Immer wieder heißt es bei langwierigen Anmeldeprozeduren: Es brauche eine Balance von Sicherheit und Nutzer:innenfreundlichkeit. Dieser Satz impliziert, dass für das eine, das andere schlechter werden muss. Das ist falsch, denn moderne Lösungen können beides liefern: mehr Sicherheit und mehr Nutzer:innenfreundlichkeit.
Mehr Sicherheit erfordert immer eine Mehrfaktorauthentifizierung (MFA), also eine Authentifizierung, bei der mindestens zwei von drei der Faktoren Wissen, Besitz und Sein genutzt werden. Wissen umfasst unter anderem Kennwörter, Pins oder die Antworten auf Sicherheitsfragen. Beim Besitz geht es um ein Gerät oder einen Token. Beim Sein ist es die Biometrie, also der Fingerabdruck, die Gesichtserkennung, der Iris-Scan oder eine andere Analyse. Es kann aber auch Verhaltensbiometrie sein, die das Tipp- oder Wischverhalten analysiert und Ähnlichkeiten und Abweichungen erkennt.
Biometrische Verfahren wurden lange Zeit sehr kritisch gesehen, weil sie zusätzliche externe Komponenten wie Fingerabdruckleser erfordert haben und zudem eine geringe Benutzerakzeptanz hatten. Das hat sich mit dem Einzug von biometrischen Verfahren beim Smartphone verändert. Sie sind die neue Normalität.
Auch beim „Haben“-Faktor hat sich viel verändert. OTP-Tokens und Smartcards sind zunehmend die Exoten. Die Geräte selbst, ob das Smartphone oder der Rechner, dienen heute typischerweise als Authentifizierungsfaktor. Moderne Hardware verfügt über sogenannten „secure elements“ wie den TPM-Chip (Trusted Platform Module) im Windows-Umfeld, in denen sich „secrets“, also sensitive Informationen wie private Schlüssel, geschützt ablegen lassen.
Integrierte Sicherheit als Regelfall
Für die meisten Anwendungsfälle kann man heute mit der Kombination der integrierten Sicherheitsfunktionen von Smartphones und PCs/Notebooks ein hohes Maß an Sicherheit erreichen, das gleichzeitig nutzerfreundlich ist. Sobald die Bindung zwischen Gerät und Nutzenden hergestellt ist, kann das Gerät als Nachweis des „Haben“-Faktors dienen und die biometrischen Funktionen der Geräte für den Nachweis des „Seins“.
Das bedeutet nicht, dass Smartcards oder andere Tokens keinen Platz mehr haben. Hier muss aber genau überlegt werden, ob sie noch benötigt werden und wenn ja, für welche Anwendungsfälle und in welchem Formfaktor. Es gibt inzwischen viele Alternativen. Für hochkritische Anwendungsfälle wie den Zugriff von Administratoren auf unternehmenskritische Systeme können aber ergänzende oder alternative Faktoren durchaus sinnvoll und erforderlich sein – wie Hardwarekomponenten.
Mehr oder weniger kennwortlose Authentifizierung
Eng verbunden mit dieser Entwicklung von Authentifizierungsfaktoren ist der Trend hin zur kennwortlosen Authentifizierung. Dafür spricht viel, denn der Faktor „Wissen“ ist der schwächste Faktor in der Sicherheit. Das zeigen ausgefeilte Phishing-Attacken, Social Engineering oder Angriffe, bei denen Angreifenden an große Datenbanken mit Kennwörtern gelangen.
Hinzu kommt, dass Kennwörter eben nicht nutzerfreundlich sind. Aus Sicherheitsgründen sollte für jedes System ein anderes Kennwort verwendet und dieses regelmäßig verändert werden. Das ist aber weder in der betrieblichen Praxis noch der privaten Realität wirklich umsetzbar, zumindest nicht ohne Hilfsmittel vom Zettel mit Kennwörtern unter der Tastatur oder einem Passwort-Manager, der ebenfalls keine kennwortlose Authentifizierung bedeutet. Echte kennwortlose Authentifizierung kommt ganz ohne Kennwörter aus und basiert nur auf dem Besitz („Haben“) und biometrischen Verfahren, also dem „Sein“.
Standards als Basis
Die Entwicklung hin zur kennwortlosen Authentifizierung wird durch Standards erst ermöglicht. Auf der einen Seite stehen dabei die von der FIDO Alliance entwickelten, mit denen unterschiedliche Authentifizierungsmechanismen wie biometrische Komponenten mit Authentifizierungsservern zusammenarbeiten können. Auf der anderen Seite stehen die Standards für Identity Federation wie dem Gespann OIDC/OAuth (OpenID Connect/Open Authorization) sowie SAML (Security Assertion Markup Language). Damit kann der gesamte Weg beispielsweise vom Fingerabdruckleser bis zur SaaS-Anwendung ohne Kennwörter umgesetzt werden.
