Sicherheit nach Maß

Risikogestützte Authentifizierungstechnik
Sicherheit nach Maß
geschrieben von Eric Litowsky und Bettina Weßelmann/wj Bettina Weßelmann ist Marketing Executive EMEA bei Entrust, Eric Litowsky Sales Manager Identity Guard DACH. am 20.06.2006
Nicht immer ist das stärkste Authentifizierungsverfahren auch das beste. Ein System, das sich am jeweiligen Transaktions- oder Verbindungsrisiko orientiert, schafft insgesamt mehr Sicherheit und Produktivität.

Seite 1 / 4

Die Leistung ihrer Systeme betrachtet die IT seit jeher als variable Größe, sobald sie sie auf den einzelnen Anwender bezieht. Verfahren wie Bandbreitenmanagement oder die Zuteilung von Kontingenten an Zeit oder Speicherplatz dienen dazu, möglichst vielen Benutzern eine reibungslose Arbeit mit den vorhandenen Ressourcen zu ermöglichen. Zugleich erlauben sie es, besonders wichtigen Transaktionen einen größeren Teil der Gesamtleistung zur Verfügung zu stellen als anderen.

Sicherheit dagegen erscheint vielen IT-Spezialisten nach wie vor als Wert, der unter allen Umständen absolut zu setzen ist. Ein Sicherheits-Level für einen konkreten Anwendungsfall herabzusetzen, um andere Vorteile zu erzielen, wird selten akzeptiert. Dabei weisen gerade Sicherheitsfachleute längst darauf hin, dass Security-Maßnahmen durchaus zu Störfaktoren werden können, die hinterfragt werden müssen. Der amerikanische Spezialist Bruce Schneier etwa macht in seinen Publikationen und Vorträgen immer wieder darauf aufmerksam, dass IT-Sicherheit stets verlangt, bei der Funktionalität von Anwendungen Kompromisse einzugehen. Wo IT zeitkritische Vorgänge steuert – etwa in der Produktion, beim Militär oder in der Medizin – wird jede Sicherheitsbarriere generell daraufhin untersucht, ob sie beispielsweise den Durchsatz von Kommunikationsverbindungen übermäßig verringert oder den Anwender zu sehr darin behindert, seine eigentlichen Aufgaben zu erfüllen. Unter Umständen können übermäßig aufwändige Security-Maßnahmen den Sicherheits-Level sogar wieder senken – etwa dann, wenn die Komplexität der Sicherheitstechnik die Anwender dazu verleitet, sie zu umgehen. Häufig tritt dieser Effekt beispielsweise bei Richtlinien auf, die schwer zu merkende und zusätzlich häufig zu wechselnde Passwörter vorschreiben. Weil sich viele User die Kennwörter aufschreiben, ist der erhoffte Sicherheitsgewinn nicht zu erzielen.

Risikoanalyse im laufenden Betrieb

Speziell im Fall der Authentifizierung stehen Sicherheit, Bequemlichkeit und Wirtschaftlichkeit in einem komplexen Verhältnis zueinander. Je mehr Sicherheit ein Verfahren bietet, desto geringer sind beispielsweise bei Onlinediensten jene Risiken für den Anwender und den Betreiber, die aus einem Identitätsmissbrauch erwachsen könnten. Allerdings akzeptiert der Anwender stärkere Authentifizierungsmethoden nur, wenn sie entweder gleichzeitig bequem sind oder wenn er den Aufwand, den er treiben muss, zum Risiko seines Vorhabens ins Verhältnis setzen kann. Ist keines von beidem der Fall, wendet sich der Interessent vielleicht von der fraglichen Website ab. Damit wiederum entsteht ein wirtschaftliches Risiko für den Betreiber, der den Kunden dann entweder auf teureren klassischen Wegen per Post- und Filialgeschäft betreuen muss oder ihn an einen Konkurrenten verliert, der ein höheres Betrugsrisiko selbst übernimmt.

Seite 1 / 4



Eigene Bewertung: Keine Durchschnitt: 5 (1 Bewertung)

Relevante Themen (bei Interesse bitte anklicken):