Sichere Authentifizierung Two Factor Authentication – Sicherheit, Kosten und Bedienbarkeit maßgeblich

Autor / Redakteur: Ulrich Schniedermeier, 2U-IT / Stephan Augsten

Bei manchen IT-Systemen reicht ein einfacher Login mit Passwort-Abfrage nicht aus. Für einen Sicherheitszuwachs kann dann die Zwei-Faktor-Authentifizierung sorgen. Dieser Beitrag geht auf verschiedene Techniken ein und erläutert, welche ihrer Eigenschaften die Wahl der richtigen Lösung beeinflussen können.

Firma zum Thema

OTP- und Token-basierende Lösungen gibt es in allen möglichen Formfaktoren, jede Art hat ihre Daseinsberichtigung.
OTP- und Token-basierende Lösungen gibt es in allen möglichen Formfaktoren, jede Art hat ihre Daseinsberichtigung.
( Archiv: Vogel Business Media )

Die Anforderungen an die Authentifizierung z.B. gegenüber Web-Portalen, VPN-Gateways, Netzwerken und Servern sind enorm gewachsen. Sicherheits-Aspekte aber auch betriebswirtschaftliche Überlegungen spielen dabei eine wesentliche Rolle.

Authentifizierung im hier angesprochenen Sinn ist die Identitätsprüfung einer Person, die einen Zugang zu einem EDV-System, z.B. über ein Netzwerk, haben möchte. Die Abfrage von Benutzername und Passwort reicht heute oftmals nicht mehr aus; eine sicherere Authentifizierung (Starke Authentifizierung) ist vonnöten.

Starke Authentifizierung nutzt zwei Sicherheits-Faktoren, wobei der erste Faktor üblicherweise die Eingabe von Benutzername und Passwort ist – also das derzeit verwendete Ein-Faktorensystem integriert. Für Starke Authentifizierung gilt der erprobte Security-Grundsatz, dass in der Kombination des ersten Sicherheitsfaktors mit dem zweiten Faktor der Anwender sowohl „etwas WISSEN“ als auch „etwas HABEN“ muss.

Ausgehend von einer Anwender-Authentifizierung, deren erster Faktor Benutzername und Passwort ist (= WISSEN), findet sich eine Vielzahl von Systemen und Lösungen, mit denen sicherheitssteigernde Zweitfaktoren ergänzt werden können, in deren Besitz der Authentifizierung begehrende Anwender sein muss (= HABEN).

Deshalb wollen wir eine Methoden-Auflistung und einen wertenden Vergleich versuchen. Die Auflistung der unterschiedlichen Zweitfaktoren kann hier nicht abschließend sein, soll dem Leser aber zeigen, wie die Zugangssicherheit verstärkt werden kann. Solche Zweitfaktoren können sein:

  • PIN-/TAN-Verfahren
  • OTP-Token
  • OTP-Soft-Token, üblicherweise zur Nutzung auf Smartphones, PCs und Notebooks
  • OTP-DisplayCard-Token im Format einer Kreditkarte (z.B. die PayPal Sicherheits-Karte)
  • Zertifikate-Auswertung (wertet üblicherweise X509 -S/MIME-Zertifikate aus, die sich z.B. auf dem neuen deutschen elektronischen Personalausweis, Smart Card, ID-Card, Heilberufe-Ausweis, E-Pass, USB-Stick, etc. befinden)
  • „Out-of-Band“ One-Time Passcode (Auslieferung via Voice, E-Mail oder SMS, bei SMS-en teilweise mit Bevorratungsmöglichkeit für Gebiete mit schlechter Netzabdeckung)
  • GRID-Koordinatensystem (z.B. die SCHUFA-XS Card)
  • Biometrische Systeme wie Auswertung eines Fingerabdrucks oder Scan der Iris
  • Verhaltensauswertung wie Auswertung des Tippverhaltens

Inhalt

  • Seite 1: Zwei-Faktor-Authentifizierung – aber wie?
  • Seite 2: Einschätzung der Authentication-Techniken
  • Seite 3: Schutzbereiche und Systemkosten
  • Seite 4: Projekt- und Betriebskosten

Einschätzung der Authentication-Techniken

Zwar bieten biometrische Systeme, vor allem der Iris-Scan, ein hohes Maß an Sicherheit. Doch sie erfordern zusätzliche, zum Teil recht teure Lese- oder Scan-Geräte, die außerdem mitgeführt und gelegentlich gewartet werden müssen.

Dies gilt teilweise auch für die Zertifikate-Auswertung. Diese wird aber voraussichtlich einen Schub erfahren, wenn mit der Verbreitung des neuen deutschen elektronischen Personalausweises die – hoffentlich sicheren – Lesegeräte in Umlauf kommen.

Technisch interessant sind Systeme, die das Anschlagverhalten des Anwenders auf der Tatstatur auswerten. Diese sind aber wegen des Zeitaufwandes, den das Trainieren des Systems in Anspruch nimmt, wohl zu einem Nischendasein verurteilt.

Großen Zuspruch finden weiterhin Einmal-Passwort-Techniken wie OTP (One Time Password) per Hardware-Token, OTP per Software-Token oder OTP per SMS.

