Getty Images/iStockphoto
Sichere Authentifizierung: Warum ist Kontinuität so wichtig?
Die kontinuierliche Authentifizierung soll sicherstellen, dass die Benutzer auch diejenigen sind, die sie zu sein scheinen. Verhaltensbasierte Biometrie macht dies möglich.
Die Authentifizierung an einem Zugang beispielsweise. zum Online-Banking-, Firmennetzwerk- oder E-Mail-Postfach-Konto erfordert in der Regel die Eingabe eines Benutzernamens oder einer E-Mail-Adresse sowie eines Passworts oder einer PIN-Nummer. Üblicherweise ist die Verweildauer im aktiven Konto begrenzt, allerdings heißt das nicht, dass der Zugang vom Account-Inhaber wieder aktiv geschlossen, also per Log-out die Session beendet wird.
Stattdessen schließen viele User einfach die Browser-Registerkarte oder die App auf ihrem Mobilfunkgerät. Einige Anbieter sorgen dafür, dass der Benutzer nach einiger Zeit der Inaktivität einfach ausgeloggt wird. Andere sind weniger konsequent und die Nutzer bleiben für einige Tage oder gar Wochen eingeloggt, vor allem bei sozialen Netzwerken und anderen Kommunikationsanwendungen ist das die Regel.
Beides ist nicht ideal für die Sicherheit des Nutzers und des Kontos. Auf der einen Seite gibt es Unternehmen, für die das Benutzerengagement besonders wichtig ist (beispielsweise alles, was werbefinanziert ist). Für sie steht das „Benutzererlebnis“ im Vordergrund, also die Prämisse, dass der Nutzer so wenig Aufwand bei der Authentifizierung betreiben muss wie möglich und schnell die angebotenen Funktionen und Services nutzen kann. Was für soziale Netzwerke gilt, gilt auch für viele E-Commerce-Anbieter, die ihren Kunden ein bequemes und nahtloses Einkaufserlebnis bieten möchten. Was auf den einen Blick viele Vorteile bietet, ist auf den anderen, nämlich aus dem Blick eines Sicherheitsexperten, sehr gefährlich. Wenn das Gerät, auf dem ein solches Konto noch immer offen ist, gestohlen oder aus der Ferne gehackt wird, dann sind sowohl Kontodaten als auch persönliche Informationen gefährdet.
Umgekehrt gibt es Unternehmen, bei denen die Betrugsbekämpfung im Vordergrund steht (zum Beispiel Finanzinstitute oder Versicherungsunternehmen). Sie neigen dazu, sich mehr um die Risiken einer sogenannten Account-Übernahme zu sorgen und werden einen Benutzer entsprechend oft bitten, sich häufig zu authentifizieren. Außerdem werden sie zusätzliche Barrieren wie die Zwei-Faktor-Authentifizierung durchsetzen und kurze Anmeldezeiten erzwingen – alles in dem Bestreben, sicherzustellen, dass Betrüger nicht auf das Konto des Nutzers zugreifen. Obwohl sie ein höheres Maß an Kontosicherheit erreichen können, beeinträchtigen Finanzunternehmen dadurch die Benutzerfreundlichkeit.
Die größte Herausforderung bei diesem einmaligen Authentifizierungsmodell besteht für Unternehmen nun darin, irgendwo eine Schmerzgrenze für Benutzer auszuwählen, die sich zwischen einer hohen Sicherheit mit wenig Benutzerfreundlichkeit und niedriger Sicherheit mit mehr Benutzerfreundlichkeit bewegt.
Es gibt jedoch eine Lösung für dieses Dilemma und es gilt darüber nachzudenken, was Unternehmen idealerweise mit der Authentifizierung erreichen wollen. Vielleicht ist das Allheilmittel für die Authentifizierung, sicherzustellen, dass eine Person immer genau das ist, was sie zu sein vorgibt, ohne dass sie irgendwelche Maßnahmen ergreifen muss, um dies immer und immer wieder neu zu beweisen.
Moderne Technologien zur verhaltensbasierten Authentifizierung können hier Abhilfe schaffen, denn sie ermöglichen die kontinuierliche Authentifizierung.
Verhaltensbiometrie ermöglicht kontinuierliche Authentifizierung
Wie der Name schon sagt, soll die kontinuierliche Authentifizierung sicherstellen, dass die Benutzer eines Kontos auch die sind, die sie zu sein scheinen und dies nicht nur zu einem bestimmten Zeitpunkt. Damit dieses Ziel effektiv erreicht wird, müssen Unternehmen natürlich eine Möglichkeit haben, diese Authentifizierung durchzuführen, ohne ihre Nutzer bei der Nutzung der angebotenen Services ständig unterbrechen zu müssen. Diese einzigartige Fähigkeit wird durch eine Technologie namens Verhaltensbiometrie ermöglicht.
„Die kontinuierliche Authentifizierung eröffnet eine Welt, in der Unternehmen aus dem einmaligen Authentifizierungskontinuum ausbrechen und gleichzeitig die Sicherheit und die Benutzerfreundlichkeit verbessern können.“
Sebastian Mayer, BehavioSec
Die Verhaltensbiometrie nutzt maschinelles Lernen, um das Verhalten eines Kunden kontinuierlich und stillschweigend zu analysieren. Grundlage sind die natürlichen Interaktionen, die er mit der App oder der Website pflegt. Malware wie Bots, Cyberkriminelle mit gestohlenen Anmeldeinformationen und sogar diejenigen, die Fernzugriffs-Tools und ausgeklügelte Social-Engineering-Betrügereien einsetzen, fallen dann sofort auf. Am vielleicht Wichtigsten ist jedoch, dass die Technologie die Nutzung der aufgerufenen App oder Webseite nicht beeinträchtigt, also das Service- oder Einkaufserlebnis nicht beeinflusst.
Fazit
Die kontinuierliche Authentifizierung eröffnet eine Welt, in der Unternehmen aus dem einmaligen Authentifizierungskontinuum ausbrechen und gleichzeitig die Sicherheit und die Benutzerfreundlichkeit verbessern können. Unternehmen mit den strengsten Sicherheitsvorkehrungen können Hindernisse für die Benutzerfreundlichkeit wie die Durchsetzung extremer Passwortkomplexität, die Abhängigkeit von Einmalpasswörtern (One-Time-Password), Step-up-Authentifizierung, Transaktions-Parking und kurze Session-Timeouts beseitigen.
Umgekehrt können Unternehmen, die befürchten, Kunden durch mehr Komplexität beim Anmeldeprozess an den Wettbewerb zu verlieren, eine starke zusätzliche und transparente Sicherheitsschicht hinzufügen. Sie erreichen ein mehr an Sicherheit, ohne die Einführung eines zweiten, externen Faktors wie eines TAN-Generators oder eines Smartphones und ohne, dass es die Nutzer bei ihrem Vorhaben unnötig aufhält. Verhaltensbiometrie birgt außerdem den Vorteil, dass kein Eingriff in die persönlichen Befindlichkeiten des Nutzers stattfinden kann, er muss nicht wie bei anderen biometrischen Verfahren etwas von sich aktiv preisgeben, moderne Technologien vergleichen lediglich das Tippverhalten des Nutzers, so dass es zu einer passiven Weitergabe der biometrischen Informationen kommt, mit der die erhebenden Unternehmen sonst nichts anfangen können.
Über den Autor:
Sebastian Mayer ist Country Manager DACH/CEE bei BehavioSec.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!