Zum Inhalt springen Zur Navigation springen
Moderne Authentifizierung: Methoden, Sicherheit und Risiken

Moderne Authentifizierung: Methoden, Sicherheit und Risiken

Sichere Methoden der Authentifizierung spielen eine zentrale Rolle, um den Zugang zu sensiblen Daten und Systemen im Netz zu schützen. Während herkömmliche Passwörter vermehrt als unsicher gelten, haben sich moderne Authentifizierungsmethoden wie biometrische Verfahren, Multi-Faktor-Authentifizierung (MFA), Token und Verhaltensanalyse in vielen Teilen der IT-Landschaft durchgesetzt. Diese Technologien versprechen mehr Sicherheit und Benutzerfreundlichkeit, bergen jedoch auch neue Risiken, die wir in diesem Artikel beleuchten.

Welche Methoden der Authentifizierung gibt es?

Einleitend sei zu erwähnen, dass die nachfolgende Liste von Authentifizierungsmethoden eine großzügige Auswahl darstellt, jedoch nicht als vollständig gelten soll. Auch ist hier nicht jede Methode zwingend alleinstehend wirksam, stattdessen können bestimmte Möglichkeiten der Authentifizierung in Kombination mit anderen verwendet werden, einige müssen es sogar.

Passwortbasierte Authentifizierung

Wie bereits in der Einleitung angedeutet, gelten in der heutigen Zeit Passwörter als unsicher, da sie einerseits – sofern nicht durch Richtlinien gesichert – so gewählt werden können, dass sie einfach zu erraten sind. Andererseits können sie aber selbst bei einer gewissen Komplexität immer Opfer einer Brute-Force Attacke oder eines simplen Phishingversuchs werden. Daher ist die passwortbasierte Authentifizierung theoretisch nicht als moderne Methode zu benennen. Da sie jedoch immer noch in großen Teilen der IT-Landschaft als einzige Art der Authentifizierung verwendet wird, wird sie hier einleitend aufgeführt.

Der große Vorteil der passwortbasierten Authentifizierung ist die einfache Implementierung. Ein Nachteil ist jedoch, vor allem aus Datenschutzsicht, dass Passwörter in Datenbanken gespeichert werden müssen. Diese Datenbanken können bei potenziellen Datenlecks eine enorme Menge von personenbezogenen Daten offenlegen.

Um dem vorzubeugen, wurden über die Jahre viele zusätzliche oder auch substituierende Methoden eingeführt.

Zwei-Faktor-Authentifizierung / Multi-Faktor-Authentifizierung

Zweifaktor-, oder auch Multi-Faktor-Authentifizierung allgemein basiert auf der Kombination von zwei oder eben mehreren Authentifizierungsmethoden. In der Regel handelt es sich dabei um Passwort + SMS-Code, App-Code oder Vergleichbares.

Dies bietet eine deutlich erhöhte Sicherheitskomponente, baut jedoch durch die oft fehlende Benutzerfreundlichkeit und Abhängigkeit von Mobilgeräten eine Barriere auf, die vor allem bei technisch weniger versierten Menschen zur Ablehnung führen kann.

Bedenken hinsichtlich des Datenschutzes lassen sich hierbei in der Sammlung von Mobilnummern bei den jeweiligen MFA-Anbietern äußern. Kommt es zu einem Datenleck, werden bei fehlender Absicherung des Anbieters übermäßig viele personenbezogene Daten preisgegeben. Weiterhin existieren inzwischen Methoden, mit denen Multi-Faktor-Authentifizierung umgangen werden kann. Voraussetzung dafür ist, dass ein User auf einen Phishinglink reinfällt, der ihn auf eine EvilProxy Instanz weiterleitet, wo der Angreifer dann das Sitzungstoken, das von dem Identity-Provider erstellt wird, stehlen und für sich selber verwenden kann.

