, die AD FS 2.0 oder Windows Server 2012 nutzen, sollten möglichst bald den Wechsel zu AD FS in Windows Server 2016 planen. Die aktuelle Version wird schneller mit einer umfangreicheren Funktionspalette aktualisiert, darunter beispielsweise die Extranetsperre. Außerdem haben wir das Upgrade von Windows Server 2012R2 auf 2016 wesentlich vereinfacht.

Legacyauthentifizierung aus dem Extranet sperren

Da ältere Authentifizierungsprotokolle keine MFA erzwingen können, besteht der beste Ansatz darin, die Protokolle aus dem Extranet zu sperren. Dies hindert Kennwort-Spray-Angreifer daran, das Fehlen der MFA in diesen Protokollen auszunutzen.

Extranetsperre für AD FS-Webanwendungsproxy aktivieren

Wenn für den AD FS-Webanwendungsproxy keine Extranetsperre aktiviert ist, sollten Sie das so bald wie möglich nachholen, um Benutzer vor potenziellen Brute-Force-Angriffen auf ihre Kennwörter zu schützen.

Azure AD Connect Health für AD FS implementieren

Azure AD Connect Health erfasst IP-Adressen, die aufgrund fehlerhafter Benutzername-Kennwort-Anforderungen in den AD FS-Protokollen aufgezeichnet wurden, bietet zusätzliche Berichtsfunktionen für eine Reihe von Szenarien und liefert Supporttechnikern zusätzliche Informationen, wenn sie sich mit Supportfällen näher beschäftigen.

Laden Sie die aktuelle Version von Azure AD Connect Health Agent für AD FS auf alle AD FS-Server (2.6.491.0) herunter, und stellen Sie sie bereit. Auf AD FS-Servern muss Windows Server 2012 R2 mit installiertem KB 3134222 oder Windows Server 2016 ausgeführt werden.

Nicht auf Kennwörtern basierte Zugriffsmethoden verwenden

Wenn kein Kennwort vorhanden ist, kann es auch nicht ausgespäht werden. Authentifizierungsmethoden, die nicht auf Kennwörtern basieren, sind für AD FS und den Webanwendungsproxy verfügbar:

1. Bei der zertifikatbasierten Authentifizierung können Benutzername-Kennwort-Endpunkte an der Firewall vollständig gesperrt werden. Weitere Informationen zur zertifikatbasierten Authentifizierung in AD FS
2. Die Azure MFA kann, wie oben erwähnt, als zweite Stufe bei der Cloudauthentifizierung und in AD FS 2012 R2 und 2016 verwendet werden. Sie kann in AD FS 2016 aber auch als erste Stufe verwendet werden, um mögliche Kennwort-Spray-Angriffe vollständig zu unterbinden. Erfahren Sie hier, wie Azure MFA mit AD FS konfiguriert wird.
3. Windows Hello for Business ist in Windows 10 verfügbar und wird von AD FS in Windows Server 2016 unterstützt. Die Funktion ermöglicht den Zugriff völlig ohne Kennwörter, beispielsweise auch aus dem Extranet, und basiert auf starken kryptografischen Schlüsseln, die sowohl an den Benutzer als auch an das Gerät gebunden sind. Die Lösung ist für Geräte verfügbar, die in Azure AD oder Azure AD Hybrid eingebunden sind und vom Unternehmen verwaltet werden, und kann über die Einstellungs-App und die Option „Geschäfts-, Schul- oder Unikonto hinzufügen“ auch für persönliche Geräte genutzt werden. Weitere Informationen zu Hello for Business

Empfohlene Sofortmaßnahmen:

1. Aktualisieren Sie auf AD FS 2016, um schneller Updates zu erhalten.
2. Sperren Sie die Legacyauthentifizierung aus dem Extranet.
3. Stellen Sie Azure AD Connect Health-Agents für AD FS auf allen AD FS-Servern bereit.
4. Ziehen Sie die Verwendung einer kennwortfreien primären Authentifizierungsmethode wie Azure MFA, Zertifikate oder Windows Hello for Business in Betracht.

