Risiko-Analyse als Basis der notwendigen Authentifikation in der Praxis

Der Nutzen adaptiver Authentifikation erschließt sich vielen Anwendern mobiler oder web-basierter Lösungen sofort, bietet dieser Mechanismus doch eine erhebliche Verbesserung der Benutzerfreundlichkeit und eine deutliche Erhöhung der Sicherheit im Bedarfsfall. Gleichermaßen ist der Einsatz von adaptiver Authentifikation für die Anbieter von Online-Diensten erstrebenswert oder für das Unternehmen, das Mitarbeitern oder Partnern gesicherten Zugriff auf Unternehmensressourcen im Rechenzentrum oder in der Cloud anbieten wollen: Der Nutzen reicht hier, neben der offensichtlich erhöhten Sicherheit und damit eines deutlich geringeren Risikos (Google etwa geht nach der Einführung adaptiver Authentifikation für Google Mail von 99,7 Prozent weniger kompromittierten Accounts aus), von geringeren Helpdesk-Aufwänden bis hin zu erleichtertem Nachweis der Erfüllung von Compliance-Anforderungen.

Doch es stellt sich die Frage, wie adaptive Authentifikation in bestehende oder neue Lösungen integriert werden kann und welcher Aufwand hierfür nötig wird. Welche Komponenten sind hierfür notwendig und wie erreicht man eine angemessene Zukunftssicherheit der Lösung?

Adaptive Authentifizierung vs. weiterer Faktor

Wichtig ist es, vorab zwischen den Authentifikationsmechanismen und der eigentlichen Entscheidungsfunktion, ab wann eine stärkere Authentisierung benötigt wird, zu unterscheiden. Von der Anwendungslogik sind die Mechanismen zur starken Authentifikation weitgehend isoliert zu betrachten. Jeder weitere Faktor der als Nachweis der Identität eines Anwenders herangezogen werden kann, sollte im Idealfall im Gesamtsystem individuell ergänzt oder wieder entfernt werden können, ohne die grundlegende Funktionalität der adaptiven Authentifikation und der durch sie implementierten Risikoermittlung zu beeinflussen. So können auch neue, heute vielleicht noch nicht gebräuchliche Faktor für die Authentisierung transparent nachgerüstet werden, ohne einen Seiteneffekt auf die eigentliche Bewertung des mit einer Funktion und einer Sitzung verbundenen Risikos in ihrer Implementation zu haben.

Schon heute umfassen mögliche zusätzliche Faktoren eine Vielzahl gebräuchlicher Mechanismen. Diese reichen von USB-Devices und Smartcards über biometrische Faktoren zu Zertifikaten, und von Out-of-band-Kommunikation (via SMS, Mail, oder automatisiertem Anruf außerhalb der zu überprüfenden Session) zu Software-basierten Einmalpasswörtern oder den eher berüchtigten personalisierten Sicherheitsfragen. Dennoch kann das transparente Nachrüsten von neuen Identifikationsmechanismen notwendig werden und sollte als Update ohne Auswirkung auf bereits bestehende Mechanismen möglich sein. Hier ist in Zukunft mit steigendem Nutzungsgrad innerhalb der Bevölkerung der neue Personalausweis ein möglicher Kandidat für eine starke Authentifizierung in der Kommunikation mit Behörden und besonders in Deutschland aktiven Unternehmen.

Risikobewertung und ihre Gundlagen

Die eigentliche Beurteilung der Verlässlichkeit der aktuellen Sitzung erfolgt anhand der vorliegenden und auswertbaren Parameter der Verbindung. Die Ermittlung des oft als Risk Score bezeichneten Ergebnisse erfolgt in Form einer komplexen Auswertungsfunktion innerhalb des zugriffsgewährenden Systems auf der Basis maßgeschneiderter Regeldefinition für den jeweiligen Anwendungsfall. Um hier schnell zu brauchbaren und angemessen sicheren Ergebnissen zu kommen, sollte auf best practice-Erfahrungen des Herstellers oder Service-Anbieters für die Konfiguration von Entscheidungsregeln herangezogen werden. Je nachdem, ob eine Web Applikation über einen Browser oder eine mobile Applikation mit ihrem Backend kommuniziert, können unterschiedliche Parameter zum Tragen kommen.

Hier können die unterschiedlichen am Markt verfügbaren Systeme (hier seien beispielhaft RSA als Security Division von EMC, CA Technologies, Entrust oder SecureAuth als Anbieter genannt) auf eine Vielzahl von Faktoren zugreifen. Hierzu gehört etwa die Analyse der IP-Adresse des Anwenders, wobei ein erster Schritt der Prüfung der Adresse gegen bekannte Sperrlisten ist. Ein interessanter Teilbereich der Analyse ist die Prüfung der Geolocation des Zugriffs, wobei die IP-Adresse einem Herkunftsland oder deutlich enger fassbaren Ausgangspunkten zugeordnet werden. Damit lassen sich im Zuge der Risikoermittlung Fragen beantworten wie „Kommt der Zugriff aus einem erwarteten Land?“, „Hat dieser Anwender schon einmal von dieser Lokation zugegriffen („location history“)?“, oder „Kommen die Zugriffe dieses Anwenders in kurzen Abständen von unterschiedlichen Ausgangspunkten, die in dieser Frequenz nicht sinnvoll physikalisch erreichbar sind („geo-velocity“)?“ Auch Informationen über das verwendete Gerät (etwa über „device fingerprints“) können aktuell und im Abgleich mit historischen Informationen als Basis der Ermittlung unerwarteter oder ungewöhnlicher Verhaltensweisen des Anwenders herangezogen werden.

