Mehr Sicherheit für digitale Identitäten Biometrische Authentisierungs­verfahren und CIAM-Systeme

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

Arvato Systems

Keeper Security EMEA Ltd.

Nutzeridentitäten, über die sich in Firmennetzwerke eindringen lässt oder mit denen betrügerisch Einkäufe auf anderer Leute Kosten getätigt werden, sind ein in kriminellen Kreisen hoch gehandeltes Gut. Dabei geraten bislang gängige Verfahren zur Authentisierung der Nutzer, also der zweifelsfreien Bestätigung ihrer Identität und Zugriffsrechte, zunehmend an ihre Grenzen

Kaum jemand kann sich all die Passwörter merken, die für unterschiedliche Firmenlogins, Websites oder Apps genutzt werden. Aus Bequemlichkeit greifen viele Nutzer dann zu einem Standardpasswort, das sie für mehrere Websites und Apps nutzen – und bieten damit ein potenzielles Einfallstor für kriminelle Hacker, die solche Passwörter etwa mit Phishingattacken abzuschöpfen versuchen. Biometrische Verfahren, die einzigartige körperliche Merkmale des Nutzers zur Feststellung der Identität einsetzen, gelten deshalb als zukunftsträchtige Ablösung für das Passwortverfahren. Ihre volle Wirkung entfalten sie im Zusammenspiel mit modernen CIAM-Systemen (Customer Identity and Access Management). Im Folgenden soll dargestellt werden, wie die einzelnen Elemente ineinandergreifen und welche Vorteile Unternehmen daraus ziehen können.

Die fortschreitende Digitalisierung hat ein Internet of Everything ermöglicht. Bei ihm sind Personen, Prozesse, Daten und Dinge intelligent miteinander verknüpft, was elektronische Interaktionen zwischen ihnen erlaubt. Für Unternehmen ist das nicht nur praktisch, sondern auch potenziell gewinnbringend. Sie nutzen das Internet of Everything für digitale und kundenzentrierte Geschäftsmodelle. Um aber Menschen online vertrauenswürdige Dienstleistungen und einen sicheren Zugang zu Plattformen sowie Anwendungen zu bieten, müssen Unternehmen unter anderem digitale Identitäten verwalten und schützen. Zentral ist dabei vor allem die Authentifizierung von Nutzern, die einem Diebstahl und dem anschließenden Missbrauch oder Verkauf von digitalen Identitäten vorbeugt. Die Lösung für diese und weitere Maßnahmen sind CIAM-Systeme, da sie über entsprechende Funktionen verfügen. In Bezug auf digitale Identitäten sorgen sie für die nötige IT-Sicherheit.

Die (digitale) Identität einer Person

Die Identität einer Person ist einmalig. Definiert wird sie anhand charakteristischer Eigenschaften, den Identitätsattributen. Zu diesen gehören körperliche Merkmale wie das Gesicht und der Fingerabdruck, aber auch persönliche Daten wie der Name, die Adresse und das Geburtsdatum. Einige dieser Punkte sind auf dem eigenen Personalausweis vermerkt, wodurch sich Menschen eindeutig ausweisen können. Notwendig ist das unter anderem bei Grenzkontrollen oder einer Kontoeröffnung bei einer Bank.

Die digitale Identität einer Person ist vergleichbar mit einem virtuellen Personalausweis. Sie ist für das eigene Online-Leben unabdingbar und ohne sie würde vieles nicht funktionieren. Als Identitätsattribute dienen beispielsweise der Benutzername, das Passwort und die biometrischen Daten einer Person. Zudem sind Chipkarten und Security-Token hilfreich für die eindeutige Identifizierung. Wenn sich zum Beispiel jemand online in ein Konto (E-Mail, Bank, soziale Netzwerke oder andere) einloggen will, muss er zunächst seine digitale Identität angeben – sich authentisieren.

