Authentifizierung: Verfahren um Zugriffe auf Daten abzusichern

Fachbeitrag

Viele kennen den Vorgang der Authentifizierung aus ihrem privaten Alltag, etwa vom Online-Banking. Aber auch bei den täglichen Geschäftsprozessen sollte man den Zugriff auf Clouddienste zu jeder Zeit streng reglementieren, um die Daten des eigenen Unternehmens und der jeweiligen Kunden zu schützen. Warum dies erforderlich ist und welche Möglichkeiten der Authentifizierung es gibt, zeigt der folgende Beitrag.

Was bedeutet Authentifizierung?

Als Benutzer hat man im (Büro-) Alltag Zugriff auf eine Vielzahl von Applikationen und Daten. Viele davon werden oftmals über das Internet angesteuert. Sollen genau diese Daten jedermann zugänglich sein? In der Regel nicht. Deswegen gibt man Informationen an, die einen als die Person identifizieren, für die die Daten vorgesehen sind. Eine Authentisierung dient also dem Nachweis der Identität eines Benutzers. Man stellt sich als die vorzugebende Person dar, indem man seine Daten, die dem Dienst als „sicher“ bekannt sind, verifiziert. Meist erfolgt diese Identifizierung bei der Anmeldung im entsprechenden Netzwerk. Als Benutzer gibt man in der Regel mindestens einen Benutzernamen und ein Passwort ein. Das System prüft daraufhin die hinterlegten Daten und vergleicht sie mit den soeben eingegebenen, was dem Prozess der Authentifizierung entspricht. Wenn diese übereinstimmen, wird man durch das System autorisiert, die Daten einzusehen. Die Unterscheidung der Begrifflichkeiten Authentisierung, Authentifizierung und Autorisierung kann man in unserem Blog nachgelesen werden.

Dies betrifft z.B. den Zugriff auf Unternehmensapplikationen in der Cloud, Dienste wie das Online-Banking oder den Login in eine Social Media Plattform. Der Sinn dahinter liegt klar auf der Hand: Die Daten sind für einen selbst und die Personen, die ebenfalls darauf Zugriff haben sollen, vorgesehen. Für niemanden sonst. Die Authentifizierung ist also ein Verfahren gegen Missbrauch oder Diebstahl von Daten. Hierbei ist es naheliegend, dass man seine Daten besser schützen kann, wenn man sich über mehrere Faktoren authentifizieren muss. Dies bringt uns zu den Möglichkeiten, die dafür zur Verfügung stehen.

Doppelt hält besser: Zwei-Faktor-Authentifizierung

Neben einer einfachen Authentifizierung existiert auch eine Mehrfach-Authentifizierung. Die sogenannte Multi-Faktor-Authentifizierung, abgekürzt MFA, zeichnet sich als Authentifizierungsverfahren aus, welches zwei oder mehr Berechtigungsnachweise (Faktoren) kombiniert. Eine Form der Multi-Faktor-Authentifizierung ist die Zwei-Faktor-Authentifizierung (2FA). Diese kombiniert genau zwei Berechtigungsnachweise. Die Art der Authentifizierung ist häufig durch den Benutzer selbst zu aktivieren. Viele Dienste führen sie aber bereits als Pflicht.

In vielen Fällen werden mobile Geräte als zweiter Faktor verwendet. Der Benutzer hinterlegt seine Mobilfunknummer im System und erhält eine SMS auf sein Smartphone. Damit aktiviert er die Zwei-Faktor-Authentifizierung. Der Anwender wird zukünftig eindeutig über zwei Wege identifiziert. Hierbei ist dann die Mobilfunknummer neben dem eigentlichen Login der zweite Faktor.

