Ein Projekt vom

Institut für Internet-Sicherheit

Jetzt für den Master bewerben!

Förderer

Partner

Live-Hacking

   

securityNews

Aktuelle Sicherheitsupdates

Aktuelle IT-Sicherheitslage

info    Gefahr durch Schwachstellen
info    Malware-Aktivität
info    Spam-Aktivität
Stand: 20.11.2017, 09:11Uhr

Expertenkommentar

Prof. Norbert Pohlmann

Institut für Internet-Sicherheit – if(is)

„Professionelle Hacker sind immernoch in der Lage, unsere Systeme anzugreifen. Wir haben zu viele Fehler in der Software, worüber man erfolgreich hacken kann. Außerdem ist Malware eines der größten Probleme, das wir haben. Der Schutz vor Malware ist nach wie vor ungenügend. (...)“ [mehr]

Entscheidung zwischen Zwei- und Multifaktor-Authentifizierung erfordert adaptiven Ansatz

Das einfache Passwort zum Schutz von Daten sollte längst ausgedient haben und die Zweifaktor-Authentifizierung ein Kernelement jeder Sicherheitsstrategie sein. In vielen Fällen ist zudem auch eine Multifaktor-Authentifizierung zwingend erforderlich. Jedes Unternehmen sollte eine adaptive Vorgehensweise bei der Einführung einer Authentifizierungslösung wählen, die eine optimale Balance zwischen Sicherheit und Benutzerkomfort gewährleistet.

Bei der Entscheidung zwischen einer Zwei- und einer Multifaktor-Authentifizierung sind vor allem zwei Dinge zu berücksichtigen. Zum einen muss nicht jedes Unternehmen, das Kundendaten verwaltet, zwangsläufig eine Lösung für die starke Multifaktor-Authentifizierung implementieren. Zum anderen muss auch immer eine Lösungsumgebung geschaffen werden, die nicht zu einer Beeinträchtigung des Mitarbeiter- oder Kundenkomforts führt. Hier die richtige Balance zu finden, ist die entscheidende Aufgabe.

Zweifaktor-Authentifizierung weist Grenzen auf


Die Zweifaktor-Authentifizierung besteht aus der Kombination von zwei Faktoren zur Identifizierung eines Benutzers. Für solche Faktoren können Elemente aus den Kategorien Besitz – etwa ein Smartphone oder eine Smartcard – und Wissen – etwa ein Passwort oder eine PIN-Nummer – herangezogen werden.

Aus Sicht des Anwenders stellt die Zweifaktor-Authentifizierung keine größere Beeinträchtigung dar, da die Passwort- oder PIN-Eingabe seit Langem gängige Praxis ist. Die Balance zwischen positiver Anwendererfahrung und einem relativ hohen Sicherheitslevel ist damit gewährleistet und folglich sollte die Zweifaktor-Authentifizierung auch von jedem Unternehmen genutzt werden, und zwar als minimaler Authentifizierungsstandard.

Abbildung 1 (Multifactor authentication.jpg):
Die richtige Authentifizierungslösung muss eine optimale Balance zwischen Sicherheit und Benutzerkomfort gewährleisten. (Quelle: HID Global)


Allerdings darf nicht unterschlagen werden, dass jedes Unternehmen ein individuelles Anforderungsprofil hat und dass es keine One-size-fits-all-Lösung für die sichere Authentifizierung geben kann. Deshalb kann die Zweifaktor-Authentifizierung in einigen Fällen auch zu kurz greifen: Das betrifft zum Beispiel Anwendungen und Transaktionen im Bankenbereich, hier reichen zwei Faktoren nicht für einen adäquaten Schutz vor externen Gefahren aus. Eine starke Authentifizierung ist allein schon aufgrund aktueller und künftiger Rechts- und Verwaltungsvorschriften unerlässlich.

Eine zusätzliche Sicherheitsebene für die vertraulichen Daten


Einige Unternehmen arbeiten mit Daten, die nicht sicherheitskritisch sind, ein Datenverlust hätte dann nicht unweigerlich finanzielle oder geschäftliche Auswirkungen. Für solche Unternehmen ist eine Zweifaktor-Authentifizierung in der Regel ausreichend.