Extra: Schutz Ihrer Microsoft-Konten

Wenn Sie ein Microsoft-Konto verwenden:

• Können Sie sich freuen, weil Ihr Konto bereits geschützt ist! Für Microsoft-Konten sind zudem Funktionen wie Smart Lockout, IP-Lockout, risikobasierte zweistufige Überprüfung, gesperrte Kennwörter und mehr verfügbar.
• Nehmen Sie sich zwei Minuten, rufen Sie die Sicherheitsseite Ihres Microsoft-Kontos auf, und wählen Sie „Aktualisieren Sie Ihre Sicherheitsinformationen“, um die für die risikobasierte zweistufige Überprüfung verwendeten Sicherheitsinformationen zu überprüfen.
• Sie sollten die mehrstufige Always On-Überprüfung hier aktivieren, um Ihr Konto bestmöglich zu schützen.

Die beste Verteidigung besteht darin, die Empfehlungen in diesem Blog zu befolgen.

Kennwort-Spray-Angriffe sind eine ernsthafte Bedrohung für jeden kennwortbasierten Dienst im Internet. Mit den Maßnahmen in diesem Blog sind Sie jedoch optimal vor dieser Angriffsmethode geschützt. Und da viele Angriffsarten ähnlich gelagert sind, haben Sie hier erfahren, wie Sie sich im Allgemeinen gut vor Bedrohungen schützen können. Ihre Sicherheit hat bei uns höchste Priorität. Wir arbeiten ständig daran, neue, fortschrittliche Verteidigungsmaßnahmen gegen Kennwort-Spray-Attacken und andere Angriffsarten zu entwickeln, die da draußen lauern könnten. Nutzen Sie für heute unsere Empfehlungen, und schauen Sie bald wieder vorbei, um unsere neuesten Entwicklungen für den Schutz vor kriminellen Energien im Internet kennenzulernen.

Ich hoffe, diese Informationen waren hilfreich. Wie immer freuen wir uns auf Ihr Feedback und Ihre Anregungen.

Beste Grüße,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

The post Azure AD und AD FS – Best Practices: Verteidigung gegen Kennwort-Spray-Angriffe appeared first on Microsoft 365 Blog.

in diesem Artikel beschäftige ich mich mit einem Thema, das Sie hoffentlich genau so interessant finden wie ich. Lehnen Sie sich entspannt zurück, und lesen Sie einen spannenden Ausblick auf die Zukunft digitaler Identitäten.

In den letzten 12 Monaten haben wir über einigen Ideen für den Einsatz von Blockchains (und weiteren Distributed Ledger-Technologien) gebrütet. Im Mittelpunkt stehen neue Arten digitaler Identitäten sowie Identitäten, die von Anfang an auf den besseren Schutz der Privatsphäre, Sicherheit und Kontrolle ausgelegt sind. In dieser Zeit haben wir spannende Erkenntnisse und interessante Partner gewonnen. Deshalb möchte ich Ihnen heute unseren Ansatz und unsere Pläne für die Zukunft näher erläutern. Dieser Artikel ist Teil einer Blogreihe und bezieht sich auf einen Beitrag von Peggy Johnson, in dem die Autorin die Beteiligung von Microsoft an der ID2020-Initiative ankündigt. Bevor Sie hier fortfahren, empfehle ich, den Artikel von Peggy Johnson zu lesen.

Als Leiter unseres innovativen Ideenteams präsentiert Ankur Patel im Folgenden unsere Forschungsergebnisse über dezentrale digitale Identitäten. Dabei konzentriert er sich auf die wesentlichen Erkenntnisse und die daraus abgeleiteten Prinzipien, die der Motor für zukünftige Investitionen sind.

Wie immer freuen wir uns über Ihr Feedback und Ihre Anregungen.

Beste Grüße,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

———-

Herzlich willkommen! Mein Name ist Ankur Patel und ich arbeite für die Microsoft Identity Division. Ich freue mich über die großartige Gelegenheit, Ihnen hier einige unserer Erkenntnisse und die Zukunftsvision unserer Forschung über Blockchain-/Distributed Ledger-basierte dezentrale Identitäten vorstellen zu dürfen.