CIAM-Systeme sichern Daten im täglichen Einsatz

Der Bedarf an Sicherheitslösungen zur persönlichen Authentifizierung ist somit nicht von der Hand zu weisen. Denn die Gefahren für digitale Identitäten durch das World Wide Web sind mannigfaltig. Viele Cyberkriminelle haben es auf Daten zu digitalen Identitäten abgesehen. Der Grund: Mit passenden Daten können sie eine digitale Identität übernehmen und stehlen. So können sie finanziell vom Datenklau profitieren, indem sie beispielsweise auf fremde Kosten Waren in Online-Shops bestellen oder Abonnements bei Streaming-Diensten abschließen. In einigen Fällen greifen sie auch auf Bankkonten zu. Darüber hinaus nutzen Cyberkriminelle gestohlene digitale Identitäten für weitere Angriffe. So werden zum Beispiel E-Mail-Adressen für einen massenhaften Versand von Spam verwendet. Insgesamt gesehen können solche Cyberangriffe also erheblichen (finanziellen) Schaden verursachen.

Die Risiken durch den kriminellen Verlust von Daten machen klar, warum es für Unternehmen ratsam ist, ihre Kunden optimal zu schützen. Ansonsten gefährden sie nicht nur ihre Reputation und das Vertrauen in sich und ihre Leistungen, sondern müssen selbst einen finanziellen Verlust und Bußgelder befürchten. Für Unternehmen geht es folglich darum, die Daten ihrer Kunden zum einen sicher aufzubewahren und sie zum anderen kontinuierlich zu authentifizieren – also sicherzustellen, dass das Kundenkonto nicht beispielsweise von Kriminellen übernommen wurde. Je nachdem welche Daten bei einer Anmeldung anzugeben sind, gibt es unterschiedliche Maßnahmen, wie das Konto gesichert werden kann. An die Stelle der durch Hackerangriffe gefährdeten Passwortabfrage treten dabei zunehmend Mehrfaktor-Authentifizierungen und biometrische Verfahren. Jedes System hat seine eigenen Vorteile und Unternehmen stehen vor der Wahl, welches am besten zu ihnen und ihren Anforderungen passt. Die Grundlage bildet jedoch immer ein CIAM-System, das die jeweiligen Verfahren unterstützt.

Intelligente Authentifizierung

Die biometrische Authentisierung vereint mehrere Vorteile in sich: Sie basieren allesamt auf körperlichen Eigenschaften, die sich nicht ohne weiteres fälschen lassen. Eine Entsperrung per Fingerabdruck, Iris-Scan oder Gesichtserkennung erfüllt somit nicht nur die höchsten Anforderungen an die Sicherheit. Gleichzeitig erhöht sich damit auch die Nutzerfreundlichkeit, da die mit Passwörtern typischerweise einhergehenden Schwierigkeiten vermieden werden: Ihre biometrischen Daten müssen sich Nutzer weder ausdenken noch sie im Kopf behalten – sie haben sie schlicht immer dabei.

Das Potenzial der einzelnen biometrischen Verfahren ist dabei durchaus unterschiedlich zu bewerten und entwickelt sich mit dem technischen Standard der in Desktop- und Mobilgeräten verbauten Sensoren stetig weiter: War es zu Anfang möglich, die Gesichtserkennung eines Geräts mit einem Foto eines autorisierten Nutzers zu täuschen und ein Entsperren zu erwirken, ist dies dank moderner 3D-Sensoren, die auch die Gesichtsform des Nutzers miteinbeziehen, mittlerweile ausgeschlossen. Auch ein Nichterkennen einer autorisierten Person, weil diese beispielsweise eine Brille oder Make-up trägt und somit nicht mehr dem gespeicherten Bildprofil entspricht, gehört dank verbesserter Algorithmen zunehmend der Vergangenheit an.