Single-Sign-On (SSO)

Beim Single-Sign-On (oder zu Deutsch: Einmalanmeldung) muss sich der Endnutzer nur ein einziges Mal bei einem zentralen SSO-Identity Provider (IdP) anmelden und erhält gegen die Eingabe seines Nutzernamens und Passworts ein Token (digitaler Identitätsnachweis). Mit Hilfe des Tokens kann sich der Nutzer jetzt bei anderen Diensten anmelden, ohne erneut Username und Passwort eingeben zu müssen. Voraussetzung ist, dass der jeweilige Dienst das Token akzeptiert. Allgemein wird SSO von der Benutzerfreundlichkeit her als sehr hoch eingestuft, da eine nahtlose Anmeldung bei anderen Diensten garantiert wird. Problematisch hier ist jedoch, dass bei einer Kompromittierung des zentralen IdP die Gefahr besteht, dass Angreifer auch Zugriff auf alle anderen Dienste erhalten.

Für eine detaillierte Darstellung und Erklärung des Single-Sign-On-Verfahrens Verfahren existiert bereits ein älterer Artikel.

Token-basierte Authentifizierung

Ähnlich wie beim Single-Sign-On-Verfahren wird bei diesem Protokoll ebenfalls mit Token gearbeitet. Im Vordergrund steht hier die Nutzung vom temporären JWT (JSON Web Token), das hier jedoch nur für einen einzelnen Dienst erstellt wird. Dieses Token bestätigt ebenfalls die Identität, ohne Usernamen und Passwort erneut eingeben zu müssen; tut es jedoch nicht dienstübergreifend.

Allgemein ist die Nutzung eines JWT mit hoher Sicherheit und guter Skalierbarkeit verbunden, geht jedoch mit einer eher komplexen Implementierung einher. Die Implementierung ist dabei ebenfalls ein zentraler Punkt der datenschutzrechtlichen Bedenken.

JWT enthalten sensible Informationen über einen Nutzer, wie etwa Nutzer-ID, Rollen und Berechtigungen. Liegt dieses Token ungesichert an einer Stelle, auf die Angreifer potenziell Zugriff erhalten könnten, können diese mit dem JWT auf das Konto des Users zugreifen, wodurch unter anderem personenbezogene Daten gestohlen werden können.

OAuth 2.0

Bei OAuth (Open Authorization) handelt es sich um ein offenes Protokoll für die sichere Autorisierung im Internet. Auch OAuth 2.0 nutzt ein Token zur Vergabe von Zugriffsrechten. Anders als bei JWT oder SSO richtet sich bei OAuth 2.0 jedoch das Token nicht an den Nutzer, sondern an einen Dienst. OAuth 2.0 ermöglicht es daher einer App, auf die Daten von einem anderen Dienst zuzugreifen. Im Token wird definiert, auf welche Daten die App dabei zugreifen darf.

OAuth 2.0 bietet hohe Flexibilität und Sicherheit, da Anmeldedaten nicht jedes Mal erneut eingegeben werden müssen, wenn ein Dienst mit einem anderen kommunizieren möchte. Gleichzeitig gibt OAuth 2.0 auch eine Angriffsfläche für maliziöse Apps, welche durch eine unsachgemäße Berechtigung dazu führen kann, dass Angreifer Zugriff auf sensible Daten erhalten.

FIDO

FIDO (Fast IDentity Online) ist ein Sicherheitsstandard, welcher mit kryptographischen Techniken arbeitet, um die Identität eines Nutzers zu bestätigen, ohne ein Passwort über das Internet senden zu müssen. Das macht es Angreifern besonders schwierig, die Authentifizierung zu manipulieren oder Passwörter zu stehlen.

FIDO gilt als Vorreiter der passwortlosen, und dafür biometrischen Authentifizierung, da es auf physische Sicherheitsschlüssel, wie etwa den YubiKey, einen Fingerabdruckscanner oder Gesichtserkennung zurückgreift und dadurch eine hohe Benutzerfreundlichkeit schafft.

Leider ist FIDO gemeinhin noch nicht so weit verbreitet, wie einige andere Authentifizierungsmethoden.

