Sicherheit nach Maß

Risikogestützte Authentifizierungstechnik
Sicherheit nach Maß
geschrieben von Eric Litowsky und Bettina Weßelmann/wj Bettina Weßelmann ist Marketing Executive EMEA bei Entrust, Eric Litowsky Sales Manager Identity Guard DACH. am 20.06.2006
Nicht immer ist das stärkste Authentifizierungsverfahren auch das beste. Ein System, das sich am jeweiligen Transaktions- oder Verbindungsrisiko orientiert, schafft insgesamt mehr Sicherheit und Produktivität.

Die Leistung ihrer Systeme betrachtet die IT seit jeher als variable Größe, sobald sie sie auf den einzelnen Anwender bezieht. Verfahren wie Bandbreitenmanagement oder die Zuteilung von Kontingenten an Zeit oder Speicherplatz dienen dazu, möglichst vielen Benutzern eine reibungslose Arbeit mit den vorhandenen Ressourcen zu ermöglichen. Zugleich erlauben sie es, besonders wichtigen Transaktionen einen größeren Teil der Gesamtleistung zur Verfügung zu stellen als anderen.

Sicherheit dagegen erscheint vielen IT-Spezialisten nach wie vor als Wert, der unter allen Umständen absolut zu setzen ist. Ein Sicherheits-Level für einen konkreten Anwendungsfall herabzusetzen, um andere Vorteile zu erzielen, wird selten akzeptiert. Dabei weisen gerade Sicherheitsfachleute längst darauf hin, dass Security-Maßnahmen durchaus zu Störfaktoren werden können, die hinterfragt werden müssen. Der amerikanische Spezialist Bruce Schneier etwa macht in seinen Publikationen und Vorträgen immer wieder darauf aufmerksam, dass IT-Sicherheit stets verlangt, bei der Funktionalität von Anwendungen Kompromisse einzugehen. Wo IT zeitkritische Vorgänge steuert – etwa in der Produktion, beim Militär oder in der Medizin – wird jede Sicherheitsbarriere generell daraufhin untersucht, ob sie beispielsweise den Durchsatz von Kommunikationsverbindungen übermäßig verringert oder den Anwender zu sehr darin behindert, seine eigentlichen Aufgaben zu erfüllen. Unter Umständen können übermäßig aufwändige Security-Maßnahmen den Sicherheits-Level sogar wieder senken – etwa dann, wenn die Komplexität der Sicherheitstechnik die Anwender dazu verleitet, sie zu umgehen. Häufig tritt dieser Effekt beispielsweise bei Richtlinien auf, die schwer zu merkende und zusätzlich häufig zu wechselnde Passwörter vorschreiben. Weil sich viele User die Kennwörter aufschreiben, ist der erhoffte Sicherheitsgewinn nicht zu erzielen.

Risikoanalyse im laufenden Betrieb

Speziell im Fall der Authentifizierung stehen Sicherheit, Bequemlichkeit und Wirtschaftlichkeit in einem komplexen Verhältnis zueinander. Je mehr Sicherheit ein Verfahren bietet, desto geringer sind beispielsweise bei Onlinediensten jene Risiken für den Anwender und den Betreiber, die aus einem Identitätsmissbrauch erwachsen könnten. Allerdings akzeptiert der Anwender stärkere Authentifizierungsmethoden nur, wenn sie entweder gleichzeitig bequem sind oder wenn er den Aufwand, den er treiben muss, zum Risiko seines Vorhabens ins Verhältnis setzen kann. Ist keines von beidem der Fall, wendet sich der Interessent vielleicht von der fraglichen Website ab. Damit wiederum entsteht ein wirtschaftliches Risiko für den Betreiber, der den Kunden dann entweder auf teureren klassischen Wegen per Post- und Filialgeschäft betreuen muss oder ihn an einen Konkurrenten verliert, der ein höheres Betrugsrisiko selbst übernimmt.

Sicherheit und Bequemlichkeit sind allerdings nur dann so schwer aufeinander abzustimmen, wenn ein einzelnes, statisches Authentifizierungsverfahren für alle Anwendungsfälle gelten muss. Der Einsatz eines risikogestützten Authentifizierungssystems erlaubt jederzeit angemessene Sicherheitsmaßnahmen, ohne die Anwender unnötig zu belasten.

