Das verbotene Geschäft mit Identitätsdaten blüht!
Ob Zoom, Facebook oder Microsoft: Seit Jahren reißen die Nachrichten über siegreiche Hacks, ungepatchte Sicherheitslücken sowie dramatische Daten- und Passwort-Lecks nicht ab. Ganz im Gegenteil, die Datenskandale häufen sich zunehmend und bewirken jährlich einen enormen wirtschaftlichen Schaden.
Erst vor einiger Zeit publizierten Internetkriminelle im Darknet eine Datenbank mit um die 3,2 Milliarden Zugangsdaten, die laut den IT-Sicherheitsexperten des [Online-Magazins Cybernews], im Rahmen früherer Angriffe und Datenlecks bei namenhafte Unternehmen wie Netflix und LinkedIn erbeutet wurden.
Das solche Datensammlungen im Darknet verkauft werden ist nichts Neues.
Jedoch in diesem Tatbestand gibt es eine dramatische Besonderheit: Die Zugangsdaten liegen unverschlüsselt und im Prinzip für jeden frei zugänglich vor, sodass sie von Internetkriminellen bequem für identitätsbasierte Angriffe und umfangreiche Phishing-Attacken benutzt werden können.
Im Zuge dieser Bedrohungslage ist es allerhöchste Zeit, dass Betriebe robuste Authentifizierungsprozesse einführen.
Die Kombination macht den Schutz aus!
In einer Zeit steigender Digitalisierung, Vernetzung und hybriden Infrastrukturen nehmen identitätsbasierte Internetattacken zu.
Um sich vor derartigen Sicherheitsbedrohungen zu schützen, ist der Gebrauch einer Multi-Faktor-Authentifizierung unverzichtbar. Sie bieten Firmen einen zweifelsfreien Identitätsschutz und gewährleisten eine geschützte Zugriffskontrolle.
Im Gegensatz zu einer Ein-Faktor-Authentifizierung, die auf einer Abfrage von Benutzernamen und Passwort beruht, benutzt die Multi-Faktor-Authentifizierung die Verknüpfung mehrerer unterschiedlicher und insbesondere unabhängiger Identitätsnachweise, um die Identität eines Anwenders vor dem Zugriff auf eine gewünschte Applikation, ein Benutzerkonto oder eine VPN zu kontrollieren.
Grundsätzlich lassen sich die Identitätsnachweise in drei verschiedene Bereiche unterteilen:
- Know-how: Dinge, die nur der Anwender „weiß“ oder „kennt“.
- Zu diesem Punkt zählen Nutzernamen und Passwörter, PIN-Codes, aber auch Antworten auf geheime Sicherheitsfragen.
- Besitz: Dinge, die nur der Anwender besitzt.
- Zu diesem Punkt zählen digitale Zertifikate, digitale Software Token wie etwa Microsoft Authenticator, Google Authenticator oder physische Token wie Smartcards.
- Inhärenz: Dinge, die einen Nutzer eindeutig auszeichnen und nicht änderbar sind.
Dazu gehören vor allem biometrische Merkmale wie Fingerabdrücke, Stimmmuster oder Iris-Scans.
Da die Multi-Faktor-Authentifizierung inzwischen auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) integriert, sind ebenso standortbasierte, adaptive oder risikobasierte Identitätsnachweise realisierbar.
Geographische Identitätsnachweise:
- Bei einer Identitätsprüfung mit standortbasierten Identitätsnachweisen wird die IP-Adresse, oder aber der geografische Ort des Anwenders geprüft. Wenn sich der Anwender nicht an einem per Whitelist anerkannten Ort aufhält, wird der Zugriff verweigert.
Adaptive/ risikobasierte Identitätsnachweise:
- Bei einer Identitätsprüfung mit adaptiven/ risikobasierten Identitätsnachweisen werden zusätzlich die beiden Identitätsnachweise „Kontext“ und „Benutzerverhalten“ analysiert, um das mit dem Zugriffsversuch verbundene Risiko einzuordnen.
Dazu zählen:
- Von wo aus versucht der User, auf die Applikation oder Informationen zuzugreifen?
- Wann findet der Zugriffsversuch statt? In der Arbeitszeit oder nach Arbeitsende?
- Was für ein Gerät wird für den Zugriffsversuch verwendet? Dasselbe Endgerät wie am Vortag?
- Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?
Die Risikostufe wird anhand der Antworten auf diese Punkte berechnet. Ist die Gefahr hoch, wird der Anwender zur Übermittlung weiterer Identitätsnachweise aufgefordert.