Die aktuelle Situation

Viele von uns erleben Tag für Tag, wie sich die Welt digital verändert. Digitale und physische Welten verschmelzen und schaffen die Grundlage für eine durchgehend moderne Lebensweise. Diese Entwicklung verlangt nach einem neuen Ansatz für digitale Identitäten, um die Privatsphäre und Sicherheit jedes Einzelnen in der physischen und digitalen Welt zu stärken.

Tausende Entwickler und Unternehmen sowie Milliarden von Endkunden nutzen bereits Cloud-Identitätssysteme von Microsoft für mehr Produktivität oder eine nahtlose Gaming-Erfahrung. Und das ist erst der Anfang, um jeden Einzelnen bestmöglich zu unterstützen. Wir streben nach einer Welt, in der Milliarden von Menschen eine nachweisbare Identität erhalten, um ihre Träume zu verwirklichen: eine gute Ausbildung für die Kinder, bessere Lebensqualität oder die Gründung einer sicheren Existenz.

Damit diese Vision Wirklichkeit wird, benötigt jeder Mensch eine digitale Identität, die nur ihm gehört und über die er umfassend selbst bestimmen kann. Statt zahllosen Anwendungen und Diensten Zugriff auf Daten zu erlauben und Identitätsdaten vielen Anbietern anzuvertrauen, benötigen Nutzer einen sicheren, verschlüsselten Digital Hub für die Speicherung und einfache Verwaltung ihrer Identitätsdaten.

Jeder von uns braucht eine digitale Identität, die nur ihm gehört und die alle Identitätsinformationen sicher und vertraulich speichert.  Diese eigene Identität muss einfach nachzuweisen sein und dafür sorgen, dass jeder Einzelne volle Kontrolle über den Zugriff und die Nutzung seiner Identitätsdaten behält.

Wir wissen, dass die Bereitstellung solcher selbstkontrollierten digitalen Identitäten die Möglichkeiten einzelner Unternehmen oder Anbieter übersteigt. Deshalb arbeiten wir eng mit Kunden, Partnern und der Community zusammen, um die nächste Generation digital nachweisbarer Identitäten auf den Weg zu bringen. Wir freuen uns über die Zusammenarbeit mit vielen Branchenpartnern, die maßgeblich zu unserer Vision beitragen.

Was wir gelernt haben

Im Folgenden stelle ich Ihnen unsere wegweisenden Ideen vor, die auf unserem jetzigen Wissen über dezentrale Identitäten beruhen. Unser Ziel ist es, unseren Nutzern eine vielseitige, vertrauenswürdige und nahtlose Erfahrung zu bieten und jedem Einzelnen die Kontrolle über seine eigene digitale Identität zu geben.

