Egal ob man als Privatmann im Internet auf eBay mitbietet, bei der Schufa eine Selbstauskunft einholt, Onlinebanking nutzt oder als Mitarbeiter im Unternehmen auf SAP oder das Reisebuchungssystemen zugreift: Das gute alte Nutzername- und Passwort-System wird immer häufiger durch andere Methoden der Authentisierung erweitert. Der Grund ist klar: Online-Betrug, neudeutsch „Fraud“, greift immer mehr um sich.
Nicht nur die Banken und Sparkassen glauben, ihren Kunden ein „zweigleisiges“ System und damit erhöhte Sicherheit anbieten zu müssen. Die Frage ist nur: Sind diese wirklich sicherer? Oder anders gefragt: Hält doppelt genäht wirklich besser?
So genannte Zweifaktor-Systeme sind besser als einfache, sollte man meinen. Das sagt einem schon der gesunde Menschenverstand. Aber der kann sich auch irren. Nehmen wir zum Beispiel an, der Kunde hat mehrere Bankkonten bei verschiedenen Instituten, und er möchte womöglich auch von unterwegs aus auf die verschiedenen Konten zugreifen; da sammelt sich schnell ein Bündel von Token, Karten und sonstiger Hardware an, dazu natürlich das jeweils passende Lesegerät. Diesem Sammelsurium auf Userseite stehen oftmals ebenso unhandliche Punktlösungen bei den Anbietern der Internetdienste oder der internen IT der Organisation gegenüber. Die These von „mehr Komplexität durch mehr Sicherheit" wird wieder einmal bestätigt.
Als rational denkender Mensch mit angemessenem Risikobewusstsein und ausreichend Technologie-Affinität fragt man sich zwar gelegentlich, ob das denn alles sein muss, fügt sich aber letztlich in sein Schicksal. Dabei gibt es im Markt längst eine Reihe von äußerst flexiblen Authentisierungssystemen, die unter dem Namen „Versatile Authentication Service Platform" (VASP) laufen und die den flexiblen und gleichzeitigen Einsatz verschiedener Authentisierungsverfahren wie Nutzername/Password, Eigenschaften des zugreifenden Systems, One Time Password Token (OTP), Zertifikats-basierter Authentisierung mittels Smartcard, Gridkarten, Challenge-Response Verfahren und anderen Systemen ermöglicht. Auch biometrische Verfahren oder Kombinationen aller vorgenannten sind möglich, was insbesondere für gemeinsame Anwendung mit Transaktions- oder Kontext-basierter Risikoanalyse bei der Autorisierungsentscheidung gilt - für die jeweilige Organisation ein oft entscheidender Vorteil. Das Ziel dabei ist eine angemessene Authentifizierung entsprechend der Anforderungen der jeweiligen Transaktion und Interaktion - also keine zwingend immer durchschnittlich starke Lösung, sondern eine, die mal schwächer und mal sehr stark ist und bei der man auch mal eine weitere Information anfordert, wenn die bisherige Authentifizierung für die nun gewünschte Interaktion oder Transaktion nicht ausreicht.
Um eine solche Gesamtlösung richtig nutzen zu können, müssen die entsprechenden Risiken und Schwellwerte sowie die Erfahrungswerte aus früheren Transaktionen modelliert werden - ansonsten wird der Helpdesk durch verärgerte Kunden und Anwender überschwemmt, die beispielsweise ihre wichtigen Emails aus dem Urlaubshotel im Ausland nicht mehr abrufen können., nicht mehr an wichtige Daten kommen oder sonst an neue, ungeahnte Grenzen stoßen.
Eine durchdachte Authentisierungs-Strategie mit mehreren Varianten gehört heute zu den Grundlagen der Informationstechnik Strategie. Denn es gibt zwar eine große Auswahl an Tools und Tokens zur Authentisierung, aber kaum eine dieser Lösungen eignet sich als die universelle Gesamtlösung. Je mehr Authentisierungsmethoden im Unternehmen angewendet werden, desto nötiger ist die Zentralisierung der Endpunkte auf Basis von VASP. Eine solche Lösung dämmt die Komplexität ein und erhöht damit die faktische Sicherheit der Systeme - und nicht nur die theoretische. Welche Lösungen im Detail gewählt werden sollten, hängt natürlich stark von Nutzeranzahl, Anwendungsfällen und Budget ab.