Da allerdings immer mehr Unternehmen mit Kunden über Online- oder mobile Kanäle interagieren, sind zunehmend persönliche, vertrauliche Daten zu berücksichtigen, die entsprechend geschützt werden müssen. Für solche Unternehmen kann ein Datendiebstahl aufgrund unzureichender Authentifizierungsverfahren ernste Folgen haben, sowohl unter finanziellen als auch unter Reputationsgesichtspunkten. Aus diesen Gründen sollten die Unternehmen über die Zweifaktor-Authentifizierung hinausgehen und eine Multifaktor-Authentifizierung nutzen.

Bei der Multifaktor-Authentifizierung werden üblicherweise traditionelle besitz- und wissensbasierte Faktoren um eine weitere Komponente aus den Bereichen Eigenschaft oder Verhalten ergänzt, ein Beispiel hierfür sind biometrische Merkmale.

Hoher Benutzerkomfort erfordert adaptive Sicherheitsstrategie


Der Vorteil einer Multifaktor-Authentifizierung hinsichtlich Sicherheit ist offensichtlich. Eine Frage stellt sich dabei aber: Wenn eine Multifaktor-Authentifizierungs-Lösung eine effiziente Möglichkeit darstellt, Bedrohungen zuverlässig auszuschließen, warum sollte sie dann nicht von allen Unternehmen und durchgängig eingesetzt werden? Die Antwort liegt in der Bedeutung einer positiven User Experience.

Eine Authentifizierungsprozess muss nicht nur zu einer hohen Sicherheit beitragen, er muss auch für Kunden und Mitarbeiter so ein-fach wie möglich sein. Aus diesem Grund ist ein adaptiver Sicherheitsansatz extrem wichtig, das heißt, die richtige Balance zwischen positiver User Experience und hoher Sicherheit zu finden, ist von essenzieller Bedeutung.

Mit jedem zusätzlichen Sicherheitslayer wird die Authentifizierung für den Endanwender aufwändiger. Wenn es um eher unwichtige Daten geht, sollte der Anwender also nicht notwendigerweise mehrere Authentifizierungsschritte für den Zugriff auf seinen Online- oder Mobile-Account benötigen. Umgekehrt sollte im Zusammenhang mit hochvertraulichen Daten, wie sie etwa beim Online- und Mobile-Banking anfallen, eine Multifaktor-Authentifizierung einen unverzichtbaren Minimalkompromiss hinsichtlich Benutzerkomfort und Sicherheit darstellen.

Das Motto muss aber immer lauten: starke Authentifizierung ohne Beeinträchtigung der User Experience. So ist es beispielsweise einerseits auf jeden Fall sinnvoll, eine Zweifaktor- oder sogar Multifaktor-Authentifizierung für die Mobile-Banking-Sicherheit zu nutzen, andererseits ist aber zu berücksichtigen, dass der Anwender auch nicht zu viel Zeit für die Überprüfung seiner Identität und Zugriffsrechte bei der Abfrage seines Kontostands oder bei der Durchführung einer Überweisung verlieren will. Die Kundenbeeinträchtigung kann ohne Abstriche hinsichtlich der Sicherheit etwa minimiert wer-den, indem die Anmeldung des Nutzers durch Verfahren wie Geolokation, verhaltensbasierende Authentifizierung oder Geräteidentifikation unterstützt wird, die transparent für den Nutzer im Hintergrund ablaufen und eine zusätzliche Sicherheitsebene bieten.

Unterschiedliche Anwendungsfälle benötigen unterschiedliche Sicherheitslösungen


Insgesamt muss jedes Unternehmen im Hinblick auf die Einführung eines Authentifizierungsverfahrens die konkreten eigenen Anforderungen ermitteln und davon abgeleitet einen individuellen Lösungsansatz finden. Die Herausforderung für Unternehmen liegt dabei darin, eine Lösung zu finden, die einerseits hohe Sicherheit garantiert, andererseits aber auch eine positive User Experience bietet. Schließlich wird die Akzeptanz der Nutzer das ausschlaggebende Kriterium für den Erfolg oder Misserfolg des Authentifizierungsverfahrens sein.

Autor:
Marc T. Hanne, Director of Sales EMEA and India, IAM Solutions, IAM Solutions, HID Global
Siehe auch Marc Hanne.jpg (Quelle: HID Global)

Datum: 04.09.2017
Die News wird bereitgestellt von: itsicherheit-online.com