„Risikogestützte Authentifizierung“ kann auf Vorbilder außerhalb der IT verweisen. Eine Bank etwa wird einem Neukunden zweifellos nicht gleich zu Beginn einer Geschäftsbeziehung erlauben, größere Überweisungen einfach per Telefonanruf auf den Weg zu bringen. Ein langjähriger Kunde allerdings wird seinen persönlichen Berater durchaus dazu bewegen können, eine mündliche Anweisung entgegenzunehmen – vor allem dann, wenn der Betrag nicht allzu hoch ist, wenn sein Kontostand positiv ist und wenn er Transaktionen mit gleichem Ziel schon öfter vorgenommen hat. Die hier angesprochenen Größen – Kontostand, Empfänger, Betrag und Dauer der Geschäftsbeziehung – kann aber auch die Banksoftware bestimmen, und es ist nicht allzu schwierig, auf dieser Grundlage mit einer einfachen Formel eine Risikoabwägung vorzunehmen. Beim Onlinebetrieb kommen noch weitere Parameter hinzu: Meist lässt sich bestimmen, ob die Einwahl ins Banksystem vom bekannten heimischen Computer aus erfolgt oder von einem unbekannten Terminal aus initialisiert wird, das sich womöglich in einem für Onlinebetrug verdächtigen Land befindet. Viele Banken verfügen darüber hinaus über Betrugserkennungssysteme, die regelmäßig mit Mustern bekannter Onlinebetrugsdelikte gefüttert werden. Warnhinweise können wieder der Einwahlstandort, die Art und der Wert der Transaktion und das Ziel einer Überweisung liefern. Ein gutes Authentifizierungssystem muss heute in der Lage sein, über Standardschnittstellen Anweisungen derartiger Risk-Assessment-Lösungen entgegenzunehmen. Es sollte sie nicht nur in ein „Ja“ oder „Nein“ für die gewünschte Transaktion umsetzen können, sondern je nach ermitteltem Risiko die passende Authentifizierungsmethode wählen – vorausgesetzt, auch dem Kunden stehen neben dem Kennwort zusätzliche digitale Möglichkeiten zur Verfügung, sich auszuweisen.

Gängige Methoden sind beispielsweise:

Wissensbasierte Authentifizierung. Der Kunde vereinbart mit dem Server ein Frage-Antwort-Paar. Einfache Varianten wie die Frage nach dem Geburtsort oder dem Mädchennamen der Mutter lassen sich per Social Engineering kompromittieren, aber es existieren auch sicherere Spielarten wie die Frage nach dem Kontostand beim vorigen Log-in.

Geräteauthentifizierung. Anhand der MAC-Adresse oder in komplexeren Fällen anhand der Kennungen und Eigenschaften eingebauter Geräte im Einwahl-PC lässt sich bestimmen, ob der Anwender von seinem üblichen Computer aus den Onlinedienst besucht.

Tokens und Grid Cards. Zweifaktor-Authentifizierung mit Einmal-Kennwörtern wird als Ersatz für PIN und TAN für Onlingeschäfte in immer mehr Ländern Stand der Technik. Je nach Formfaktor lassen sich die Authentifizierungs-Devices dabei mehr oder weniger leicht jederzeit mitnehmen, wobei die gedruckte Grid Card besonders pflegeleicht und preiswert ausfällt, da sie im Gegensatz zu den zeitsynchronen Tokens ohne eigene Technik auskommt.

Zertifikate und Smartcards. Smartcard-Reader im USB-Format erleichtern den Einsatz der in Europa forcierten Authentifizierungstechnik erheblich. Sie erfordert aber noch immer ein Terminal mit frei geschalteten Standardschnittstellen und eignet sich deshalb vorrangig fürs professionelle Online-Banking von dedizierten Computern aus.

Absicherung über Out-of-Band-Kontakt. Einmalkennwörter vom Server aus an Mobiltelefone zu schicken, ist eine immer verbreitetere Technik der Authentifizierung, die Man-in-the-Middle-Attacken zumindest erschwert.

Ein typisches risikogestütztes System könnte beispielsweise drei oder vier Authentifizierungsstufen beherrschen: Für eine bloße Kontoanfrage, die einem Betrüger schlimmstenfalls den aktuellen Kontostand des legitimen Kunden zugänglich macht, fordert es nur Name und Kennwort an. Bei der Einwahl vom bekannten Heincomputer aus gibt es sich möglicherweise sogar mit der Geräteauthentifizierung zufrieden. Will der Anwender sensiblere Daten in Augenschein nehmen oder geringwertige Überweisungen vornehmen, geht es zu wissensbasierten Authentifizierung über, sofern kein zusätzlicher Risikofaktor zu erkennen ist. Jede höhere oder risikoreichere Transaktion müsste dann per starker Zwei-Faktor-Authentifizierung abgesichert werden.

In Zukunft auch im Unternehmen

Ein häufig unterschätzter Vorteil risikogestützter Authentifizierung ist der implizite Appell an die Aufmerksamkeit und das Sicherheitsbewusstsein der Anwender. Der Wechsel der Methoden zeigt ihnen, wann sie selbst besonders vorsichtig vorgehen müssen – eine „Awareness-Kampagne“ zum Nulltarif, die sich darüber hinaus gut als besonderer Service ihres Onlinegeschäftspartners darstellen lässt.

Man darf davon ausgehen, dass zumindest für Onlinedienstleistungen risikogestützte Authentifizierungssysteme den Standard der Zukunft darstellen werden. Aber auch im Unternehmensumfeld findet diese Methode zunehmend Interesse: Mobile Mitarbeiter, die sich abwechselnd von verschiedenen Arbeitsplätzen im internen Netz aus oder per Remote Access aus der ganzen Welt an ihren Ressourcen anmelden, arbeiten mit ähnlich stark wechselnden Risikobedingungen wie die Online-Banker. Sie sind nicht minder dankbar dafür, sich im abgeschotteten Heimatbüro nicht mit dem gleichen Aufwand authentifizieren zu müssen wie in einem Internet-Café eines Landes mit bekannt hoher Online-Kriminalitätsrate.



Eigene Bewertung: Keine Durchschnitt: 5 (1 Bewertung)

Relevante Themen (bei Interesse bitte anklicken):