1. Die Kontrolle über die eigene Identität behalten. Heute ist es normal, dass Nutzer zahllosen Anwendungen und Diensten zwecks Erfassung, Nutzung und Aufbewahrung Zugriff auf ihre Daten erlauben. Angriffe auf Daten und Identitäten werden immer häufiger und raffinierter. Deshalb müssen Nutzer die Kontrolle über ihre Identität selbst in die Hand nehmen. Nach eingehender Prüfung dezentraler Speichersysteme, Konsensprotokolle, Blockchains und vielseitiger neuer Standards sind wir überzeugt, dass Blockchain-Technologie und -Protokolle eine solide Grundlage für Decentralized IDs (DID) sind.
2. Datenschutz als grundlegendes Konzept.
   Moderne Anwendungen, Dienste und Anbieter ermöglichen eine komfortable, vorhersagbare und personalisierte Nutzererfahrung, die jedoch von der Kontrolle identitätsgebundener Daten abhängt. Wir benötigen einen sicheren, verschlüsselten Digital Hub (ID Hub), der mit Nutzerdaten interagiert, ohne die Privatsphäre und Kontrolle zu gefährden.
3. Individuum und soziale Umgebung: die Basis für Vertrauen.
   Die meisten herkömmlichen Identitätssysteme sind auf Authentifizierung und Zugriffsverwaltung ausgerichtet. Im Mittelpunkt eines selbstverwalteten Systems stehen dagegen unverfälschte Identitäten und der Vertrauensaufbau durch die soziale Umgebung. In einem dezentralen System bilden Identitätsnachweise die Basis für Vertrauen. Diesen Zweck erfüllen „Claims“, die von Dritten verifiziert werden und als Nachweis von Identitätsattributen dienen.
4. Nutzerorientierte Entwicklung von Anwendungen und Services.
   Am attraktivsten für Nutzer sind Anwendungen und Services, die eine personalisierte Erfahrung bieten. Dazu muss jedoch Zugriff auf personenbezogene Daten (Personally Identifiable Information, PII) gewährt werden. DIDs und ID Hubs bieten Entwicklern Zugriff auf noch aussagekräftigere Nachweise. Gleichzeitig minimieren sie gesetzliche Compliance-Risiken, da Informationen verarbeitet, statt im Namen des Nutzers kontrolliert werden.
5. Offene interoperable Standards.
   Um ein stabiles, allgemein zugängliches Umfeld für dezentrale Identitäten zu schaffen, kommt es auf Technologien, Protokolle und Referenzimplementierungen nach Open Source-Standard an. Im letzten Jahr haben wir im Rahmen der Decentralized Identity Foundation (DIF) mit Einzelpersonen und Unternehmen zusammengearbeitet, die ähnlich motiviert an diese Herausforderung herangehen wie wir. Gemeinsam arbeiten wir an der Entwicklung folgender Schlüsselkomponenten:
   

• Decentralized Identifiers (DIDs) – eine W3C-Spezifikation für ein allgemeines Dokumentformat, das den Zustand eines DIDs beschreibt
  
• Identity Hubs – ein verschlüsselter Identitätsdatenspeicher, der Nachrichten-/Intent-Relays, Nachweisführung und identitätsspezifische Computing-Endpunkte bietet 
  
• Universal DID Resolver – ein Server zur Auflösung von DIDs zwischen Blockchains 
  
• Verifiable Credentials – eine W3C-Spezifikation für ein Dokumentformat, das DID-basierte Nachweise codiert   
  

6. Bereit für die weltweite Skalierung:
   Damit ein breites Umfeld an Nutzern, Unternehmen und Geräten unterstützt werden kann, darf die zugrunde liegende Technologie der Skalierungs- und Leistungsfähigkeit herkömmlicher Systeme in nichts nachstehen. Einige öffentliche Blockchains (Bitcoin [BTC], Ethereum, Litecoin, um nur einige zu nennen) bieten eine solide Grundlage für das DID-Routing, die Aufzeichnung von DPKI-Vorgängen und die Verankerung von Nachweisen. Es gibt Communitys, die die On-Chain Transaktionskapazität (z. B. durch Erhöhung der Blockgröße) forcieren. Doch dieser Ansatz greift die dezentrale Natur des Netzwerks an und lässt keinen Raum für die Durchführung von Millionen von Transaktionen im Sekundentakt (die Voraussetzung für weltweite Skalierung). Um diese technischen Hürden zu überwinden, arbeiten wir mit Partnern an dezentralen Layer-2-Protokollen, die auf öffentlichen Blockchains aufsetzen. Das Konzept eines weltweit skalierbaren DID-Systems wird dadurch aber in keiner Weise beeinträchtigt.
   
7. Gleicher Zugriff für alle:
   Noch sind Blockchains eine Spielwiese für Early Adopters, die bereit sind, Zeit, Arbeit und Energie in die Verwaltung von Schlüsseln und die Sicherheit von Geräten zu investieren. Von der Mainstream-Nutzung sind wir also noch ein ganzes Stück entfernt. Die nächste Herausforderung wird sein, wichtige Managementfunktionen wie Wiederherstellung, Rotation und sicheren Zugriff intuitiv und unkompliziert zu gestalten.
   

