:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/a4/7f/a47fcac710f298a6a0b02668e48e2849/0111560285.jpeg "Die ersten 72 Stunden nach einem Cyberangriff sind entscheidend für die Schadensbegrenzung und Einhaltung der DSGVO. (Bild: HNFOTO - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/78/ac78d9314d428c4d1179c0729c0f2ff2/0111550886.jpeg "Das Ziel des OT-Security Events „Securing the Future“ ist es, den Teilnehmern einen guten Überblick über relevante Maßnahmen, sowie Problemstellungen und mögliche Lösungen zu geben. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Das Smartphone als Identitätsnachweis So funktioniert Mobile Connect
Die Anmeldung per Nutzername und Passwort gilt als umständlich und nicht mehr zeitgemäß. Mit Mobile Connect hat die weltgrößte Mobilfunkorganisation GSM Association (GSMA) eine Alternative entwickelt, die das Handy als Identitätsnachweis nutzt. In Deutschland haben bereits die großen Mobilfunkbetreiber angekündigt, das Verfahren im Laufe des Jahres einzuführen, aber wie funktioniert Mobile Connect und wie sicher ist es wirklich?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die IT ist eine Geschichte von bahnbrechenden Entwicklungen. Davon unbeleckt blieb offenbar die Art und Weise, wie sich Nutzer bei einem IT-Dienst anmelden: Nutzername und Passwort gelten seit Anbeginn bis heute bei den meisten Diensten als Zugangsschlüssel der Wahl. Mit Mobile Connect verspricht die GSMA, das Zugangsverfahren nicht nur einfacher, sondern auch sicherer zu machen. Das Plus an Sicherheit ergebe sich aus der Tatsache, dass die Kenntnis einer bestimmten (Zugangs-)Information allein nicht mehr ausreicht, um sich Zugang zu verschaffen. Vielmehr ist es nun nötig, physisch im Besitz von etwas zu sein, eben dem Handy. Doch der Reihe nach.
So arbeitet Mobile Connect
Mobile Connect basiert auf OpenID Connect, einem weit verbreiteten Standard aus der Open Source-Welt. OpenID Connect wird verwendet, um einen Authentifizierungstoken zwischen dem Service-Provider und dem mobilen Netzbetreiber auszutauschen. Das mobile Gerät bildet dabei nur eine von mehreren Sicherheitskomponenten. Eine weitere (optionale) Komponente ist die Abfrage der PIN. Über den Service-Provider beziehungsweise Netzbetreiber als dritte Komponente lassen sich bei Bedarf auch Kontext-Informationen, die es beispielsweise erlauben, untypisches Verhalten als Angriff zu werten und weitere Sicherheitsfragen auszulösen, in den Prozess einbinden. Solche Kontextinformationen, über die der Mobilfunkbetreiber die Sicherheit des gesamten mobilen Ökosystems erhöhen kann, sind etwa:
- Befindet sich das Gerät (dargestellt durch die SIM-Karte) an seinem gewohnten Standort?
- Wurde die SIM häufig gewechselt (abnormales Verhalten)?
- Wurde das Gerät häufig gewechselt (Fehlverhalten)?
- Ist der Benutzer ein Vertragskunde (erhöht das Vertrauen)?
- Seit wann ist der Nutzer Kunde des Mobilfunknetzes (stärkt das Vertrauen)?
- Roaming des Geräts (dargestellt durch die SIM-Karte) im Moment?
:quality(80)/images.vogel.de/vogelonline/bdb/1353400/1353410/original.jpg "Mit Mobile Connect wollen die drei großen deutschen Mobilfunkbetreiber ihren Kunden eine einfache und sichere Authentifizierungslösung bieten, die statt auf Benutzername und Passwort nur auf die Mobilfunknummer setzt. (Pixabay)")
Mobile Connect von Deutsche Telekom, Telefónica und Vodafone
Einfacher Login mit Mobilfunknummer
Mobile Connect aus der Sicht des Nutzers
In Deutschland haben bereits die großen Mobilfunkbetreiber Deutsche Telekom, Vodafone und Telefónica angekündigt, das Verfahren im Laufe des Jahres einzuführen. Dabei werden sie von Industrie- und Medienallianzen unterstützt, in welchen sich einschlägige Konzerne zusammengetan haben.
Wer Mobile Connect nutzen möchte, muss sich zunächst bei einem Mobile Connect Plattform Betreiber (zum Beispiel Verimi in Deutschland) registrieren. Bei diesem Schritt wird die Mobilfunknummer an eine bestimmte Identität gekoppelt. Wer möchte, kann auch noch weitere Informationen hinterlegen, beispielsweise eine Rechnungs- und eine Lieferadresse. Auch lassen sich hier je nach Sensibilität eines Dienstes unterschiedliche Sicherheitsstufen festlegen, um etwa das Online-Banking besonders zu schützen.