Gegenüber der Gesichtserkennung bietet das weiterentwickelte Bilderkennungsverfahren des Iris-Scans ein noch höheres Maß an Erkennungssicherheit: Jede menschliche Iris ist individuell und bietet eine Vielzahl eindeutiger optischer Erkennungsmerkmale, die sich mittels eines Infrarotsensors ermitteln lassen. So genügt zum Entsperren ein Blick auf den Sensor, ohne dass dessen Bilderkennung durch mögliche Veränderungen im Gesicht des Nutzers oder schlechte Beleuchtungsverhältnisse irritiert wird. Zudem reinigt sich das menschliche Auge ständig selbst und ist so stets „einsatzbereit“ für die Entsperrung.

Zu den bekanntesten biometrischen Prüfverfahren zählt sicherlich der Fingerabdruckscanner – verbaut beispielsweise als Sensor auf der Rückseite von Mobilgeräten oder mittlerweile als unsichtbarer Teil des Displays integriert. Auch hier schreitet der Ausbau der Sicherheitsfunktionen weiter voran. Bereits die seit langem eingesetzten kapazitiven Sensoren erfassten die 3D-Struktur des Fingerabdrucks und ließen sich nicht durch zweidimensionale Reproduktion wie ein Foto aushebeln. Eine dreidimensional ausgeführte Fälschung konnte die Sensoren jedoch hinters Licht führen. Mittlerweile sind etwa Ultraschallsensoren soweit fortgeschritten, dass kleinste Erhebungen und Vertiefungen der Haut registriert werden. Wird ein gestohlener Fingerabdruck dreidimensional nachgebildet, fehlen diese Höhen- und Tiefeninformationen, sodass die Nachbildung nicht zum erfolgreichen Entsperren genutzt werden kann.

Doch nicht nur während des Logins lässt sich die Identität und Legitimität des Nutzers überprüfen: Möglich ist auch die Analyse des Nutzerverhaltens. Mit ihr lassen sich Muster erkennen, die entweder auf ein normales oder ein abweichendes Verhalten hinweisen. Die Analyse beginnt bereits bei der Anmeldung zu einem Konto und dauert bis zur Beendigung der Sitzung. In der Zwischenzeit werden automatisch dynamische Aspekte der jeweiligen digitalen Identität erfasst und analysiert beziehungsweise mit vorangegangenen Sitzungen verglichen. Zu den dabei entscheidenden Faktoren zählen beispielsweise die Geolocation, Geräteinformationen, das Tippverhalten, die Tippmelodie (Dynamik von Tastenanschlägen) und Mausbewegungen. Wenn während der Überprüfung ein abnormales Verhalten auftritt und das entsprechende Risiko einen bestimmten Schwellenwert erreicht, wird automatisch eine Benachrichtigung an das eigene IT-Sicherheitsteam geschickt. Das ist dann in der Lage, den Nutzer in Echtzeit genauer zu überprüfen und gegebenenfalls eine unberechtigte Übernahme sofort zu stoppen.

Harmonisches Zusammenspiel: Biometrische Verfahren und CIAM

Exemplarisch zeigt die Analyse des Nutzerverhaltens, welche Maßnahmen CIAM-Systeme bereitstellen. Sie eignen sich perfekt für die Verwaltung und den Schutz digitaler Identitäten. Dabei fallen sie dem Nutzer nicht durch aufdringliche Prüfmaßnahmen auf, sondern bleiben wo immer möglich im Hintergrund – ohne dabei Kompromisse in puncto Sicherheit zuzulassen. Insbesondere die immer weiter entwickelten Sensoren in Mobilgeräten tragen dazu bei, den Trend zu passwortfreien Authentisierungsverfahren voranzutreiben. Der Mehrwert für Unternehmen ergibt sich aus der Kombination aus datenschutzkonformer Nutzerverwaltung und verbesserter User Experience.

Über den Autor: Stephan Schweizer ist CEO der Nevis Security AG.

(ID:47047118)