Adaptive Authentifizierung: Einführung in risikobasierte Authentifizierung

Risikobasierte Authentifizierung oder adaptive Authentisierung findet im B2B und B2C-Bereich breiten Zuspruch. Wir stellen die Technologie vor.

Daten vor unautorisierten Zugriff zu schützen und diese gleichzeitig für autorisierte Mitarbeiter verfügbar zu machen, ist das oberste Ziel der Unternehmens-IT. Doch Passwörter und Methoden zum Datenschutz werden immer ineffizienter. Deswegen setzt man verstärkt auf Technologien wie zum Beispiel Multifaktor-Authentifizierung, Biometrie, Out-of-Band-PIN und Sprach-Rückrufe, um Risiken zu minimieren.

Das Problem ist allerdings, dass die meisten Anwender nicht vor jedem Zugriff einen Anruf beantworten oder eine PIN eingeben möchten. Hier könnte allerdings das Konzept der risikobasierten Authentifizierung helfen. Dabei werden nur weitere Schritte eingeleitet, wenn eine reale Gefahr besteht.

Dieser Artikel erläutert, wie risikobasierte Authentifizierung funktioniert und wie typische Anwendungsfälle aussehen. Außerdem soll es darum gehen, einen für den Anwender angenehmen Authentifizierungs-Prozess zu konzeptionieren und gleichzeitig das Risiko für das Unternehmen zu minimieren.

Einführung in risikobasierte Authentifizierung

Risikobasierte Authentifizierung wird gelegentlich auch adaptive Authentisierung genannt. Bei dem Konzept wird eine Matrix an Variablen ausgewertet. Das Resultat wird in einem Risiko-Profil zusammengefasst. Auf der Grundlage des Risikoprofils lassen sich Authentifizierungsanforderungen definieren, bevor sich bestimmte Funktionen verwenden lassen.

Wären diese Funktionen per Standard erlaubt, würden sie ein Risiko darstellen. Beispiele sind Login-Anfragen (sowohl für interne Netzwerk- oder System-Zugriffe, als auch Web-Applikationen), Anforderungen von sensiblen Daten und Modifikationen bei den Sicherheitsdaten.

Variablen der risikobasierten Authentifizierung

In dieser Matrix gibt es zwei Sätze von Werten. Im ersten befinden sich Anwender- oder Client-Variablen. Diese Werte kommen vom Client und enthalten Informationen wie zum Beispiel die IP-Adresse, Hardware-Identifizierung (MAC-Adresse, Festplatten-Hersteller oder andere statische Identifizierungs-Merkmale), Browser-Daten oder wie lange das Eingeben des Kennworts dauert. Diese Informationen lassen sich für die Ermittlung verwenden, ob der angemeldete Anwender derselbe ist, der sich bereits zuvor eingeloggt hat.

Entwickler definieren aber noch einen zweiten Satz an Werten. Diese basieren auf dem Ergebnis einer potentielle Kompromittierung der Funktion. Ein Beispiel hierfür ist, dass sich einer böswilliger Hacker als ein anderer Anwender ausgibt und anmeldet.

Risiko-Szenarien für Authentifizierung

Risikobbasierte Authentisierungs-Systeme sind so gestaltet, dass Sie erhöhtes Risiko bei der Authentifizierung erkennen. Wenn sich zum Beispiel ein Anwender einmal pro Tag mit seinem heimischen Computer in seinem Online-Banking-Konto anmeldet, repräsentiert das ein geringes Risiko. Es ist vorhersehbar (einmal pro Tag) und logisch nachvollziehbar (vom heimischen Computer). Hätte die Login-Anfrage stattdessen von einem Computer aus China nachts um ein Uhr stattgefunden, würde das wesentlich wahrscheinlicher auf einen unautorisierten Login-Versuch deuten. Das System geht somit davon aus, dass der Anwender ein Cyberkrimineller sein könnte. In diesem Fall versieht das System die Login-Anfrage mit weiteren Out-of-Band-Informationen. Es besteht auch die Möglichkeit, dass der Anwender weitere Sicherheits-Fragen beantworten muss.

Diese Methode wird derzeit eingesetzt und ist effizient. Informationen über Anmelde-Zeit und -Ort sind allerdings möglicherweise nicht ausreichend, um eine Änderung im Risiko-Profil zu erkennen. Deswegen arbeitet man unter Umständen mit einer Fülle an anderen Identifizierungs-Merkmalen in der Risiko-Matrix und versucht herauszufinden, ob sich die Variablen auf der Seite des Clients geändert haben. Denkbar sind Hardware-Identifizierung, SMS-Nachrichten oder sogar automatische Anrufe.

