Die starke Authentifizierung wird angesichts wachsender Bedrohungen und schärferer Vorschriften für Informationssicherheit unabdingbar. Dennoch sind die meisten Organisationen weit von flächendeckenden Lösungen entfernt. Dabei gibt es ausreichend Möglichkeiten, den klassischen Problemen der starken Authentifizierung zu begegnen.
Die Probleme der starken Authentifizierung lassen sich mit vier Schlagworten beschreiben: Initiale Kosten, laufen Logistik-Kosten, Akzeptanz und mangelnde Flexibilität. Die Probleme basieren zum großen Teil darauf, dass man von starker Authentifizierung in der Regel erst dann spricht, wenn mindestens zwei Faktoren für die Authentifizierung verwendet werden.
Die Faktoren können dabei „Wissen“, „Haben“ und „Sein“ sein. Daneben gibt es noch den Begriff der „Means“, also der eingesetzten Mittel. Die typische Authentifizierung mit Benutzernamen und Kennwort verwendet zwei Means, aber nur einen Faktor, nämlich das Wissen über eben diesen Benutzernamen und das zugehörige Kennwort. Die Authentifizierung mit einem zusätzlichen Einmalkennwort (One Time Password, OTP), das über ein Hardware-Gerät erzeugt wird, nutzt drei Means und zwei Faktoren.
Man kann sich nun durchaus darüber streiten, wo die schwache Authentifizierung endet und die starke Authentifizierung beginnt. Viel sinnvoller ist es aber, sich über die sinnvolle Authentifizierungsstärke Gedanken zu machen.
Nicht überall braucht es eine Zwei-Faktor-Authentifizierung auf hohem technischem Niveau. Und nicht immer reicht diese aus. Auch der dritte Faktor – also beispielsweise biometrische Verfahren in Ergänzung zu einer Smartcard und einer PIN oder einem Kennwort – kann bei besonders sensitiven Transaktionen oder Interaktionen sinnvoll sein.
Bei der Einführung starker Authentifizierungstechniken sollte folgende Frage immer am Anfang stehen: Wie sicher muss die Authentifizierung in welchen Anwendungsfällen sein, also für welche Interaktionen und Transaktionen ist welche Stärke angemessen?
Hier spielt natürlich auch der Kontext der Authentifizierung eine wichtige Rolle: Erfolgt der Zugriff aus dem internen Netzwerk aus zugangsgesicherten Räumen? Oder greift jemand über ein vergleichsweise unsicheres Smartphone oder das nicht ins IT-Sicherheitsmanagement eingebundene iPad von außen auf sensitive Informationen zu?
Kontext-bezogene und versatile Authentifizierung
Hat man die verschiedenen Zugriffsszenarien identifiziert, kann man diese auch klassifizieren– im Ergebnis erhält man wenige unterschiedliche Stufen der Authentifizierungsstärke. Da es mit einem Ansatz nicht getan ist, braucht man Lösungen, die den flexiblen Einsatz unterschiedlicher Techniken ermöglichen.
Man spricht in diesem Zusammenhang von „versatile“. Das bezeichnet die Fähigkeit, flexibel unterschiedliche Mechanismen der Authentifizierung zu unterstützen. Möglichst implementiert man dabei ergänzende Funktionen wie Step-Up-Authentifizierung, also der Anforderung zusätzlicher Means (gegebenenfalls eines anderen Faktors) beispielsweise beim Zugriff auf sensitivere Informationen im Rahmen einer Arbeitssitzung.
Gleichzeitig müssen die Mechanismen aber auch für die Zielgruppe geeignet sein – die Einfachheit der Nutzung, das Zusammenspiel mit der Hardware, die Kosten und die Logistik kommen hier ins Spiel. Für Kunden wird man oft andere Ansätze wählen als für Mitarbeiter, wo man vielleicht durch die intensive Nutzung etwas mehr investieren und eine etwas komplexere Logistik in Kauf nehmen kann.
Natürlich gibt es auch hier nicht die Ideallösung, also eine ausgesprochen starke Authentifizierung mit einfachster Nutzbarkeit zu minimalen Kosten. Zum einen kann man aber die komplexeren Mechanismen auf kleinere Benutzergruppen einschränken – und zum anderen hat sich in den vergangenen Jahren gerade bei schlanken, aber keineswegs schwachen Authentifizierungsmechanismen viel getan.
Wer die Wahl hat…
In unserem aktuellen Report zu den „Hidden Gems“, also innovativen Anbietern im IT-Markt, haben wir etliche Unternehmen identifiziert, die Authentifizierungsmechanismen anbieten, viele davon einfach in der Logisik, zu niedrigen Kosten und intuitiv verständlich für die Anbieter. Firmen wie Gridsure, Yubikey oder Umikey sind hier nur einige Beispiele. Angefangen von Soft Token und anderen rein software-basierenden Mechanismen über einfache Hardware-Token, die an jede USB-Schnittstelle passen, bis hin zu komplexen multifunktionalen Karten ist das Angebot für die starke Authentifizierung größer denn je.
Damit kann man eine angemessen starke Authentifizierung für alle umsetzen – und die Kosten dadurch im Griff behalten, dass man die teure Hardware und Logisik genau dort nutzt, wo es unabdingbar ist. Gleichzeitig erlauben die heute verfügbaren Plattformen für eine versatile und kontext-basierende Authentifizierung den flexiblen Mix solcher Technologien. Eine bessere Authentifizierung ist heute machbar – weil man die klassischen Probleme minimieren kann.