Bei einem unbekannten Login-Versuch benachrichtigt ein Unternehmen den Anwender. Es erfolgt eine Benachrichtigung per Smartphone oder E-Mail über einen nicht identifizierbaren Anmeldeversuch. Der erste Faktor war somit erfolgreich, der zweite nicht. Dies geschieht auch häufig, wenn für eine Anmeldung ein bestimmtes Gerät oder ein bestimmter Browser hinterlegt ist. Dieser dient dann automatisch als ein weiterer Faktor. Gerade Big Player wie z.B. Apple nutzen derartige Verfahren und warnen Nutzer entsprechend bei identifizierten Abweichungen und lassen die Identität häufig über ein weiteres, registriertes Apple Gerät des Benutzers verifizieren.

Multifaktor und Conditional Access

In den täglichen Geschäftsprozessen sollte man den Zugriff auf Clouddienste zu jeder Zeit streng reglementieren. Hierbei existieren weitere Verfahren zur Absicherung der Daten. Die Multi Faktor Authentifizierung wird in einigen Clouddiensten an eine individuelle Zugriffskontrolle auf Systeme und Daten gebunden.

Ein prominentes Beispiel hierfür wäre der Login in eine dementsprechend lizensierte und konfigurierte Microsoft 365 Umgebung. Bezeichnet wird dies als Conditional Access, den sogenannten Bedingten Zugriff. Dieser ist konfigurierbar im Azure Active Directory. Hierbei wird der Login eines Benutzers über Benutzernamen und Passwort hinaus noch an weitere Faktoren gebunden. Diese werden aber im Hintergrund ohne Zutun des Benutzers geprüft. Das können Anmeldungen sein, die nur von bestimmten Geräten aus zulässig sind, gebunden an ein Betriebssystem, eine MAC-Adresse, eine IP-Adresse oder einen Standort. Wenn sich somit ein grundsätzlich legitimer Benutzer in der Cloud authentifizieren möchte, aber dies aus Jamaika tut oder mit einem nicht konformen Gerät, wird die Anmeldung geblockt. Viele Clouddienste verfügen bereits über derartige Möglichkeiten einer bedarfsgerechten Konfiguration zur Einhaltung der internen Prozesse und Compliance-Vorgaben.

Gängige Verfahren für Multifaktor

Es gibt eine Vielzahl an Faktoren, die mit dem normalen Login aus Benutzername und Passwort kombinierbar sind. Die folgende Auflistung zeigt einige der gängigsten Faktoren für Multifaktorauthentifizierung. Folgende Faktoren sind u.a. schon zusätzlich zum normalen Login mit Benutzername und Passwort etabliert:

  • Authenticator-App
  • SMS
  • E-Mail
  • Anruf
  • Hardwaretoken
  • Biometrischer Scan
  • Sicherheitsfragen
  • Individuelle Zugriffskontrolle (Conditional Access)
  • TAN-Listen
  • QR Codes

Vorteile einer Zwei-Faktor-Authentifizierung

Eine oftmals sicherere Variante der genannten 2FA-Maßnahmen ist die Nutzung einer Authenticator-App. Diese generiert in der Regel alle 30 Sekunden ein Einmalpasswort zur Nutzung nach Bedarf. Der Algorithmus dahinter ist der sogenannte TOTP (Time-based One-Time Password). Durch die kurzen Zeitintervalle der Einmalpasswörter ist ein Abgreifen durch Unbefugte kaum möglich. Allerdings muss man auch hierbei das Smartphone vor Fremdzugriffen schützen. Ist bei einem Smartphone etwa das Anzeigen von Nachrichten trotz Sperrbildschirm aktiviert, ist auch das generierte Einmalpasswort potenziell für Dritte einsehbar.

Eine Zwei-Faktor-Authentifizierung hat aber auch noch weitere Vorteile. So ermöglicht diese zum Beispiel eine Anmeldung, selbst wenn ein Nutzer sein Passwort vergessen hat. Dank des zweiten Faktors ist eine Verifizierung seiner Angaben möglich, um ihm ein neues Passwort auszustellen.