Erweiterte Anwendungen

Nicht alle Login-Versuche lassen sich zwangsläufig als verdächtig einzustufen. Aus diesem Grund sollte risikobasierte Authentifizierung nicht nur auf Anmeldung beschränkt sein. Andere riskante Transaktionen sollte man ebenfalls überwachen. Mögliche Szenarien sind Verfahren beim Online-Banking, die einen Transfer oder eine Änderung der Zustellung involvieren. In einem Unternehmen sind Zugriffe auf sensible Verkaufs- und Finanzdaten oder Anwendungen mit mehr Risiko behaftet als der Abruf eines E-Mail-Kontos. Deswegen lässt sich risikobasierte Authentifizierung so konfigurieren, dass die Anwender entsprechend weitere Informationen eingeben müssen.

Bei Web-Applikationen weist man Web-Designer oft an, nur risikobasierte Lösungen bei sehr riskanten Transaktionen einzusetzen. Kann sich ein Angreifer anmelden und einfache Daten sehen, ist das keine hochriskante Bedrohung. Wenn ein Cyberkrimineller allerdings Geld abheben oder gewisse Dienste abschalten kann, beeinflusst das das Geschäft negativ. Durch diese Methode werden die meisten Web-Anwender nur minimal gestört, die in 99 Prozent der Fälle nur Informationen suchen. Nur ein Prozent der Interaktionen mit einer Website würde hingegen eine Multifaktor-Authentifizierung benötigen.

Geht man einen Schritt weiter und benutzt Geräte- und Anwender-Daten, lässt sich die Quelle des Risikos mit dem Transaktions-Risiko kombinieren. Nun kann man eine Matrix erschaffen, die den Authentifizierungs-Prozess rationalisiert. Durch Daten wie Geräte-Identifikation lässt sich erkennen, ob sich ein neuer Computer anzumelden versucht. Die Verhaltens-Historie gibt bis zu einem gewissen Grad Aufschluss darüber, ob es dieselbe Person ist. Diese Methode vergleicht Navigations-Muster und Timing. Verwendet der Anwender immer dieselbe URL oder denselben Klick-Pfad auf der Website bis zum Punkt der riskanten Transaktion und benötigt immer zwischen drei und sechs Sekunden, deutet eine Abweichung möglicherweise auf einen Cyberkriminellen hin. Dieser ist zum Beispiel direkt auf die Seite der riskanten Transaktion gesprungen und hat lediglich zwei Sekunden benötigt. Diese Anomalie wertet das System als höheres Risiko und reagiert entsprechend darauf.

Hersteller und Implementierungen

Hersteller, wie zum Beispiel RSA (Tochtergesellschaft von EMC), CA Technologies, Entrust und andere haben die Messlatte für risikobasierte Authentifizierung hoch gelegt. Der Integrations-Prozess ist einfach und intuitiv. Durch die Integration dieser Technologie auf Websites, in Applikationen und von Unternehmen eingesetzten Authentifizierungs-Suites, lassen sich Anwender-Profile durch die Verhaltensüberwachung erstellen. Jeder Nutzer meldet sich an, besucht Websites, greift auf Unternehmens-Systeme zu oder fordert Daten an. Das integrierte Authentifizierungs-System erstellt dabei ein Anwender-Profil, das auf dem Verhalten und anderen relevanten Details basiert. Die einzelnen Sitzungen lassen sich schließlich miteinander vergleichen. Verändert sich ein wichtiger Risiko-Indikator von einer Session zur nächsten, könnte das ein Hinweis auf ein Sicherheitsrisiko sein. In so einem Fall verlangt das System weitere Authentifizierungs-Details.

Gartner hat prognostiziert, dass bis 2015 drei von zehn B2B-Anwendern Authentifizerungs-Techniken mit adaptiven Zugriffs- und Kontroll-Möglichkeiten einsetzen werden. Kombiniert man die neuesten Zwei- und Multi-Faktor-Authentifizierungs-Technologien mit Anwender- und Geräte-Daten-Tracking, kann risikobasierte Authentifizierung eine große Hilfe sein. Auf diese Weise lassen sich sensible Daten schützen und Anwender werden kaum gestört.

Artikel wurde zuletzt im November 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Web-Authentifizierung und Access-Control

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close