Das einfache Passwort zum Schutz von Daten sollte längst ausgedient haben und die Zweifaktor-Authentifizierung ein Kernelement jeder Sicherheitsstrategie sein. In vielen Fällen ist zudem auch eine Multifaktor-Authentifizierung zwingend erforderlich. [...]
Bei der Entscheidung zwischen einer Zwei- und einer Multifaktor-Authentifizierung sind vor allem zwei Dinge zu berücksichtigen. Zum einen muss nicht jedes Unternehmen, das Kundendaten verwaltet, zwangsläufig eine Lösung für die starke Multifaktor-Authentifizierung implementieren. Zum anderen muss auch immer eine Lösungsumgebung geschaffen werden, die nicht zu einer Beeinträchtigung des Mitarbeiter- oder Kundenkomforts führt. Hier die richtige Balance zu finden, ist die entscheidende Aufgabe.
Zweifaktor-Authentifizierung weist Grenzen auf
Die Zweifaktor-Authentifizierung besteht aus der Kombination von zwei Faktoren zur Identifizierung eines Benutzers. Für solche Faktoren können Elemente aus den Kategorien Besitz – etwa ein Smartphone oder eine Smartcard – und Wissen – etwa ein Passwort oder eine PIN-Nummer – herangezogen werden.
Aus Sicht des Anwenders stellt die Zweifaktor-Authentifizierung keine größere Beeinträchtigung dar, da die Passwort- oder PIN-Eingabe seit Langem gängige Praxis ist. Die Balance zwischen positiver Anwendererfahrung und einem relativ hohen Sicherheitslevel ist damit gewährleistet und folglich sollte die Zweifaktor-Authentifizierung auch von jedem Unternehmen genutzt werden – und zwar als minimaler Authentifizierungsstandard.
Allerdings darf nicht unterschlagen werden, dass jedes Unternehmen ein individuelles Anforderungsprofil hat und, dass es keine One-size-fits-all-Lösung für die sichere Authentifizierung geben kann. Deshalb kann die Zweifaktor-Authentifizierung in einigen Fällen auch zu kurz greifen: Das betrifft zum Beispiel Anwendungen und Transaktionen im Bankenbereich: Hier reichen zwei Faktoren nicht für einen adäquaten Schutz vor externen Gefahren aus. Eine starke Authentifizierung ist allein schon aufgrund aktueller und künftiger Rechts- und Verwaltungsvorschriften unerlässlich.
Einige Unternehmen arbeiten mit Daten, die nicht sicherheitskritisch sind, ein Datenverlust hätte dann nicht unweigerlich finanzielle oder geschäftliche Auswirkungen. Für solche Unternehmen ist eine Zweifaktor-Authentifizierung in der Regel ausreichend.
Schwerwiegende Folgen
Da allerdings immer mehr Unternehmen mit Kunden über Online- oder mobile Kanäle interagieren, sind zunehmend persönliche, vertrauliche Daten zu berücksichtigen, die entsprechend geschützt werden müssen. Für solche Unternehmen kann ein Datendiebstahl aufgrund unzureichender Authentifizierungsverfahren ernste Folgen haben, sowohl unter finanziellen als auch unter Reputationsgesichtspunkten. Aus diesen Gründen sollten die Unternehmen über die Zweifaktor-Authentifizierung hinausgehen und eine Multifaktor-Authentifizierung nutzen.
Bei der Multifaktor-Authentifizierung werden üblicherweise besitz- und wissensbasierte Faktoren um eine weitere Komponente aus den Bereichen Eigenschaft oder Verhalten ergänzt, ein Beispiel hierfür sind biometrische Merkmale.
Hoher Benutzerkomfort erfordert adaptive Sicherheitsstrategie
Der Vorteil einer Multifaktor-Authentifizierung hinsichtlich Sicherheit ist offensichtlich. Eine Frage stellt sich dabei aber: Wenn eine Multifaktor-Authentifizierungslösung eine effiziente Möglichkeit darstellt, Bedrohungen zuverlässig auszuschließen, warum sollte sie dann nicht von allen Unternehmen und durchgängig eingesetzt werden? Die Antwort liegt in der Bedeutung einer positiven User Experience. Eine Authentifizierungsprozess muss nicht nur zu einer hohen Sicherheit beitragen, er muss auch für Kunden und Mitarbeiter so einfach wie möglich sein. Aus diesem Grund ist ein adaptiver Sicherheitsansatz extrem wichtig, das heißt, die richtige Balance zwischen positiver User Experience und hoher Sicherheit zu finden, ist von essenzieller Bedeutung.
Mit jedem Layer wird es aufwändiger
Mit jedem zusätzlichen Sicherheitslayer wird die Authentifizierung für den Endanwender aufwändiger. Wenn es um eher unwichtige Daten geht, sollte der Anwender also nicht notwendigerweise mehrere Authentifizierungsschritte für den Zugriff auf seinen Online- oder mobilen Account benötigen. Umgekehrt sollte im Zusammenhang mit hochvertraulichen Daten, wie sie etwa beim Online- und Mobile-Banking anfallen, eine Multifaktor-Authentifizierung einen unverzichtbaren Minimalkompromiss hinsichtlich Benutzerkomfort und Sicherheit darstellen.
Zweifaktor- oder Multifaktor-Authentifizierung?
Das Motto muss aber immer lauten: starke Authentifizierung ohne Beeinträchtigung der User Experience. So ist es beispielsweise einerseits auf jeden Fall sinnvoll, eine Zweifaktor- oder sogar Multifaktor-Authentifizierung für die Mobile-Banking-Sicherheit zu nutzen, andererseits ist aber zu berücksichtigen, dass der Anwender auch nicht zu viel Zeit für die Überprüfung seiner Identität und Zugriffsrechte bei der Abfrage seines Kontostands oder bei der Durchführung einer Überweisung verlieren will. Die Kundenbeeinträchtigung kann ohne Abstriche hinsichtlich der Sicherheit etwa minimiert werden, indem die Anmeldung des Nutzers durch Verfahren wie Geolokation, verhaltensbasierende Authentifizierung oder Geräteidentifi-kation unterstützt wird. Diese laufen transparent für den Nutzer im Hintergrund ab und bieten eine zusätzliche Sicherheitsebene ohne Komfortverlust.
Unterschiedliche Anwendungsfälle und Sicherheitslösungen
Insgesamt muss also jedes Unternehmen im Hinblick auf die Einführung eines Authentifizierungsverfahrens die konkreten eigenen Anforderungen ermitteln und davon abgeleitet einen individuellen Lösungsansatz finden. Die Herausforderung für Unternehmen liegt dabei darin, eine Lösung zu finden, die einerseits einen hohen Sicherheitslevel garantiert, andererseits aber auch eine positive User Experience bietet. Denn schließlich wird die Akzeptanz der Nutzer letztendlich das ausschlaggebende Kriterium für den Erfolg oder den Misserfolg eines Authentifizierungsverfahrens sein.
Marc T. Hanne|HID Global
Be the first to comment