Nachteile der Zwei-Faktor-Authentifizierung

Der Einsatz von Mehrfachauthentifizierungen findet auch im Alltag seine Anwendung. Beim Abheben von Geld am Bankautomat dient beispielsweise die EC-Karte als ein Faktor, die Eingabe der PIN als ein weiterer. Die aufgezeigten Beispiele verdeutlichen jedoch auch einen Nachteil. Ist die Authentifizierung an ein Objekt verknüpft, muss man dieses immer mitführen. Ansonsten ist die Zwei-Faktor-Authentifizierung nicht durchführbar. Dieses Objekt muss man demnach auch vor Diebstahl und externen Zugriffen schützen.

Ein weiterer Nachteil bei allen Hardwarelösungen ist der teilweise hohe Anschaffungspreis und die Manipulations- und Diebstahlgefahr. Gerade Objekte wie Hardwaretoken sollten zu keinem Zeitpunkt offen und frei zugänglich herumliegen. Mitarbeiter sollte man in Bezug auf eine sichere Handhabung schulen. Hierbei ist das Smartphone in der Regel die bessere Wahl, da man dieses meistens ohnehin besitzt. Zusätzlich ist es ein geringer Aufwand, eine Authenticator-App zu verwenden oder sich per SMS-Code zu identifizieren.

Security + Usability = MFA + SSO

Single Sign-on, kurz SSO, kommt häufig zusätzlich zu den genannten Authentifizierungsverfahren zum Einsatz. Hinter diesem Verfahren steht ein zentraler Authentifizierungsdienst. Mit diesem Verfahren hat ein Nutzer nur noch ein Passwort für alle Anwendungen, auf die er Zugriff benötigt. Somit loggt sich der Benutzer einmalig mit diesem ein und das hinterlegte Token wird für die benötigten Anwendungen benutzt. Dieses Verfahren stößt gerade bei Mitarbeitern auf viel Gegenliebe, da man sich nur ein Passwort merkt. Gleichzeitig ist es im Fall eines Ausscheidens aus der Firma für die verantwortliche IT einfach, alle Zugriffe sofort und gleichzeitig zu sperren. Das genaue Verfahren dahinter wird hier im Detail beleuchtet.

Der größte Nachteil von Single Sign-on liegt jedoch ebenfalls auf der Hand. Erlangt ein Unbefugter dieses Passwort, hat der Dieb auf alle Anwendungen und Bereiche auf einmal Zugriff. Um dem entgegenzuwirken, ist es daher sinnvoll, SSO mit MFA zu koppeln. In den täglichen Geschäftsprozessen sollte man den Zugriff auf Clouddienste zu jeder Zeit streng reglementieren. Die Kombination dieser beiden Verfahren bietet einen hohen Sicherheitsstandard bei gleichzeitiger Benutzerfreundlichkeit.

Mit den richtigen Authentifizierungsverfahren Bußgelder vermeiden

Sowohl im Datenschutz bei dem Berechtigungskonzept als auch in der IT-Sicherheit bei dem Identitäts- und Berechtigungsmanagement spielt die Auswahl geeigneter Authentifizierungsverfahren eine wichtige Rolle. Dabei sind vor allem die Vor- und Nachteile der einzelnen Authentifizierungsmöglichkeiten mit dem Schutzbedarf der Daten abzuwägen. Andernfalls drohen im Datenschutz hohe Bußgelder. So verhängte die niederländische Aufsichtsbehörde ein Bußgeld von 440.000 € gegen ein Krankenhaus, weil es unter anderem keine 2-Faktor-Authentifizierung für den Zugriff auf sensible Patientendaten vorsah. In einem anderen Fall musste 1&1 ein Bußgeld von 900.000 € zahlen, weil das gewählte Authentifizierungsverfahren (Angabe von Name und Geburtsdatum) für eine telefonische Auskunft über praktisch alle bei 1&1 gespeicherten Daten zu einfach zu knacken war.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.