In der Praxis bildet Mobile Connect bei entsprechenden Diensten einfach eine zusätzliche Möglichkeit (neben Nutzername und Passwort) für die Anmeldung. Wer sich für "Mit Mobile Connect einloggen" entscheidet, erhält als Antwort ein Popup-Fenster für die Eingabe der Telefonnummer. An diese schickt Mobile Connect nun via SMS oder USSD (Unstructured Supplementary Service Data) einen Link. Je nach zuvor festgelegter Sicherheitsstufe muss der Link nur einfach durch Anklicken bestätigt, oder durch Eingabe einer PIN freigeschaltet werden. Alternativ zur PIN lassen sich auf dem Handy unterstützte biometrische Verfahren wie beispielsweise der Fingerabdruck oder die Augen-Iris als Freischaltmethode auswählen. Auf diese Weise realisiert Mobile Connect eine sichere Zwei-Faktor-Authentifizierung. Bei weniger sensiblen Anwendungen bietet sich die vereinfachte Form an, so dass die Eingabe einer PIN nicht erforderlich ist.
Die GSMA legt Wert auf die Feststellung, dass die Abfrage der Telefonnummer nicht durch den aufgerufenen Dienst (Web-Seite oder auch App) erfolgt, sondern durch das Mobile-Connect-API (Application Programming Interface) Exchange, welches mit der Telefonnummer den Netzwerkbetreiber des Nutzers ausfindig macht. Der Betreiber verschickt auch den Link, die Telefonnummer wird nicht mit der Web-Seite oder der App geteilt. Mobile Connect speichert laut GSMA keine sensiblen Daten (wie PIN, Token etc.) auf dem Mobiltelefon. Der Hash der PIN wird im SIM-Applet abgelegt und bei USSD wird der Hash der PIN auf den sicheren Servern der Mobilfunkbetreiber gespeichert. Keine der sicheren Anmeldeinformationen würden jemals mit dem Dienstanbieter geteilt, der stattdessen ein bestimmtes pseudonymes Token erhält. Nutzer müssten sich also keine Sorgen hinsichtlich ihrer Privatsphäre machen.
Zumindest in der Theorie bietet Mobile Connect eine gute Basis für moderne und vereinfachte Authentifizierung. Was genau davon in der täglichen Praxis ankommt, hängt nicht zuletzt aber von der Implementierung durch alle beteiligten Parteien ab. Wenn man davon ausgeht, dass es grundsätzlich deutlich einfacher ist, ein Passwort zu knacken als ein Mobiltelefon zu entwenden, bietet Mobile Connect in der Tat ein deutliches Sicherheitsplus. Der Verlust (oder Diebstahl) des Handys bleibt aber als klares Risiko - zumindest auf die nicht PIN-gesicherten Accounts und Apps hat der Finder oder Dieb sofortigen Zugriff. Ähnlich wie bei einer Kreditkarte bleibt in diesem Fall nur die möglichst frühzeitige Sperrung des Mobile Connect-Dienstes beim Plattformanbieter. Die Eingabe der Telefonnummer und PIN erinnert zwar stark an Benutzername/Passwort, aber immerhin muss man sich das nur einmal für alle beteiligten Dienste merken. Und die PIN kann sicher oft entfallen.
Laut GSMA ist Mobile Connect derzeit in gut 30 Ländern bereits im Einsatz. In Deutschland steht der Dienst noch in den Startlöchern. Konzerne wie Allianz, Axel Springer, Daimler, Deutsche Bank mit der Postbank und der Kartendienst Here haben in Form von Verimi eine branchenübergreifende Mobile Access-Allianz gegründet, ebenso wie RTL Deutschland, ProSiebenSat.1 Media sowie die United Internet AG mit Web.de und GMX in Form der Log-in-Allianz. Bleibt nur zu hoffen, dass nicht ein Wildwuchs von solchen Plattform-Allianzen entsteht, denn wenn der Nutzer erst herausfinden muss, welcher Allianz sein gewünschter Service angehört und er sich bei zig verschiedenen Plattformen registrieren muss, ist schnell wieder Schluss mit „Vereinfachung“.
(ID:45222882)
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937658/original.jpg "Dank verschlüsseltem Log-in lässt sich bei FIDO2 ein Anmeldevorgang nur mit dem zuvor registrierten Gerät entsperren, wodurch ein deutlich höheres Sicherheitslevel erreicht wird. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913900/1913919/original.jpg "Mit dem GateKeeper von Untethered Labs können sich Nutzer sicher an ihrem Arbeitsplatz einloggen, ohne ein Passwort zu benötigen. (ProSoft)")