Zweiter Faktor zum Schutz digitaler Identitäten Token für die Multi-Faktor-Authentifizierung (MFA)

Autor / Redakteur: Dr. Amir Alsbih / Peter Schmitz |

Passwörter sollen unsere digitalen Identitäten sowie unsere Daten schützen. Doch leider sind sie oft die größte Sicherheitsschwachstelle. Für echten Schutz kommt es auf mindestens einen weiteren Faktor an. Moderne Token im Rahmen einer Multi-Faktor-Authentifizierung (MFA) stellen eine solide Lösung dar – und User haben in diesem Bereich heute viele verschiedene Lösungen zur Auswahl.

Anbieter zum Thema

Eine Multi-Faktor-Authentifizierungslösung (MFA) erhöht das Sicherheitsniveau im Vergleich zur reinen Benutzername-Passwort-Kombination um ein Vielfaches.
Eine Multi-Faktor-Authentifizierungslösung (MFA) erhöht das Sicherheitsniveau im Vergleich zur reinen Benutzername-Passwort-Kombination um ein Vielfaches.
(Bild: Pixabay / CC0 )

Ein Großteil von Datenschutzverletzungen entsteht, wenn für das Login neben dem Benutzernamen nur ein Passwort verwendet wird. Schwache oder gestohlene Passwörter sind laut einer Verizon-Studie in 81 Prozent aller Fälle verantwortlich für einen Hack – im Vorjahr der Studie lag dieser Wert erst bei 63 Prozent. Es ist also eine deutliche Zunahme bei den Risiken durch Passwörter erkennbar. Die meisten Nutzer setzen erstaunlich einfallslose Passwörter ein: „123456“, „passwort“ oder „qwer“ wirken auf jeden Eindringling wie eine Einladung. Doch auch komplexere und längere Passwörter helfen nicht weiter: Weil Nutzer sie sich nicht mehr merken können, werden sie am Rechner notiert oder einfach erratbare Schemata bei der Zahlen- und Zeichenfolge verwendet. Viele User nutzen ihr Passwort sogar mehrfach in verschiedenen Portalen. Dies macht Kriminellen den Missbrauch noch einfacher.

Zweiter Faktor zum Schutz digitaler Identitäten

Doch wie lassen sich unsere digitalen Identitäten und Daten wirkungsvoller absichern? Die Antwort lautet: Zwei-Faktor-Authentifizierung (2FA) beziehungsweise Multi-Faktor-Authentifizierung (MFA). MFA basiert auf der Idee, dass ein Nutzer zusätzlich zum Passwort einen zweiten Faktor zur Authentifizierung nachweisen oder eingeben muss, den ein Angreifer nicht wissen oder besitzen kann. In der Regel ist dies ein „Einmal“-Token – beispielsweise ein Code, den ein Nutzer per SMS erhält, oder eine Push-Nachricht mit der Aufforderung „Bestätigen“ oder „Ablehnen“, die auf sein Smartphone geschickt wird. Für jeden Authentifizierungsvorgang wird somit eine Art einmaliges Passwort generiert, auf das ich in diesem Fall nur über einen Gegenstand in meinem Besitz (z. B. Smartphone) zugreifen kann. Der Verlust des Passworts stellt somit nicht mehr zwingend den Verlust der eigenen digitalen Identität dar.

Bildergalerie
Bildergalerie mit 6 Bildern

Die folgende Übersicht gibt eine erste Orientierung zu aktuell verfügbaren Token-Typen und deren Einsatzszenarien. Moderne MFA-Systeme erlauben eine Kombination unterschiedlicher Token, sodass für jeden Anwendungszweck und Schutzbedarf eine einzige Lösung verwendet werden kann:

SMS-Token gehören heute zu den am weitesten verbreiteten Token-Typen. Nutzer erhalten zur Authentifizierung einfach einen Code per SMS auf ihr Handy. Sie müssen weder eine Software installieren noch über ein Smartphone verfügen. Insbesondere als „Redundanz“ im Fehlerfall, oder bei Massen-Rollouts mit „heterogenen“ Endnutzern, kommt diese Methode zum Einsatz. Allerdings ist die Zahl der Angriffspunkte über das Mobilfunknetz oder Smartphone-Plattformen vergleichsweise hoch. Sie sollten daher für unkritische Logins bzw. Szenarien mit geringem Schutzbedarf genutzt werden.

Hardware-Token sind kleine Chip-basierte Geräte in Form eines Schlüsselanhängers oder einer Smartcard, die auf Knopfdruck Passwörter neu generieren und auf dem Display anzeigen – die so genannten Einmal-Passwörter oder auch One-Time-Passwörter (OTP). Ein spezieller Hardware-Token-Typ ist FIDO U2F. Er basiert auf dem Universal Second Factor Standard (U2F), durch den Nutzer einen bereits vorhandenen Token wiederverwenden können. Hardware-Token weisen eine hohe Sicherheit auf, da Angriffe nur schwer möglich sind. Bedingt durch den geringen Komfort eignen sie sich insbesondere für Fälle, in denen ein hoher Schutzbedarf vorliegt.

Biometrische Authentifizierungsverfahren basieren auf der Authentisierung der persönlichen, biologischen Eigenschaften von Menschen, wie zum Beispiel die Identifizierung über Fingerabdrücke oder die Gesichtserkennung. Allerdings können sich diese Charakteristika nicht nur alters- oder krankheitsbedingt verändern. Ein immenses Problem ist die Fehleranfälligkeit in Hinblick auf Falsch-Akzeptanz und -Ablehnung sowie die Trivialität, mit der biometrische Merkmale gefälscht werden können. Auch birgt die Verwendung von Biometrie diverse Herausforderungen im Bereich des Datenschutzes.