Unsere nächsten Schritte

Neue Systeme und Ideen sehen meist nur auf dem Whiteboard großartig aus, wo alles passend und stimmig erscheint. Den größten Erkenntnisgewinn haben Produkt- und Entwicklungsteams jedoch nach der Freigabe des Produkts.

Millionen Nutzer setzen die Microsoft Authenticator-App bereits täglich zur Bestätigung ihrer Identität ein. Als Nächstes werden wir das Thema dezentrale Identitäten angehen und die Microsoft Authenticator-App entsprechend erweitern. Die Zustimmung der Nutzer vorausgesetzt, verwaltet Microsoft Authenticator als Benutzer-Agent Identitätsdaten und kryptographische Schlüssel. Allerdings findet nur das IT-Rooting innerhalb der Blockchain statt. Die eigentlichen Identitätsdaten werden (für Microsoft nicht einsehbar) in einem ID Hub außerhalb der Blockchain gespeichert, der mithilfe dieser kryptografischen Schlüssel verschlüsselt wird.

Sobald wir die Funktion implementiert haben, werden Anwendungen und Services über ein gängiges Messagingsystem mit diesen Nutzerdaten interagieren und die Zustimmung der Nutzer abrufen. Anfangs werden wir eine ausgewählte Gruppe von DID-Implementierungen über Blockchains unterstützen. Weitere Implementierungen folgen in Zukunft.

Ein Blick in die Zukunft

Wir blicken der Zukunft gespannt und mit dem nötigen Respekt entgegen, wissen aber auch, dass nicht einer alleine diese große Herausforderung stemmen kann. Deshalb zählen wir auf die Unterstützung und die Mitarbeit unserer Allianzpartner aus der Decentralized Identity Foundation sowie der Entwickler, Entscheider, Businesspartner, Hardware- und Softwareanbieter aus dem Umfeld von Microsoft. Am wichtigsten ist jedoch das Feedback, das unsere Kunden uns zu den ersten Testszenarien geben.

Hiermit endet unser erster Blogbeitrag zum Thema dezentrale Identitäten. In zukünftigen Artikeln werden wir Sie über Machbarkeitsnachweise sowie technische Details zu den oben genannten Zielen informieren.

Wir freuen uns über jede Unterstützung auf unserem weiteren Weg.

Wichtige Infoquellen:

• Folgen Sie uns unter @AzureAD auf Twitter.
  
• Werden Sie Mitglied der Decentralized Identity Foundation (DIF).
  
• Werden Sie Mitglied der W3C Credentials Community Group.
  

Mit besten Grüßen,

Ankur Patel (@_AnkurPatel)

Principal Program Manager

Microsoft Identity Division

The post Dezentrale digitale Identitäten und Blockchains: unsere Sicht auf die Zukunft appeared first on Microsoft 365 Blog.

Heute haben wir auf der Microsoft Ignite zwei Highlights vorgestellt: unsere neue digitale Vision für Mitarbeiter in Service und Produktion und Microsoft 365 F1 – eine intelligente Komplettlösung für das ganze Unternehmen, die Office 365, Windows 10 und Enterprise Mobility + Security vereint.

Die Arbeitswelt hat sich verändert. Heute müssen Unternehmen neue Mitarbeitererwartungen erfüllen, ein dezentrales Team führen und kreative, innovative und teamorientierte Werkzeuge anbieten, um den Kunden und den Mitarbeitern gerecht zu werden. Ein modernes Arbeitsumfeld zeichnet sich durch vorausdenkende Mitarbeiter, eine innovative und pragmatische Unternehmenskultur und eine produktive Belegschaft aus. Von der Managementebene bis zu den Bereichen Service und Produktion muss jeder Einzelne einbezogen werden.

Weltweit arbeiten die meisten Menschen in den Bereichen Service und Produktion. Das entspricht zwei Milliarden Beschäftigten, die am Empfang, im Call-Center, im Gesundheitswesen, im Einzelhandel und im Außendienst tätig sind. Als erste Anlaufstelle für Kunden repräsentieren sie Ihre Marke und stehen hinter all Ihren Produkten und Dienstleistungen. Diese Mitarbeiter sind der Lebensnerv der weltweit größten Unternehmen und ein wesentlicher Faktor für den geschäftlichen Erfolg.

