Sichere Authentifizierung in Online-Diensten Account-Sicherheit ist Sache der Anwender
Anbieter zum Thema
Ein Bericht von Twitter zur Sicherheit von Accounts verweist auf ein großes Problem, das alle Anbieter von Online-Diensten betrifft: Zu wenige Benutzer verwenden sichere Authentifizierungsverfahren, obwohl sie häufig angeboten werden. Dabei gibt es probate Wege, die Benutzer dafür zu gewinnen.

Twitter hat im Juli 2021 seinen Bericht zur Account-Sicherheit veröffentlicht. Ihm zufolge nutzen nur 2,3 Prozent der aktiven Twitter-Nutzer die Zwei-Faktor-Authentifizierung zum Schutz ihres Accounts. Von diesen wenigen Nutzern verwenden 79,6 Prozent SMS als Authentifizierungsverfahren, das ist zwar besser als nur ein Passwort, allerdings ist es seit langem als weniger wirksam gegen gängige Bedrohungen wie Phishing bekannt.
Die geringe Nutzung der Zwei-Faktor-Authentifizierung (2FA) und die anhaltende Beliebtheit von SMS für 2FA zeigen etwas Entscheidendes: Die Anbieter von Online-Diensten klären die Verbraucher nicht umfassend genug über das wachsende Risiko und die Auswirkungen von Account-Übernahmen auf und, was noch wichtiger ist, dass Verbraucher diese Bedrohungen durch leicht verfügbare und benutzerfreundliche Lösungen abmildern können – zum Beispiel mit Hilfe von biometrischen Daten auf mobilen Endgeräten, die sie wahrscheinlich bereits zum Entsperren der Geräte verwenden.
Dieses mangelnde Bewusstsein gehört mit zu den größten Herausforderungen beim Schutz der Daten der Menschen und bei der Eindämmung des massiven Problems der Datenschutzverletzungen weltweit. Die Wahrnehmung von 2FA als notwendigerweise kompliziert ist eine weitere.
Datenschutzverletzungen können jeden treffen
Die Anbieter von Online-Diensten sollten sicherstellen, dass ihre Kunden verstehen, dass sie mit hoher Wahrscheinlichkeit Opfer einer Datenschutzverletzung werden, wenn sie ihre Accounts nicht angemessen schützen. Laut dem Verizon Data Breach Investigations Report 2021 gab es im Jahr 2020 5.258 bestätigte Datenschutzverletzungen. 36 Prozent davon waren auf Phishing zurückzuführen, 25 Prozent waren das Ergebnis von Betrügern, die zuvor gestohlene Anmeldedaten wie Passwörter verwendet hatten. Und eine Umfrage der FIDO Alliance zum Thema Social-Media-Sicherheit zeigt, dass 45 Prozent der Befragten Opfer eines Social-Media-Hacks geworden sind.
Diese Statistiken bestätigen nicht nur die Daten von Twitter, die auf eine geringe Akzeptanz der Multi-Faktor-Authentifizierung hinweisen, sondern machen auch deutlich, dass die Verbraucher entweder das Ausmaß des Problems der Datenschutzverletzungen nicht verstehen oder glauben, dass es sie nicht treffen wird. Aber die Chancen stehen gut, dass es doch passiert.
Risiken besser einschätzen
Die Benutzer von Online-Diensten sollten darüber informiert sein, welche Authentifizierungsmethoden zur Verfügung stehen. Viele Unternehmen bieten mehrere starke Verfahren an, darunter SMS-OTPs, biometrische Lösungen, Authentifizierungs-Apps und/oder FIDO. Allerdings ist nicht davon auszugehen, dass die Benutzer wissen, was diese Technologien leisten oder wie sie funktionieren. FAQs oder andere einfache Erklärungen können den Verbrauchern helfen, ihre Optionen zu verstehen – und folglich auf eine sichere, gerätebasierte Zwei-Faktor-Authentifizierung zu setzen.
Die Benutzer sollten in der Lage sein, zunächst ihr Risiko einzuschätzen, und auf dieser Grundlage ermitteln, wie sie ihren Account sichern können. Authentifizierungsverfahren sind unterschiedlich. Die SMS-basierte Authentifizierung bietet zwar die Möglichkeit, mehrere Formen der Authentifizierung zu verwenden, schützt aber nur in 76 Prozent der Fälle vor einem gezielten Angriff. Dies mag für einige Benutzer mit Daten von geringem Wert für Hacker ausreichend sein. Benutzer mit Administratorzugriff, Personen, die in der Öffentlichkeit stehen, leitende Angestellte oder Personen, die in sozialen Medien oder auf Branchenveranstaltungen aktiv sind, sind jedoch mit größerer Wahrscheinlichkeit das Ziel von Cyberkriminellen und benötigen mehr Schutz. Sicherheitsschlüssel bieten maximale Sicherheit und schützen Konten zu 100 Prozent vor einem gezielten Angriff. Damit sich Nutzer vor Online-Bedrohungen schützen können, ist es ratsam, ihnen Tools zur Risikobewertung und ergänzende Erläuterungen zu den Verfahren zur Verfügung zu stellen.
Sichere Authentifizierungsverfahren in den Vordergrund stellen
Verfahren für eine Multi-Faktor-Authentifizierung müssen einfach zu aktivieren und zu nutzen sein. Dass nur wenige Menschen Maßnahmen zur Sicherung ihrer Konten ergriffen haben, ist nicht nur bei Twitter der Fall. Die Umfrage der FIDO Alliance zeigt auch, dass 31 Prozent der Befragten sich entweder nicht die Zeit genommen haben oder nicht wissen, wie sie ihre Online-Accounts schützen können, selbst wenn bessere Optionen zur Verfügung stehen. Für Dienstanbieter ist die Bereitstellung von Authentifizierungsoptionen nur die halbe Miete. Die andere Hälfte ist, die Nutzer dazu zu bringen, sie zu aktivieren, und das geht nur, wenn man es ihnen so einfach wie möglich macht.
Hier sind die Online-Dienste in der Pflicht Maßnahmen zu ergreifen, um die Verwendung sicherer Verfahren zu vereinfachen. So lassen sich die Optionen für die starke Authentifizierung bei der Kontoerstellung in den Vordergrund stellen, anstatt sie in den Sicherheitseinstellungen zu verbergen. Außerdem sollten die Nutzer über verschiedene Kanäle wie Aufforderungen auf der Website oder Marketing-E-Mails informiert werden, wo und wie sie die Multi-Faktor-Authentifizierung aktivieren können.
Fazit
Die Verbraucher müssen über die Risiken und Folgen von Betrug und die verfügbaren Lösungen zur Sicherung ihrer Accounts aufgeklärt werden – und die Anbieter von Online-Diensten sind in der Position, als Botschafter für bessere Authentifizierungsmethoden aufzutreten. Es ist sicherlich ein schmaler Grat zwischen der Sensibilisierung und der Abschreckung von Kunden, aber die Verbesserung der Sicherheit nutzt sowohl den Verbrauchern als auch den Anbietern. Denn die einzigen, die von schwachen Sicherheitsvorkehrungen profitieren, sind Hacker.
Über den Autor: Andrew Shikiar ist Executive Director der FIDO Alliance.
(ID:47825434)