All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Identity- und Access-Management, Fachartikel

Dynamisch anmelden

Dynamisch anmelden

Jan Valcke, COO von VASCO Data Security

Dass die Mehrfaktor-Authentifizierung eine deutlich sicherere Alternative zum statischen Passwort ist, hat sich mittlerweile herumgesprochen, auch wenn nach wie vor die meisten Online-Anwendungen nur diese rudimentäre Zugangsbarriere bieten. Doch auf der anderen Seite ist ein höheres Sicherheitsniveau in vielen Applikationen zwar manchmal, aber nicht immer erforderlich, und in so einem Fall wird eine Mehrfaktor-Authentifizierung vom Anwender als lästig empfunden. Eine dynamische, risikobasierte Authentifizierung kann ein hohes Sicherheitsniveau mit der Anwenderfreundlichkeit versöhnen.

Die Verwendung stärkerer Authentifizierungstools mit mehrere Faktoren hat eine lange Geschichte und stammt ursprünglich aus der Zeit vor dem Web. Mancher erinnert sich wahrscheinlich noch die biometrischen Handscanner, die an vielen Zugängen zu Rechenzentren installiert waren. Auch heute gibt es vor allem auf Smartphones eine Vielzahl von biometrischen Ansätzen, die Fingerabdrücke oder gar die Stimme zur Authentifizierung verwenden. Zudem gibt es Dutzende von Anbietern, die Einmalpasswort-Token in verschiedenen Formen und Formaten anbieten. Dazu gehören einige sehr clevere Software-basierte Tokens, die auf Smartphones laufen, wie zum Beispiel solche, die QR-Codes erkennen.

Zahlreiche Unternehmen wie Google, Apple, Twitter, Facebook und LinkedIn setzen mittlerweile auf Multi-Faktor-Authentifizierung zur Stärkung ihrer Benutzer-Logins. Das ist zwar ein guter Start, aber in vielen Fällen etwas umständlich, so dass die Benutzer diese Tokens nicht immer gerne verwenden. IT-Verantwortliche tolerieren Tokens, doch sie erfordern einen durchaus nennenswerten Integrationsaufwand. Tokens haben ihre Grenzen und adressieren in der Regel nur einen einzigen Bedrohungsvektor. So sind einige Systeme gut geeignet zur Absicherung von  E-Commerce-Anwendungen, nicht aber für den sicheren Fernzugang zu Unternehmensnetzen oder zur Verhinderung von Kartenbetrug. Multifaktor-Methoden müssen daher weiterentwickelt werden, um bessere Sicherheitsverfahren zu erhalten.

Einfach einzusetzende Kits für Man-in-the-Middle-Angriffe und andere Fortschritte in der Malware-Entwicklung ermöglichen es heute auch weniger gut ausgebildeten Angreifern, ein breites Spektrum von Online-Anwendungen zu attackieren. Zwar schützen sich die Unternehmen mit geeigneten Systemen gegen viele dieser Bedrohungen, doch diese verschiedenen Sicherheits-Tools lassen sich nicht unbedingt gut integrieren und arbeiten nicht notwendigerweise gut miteinander. Viele konzentrieren sich darüber hinaus auf Cloud- oder Web-basierte Dienste wie etwa E-Commerce-Anwendungen und können nicht für die Absicherung von Windows-oder Netzwerk-Logins eingesetzt werden. Zudem sind sie unflexibel und erwarten immer die gleiche Art der Authentifizierung, unabhängig von der jeweiligen Kundenaktion. In vielen Anwendungen führt dies dazu, dass eine stärkere Authentifizierung gefordert wird als eigentlich nötig, was die Kundenzufriedenheit in der Regel nicht erhöht.