Technologie ist der Schlüssel, um Mitarbeitern in Service und Produktion ein intuitives, universelles und produktives Arbeiten zu ermöglichen. Mit den folgenden Enterprise-Produkten von Microsoft laufen Ihre Mitarbeiter in Service und Produktion zur Höchstform auf: Microsoft 365, Dynamics 365, Microsoft IoT, Microsoft AI und Microsoft HoloLens sowie das Windows Mixed Reality-Ökosystem.

Der nächste Meilenstein ist die Einführung von Microsoft 365 F1. Damit kommen wir unserer Vision, Mitarbeitern in Service und Produktion ein digitales Arbeitsumfeld zu bieten, ein ganzes Stück näher.

Die neue Rolle der Mitarbeiter in Service und Produktion

Microsoft 365 F1 bietet umfassende Funktionen und Werkzeuge, mit denen jeder seine Ideen in die Praxis umsetzen kann. Skype Meeting Broadcast fördert eine offene Arbeitskultur und Community (z. B. interaktive Townhall-Meetings), und Yammer ermöglicht den unternehmensweiten Austausch von Best Practices.

Microsoft 365 F1 sorgt für die einfache Qualifizierung und Weiterbildung Ihrer Mitarbeiter. Microsoft Stream stellt je nach Aufgabenfeld dynamische Inhalte und Videos bereit. Und SharePoint erleichtert die Einarbeitung und Schulung von Mitarbeitern sowie den zentralen Zugriff auf Firmenwissen.

Die Komplettlösung fördert produktive, digitale Geschäftsprozesse. Microsoft StaffHub hilft Mitarbeitern in Service und Produktion, ihren Arbeitsalltag zu organisieren, und Microsoft PowerApps und Flow unterstützen die Automatisierung von Routineaufgaben. Heute stellen wir neue StaffHub-Funktionen vor, zum Beispiel die Arbeitszeiterfassung und die Aufgabenverfolgung. Mithilfe von StaffHub können Ihre Mitarbeiter einfacher in Kontakt bleiben. Ebenfalls integriert sind die Chatumgebung Microsoft Teams – der zentrale Ort für Teamarbeit – und das soziale Unternehmensnetzwerk Yammer. Allgemeine APIs ermöglichen den Kunden, StaffHub mit Systemen für die Personaleinsatzplanung usw. zu verbinden.

Microsoft 365 F1 sorgt für schlankeres IT-Management, weniger Kosten und mehr Sicherheit – sowohl von Anwendern als auch von Endpunkten. Azure Active Directory unterstützt das Identitäts- und Zugriffsmanagement, Microsoft Intune sorgt für sichere Geräte, und neue Windows 10-Funktionen erleichtern die Anwendungsverwaltung: Windows Assigned Access ermöglicht die Konfiguration von Geräten für einen bestimmten Zweck und Windows AutoPilot die automatisierte Bereitstellung.

Wir haben erkannt, dass Mitarbeiter in Service und Produktion optimierte und sichere Geräte benötigen, die minimale Gesamtbetriebskosten verursachen. Wie heute bekanntgegeben, haben unsere OEM-Partner HP, Lenovo und Acer neue Geräte mit dem Betriebssystem Windows 10 S in den Handel gebracht. Bei einem Einstiegspreis von 275 USD bieten diese Geräte identitätsorientierte Sicherheit und einfaches Cloud-Management und sind für den Einsatz in Service und Produktion hervorragend geeignet.

Wir wollen dazu beitragen, dass Ihre Mitarbeiter in Service und Produktion ihr Bestes leisten. Und das ist erst der Anfang!

Erfahren Sie mehr über unsere Vision. Besuchen Sie unsere neue Seite für Mitarbeiter in Service und Produktion, um sich über den Produktumfang von Microsoft 365 F1 zu informieren.

– Bryan Goode

The post Microsoft 365 – eine Lösung für das ganze Unternehmen appeared first on Microsoft 365 Blog.