Integration in klassisches Identity und Access Management

Speziell im Unternehmenseinsatz hat sich der Einsatz von Identity und Access Management Systemen (IAM) weitgehend durchgesetzt. Diese regeln den Zugriff auf kritische und schützenswerte Systeme von innen wie von außen. Damit können Interaktionen mit den Anwendungen aus dem Unternehmen heraus, aber auch durch externe Mitarbeiter, Partner oder Kunden, sowohl von mobilen Devices oder von Heimarbeitsplätzen gesteuert und dokumentiert werden. Hersteller solcher Systeme ergänzen heute schon ihre Access Management Systeme um genau die benötigten Funktionalitäten, die herangezogen werden, um eine Aussage über die Verlässlichkeit der aktuell vorliegenden Identifizierungsqualität zu treffen. Gleichzeit wird diese mit der Kritikalität der angeforderten Funktionalität in Beziehung gesetzt. Für den Fall, dass eine zusätzliche Absicherung der aktuellen Benutzersitzung angeraten ist, kann dann regelbasiert eine zusätzliche Authentifizierung angefordert werden.

ANZEIGE

European Identity & Cloud Conference 2017

The European Identity & Cloud Conference 2017, taking place May 9 – 12, 2017 at the Dolce Ballhaus Forum Unterschleissheim, Munich/Germany, is Europe’s leading event for Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), as well as Cloud Security. For the 11th time the EIC will offer best practices and discussions with more than 700 participants from worldwide companies including most of the leading vendors, end users, thought leaders, visionaries and analysts.

Integration auf mehreren Ebenen

Da Adaptive Authentication oft bei Anwendungen zum Einsatz kommt, die mehrere autoritative Quellen für Benutzerdaten benötigen, ist es sinnvoll, diese Information im Rahmen von Federation (dem standardisierten Zugriff auf vertrauenswürdige Benutzerinformation) durch den jeweiligen IdP (Identity Provider) zur Verfügung zu stellen. Je nach Einsatzbereich erfolgt die Einbindung der adaptiven Authentifizierung: In einfacheren Szenarien kann dies über die Nutzung von Web Application Firewalls erreicht werden, die beim Zugriff auf unterschiedliche URLs dynamisch Zugriff gewähren und auf Basis des jeweils ermittelten Risk Scores auch weitere Authentifizierungsfaktoren einfordern können.

Für die Nutzung in komplexeren Szenarien stellen die gebräuchlichen Systeme Programmierschnittstellen (RESTful APIs) zur Verfügung, so dass Entwickler von Web-Applikationen oder von Infrastrukturen für mobile Anwendungen detailliert eine tiefgreifende Integration in ihren Applikationen vornehmen können. Somit können auch selbstentwickelte Anwendungen direkt von den Vorzügen der Adaptive Authentifizierung profitieren.

CIAM as a Service.

Gerade für Systeme, die im Internet auf Kunden und damit eine Vielzahl von externen Nutzern ausgerichtet sind, hat sich in der Vergangenheit eine Gruppe von speziell hierauf spezialisierten Anbietern (beispielhaft Gigya und wiederum CA) herausgebildet, die das Nutzermanagement von der Registrierung bis zum Zugriff auf die Anbietersysteme „as a Service“ und damit als Cloud-basierende Appliance abdecken. Diese als Customer Identity and Access Management (CIAM) bezeichneten Systeme stellen damit unter anderem auch die Funktionalität der Adaptiven Authentifizierung als Modul einer in der Cloud implementierten Gesamtlösung bereit. Diese bieten damit auch die notwendige Sicherheit als Teil der Dienstleistung an und stellen erprobte und kontinuierlich validierte Praxiserfahrungen zur Verfügung, etwa über negativ bewertete Netzwerksegmente als Ausgangspunkt unerwünschter Zugriffe.

Ergänzende Threat Analytics

Ein zentraler Aspekt bei der Beurteilung von Verbindungen und Zugriffen ist offensichtlich die Verfügbarkeit von vollständigen und hochaktuellen Informationen, die bei einer Risiko-orientierten Beurteilung herangezogen werden können. Diese kann ein Anwenderunternehmen nur bedingt selbst bereitstellen. Deshalb ist die Nutzung der Expertise der Anbieter von Systemen für adaptive Authentifizierung oft mit Bestandteil der eigentlichen Dienstleistung. Darüber hinaus ist die Einbindung von hochaktuellen Risiko-Informationen aus zusätzlichen, externen Quellen sinnvoll und möglich. Dies haben wiederum auch die Hersteller erkannt und nutzen hierfür auch direkt, etwa über Partnerschaften mit etablierten Anbietern von „Live Threat Intelligence“-Informationen deren Angebote, über die diese zusätzliche Qualität an Echtzeit-Bedrohungsinformationen in die Entscheidungsgrundlagen für jeden einzelnen Authentifizierungsvorgang einfließen kann.

Es ist zu erwarten, dass die Nutzung von adaptiver Authentifizierung schnell den Status einer angenehmen Zusatzfunktionalität verlieren wird und in Zukunft für viele Anwendungsbereiche, gerade auch kritischere, als Grundvoraussetzung gelten wird. Ein strategischer Aufbau interner Kompetenzen zu diesem hochrelevanten Thema und eine sukzessive, auch wieder risiko-basierte Integration in existierende und neue Systeme kann damit nur empfohlen werden.

AUTOR

Matthias Reinwarth ...

... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

7 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

8 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

8 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

9 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

11 Stunden ago