Software-Token bilden im Grunde die Funktionalität von Hardware-Token auf Software ab. Es kommen identische Algorithmen und Verfahren zum Einsatz wie bei der Hardware. Durch die Verwendung des Software-Tokens auf einem Smartphone muss der Anwender kein „Extra“-Gerät mit sich mitführen. Da der Software-Token in der Regel auf einer nicht kontrollierbaren Plattform (Smartphone) ausgeführt wird, hängt die Sicherheit des Tokens von der Sicherheit des Smartphones ab. Weist dieses Schwachstellen auf oder birgt es Schadsoftware, hat der Angreifer gegebenenfalls unbemerkten Zugriff auf den Token. Software-Token sollten dementsprechend ausschließlich in Szenarien mit einem normalen Schutzbedarf eingesetzt werden.

Push-Token lösen eine automatische Benachrichtigung aus, wenn ein Nutzer sich einloggen oder eine Transaktion durchführen möchte. Die Push-Nachricht wird beispielsweise auf das Smartphone des berechtigten Users geschickt und muss dort nur noch per Klick etwa auf „OK“ verifiziert werden. Die kryptografische Bestätigung wird dann direkt an den definierten Endpunkt gesendet. Die Eingabe eines Codes ist nicht mehr erforderlich. Durch diesen Vorgang lässt sich auch ein Mehraugenprinzip in hochsicheren Umgebungen wie beispielsweise bei Banken oder Energieversorgern sicherstellen, bei denen eine berechtigte zweite Person bestimmte Vorgänge freigeben muss. Ein weiterer Vorteil moderner Push-Token ist die Transaktionssicherheit, bei der auch die Inhalte einer Transaktion gegen Manipulation abgesichert sowie eine Nicht-Abstreitbarkeit realisiert werden kann.

QR-Token realisieren zwei Hauptzwecke: Zum einen kann mit ihnen eine sichere Offline-Authentifizierung ermöglicht werden – sofern der Anbieter alles richtig macht. Dies ist insbesondere relevant, wenn zum Beispiel Firmenlaptops mittels eines zweiten Faktors abgesichert werden sollen. Ohne eine Offline-Authentifizierung, ist der Zugriff bei einem Flug nicht möglich. Ein weiterer Zweck von QR-Token besteht in der Möglichkeit eine Gerätetrennung zu erzwingen, wie es in manchen Regulierungen gefordert wird. Dabei wird mittels eines öffentlichen Schlüssels eine Challenge generiert, welche abgescannt und mit dem privaten Schlüssel auf dem Handy entschlüsselt wird. Anschließend muss nur noch der angezeigte Wert eingegeben oder je nach Situation auch direkt automatisch durch das Abscannen (im Nicht-Offline-Fall) übertragen werden.

Bildergalerie
Bildergalerie mit 6 Bildern

Überblick über unterschiedliche Token-Typen und deren Eigenschaften
Überblick über unterschiedliche Token-Typen und deren Eigenschaften
(Bild: KeyIdentity)

Token-Vergabe nach Sicherheitslevel und Nutzeranforderung

Aufgrund der höheren Sicherheit setzen mittlerweile auch große Tech-Konzerne wie Google oder Facebook auf die Multi-Faktor-Authentifizierung als Teil ihres Identity- und Access-Managements. Zudem nimmt die Notwendigkeit mit der steigenden Nutzung von Cloud-Umgebungen, Remote-Zugängen und Web-Anwendungen noch weiter zu. Deshalb empfiehlt auch der Bundesverband IT-Sicherheit e.V. (TeleTrusT) die MFA-Technologie in seiner Handreichung zum IT-Sicherheitsgesetz für die Realisierung des Stands der Technik. Unternehmen werden also künftig nicht mehr darum herumkommen, sich mit dem Thema auseinanderzusetzen und zu entscheiden, welche Lösung am besten zu ihrem Einsatzszenario passt. Dabei sollten sie vor allem die Anforderungen und Sicherheitslevel ihrer Nutzer im Blick haben: Wird der Token häufig benutzt? Hat mein Mitarbeiter Zugriff auf hochsensible Bereiche? Oder handelt es sich bei dem Nutzer um einen externen Dienstleister oder einen Praktikanten, der nur für eine begrenzte Zeitspanne auf die Unternehmenssysteme zugreifen darf? Moderne Lösungen ermöglichen es, Token nach Einsatzhäufigkeit oder Zeiträumen befristet zu vergeben, sodass ein Anwender beispielsweise nach fünfmaligem Gebrauch oder nach einem Monat keinen Zugang mehr zu einer Datenbank hat oder ein Login durchführen kann. All diese Kriterien tragen dazu bei, einen etwaigen Missbrauch der Token bereits bei der Token-Vergabe auszuschließen.

Das sind neben der Kostenfrage auch die Kriterien, die bei der Wahl eines Tokens für jedes einzelne Unternehmen entscheidend sein sollten. Jede Firma muss sich fragen, welches Ausmaß an Security und Usability im eigenen Geschäftsumfeld benötigt wird. Denn ohne Multi-Faktor-Authentifizierung im Kontext mit dem Schutz von IT-Infrastruktur und Daten geht es heute nicht mehr.

Über den Autor: Dr. Amir Alsbih ist CEO von KeyIdentity.

(ID:45267543)