Im Internet kommt immer wieder die Diskussion über das „richtige“ Verfahren zur Authentifizierung auf. Zuletzt hatte LinkedIn bei dem Versuch versagt, die Kennwörter seiner Nutzer zu schützen. Doch wie können Web-Plattformen die Sicherheit ihrer Nutzer erhöhen?
Das Thema Kennwort-Schutz für Online-Nutzer wird in unterschiedlichen Zusammenhängen immer wieder diskutiert. Verschiedene Hersteller versuchen, sich als Lieferanten der (einzig) richtigen Lösung zu positionieren. Tatsächlich geht es aber nicht darum, die eine richtige Lösung für die Authentifizierung zu finden, sondern flexibel genug für die heutigen und zukünftigen Anforderungen zu sein.
Dafür gibt es – wenig überraschend – auch ein Schlagwort: „Versatile Authentication“. Wie immer versprechen auch hier etliche Anbieter, entsprechende Lösungen liefern zu können – was in Teilbereichen meist auch stimmt. Bevor man sich aber der Technologie zuwendet muss man sich die Frage stellen, warum man flexibler werden sollte.
Bei der geschäftsinternen Sicht findet sich oft schon eine Antwort. Hier gibt es Bereiche, in denen eine starke Authentifizierung unverzichtbar ist. Dazu gehören beispielsweise Forschung und Entwicklung mit dem schützenswerten geistigen Eigentum, dazu gehören (zumindest Teile) des Finanzwesens, dazu können auch viele andere Bereiche des Unternehmens zählen. Zweifelsohne existieren aber ebenfalls Firmenbereiche, in denen der Schutzbedarf deutlich kleiner ist oder sein kann.
Starke Authentifizierung nicht immer sinnvoll
Der in vielen IT-Sicherheitsrichtlinien zu findende Ansatz, dass grundsätzlich mit einer Zwei-Faktor-Authentifizierung gearbeitet werden muss, hat oft wenig mit der Realität zu tun. In international operierenden Unternehmen beispielsweise ist die Versorgung mit einer solchen Lösung logistisch nicht oder nicht sinnvoll lösbar. Ein Grund hierfür ist die breite Infrastruktur mit Händlern, Werkstätten und anderen Bereichen, weitere Aspekte wie Kosten, Zeit, vorhandene IT-Infrastruktur und Supportanforderungen kommen erschwerend hinzu.
In manch einem Bereich bedeutet Zwei-Faktor-Athentifizierung auch schlichtweg einen „overkill“. Auf der anderen Seite wird es oft Bereiche geben, in denen nicht einmal eine gute Zwei-Faktor-Authentifizierung (hier gibt es ja auch ein breites Spektrum an Lösungen unterschiedlicher Qualität und Sicherheit) nicht ausreicht. Pauschalierung hilft hier nicht weiter.
Noch deutlicher wird das beim Blick auf die veränderten Prozesse, die in der IT abgebildet werden, mit der Einbindung nicht nur von Geschäftspartnern, sondern immer mehr auch den bestehenden und potenziellen Kunden. Diese Identity Explosion stellt eine neue Herausforderung auch für die Authentifizierung dar. Denn die Geschäftsprozesse greifen immer auf die gleichen Informationen und oft auch die gleichen Anwendungen zu.
Angemessene Authentifizierung einführen
Beim Identity Management kann man im Übrigen nicht stur mit dem gleichen Ansatz für die Authentifizierung arbeiten. Das Spektrum reicht vielmehr
- von unauthentifizierten Zugriffen für die reine Informationsabfrage offen zugänglicher Informationen
- über einfache Authentifizierungsmechanismen von nicht überprüften Identitäten aus sozialen Netzwerken wie Facebook oder Google+
- bis hin zu stark authentifizierten Nutzern.
Es gibt nicht die eine, richtige Form der Authentifizierung. Es geht vielmehr darum, eine adäquate Form der Authentifizierung zu nutzen. Das erfordert Zweierlei: Das Wissen darüber, was wie zu schützen ist und die Technologie, die einen flexiblen Umgang mit unterschiedlichen Authentifizierungsverfahren ermöglicht.
Der erste Schritt ist zu verstehen, welche Informationen und damit zusammenhängenden Transaktionen und Interaktionen wie geschützt werden müssen. Diese Art von Schutzbedarfsanalyse geht weit über die BSI-Schutzbedarfsanalyse hinaus, weil sie den Blick auf Informationen und deren Nutzung und nicht – wie dort üblich – auf Systeme richtet.
Die Frage ist auch, wie man den Übergang gestaltet. Denn der zukünftige VIP-Kunde mag sich zunächst nur über Facebook „authentifizieren“, bevor er bei den ersten Bestellungen (mit einem anderen Schutzbedarf, immerhin geht es nun um Geld) eine andere Authentifizierung braucht. Das erfordert dann Technologie, bei der die Authentifizierungsmechanismen flexibel gewählt und ausgetauscht werden können – eben Versatile Authentication Services.
Adaptivität schafft Sicherheit
Gleichzeitig muss die Authentifizierung von der Anwendungslogik entkoppelt sein. Authentifizierung ist ein Service, der generisch bereitgestellt und genutzt wird und nichts, was in jeder Anwendung neu programmiert werden sollte. Damit können dann auch Federation-Mechanismen genutzt werden und man ist flexibel, um neue und sich ändernde Anforderungen umzusetzen.
Flexibilität in der Authentifizierung ist eine Grundvoraussetzung für Sicherheit in der IT, während der Versuch, genau einen Authentifizierungsansatz für alle Anforderungen zu nutzen, scheitern wird. Dabei geht es aber nicht in erster Linie um Technologie.
Vielmehr sollte man verstehen, was eine angemessene Authentifizierung ist und wie man auf sich ändernde Anforderungen flexibel reagieren kann – bis hin zur Frage nach der richtigen Sicherheitsarchitektur von Anwendungen, bei denen Sicherheit einschließlich der Authentifizierung als Dienst verstanden und genutzt wird.