Auf der Kehrseite erfolgt bei FIDO ebenfalls eine Speicherung von biometrischen oder physischen Daten auf externen Servern des Anbieters. Daraus ergibt sich eine größere Angriffsfläche sowie potentielle Risiken für das Recht auf informationelle Selbstbestimmung der Nutzer.

Adaptive Authentifizierung

Auch bekannt unter risikobasierter Authentifizierung, handelt es sich bei der adaptiven Authentifizierung um eine Art von Zugangskontrolle, die unterschiedliche Faktoren und Kontextinformationen verwendet, um einzuschätzen, wie riskant das Anmeldeverhalten von Usern ist.

Dabei findet eine Echtzeitanalyse von diversen Merkmalen des Nutzers statt, die dieser bei der Anmeldung erzeugt. Anhand dieser Merkmale (bspw. Standort, Gerät, Netzwerk, Zeit, Verhalten o. Ä.) erkennt die adaptive Authentifizierung, ob es sich um einen unrechtmäßigen Zugriff handelt, und sorgt dafür, dass die Sitzung entweder beendet wird und der User vorerst ausgeschlossen wird oder er sich durch weitere Authentifizierungsmethoden zusätzlich authentifizieren muss.

Adaptive Authentifizierung ist keine eigenständige Methode, sondern dient als Verstärkung und Echtzeiterkennungsmaßnahme zusätzlich zu anderen Methoden, welche einen guten Schutz vor modernen Bedrohungen wie Account-Takeover bieten können.

Nicht zu vernachlässigen ist hier jedoch die Menge an Daten zum Nutzerverhalten, die dabei gesammelt wird und die Datenschutzbedenken hervorrufen kann.

Biometrische Authentifizierung

Bereits im letzten Punkt kurz angesprochen, bedient sich die biometrische Authentifizierung physischen Merkmalen wie Fingerabdrücken, Erkennung von Gesichtern oder sogar dem sogenannten Iris-Scan. Diese Methode geht mit einem hohen Maß an Sicherheit und vor allem einem hohen Maß an Benutzerfreundlichkeit einher.

Das bedeutet aber auch, dass eine dauerhafte Speicherung biometrischer Daten erfolgen muss, was datenschutztechnisch ein hohes Risiko darstellt, sollte es zu einem Datenleck kommen. Zudem lassen sich die biometrischen Merkmale nicht ändern, sind diese einmal kompromittiert, hat man ein großes Problem.

Passkeys

Bei Passkeys handelt es sich um eine immer populärer werdende Authentifizierungsmethode, welche vor allem im Bereich Sicherheit und Benutzerfreundlichkeit überzeugen kann. Passkeys generieren für jede Anmeldung ein kryptographisches Schlüsselpaar, bei dem der private Schlüssel auf dem Gerät des Nutzers verbleibt und ein öffentlicher Schlüssel mit dem jeweiligen Dienst, bei dem die Anmeldung stattfinden soll, geteilt wird. Im Detail wird die Funktionsweise in einem früheren Artikel behandelt.

Auswahl der richtigen Authentifizierungsmethode(n)

In unserer Aufzählung finden sich Authentifizierungsmethoden, die unter reinen Sicherheitsgesichtspunkten einem im ersten Moment besonders geeignet erscheinen. Man mag sich fragen, warum nicht einfach alle Unternehmen diese im Einsatz haben. Es darf jedoch nicht unterschätzt werden, dass die Benutzerfreundlichkeit ein enormer Faktor ist, den IT-Teams bei der Einführung einer Methode bedenken müssen. Gleichzeitig muss abgewogen werden, bis zu welchem Maße ein Datenschutzrisiko tragbar ist.

Zu guter Letzt muss auch im Auge behalten werden, wie sich die Implementierung und die Instandhaltung einer Authentifizierungsmethode in Relation zu dem Nutzen, der mit ihr einhergeht, verhält. Wichtig ist aber, dass Unternehmen sich mit dem Thema Authentifizierung auseinandersetzen, mögliche Gefahren kennenlernen und sich auf kurz oder lang von der reinen Nutzung der passwortbasierten Authentifizierung verabschieden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.