Risikobasierte Authentifizierung

Eine flexiblere Alternative zu klassischen Multifaktor-Authentifizierungsmethoden ist die risikobasierte Authentifizierung (RBA); gelegentlich spricht man auch von kontextabhängiger Authentifizierung oder adaptiver Zugangskontrolle. Die Idee dieser RBA besteht darin, jegliche Zugriffsentscheidungen auf einer dynamischen Abfolge von Umständen und Ereignissen zu stützen. Diese Abfolge stellt dabei einen zusätzlichen Authentifizierungsfaktor dar. Der Zugriff auf eine bestimmte Geschäftsanwendung geht in einem solchen Szenario durch eine Reihe von Vertrauenshürden, wobei risikoreichere Anwendungen eine stärkere Authentifizierung verlangen als risikoärmere. Diese Bewertung kann wie andere Multifaktor-Verfahren in Echtzeit erfolgen.

Die Risikoanalyse erfolgt geräuschlos im Hintergrund, wobei jeder Login auf der Grundlage einer Reihe von quantifizierbaren Metriken bewertet wird. Das Verfahren ähnelt dem von Next Generation Firewalls mit ihren Risk Scoring Tools zur Bewertung des Verhaltens von Paketen.

RBA-Tools haben verschiedene Herangehensweisen:

Rollenbasiert: Ist der Benutzer Mitglied einer privilegierten Gruppe, wie zum Beispiel Netzwerk-Administratoren? Wenn ja, muss eine stringentere Authentifizierung erfolgen.

Standortbasiert: Der Standort kann dabei der physikalische Endpunkt im Netzwerk oder ein geografischer Standort sein. Loggt sich ein Benutzer beispielsweise aus Deutschland ein und 10 Minuten später aus China, handelt es sich sicher um eine Transaktion mit hohem Risiko.

Aktionsbasiert: Die Überweisung eines hohen Geldbetrags ist mit einem deutlich höheren Risiko behaftet als die Abfrage des Kontostands.

Musterbasiert: Führt ein Benutzer Transaktionen aus, die nicht in sein bisheriges Muster fallen, besteht ein erhöhtes Risiko, das eine stärkere Authentifizierung erfordert. Es gibt verschiedene Möglichkeiten, diese Änderungen zu messen, etwa die Geschwindigkeit der Abfolge von Transaktionen oder im Online Banking die Höhe der Geldbeträge bei Überweisungen. Die anspruchsvolleren RBA-Tools können diese verschiedenen Messungen kombinieren. Für den Hacker bedeutet dies eine zusätzliche, schwer zu nehmende Hürde. Gleichzeitig ist ein solches Verfahren sehr benutzerfreundlich, da der Kunde sich wirklich nur dann stark authentifizieren muss, wenn es aufgrund des mit der Transaktion verbundenen Risikos wirklich erforderlich ist. Dies kann mithilfe von Software-Tokens erfolgen, so dass auf traditionelle Tokens verzichtet werden kann.

 

Der Einsatz risikobasierter Authentifizierung im Online Banking, im E-Commerce oder beim Remote Access bietet eine Reihe von Vorteilen gegenüber uniformen Authentifizierungsverfahren. So kann durch die Anpassung der Authentifizierung an die jeweiligen Umstände die Anzahl betrügerischer Aktivitäten eingeschränkt werden. Gerade bei mobilen Geräten, die verloren gehen oder gestohlen werden können, bietet die RBA ein deutlich höheres Sicherheitsniveau. Beim Verzicht auf Hardware-Tokens ist zudem der Rollout sehr unkompliziert, und anders als bei frühen Mehrfaktor-Lösungen gibt es wenig bis beim Endanwender wenig oder keine Software zu installieren.