Des einen Zuviel ist des anderen Zuwenig!
Bei der Zwei-Faktor-Authentifizierung handelt es um einen Spezialfall der Multi-Faktor-Authentifizierung. Im Unterschied zur Multi-Faktor-Identitätsprüfung, die für die Authentifizierung die Verbindung von mehr als zwei Identitätsnachweisen verlangt, sind bei der Zwei-Faktor-Authentifizierung bloß zwei Faktoren erforderlich. Somit ist jede Zwei-Faktor-Authentifizierung eine Multi-Faktor-Authentifizierung, aber nicht jede Multi-Faktor-Authentifizierung eine Zwei-Faktor-Authentifizierung.
Ein häufiger Fauxpas, der bei der Zwei-Faktor-Authentifizierung auftritt, ist das zwei Identitätsnachweise desselben Faktors abgefragt werden: Beispielsweise wird vor dem Anmeldevorgang via Benutzerkennung und Kennwort, ein weiteres Login-Formular mit einem Gruppenpasswort oder individuellen Sicherheitsfragen geschaltet.
Das Dilemma dabei ist, dass Angreifer mittels eines Phishing-Angriffs sowohl an die Login-Informationen als auch das Gruppenpasswort und die individuellen Sicherheitsfragen gelangen können. Daher ist dieses Authentifizierungsverfahren, genaugenommen, keine Zwei-Faktor-Identitätsprüfung, da keine unabhängigen Identitätsnachweise zum Einsatz kommen.
Authentifikatoren: Der Schlüssel im Schlüssel!
Passwörter sind die primäre Verteidigungslinie im Kampf gegen Datendiebstahl.
Allerdings existiert in vielen Firmen ein laxer Umgang mit Passwörtern, was dazu führt, dass [laut dem „Data Breach Investigations Report 2020“ von Verizon] 80 Prozent aller Sicherheitsverletzungen durch schwache, mehrfach benutzte oder gestohlene Passwörter verursacht werden.
Da Passwörter unterschiedliche Sicherheitsrisiken in sich tragen, kommt es für einen hochwirksames Authentifizierungsverfahren auf – zumindest – einen zusätzlichen Faktor an, der beim Authentifizierungsprozess verifiziert werden muss.
Hier kommen Multi-Faktor-Authentifikatoren oder Single Factor-Authentifikatoren ins Spiel:
Multi-Faktor-Authentifikator:
- sind Authentifikatoren in Form von Software, Token oder Smartphones, welche einen zweiten unabhängigen Identitätsnachweis in Form eines Passworts (Faktor: Know-how) oder eines Fingerabdrucks (Faktor: Inhärenz) benötigen, bevor sie zur Identitätsprüfung genutzt werden können.
Möchte ein Anwender, beispielsweise sein Smartphone als Authentifikator für den Zugang auf eine Website verwenden, MUSS das Smartphone erst einmal mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) aktiviert werden. Anschließend kann der Schlüssel auf dem Smartphone für den Zugriff auf die Website benutzt werden.
Single Factor (SF)-Authentifikatoren,
- sind Authentifikatoren, die keinen zweiten unabhängigen Identitätsnachweis benötigen, um benutzt zu werden.
Will ein Benutzer ein One-Time Password von einer OTP-Anwendung auf sein Smartphone erhalten, erfordert das keine weitere Aktivierung (ein einziger Authentifikator), keine Fingerabdruckerfassung (ein einziger Authentifikator) oder kein auswendig gelerntes Geheimnis.
Viel bringt viel!
Zusammenfassend lässt sich sagen, dass für die Realisierung einer zeitgemäßen IT-Sicherheit der Einsatz einer Multi-Faktor-Authentifizierung ein erster relevanter Schritt ist.
Durch den Einsatz einer hochentwickelten Multi-Faktor-Authentifizierung können Unternehmen einen zweifelsfreien Identitätsschutz und eine sichere Zugriffskontrolle Ihrer Mitarbeiter gewährleisten.
Des Weiteren bieten Multi-Faktor-Authentifizierungslösungen, die auf einem kontextbezogenen und risikobasierten Ansatz basieren, mehr Sicherheit, Anwenderfreundlichkeit und Kosteneffektivität.
Bei weiteren Fragestellungen oder Interesse einer optimalen Multi-Faktor-Authentifizierungslösung wenden Sie sich gerne jederzeit an uns.