Sicherheit nach Maß

Risikogestützte Authentifizierungstechnik
Sicherheit nach Maß
geschrieben von Eric Litowsky und Bettina Weßelmann/wj Bettina Weßelmann ist Marketing Executive EMEA bei Entrust, Eric Litowsky Sales Manager Identity Guard DACH. am 20.06.2006
Nicht immer ist das stärkste Authentifizierungsverfahren auch das beste. Ein System, das sich am jeweiligen Transaktions- oder Verbindungsrisiko orientiert, schafft insgesamt mehr Sicherheit und Produktivität.

Seite 2 / 4

Sicherheit und Bequemlichkeit sind allerdings nur dann so schwer aufeinander abzustimmen, wenn ein einzelnes, statisches Authentifizierungsverfahren für alle Anwendungsfälle gelten muss. Der Einsatz eines risikogestützten Authentifizierungssystems erlaubt jederzeit angemessene Sicherheitsmaßnahmen, ohne die Anwender unnötig zu belasten.

„Risikogestützte Authentifizierung“ kann auf Vorbilder außerhalb der IT verweisen. Eine Bank etwa wird einem Neukunden zweifellos nicht gleich zu Beginn einer Geschäftsbeziehung erlauben, größere Überweisungen einfach per Telefonanruf auf den Weg zu bringen. Ein langjähriger Kunde allerdings wird seinen persönlichen Berater durchaus dazu bewegen können, eine mündliche Anweisung entgegenzunehmen – vor allem dann, wenn der Betrag nicht allzu hoch ist, wenn sein Kontostand positiv ist und wenn er Transaktionen mit gleichem Ziel schon öfter vorgenommen hat. Die hier angesprochenen Größen – Kontostand, Empfänger, Betrag und Dauer der Geschäftsbeziehung – kann aber auch die Banksoftware bestimmen, und es ist nicht allzu schwierig, auf dieser Grundlage mit einer einfachen Formel eine Risikoabwägung vorzunehmen. Beim Onlinebetrieb kommen noch weitere Parameter hinzu: Meist lässt sich bestimmen, ob die Einwahl ins Banksystem vom bekannten heimischen Computer aus erfolgt oder von einem unbekannten Terminal aus initialisiert wird, das sich womöglich in einem für Onlinebetrug verdächtigen Land befindet. Viele Banken verfügen darüber hinaus über Betrugserkennungssysteme, die regelmäßig mit Mustern bekannter Onlinebetrugsdelikte gefüttert werden. Warnhinweise können wieder der Einwahlstandort, die Art und der Wert der Transaktion und das Ziel einer Überweisung liefern. Ein gutes Authentifizierungssystem muss heute in der Lage sein, über Standardschnittstellen Anweisungen derartiger Risk-Assessment-Lösungen entgegenzunehmen. Es sollte sie nicht nur in ein „Ja“ oder „Nein“ für die gewünschte Transaktion umsetzen können, sondern je nach ermitteltem Risiko die passende Authentifizierungsmethode wählen – vorausgesetzt, auch dem Kunden stehen neben dem Kennwort zusätzliche digitale Möglichkeiten zur Verfügung, sich auszuweisen.

Gängige Methoden sind beispielsweise:

Wissensbasierte Authentifizierung. Der Kunde vereinbart mit dem Server ein Frage-Antwort-Paar. Einfache Varianten wie die Frage nach dem Geburtsort oder dem Mädchennamen der Mutter lassen sich per Social Engineering kompromittieren, aber es existieren auch sicherere Spielarten wie die Frage nach dem Kontostand beim vorigen Log-in.

Geräteauthentifizierung. Anhand der MAC-Adresse oder in komplexeren Fällen anhand der Kennungen und Eigenschaften eingebauter Geräte im Einwahl-PC lässt sich bestimmen, ob der Anwender von seinem üblichen Computer aus den Onlinedienst besucht.

Seite 2 / 4



Eigene Bewertung: Keine Durchschnitt: 5 (1 Bewertung)

Relevante Themen (bei Interesse bitte anklicken):