In die Risikobewertung gehen viele Faktoren ein

Wie Multifaktor-Methoden nutzen auch risikobasierte Lösungen Out-of-Band-Authentifizierungsmethoden, um mögliche Man-in-the-Middle- und Phishing-Angriffe zu vermeiden. Allerdings sind diese granularer und abhängig von der jeweiligen Geschäftsanwendung und der aktuellen Aktion. Viele ermöglichen zudem die Verlagerung einiger Sicherheitsfunktionen in den Hintergrund und damit eine Entlastung der Kunden. Durch eine ausgefeilte Risikoanalyse in Echtzeit und die risikobasierte Authentifizierung dienen solche Lösungen nicht nur der Vorbeugung von Betrug, sondern auch der Sicherstellung der Compliance. Die Überwachung von Multi-Kanal-Transaktionen kann dabei betrügerische Aktivitäten in beliebigen Anwendungen und ermöglicht Unternehmen so, schnell auf sich entwickelnde Betrugsmuster zu reagieren, behördliche Vorgaben einzuhalten und die Effizienz im Betrieb zu erhöhen. So schafft die risikobasierte Authentifizierung eine sicherere Umgebung, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

Nach Schätzungen von Gartner wird bis Ende 2016 etwa jedes zweite Großunternehmen adaptive Zugangskontrolle einsetzen, vor allem für den Fernzugang von Mitarbeitern und Partnern zum Unternehmensnetz. Derzeit sind es noch weniger als 5 %. Das könnte eine realistische Annahme sein, betrachtet man die schnelle Zunahme von Exploits bei Banken wie im Online-Handel.

VASCO Data Security

 

Diesen Artikel empfehlen

Autor: Jan Valcke

Neue Anforderungen an Datensicherheit und Datenschutz für SAP-Nutzer

Der zentrale Knotenpunkt für Unternehmensprozesse und -daten ist in sehr vielen Organisationen das hauseigene ERP-System von SAP. Daran wird sich im Zuge einer weiteren Digitalisierung der Geschäftswelt nichts ändern, so das Ergebnis einer Erhebung von PAC unter 100 SAP-Verantwortlichen in...

Die dunkle Seite der Web Analytics

Tagtäglich nutzen Fachleute aus Werbung, Marketing und Einzelhandel Web Analytics, um Erkenntnisse darüber zu gewinnen, wie sie ihre Kunden und Zielgruppen am besten erreichen können. Cyberkriminellen dient die Methode hingegen dazu, potenzielle Opfer zu identifizieren und Daten über sie zu...

Dell stellt neue Security-Lösungen vor

Mit dem Security-Portfolio von Dell lassen sich die verschiedenen, über das ganze Unternehmen verstreuten Aspekte der IT-Sicherheit effizient miteinander vernetzen. Unternehmen können dadurch Sicherheitsrichtlinien einfacher umsetzen und sich ganzheitlich schützen. Diesem Ansatz folgen auch die...

Visa Threat Intelligence

Dieser neue, auf die Bedürfnisse der Zahlungsindustrie zugeschnittene Dienst wird Händlern und Kreditkartenherausgebern Bedrohungsdaten in Echtzeit liefern, damit sie die kritischsten Cyberangriffe, die ihre Zahlungssysteme schädigen könnten, schnell beurteilen und entsprechend auf sie reagieren...

„Cyber Europe 2014 After Action Report“

Das Hauptziel von „Cyber Europe 2014” war es, den Mitgliedstaaten eine Kooperationsübung für den Fall einer Cyber-Krise zu ermöglichen. Die in drei Phasen aufgeteilte Übung bot Möglichkeiten zur Bewertung der Effektivität der Kooperations- und Eskalationsprozesse bei grenzübergreifenden...

"Industrie 4.0": Botschaft angekommen, Umsetzung hapert

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) führte in Kooperation mit der Hochschule Ostwestfalen-Lippe eine Umfrage zu "IT-Sicherheit bei Industrie 4.0" durch, deren Ergebnisse jetzt vorliegen. Die unter dem Schlagwort "Industrie 4.0" beschriebene 4. industrielle...

Studie: Kryptographie - Verschlüsselung - Encryption

Das zeigt sich in den Ergebnissen, da mehr und mehr Unternehmen eine unternehmensweite Verschlüsselungsstrategie implementieren – insbesondere in den Bereichen Gesundheitswesen und Handel. Dennoch tun sich viele weiterhin schwer mit der „Belastung“, Schüssel und Zertifikate zu verwalten. Hier...