Adaptive Authentifizierung: immer die richtige Sicherheit

Die kontinuierlichen und drastischen Berichte über Sicherheitsvorfälle, die nicht zuletzt mit unser aller Authentifizierungsinformationen (Benutzername und Passwort) als Anwender einer Vielzahl von Diensten in Verbindung stehen, bilden die „steten Tropfen“, die dafür sorgen, dass ein gesteigertes Bewusstsein für den Schutz persönlicher, aber auch grundlegend kritischer Informationen entsteht. Nicht mehr nur klassische IT-Nerds oder von Berufs wegen dazu verpflichtete Anwender gehen heute den notwendigen Schritt und aktivieren wann immer möglich sicherere Authentifizierungsmechanismen in Ihrem täglich genutzten Diensten. Vielmehr setzt sich diese Erkenntnis auch bei vielen Anwendern zunehmend durch. Dies ist uneingeschränkt zu begrüßen. Auch Sie sollten diese Möglichkeiten nutzen, etwa für Ihren Google-, Dropbox- oder Microsoft-Account.

MFA: Wissen, Haben, Sein

Zum Einsatz kommt hier die so genannte Multifaktor-Authentifizierung (MFA), die dafür sorgt, dass das klassische Duo aus Benutzernamen und Passwort mit all seinen bekannten und dokumentierten Schwächen bei Bedarf dadurch ergänztwird, indem weitere identifizierende Merkmale (Faktoren) herangezogen werden. Hier haben sich in der Praxis eine Vielzahl von zusätzlichen Merkmalen durchgesetzt, die sich grob in folgende Kategorien aufgliedern lassen:

Hier ist als erstes das Individuelle Wissen eines Anwenders oder einer Anwenderin zu nennen, das im Idealfall mit niemandem geteilt wird und das daher nur durch diese Person bereitgestellt werden kann. Hierzu gehören neben den klassischen Passwörtern auch Informationen, die gerne in (von der tatsächlichen Sicherheit ganz sicher als kritisch zu betrachtenden) Sicherheitsfragen abgefordert werden.

Die zweite Gruppe stellen Informationen dar, die aus dem resultieren, was sich im Besitz eines Benutzers, Eventuell auch nur kurzfristig, befindet. Hierzu gehört der klassische RSA SecurID Token, den viele Anwender aus Ihrem beruflichen Umfeld kennen und der zeitgesteuert kurzfristig gültige, individuelle Codes generiert. Nutzer von Banken und Sparkassen kennen ähnliche Generatoren von kurzfristig gültigen Einmalpasswörtern, die zusätzlich noch die Konto Karte (Kreditkarte oder bankspezifische Karte) als Nachweis der Identität und damit als weiteren Faktor erfordern. Ist das Mobiltelefon verlässlich mit der Identität eines Anwenders verknüpft, kommen häufig per SMS zugesandte Einmalpasswörter zum Einsatz. Gleiches gilt für den Einsatz der so genannten Authenticator-Anwendungen, die heute schon auf eine Vielzahl von Mobiltelefonen zum Einsatz kommen, etwa der Google Authenticator. Auch dieser produziert vergleichbar der oben genannten Hardware-Tokens, aber eben auf Softwarebasis im iOS oder Android-Device zeitgesteuert Einmalpasswörter, die mittlerweile für eine Vielzahl von Diensten angeboten werden können.

Die Google Authenticator-App unter iOS als Lieferant von One Time Passwörtern (OTP) (Screenshot: Matthias Reinwarth).

Die dritte Gruppe sind sogenannte biometrische Faktoren, Faktoren also, die direkt oder indirekt mit der physikalischen Identität also den Körper des jeweiligen Anwenders verbunden sind. Für viele Anwender von mobilen Geräten ist die Identifikation mit dem Fingerabdruck heute schon fast selbstverständlich. Mit vergleichbaren Faktoren können die Nutzer von Windows Hello auf Windows 10 etwa durch die Identifikation über die Gesichtsform oder einen Kamerascan der Iris einen Zugriff auf ihr System erreichen.

Intelligentes Erkennen der notwendigen Vertrauenswürdigkeit

Doch wie oft wird im Rückblick über die vergangene online Sitzung klar, dass gerade in diesem Fall gar keine sicherere Authentifizierung notwendig gewesen wäre. Der virtuelle Schaufensterbummel auf dem Online-Shoppingportal ohne tatsächlichen Einkauf oder die Recherche auf der Bank-Webseite nach den Öffnungszeiten der nächsten Filiale erfordert nicht unbedingt eine Authentifizierung, mit der man auch einen Einkauf oder eine Buchung hätte vornehmen können. Meist gilt, dass nur ein Bruchteil der Interaktionen tatsächlich die Kritikalität aufweisen würde, die eine starke Authentifizierung rechtfertigen würde.

ANZEIGE

European Identity & Cloud Conference 2017

The European Identity & Cloud Conference 2017, taking place May 9 – 12, 2017 at the Dolce Ballhaus Forum Unterschleissheim, Munich/Germany, is Europe’s leading event for Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), as well as Cloud Security. For the 11th time the EIC will offer best practices and discussions with more than 700 participants from worldwide companies including most of the leading vendors, end users, thought leaders, visionaries and analysts.