Das größte Problem ist aber, dass es immer noch viel zu viele Websites und Dienste im Internet ebenso wie Anwendungen in der internen IT gibt, die nur Benutzername und Kennwort für die Authentifizierung unterstützen. Die oben genannten Kennwort-Manager und andere Verfahren können das Problem zwar reduzieren. Wichtig ist aber, dass die Unterstützung von Standards weiter wächst und auch zu einer Muss-Anforderung in Beschaffungsprozessen wird.
Kontext, Risiko und Betrugserkennung
MFA und kennwortlose Authentifizierung sind nur ein Teil. Bei den Authentifizierungsservern hat längst auch die adaptive Authentifizierung Einzug gehalten, die das Risiko und den Kontext in Authentifizierungs- und Autorisierungsentscheidungen einbezieht. In der Finanzindustrie, beispielsweise beim Online-Banking, sind solche Verfahren schon lange etabliert. Seit einiger Zeit werden sie aber auch im E-Commerce und bei unternehmensinternen Lösungen verstärkt eingesetzt.
Diese Lösungen, die entweder in Access Management-Produkte integriert sind oder als separate FRIP (Fraud Reduction Intelligence Platforms) bereitgestellt werden, verwenden Informationen zum aktuellen Kontext wie das verwendete Endgerät, den Standort oder den Patch-Status des Geräts, um eine Bewertung des Zugriffsrisikos durchzuführen. Typischerweise werden dabei auch Vergleiche mit früheren Zugriffen durchgeführt, um beispielsweise zu erkennen, ob ein:e Benutzer:in zu ungewohnten Zeiten oder von ungewöhnlichen Orten zugreift. Diese Informationen werden in die Risikobewertung einbezogen.
Ebenfalls zunehmend genutzt werden verhaltensbiometrische Verfahren, die seit etlichen Jahren am Markt sind. Dabei wird dann etwa das Tipp- oder Wischverhalten oder die Bewegung des Smartphones mit analysiert, um zu erkennen, ob es sich wirklich um den angeblichen Nutzer handelt.
Diese mittlerweile in großer Zahl und gutem Reifegrad verfügbaren Lösungen für die Risikoanalyse und Betrugserkennung sollten zum Standard in jedem modernen Ansatz für die Authentifizierung gehören, gleich ob für Kund:innen und Konsument:innen, für Geschäftspartner:innen oder für die Mitarbeiter:innen.
Nicht nur Authentifizierung, sondern auch Autorisierung
Gerade bei diesen Lösungen wird auch deutlich, wie eng Authentifizierung und Autorisierung zusammengehören und gemeinsam betrachtet werden müssen. Es geht nicht mehr nur um die Frage, ob jemand authentifiziert wird, sondern auch darum, für welche Zugriffe eine Autorisierung erfolgt. Gerade in der Finanzindustrie werden die Lösungen auch für die Transaktionssicherheit eingesetzt. Das geht aber auch im Unternehmen, indem die Signale dieser Plattformen bei der Autorisierungsentscheidung berücksichtigt werden.
Diese Entwicklung spielt eng mit dem Trend weg von statischen Berechtigungen zu kommen. Statt eine:n Benutzer:in einmalig zu authentifizieren und dann Zugriff auf Basis von vorgegebenen Berechtigungen zu vergeben, werden „just-in-time“-Zugriffe und Berechtigungen immer wichtiger, bei denen basierend auf Richtlinien zum Zeitpunkt des Zugriffs entschieden wird, ob die Autorisierung erteilt wird oder nicht.
Keine Zukunftsmusik, sondern greifbare Realität
Die gute Nachricht ist, dass man die Authentifizierung von Benutzer:innen schon heute komfortabler und sicherer gestalten kann, weil die Technologien und Standards vorhanden sind. Sie werden insbesondere in der Finanzindustrie, aber auch im Online-Handel, bereits auf breiter Basis genutzt und können auch in unternehmensinternen Einsatzbereichen zum Einsatz kommen. Die Technologie für moderne Authentifizierungslösungen ist da, sowohl für den Standardzugriff von Nutzer:innen als auch für komplexe Anwendungsfälle in hochsicheren Umgebungen: flexibler, sicherer, bequemer.