Risikogestützte Authentifizierungstechnik
Sicherheit nach Maß
Nicht immer ist das stärkste Authentifizierungsverfahren auch das beste. Ein System, das sich am jeweiligen Transaktions- oder Verbindungsrisiko orientiert, schafft insgesamt mehr Sicherheit und Produktivität.
Die Leistung ihrer Systeme betrachtet die IT seit jeher als variable Größe, sobald sie sie auf
den einzelnen Anwender bezieht. Verfahren wie Bandbreitenmanagement oder die Zuteilung von
Kontingenten an Zeit oder Speicherplatz dienen dazu, möglichst vielen Benutzern eine reibungslose
Arbeit mit den vorhandenen Ressourcen zu ermöglichen. Zugleich erlauben sie es, besonders wichtigen
Transaktionen einen größeren Teil der Gesamtleistung zur Verfügung zu stellen als anderen.
Sicherheit dagegen erscheint vielen IT-Spezialisten nach wie vor als Wert, der unter allen
Umständen absolut zu setzen ist. Ein Sicherheits-Level für einen konkreten Anwendungsfall
herabzusetzen, um andere Vorteile zu erzielen, wird selten akzeptiert. Dabei weisen gerade
Sicherheitsfachleute längst darauf hin, dass Security-Maßnahmen durchaus zu Störfaktoren werden
können, die hinterfragt werden müssen. Der amerikanische Spezialist Bruce Schneier etwa macht in
seinen Publikationen und Vorträgen immer wieder darauf aufmerksam, dass IT-Sicherheit stets
verlangt, bei der Funktionalität von Anwendungen Kompromisse einzugehen. Wo IT zeitkritische
Vorgänge steuert – etwa in der Produktion, beim Militär oder in der Medizin – wird jede
Sicherheitsbarriere generell daraufhin untersucht, ob sie beispielsweise den Durchsatz von
Kommunikationsverbindungen übermäßig verringert oder den Anwender zu sehr darin behindert, seine
eigentlichen Aufgaben zu erfüllen. Unter Umständen können übermäßig aufwändige Security-Maßnahmen
den Sicherheits-Level sogar wieder senken – etwa dann, wenn die Komplexität der Sicherheitstechnik
die Anwender dazu verleitet, sie zu umgehen. Häufig tritt dieser Effekt beispielsweise bei
Richtlinien auf, die schwer zu merkende und zusätzlich häufig zu wechselnde Passwörter
vorschreiben. Weil sich viele User die Kennwörter aufschreiben, ist der erhoffte Sicherheitsgewinn
nicht zu erzielen.
Risikoanalyse im laufenden Betrieb
Speziell im Fall der Authentifizierung stehen Sicherheit, Bequemlichkeit und Wirtschaftlichkeit
in einem komplexen Verhältnis zueinander. Je mehr Sicherheit ein Verfahren bietet, desto geringer
sind beispielsweise bei Onlinediensten jene Risiken für den Anwender und den Betreiber, die aus
einem Identitätsmissbrauch erwachsen könnten. Allerdings akzeptiert der Anwender stärkere
Authentifizierungsmethoden nur, wenn sie entweder gleichzeitig bequem sind oder wenn er den
Aufwand, den er treiben muss, zum Risiko seines Vorhabens ins Verhältnis setzen kann. Ist keines
von beidem der Fall, wendet sich der Interessent vielleicht von der fraglichen Website ab. Damit
wiederum entsteht ein wirtschaftliches Risiko für den Betreiber, der den Kunden dann entweder auf
teureren klassischen Wegen per Post- und Filialgeschäft betreuen muss oder ihn an einen
Konkurrenten verliert, der ein höheres Betrugsrisiko selbst übernimmt.
Sicherheit und Bequemlichkeit sind allerdings nur dann so schwer aufeinander abzustimmen, wenn
ein einzelnes, statisches Authentifizierungsverfahren für alle Anwendungsfälle gelten muss. Der
Einsatz eines risikogestützten Authentifizierungssystems erlaubt jederzeit angemessene
Sicherheitsmaßnahmen, ohne die Anwender unnötig zu belasten.
"Risikogestützte Authentifizierung" kann auf Vorbilder außerhalb der IT verweisen. Eine Bank
etwa wird einem Neukunden zweifellos nicht gleich zu Beginn einer Geschäftsbeziehung erlauben,
größere Überweisungen einfach per Telefonanruf auf den Weg zu bringen. Ein langjähriger Kunde
allerdings wird seinen persönlichen Berater durchaus dazu bewegen können, eine mündliche Anweisung
entgegenzunehmen – vor allem dann, wenn der Betrag nicht allzu hoch ist, wenn sein Kontostand
positiv ist und wenn er Transaktionen mit gleichem Ziel schon öfter vorgenommen hat. Die hier
angesprochenen Größen – Kontostand, Empfänger, Betrag und Dauer der Geschäftsbeziehung – kann aber
auch die Banksoftware bestimmen, und es ist nicht allzu schwierig, auf dieser Grundlage mit einer
einfachen Formel eine Risikoabwägung vorzunehmen. Beim Onlinebetrieb kommen noch weitere Parameter
hinzu: Meist lässt sich bestimmen, ob die Einwahl ins Banksystem vom bekannten heimischen Computer
aus erfolgt oder von einem unbekannten Terminal aus initialisiert wird, das sich womöglich in einem
für Onlinebetrug verdächtigen Land befindet. Viele Banken verfügen darüber hinaus über
Betrugserkennungssysteme, die regelmäßig mit Mustern bekannter Onlinebetrugsdelikte gefüttert
werden. Warnhinweise können wieder der Einwahlstandort, die Art und der Wert der Transaktion und
das Ziel einer Überweisung liefern. Ein gutes Authentifizierungssystem muss heute in der Lage sein,
über Standardschnittstellen Anweisungen derartiger Risk-Assessment-Lösungen entgegenzunehmen. Es
sollte sie nicht nur in ein "Ja" oder "Nein" für die gewünschte Transaktion umsetzen können,
sondern je nach ermitteltem Risiko die passende Authentifizierungsmethode wählen – vorausgesetzt,
auch dem Kunden stehen neben dem Kennwort zusätzliche digitale Möglichkeiten zur Verfügung, sich
auszuweisen.
Gängige Methoden sind beispielsweise:
Wissensbasierte Authentifizierung. Der Kunde vereinbart mit dem Server ein
Frage-Antwort-Paar. Einfache Varianten wie die Frage nach dem Geburtsort oder dem Mädchennamen der
Mutter lassen sich per Social Engineering kompromittieren, aber es existieren auch sicherere
Spielarten wie die Frage nach dem Kontostand beim vorigen Log-in.
Geräteauthentifizierung. Anhand der MAC-Adresse oder in komplexeren Fällen
anhand der Kennungen und Eigenschaften eingebauter Geräte im Einwahl-PC lässt sich bestimmen, ob
der Anwender von seinem üblichen Computer aus den Onlinedienst besucht.
Tokens und Grid Cards. Zweifaktor-Authentifizierung mit Einmal-Kennwörtern
wird als Ersatz für PIN und TAN für Onlingeschäfte in immer mehr Ländern Stand der Technik. Je nach
Formfaktor lassen sich die Authentifizierungs-Devices dabei mehr oder weniger leicht jederzeit
mitnehmen, wobei die gedruckte Grid Card besonders pflegeleicht und preiswert ausfällt, da sie im
Gegensatz zu den zeitsynchronen Tokens ohne eigene Technik auskommt.
Zertifikate und Smartcards. Smartcard-Reader im USB-Format erleichtern den
Einsatz der in Europa forcierten Authentifizierungstechnik erheblich. Sie erfordert aber noch immer
ein Terminal mit frei geschalteten Standardschnittstellen und eignet sich deshalb vorrangig fürs
professionelle Online-Banking von dedizierten Computern aus.
Absicherung über Out-of-Band-Kontakt. Einmalkennwörter vom Server aus an
Mobiltelefone zu schicken, ist eine immer verbreitetere Technik der Authentifizierung, die
Man-in-the-Middle-Attacken zumindest erschwert.
Ein typisches risikogestütztes System könnte beispielsweise drei oder vier
Authentifizierungsstufen beherrschen: Für eine bloße Kontoanfrage, die einem Betrüger
schlimmstenfalls den aktuellen Kontostand des legitimen Kunden zugänglich macht, fordert es nur
Name und Kennwort an. Bei der Einwahl vom bekannten Heincomputer aus gibt es sich möglicherweise
sogar mit der Geräteauthentifizierung zufrieden. Will der Anwender sensiblere Daten in Augenschein
nehmen oder geringwertige Überweisungen vornehmen, geht es zu wissensbasierten Authentifizierung
über, sofern kein zusätzlicher Risikofaktor zu erkennen ist. Jede höhere oder risikoreichere
Transaktion müsste dann per starker Zwei-Faktor-Authentifizierung abgesichert werden.
In Zukunft auch im Unternehmen
Ein häufig unterschätzter Vorteil risikogestützter Authentifizierung ist der implizite Appell an
die Aufmerksamkeit und das Sicherheitsbewusstsein der Anwender. Der Wechsel der Methoden zeigt
ihnen, wann sie selbst besonders vorsichtig vorgehen müssen – eine "Awareness-Kampagne" zum
Nulltarif, die sich darüber hinaus gut als besonderer Service ihres Onlinegeschäftspartners
darstellen lässt.
Man darf davon ausgehen, dass zumindest für Onlinedienstleistungen risikogestützte
Authentifizierungssysteme den Standard der Zukunft darstellen werden. Aber auch im
Unternehmensumfeld findet diese Methode zunehmend Interesse: Mobile Mitarbeiter, die sich
abwechselnd von verschiedenen Arbeitsplätzen im internen Netz aus oder per Remote Access aus der
ganzen Welt an ihren Ressourcen anmelden, arbeiten mit ähnlich stark wechselnden Risikobedingungen
wie die Online-Banker. Sie sind nicht minder dankbar dafür, sich im abgeschotteten Heimatbüro nicht
mit dem gleichen Aufwand authentifizieren zu müssen wie in einem Internet-Café eines Landes mit
bekannt hoher Online-Kriminalitätsrate.
Lesen Sie mehr zum Thema