Genau an diesem Punkt setzt die sogenannten adaptive Authentifikation an. Sie setzt mehrere Dimensionen einer online-Transaktion miteinander in Relation. Die Identifikation der Kritikalität einer angeforderten Funktion beschreibt die erste Dimension: pro möglicher Transaktion ist zu definieren, welche Kritikalität ihr zuzuordnen ist. Das ist aber nur selten global möglich, in den meisten Fällen ist die Identität des zugreifenden Anwenders ebenfalls zu betrachten, da je nach individuellen Berechtigungen (etwa aus dem Unternehmens-IAM im Organisationsumfeld) können gleiche oder ähnliche Funktionalitäten für unterschiedliche Benutzer durchaus unterschiedliche Kritikalität haben.

Schrittweise zur starken Authentifikation

Das erlaubt nun beispielsweise, dass ein Anwender zu Beginn einer Onlinesitzung erst einmal mit einer nur schwachen Authentifikation beginnen kann, um grundlegende Funktionen anzufordern. Fordert er nun eine für seine Identität als höher risikobehaftet eingeschätzte Funktion an, wird dies erst auf Basis einer stärkeren Authentifikation mit einem weiteren Faktor möglich. Diese sogenannte Step-Up-Authentifikation hebt den Zugreifenden schrittweise auf eine höhere Ebene der Vertrauenswürdigkeit, verbessert also die Sicherheit für die so abgesicherten Transaktionen um das erforderliche Quantum. Mit Blick auf die User Experience ist dies ebenfalls ein klarer Gewinn, da ein erheblicher Teil der Sitzungen ohne diese zusätzliche Authentifikation durchgeführt und abgeschlossen werden kann, damit den doch oft hinderlichen Verwaltungsschritt vermeiden hilft.

Den Kontext mitbetrachten

Adaptive Authentifikationsmechanismen bieten aber noch eine weitere, zusätzliche Dimension, die die IT- und Systemsicherheit erheblich verbessern kann: Neben Identität und Kritikalität der angeforderten Funktion können darüber hinaus noch Informationen herangezogen werden, die zum Laufzeit einer Sitzung vorliegen. Hierbei wird von Kontextinformationen gesprochen, die durchaus erhebliche Auswirkungen auf die Beurteilung einer Sitzung und damit auf die Art und Stärke der notwendigen Authentifikation haben können. Denkbar sind hier Informationen über die Netzwerk-Rahmenbedingungen (Wo liegt der Ursprung der Verbindung?  Ist es eine VPN-Verbindung?), das zugreifende Gerät und dessen Betriebssystemversion, die lokale Uhrzeit und die dort gültige Zeitzone. Auch die Frage, ob dieses Gerät bereits als vertrauenswürdig und angemessen abgesichert bekannt ist, kann eine wichtige Information sein. Auch der Abgleich mit vorliegenden historischen Referenzinformationen ist also denkbar und sinnvoll.

Gleich ist nicht identisch

Der Zugriff auf kritische Funktionen innerhalb eines Unternehmensportals mit der Identität eines zu Recht hoch berechtigten Accounts wird vermutlich unterschiedlich beurteilt werden, je nach Identifikation der konkreten Kontextinformationen: Erfolgt dieser Zugriff via VPN aus einem bekannten Netz in einem zu erwartenden Ursprungsland zu üblichen Bürozeiten von einem aktuellen, umfassend gepatchten System ist das de facto ein anderer Zugriff, als wenn die identische Anfrage um vier Uhr morgens aus einem Land, das nicht erwartet wird, dafür aber mit hoher Affinität zu Hackeraktivitäten aufwartet, von einem Android-Gerät mit eher historischem Betriebssystemstand erfolgt. In solch einem Fall ist auf der Basis der adaptiven Authentifikation die Anforderung einer oder mehrerer stärkerer Authentifikationsfaktoren, die vollständige Verweigerung des Zugriffs auf kritische Funktionen oder der Abbruch der gesamten Sitzung denkbar. Ein Abbruch ist denkbar, weil im Zweifelsfall schon der fehlgeschlagene Versuch eines als unberechtigt zu bewertenden Zugriffs das Risiko als zu hoch erachten lässt.

Direkter Nutzen für Sicherheit und Benutzer

Adaptive Authentifizierung stellt einen wichtigen Baustein für die Absicherung praktisch jeder authentifizierten Online-Verbindung dar. Sie erhöht grundlegend das Sicherheitsniveau, ermöglicht Risiko-orientierte Berechtigungen und betrachtet dabei relevante Kontextinformationen. Und nicht zuletzt ermöglicht sie für als unkritisch erkannte Zugriffe die Vermeidung der Notwendigkeit von Multifaktor-Authentifizierungsvorgängen, was (auf den ersten Blick paradoxerweise) gerade auch die Akzeptanz dieses unbestritten essentiellen Sicherheitskonzeptes verbessern helfen kann.

Ist eine derartige, dynamische Anpassung des Grads der Authentifizierungsqualität heute noch eher in Einzelfällen anzutreffen, so überwiegen die hier beschriebene Vorzüge die Aufwände für eine Umsetzung bei weitem, auch wenn sie sich nicht direkt in einen ROI umrechnen lassen. Nicht zuletzt zwingt diese Vorgehensweise, wird sie denn richtig ein- und durchgeführt, zu einer umfassend risikoorientierten Betrachtung der implementierten Prozesse, was schon aus Sicht einer angemessenen Governance grundlegend einen erheblichen Mehrwert darstellt.

AUTOR

Matthias Reinwarth ...

... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago