Bemerkungen zur adaptiven Authentifizierung

Wenn normale Zugänge mit Nutzernamen und Passwort nicht ausreichen, kann eine spezielle Technik – adaptive Authentifizierung – nach zusätzlichen Merkmalen fragen, um Zutritt zu sensiblen Daten zu gewähren. Nutzen: Mehr Sicherheit für Ihre Daten!

Die adaptive Authentifizierung erwuchs aus der Erkenntnis, dass die bisherigen Ein- oder Multifaktor-Methoden alle von einer irrtümlichen Annahme ausgingen: nämlich dass eine Identität absolut bestimmt werden und, einmal bestimmt, als Vertrauensbasis für alle nachfolgenden Zugangsentscheidungen betreffs authentifizierter Identität dienen kann. Doch es ist klar, dass nicht einmal die robusteste Multifaktor-Authentifizierung dieses Maß an Sicherheit garantieren kann, auch wenn Methoden mit einmaligem Passwort (wie RSA SecurID®) diesem Ziel doch sehr effektiv näherkommen.

Um diese inhärente Beschränkung der herkömmlichen Authentifizierung zu überwinden, wurden adaptive Ansätze entwickelt, welche die Authentifizierung als Herstellung einer Vertrauensbasis sehen, die dann in die nachfolgenden Entscheiden über den Zugang einbezogen werden kann. In diesen Entscheiden kommt aber auch der jeweilige Kontext zum Tragen (zB Abweichungen vom typischen Zugangsmuster für diesen Nutzer oder für alle Nutzer); und der Wert der Ressource, die abgefragt wird, ist ebenfalls berücksichtigt. Diese Faktoren ermöglichen eine adaptive Antwort bezüglich Authentifizierung, zum Beispiel kann eine zusätzliche (step-up) Authentifizierung verlangt werden oder man kann das Ressourcenangebot beschränken (zum Beispiel Nur-Lese-Zugriff zu einer Datei, auch wenn der volle Zugriff abgefragt worden war).

Eine Bankenregulierung und ihre IT-Produktfolgen

Adaptive Authentifizierungstechnologien sind auf dem Markt gut eingeführt, sowohl was die regulatorischen Anforderungen wie was die geschäftlichen Bedürfnisse betrifft. Die Verabschiedung der Bankenregulierung FFIEC in den USA in 2005 zum Beispiel hatte die Verbreitung einer ganzen Reihe von Produkten zur Folge, welche adaptive Authentifizierung als einen Weg anboten, um den neuen regulatorischen Vorschriften einer Multifaktor-Authentifizierung für finanzielle Transaktionen mit Endnutzern zu entsprechen. Einige dieser Produkte hatten die Finanzinstitute den Endnutzern bereits zuvor angeboten. Doch die Verabschiedung der neuen Finanzregulierung FFIEC beschleunigte die Verfügbarkeit und die Einführung der adaptierten Authentifizierung.

Adaptive Authentifizierung beinhaltet meist die Unterstützung von mehreren Authentifizierungsfaktoren und von zusätzlicher Authentifizierung. Diese Faktoren werden je nach Risikoeinschätzung angewendet, je nach Maß an Vertrauen in die erreichte Authentifizierung und/oder abhängig von einer bestimmten Ressource oder einem bestimmten Transaktionsbegehren.

Praktisches Beispiel: Online-Banking

Nehmen wir an, ein Endnutzer habe sich bei einer Onlinebanking-Dienstleistung eingeloggt und zwar mit einem gültigen Passwort und Benutzernamen. Bevor dem Nutzer eine Interaktion mit dem Konto erlaubt wird, kann die Applikation Nutzerkontext auswerten, zum Beispiel ob das verwendete Gerät, die IP-Adresse und der Standort des Nutzers dieselben sind wie bei früherem Einloggen. Wenn einzelne dieser Faktoren nicht übereinstimmen, deutet das auf ein erhöhtes Sicherheitsrisiko hin. Es könnte sich um einen betrügerisches Login handeln, das einen kompromittierten Nutzernamen und ein ebensolches Passwort verwendet.

Die Anwendung kann nun zusätzliche Authentifizierung verlangen, zum Beispiel die Beantwortung von Zusatzfragen, die Verwendung eines Zusatzgerätes oder das Eingeben eines per Email, SMS oder Telefon übermittelten Codes. Dieser risikobasierte Ansatz wird im untenstehenden Diagramm dokumentiert. Die Skizze zeigt spezifisch das Risikomanagement von RSA, die sogenannte RSA Adaptive Authentication, doch das Vorgehen ist repräsentativ für risikobasierte Methoden im Allgemeinen.

bob griffin adaptive authentifizierung 1

Diese Art adaptiver Authentifizierung ist im Online-Banking sehr verbreitet, gerade auch bei mobilen Nutzern, und hat die Häufigkeit von Betrugsfällen deutlich herabgesetzt. Der Bereich der Informationen, die als Kontext für die Risikominimierung genutzt werden, vergrössert sich ständig. Er dehnt sich von den engeren Daten wie GEO-Standort, IP-Adresse, und Gerätidentifikation zu Verhaltensprofilen (was hat der Nutzer in der Vergangenheit getan und was pflegen Nutzer im Allgemeinen zu tun) aus, hin zu Geräteprofiling (Konfiguration des Geräts, niedrigschwellige Charakteristik der Hardware und so weiter), Biometrie (nicht nur Fingerabdrücke sondern auch Gestik, Gesichts- und Stimm-Erkennung etc.) und verschiedene Formen geteilter Information (Hinweise auf Verletzlichkeit und Bedrohungen, Muster von Phishing-Attacken und so weiter).

Der Begriff „infinite factor“ (Unendlichkeitsfaktor) wird manchmal verwendet um diese fortschreitende Ausdehnung des Kontexts zu benennen, mithilfe dessen man Risikoentscheide trifft. Die Verwendung dieses breiten Spektrums von Faktoren hat im Vergleich zum blossen Gebrauch von Zusatzfragen oder mit SMS oder Email abgefragten Codes die Effizienz der adaptiven Authentifizierung deutlich verbessert.

Authentifizierung ist ein natürlicher Prozess

Ein wichtiges Merkmal der adaptiven Authentifizierung ist es, Authentifizierung als Teil eines kontinuierlichen Prozesses zu sehen, mit dem der Zugang zu Ressourcen verwaltet wird. Das heißt, statt Risikoeinschätzung und Risikobeantwortung auf die Authentifizierung selbst zu beschränken, werden diese Faktoren als Teil eines Prozesses gesehen, mit dem man die einzelnen Anfragen für Ressourcennutzung, Transaktionen und Interaktionen evaluiert.

Ein Nutzer hat sich zum Beispiel in eine Online-Banking-Anwendung eingeloggt, vielleicht sogar mittels adaptiver Authentifizierung. Bevor der erste Bildschirm mit Information zum Konto dieses Nutzers erscheint, wird das Risiko einer kompromittierten Glaubwürdigkeit nochmals geprüft, um zu bestimmen ob alle Nutzerkontos und/oder alle Informationen dieser einzelnen Konten auf dem Bildschirm ausgegeben werden sollen. Wenn der Nutzer dann die Taste für den Transfer von Geldern drückt, kann das Risiko noch einmal abgeschätzt werden (dabei wird der grössere Schaden eines betrügerischen Geldtransfers im Vergleich zum bloßen Offenlegen der Kontoinformationen berücksichtigt), bevor die Transferseite sichtbar wird.

Dieses Modell von kontinuierlicher adaptiver Authentifizierung ist sehr wertvoll für finanzielle Transaktionen, wo das Risiko einer gegebenen Transaktion stark variieren kann abhängig vom Wert des jeweiligen Guthabens, den Folgen des betrügerischen Zugangs zu diesem Guthaben (zum Beispiel ob man für den Diebstahl des Geldes haftet oder nicht) und davon, wie schwierig sich die Wiedergutmachung gestaltet. Diesen kontinuierlichen Evaluierungsansatz zeigt das untenstehende Diagramm, es zeigt die Anwendung von RSA VIA Access doch ist repräsentativ für den kontinuierlichen Evaluationsanansatz im Allgemeinen.

bob griffin adaptive authentifizierung 2

Die adaptive Authentifizierung hat sich nicht nur als effiziente Technologie bewährt, sondern sie hat den risikobasierten Ansatz betreffend ein Paradigma geschaffen, das unsere Welt widerspiegelt. Wie der im April 2015 von ISACA und RSA gemeinsam publizierte Forschungsbericht über den aktuellen Stand der Cybersecurity zeigt, waren Phishing und andere Arten von sozialmanipulativen Attacken die am verbreitetsten Angriffe in Unternehmen im Jahr 2014. Fast 70 Prozent der Antwortenden berichteten von Verlusten in ihrem Unternehmen durch Phishing und rund 50 Prozent wussten von anderen sozialmanipulativen Attacken, darunter Wasserloch-Attacken, SMS phishing (Smishing), voice phishing (vishing) und so weiter.

Der RSA Cybercrime 2015 report, der ebenfalls im April veröffentlicht wurde, erwähnt insbesondere die fortdauernden Speer-Phishing-Angriffe sowie die Zunahme von Wasserloch-Attacken als Einfallstore der Angreifer für Raubzüge in Unternehmen. In einer Welt, in der Endnutzer von Betrügern so aggressiv ins Visier genommen werden, ist die adaptive Authentifizierung mit ihrem risikobasierten Ansatz eine unverzichtbare Technologie für Authentifizierung und Zugangskontrolle.

Leave a Reply

Your email address will not be published. Required fields are marked *