Es gibt spezialisierte Systeme für nur einen oder zwei Zweit-Faktoren sowie flexible Systeme, die eine Vielzahl der aufgelisteten Zweit-Faktoren beinhalten. In der Regel empfiehlt sich die Einführung eines solchen flexiblen Systems. Denn sie können mit ihren differenzierten Authentifizierungsmöglichkeiten dem jeweiligen Schutzbedarf verschiedener Organisationsbereiche und unterschiedlichem Kunden- sowie Anwender-Verhalten Rechnung tragen.

Noch dazu sind die Kosten für eine solche Lösung in aller Regel nicht höher als die von spezialisierten Systemen. Schließlich bietet ein flexibleres System eine größere Investitionssicherheit für die Zukunft durch die Integrationsmöglichkeit neuer „Verteidigungsmöglichkeiten“, die gegen neue Angriffsformen entwickelt werden müssen.

Inhalt

  • Seite 1: Zwei-Faktor-Authentifizierung – aber wie?
  • Seite 2: Einschätzung der Authentication-Techniken
  • Seite 3: Schutzbereiche und Systemkosten
  • Seite 4: Projekt- und Betriebskosten

Schutzbereich

Es ist vor allem darauf zu achten, dass eine Zwei-Faktoren-Lösung zumindest Remote Access Applications wie z.B. VPN, Citrix, Web-Anwendungen inkl. MS Outlook Web Access und auch MS Windows Desktops schützen kann. Ebenso sollte die Starke Authentifizierung beim Server-Zugang sichergestellt werden können, sowohl lokal als auch remote.

Natürlich sind auch Kombinationen möglich, sofern sie sinnvoll und ohne relevante Mehrkosten eingerichtet werden können. Ein Beispiel wäre der Zugangsschutz zum Laptop über den integrierten Fingerprint-Reader und ergänzend eine Zugangssicherung z.B. zum Portal oder für diverse Anwendungen mit einem Zwei-Faktoren-Authentifizierungssystem.

Beachtenswert vor allem für den Schutzbereich von Finanztransaktionen ist eine neue Entwicklung von Soft-Token, die neben ihrer OTP Funktion mit einer speziellen Transaktionsverifikation den dringend erforderlichen Schutz gegen „Man-in-the-Browser“-Angriffe bieten kann.

Integration in vorhandene Systeme

Vorhandene PKI- und AD-Strukturen sollten selbstverständlich genutzt werden können. Es ist bei dem heutigen Lösungsangebot nicht erforderlich, im Zusammenhang mit der Einführung eines Starken Zweitfaktor-Authentifizierungssystems relevante Änderungen in den vorhandenen Systemstrukturen oder Workflows vorzunehmen.

Systemkosten

Schließlich muss man darauf hinweisen, dass Kosten teilweise verzerrt dargestellt werden. Beispielsweise muss OTP per Token keinesfalls teurer sein als OTP per SMS-Übermittlung: Die Preise für OTP-Token beginnen bei ca. 7 Euro pro Stück mit einer Batterie-Lebenszeit von 5 bis 6 Jahren. Sicherlich kann man für Token bei entsprechender Leistung und Funktion auch bis zum Zwanzigfachen ausgeben, notwendig ist dies allerdings nicht.

Rechnen wir nun mit einem Preis von ca. 10 Cent pro SMS für die OTP-Übermittlung, dann kann diese Absicherungsmethode letztlich einiges teurer kommen, als eine Token-Lösung; ganz zu schweigen davon, dass die SMS eine ungeschützte Übermittlungsform ist, die wir unter Sicherheitsaspekten allenfalls für Ausnahmen vorsehen. Eine noch kostengünstigere Absicherungsalternative stellt das GRID-System dar.

Inhalt

  • Seite 1: Zwei-Faktor-Authentifizierung – aber wie?
  • Seite 2: Einschätzung der Authentication-Techniken
  • Seite 3: Schutzbereiche und Systemkosten
  • Seite 4: Projekt- und Betriebskosten

Projekt- und Betriebskosten

Große Kostenunterschiede gibt es auch bei den Projekt- und Betriebspreisen. Als Faustregel gilt, dass ein auf Standards basierendes offenes System leichter, schneller und damit kostengünstiger zu integrieren ist als ein proprietäres.

Betriebskosten bestehen zu einem wesentlichen Teil aus Kosten für den Helpdesk und die Logistik, so dass eine Self-Service Funktion die Betriebskosten gravierend senken kann. Intuitiv nutzbare Systeme haben dabei einen positiven Einfluss auf Helpdesk Kosten, die Unterschiede sind gravierend.

Betriebskosten bestehen außerdem zu einem wichtigen Teil aus Kosten der Systemadministration. Deshalb ist ein System, das für Administratoren leicht zu bedienen ist, in aller Regel kostengünstiger als ein schwierig zu betreuendes System – eine Teststellung oder die Berücksichtigung der Best Practices einer erfahrenen Beratung kann hier helfen, teure Fehler zu vermeiden.

Anwenderfreundlichkeit

Zum Schluss bleibt darauf hinzuweisen, dass ein Mehr an Sicherheit nicht notwendigerweise den Anwendungskomfort des Anwenders senken muss – im Gegenteil. Mittels föderierter Authentifizierung im SAML2-Standard kann man dem Anwender viele Authentication-Vorgänge ersparen, ohne dass Sicherheit eingebüßt würde.

Im Übrigen sollte man bei der Einführung eines starken zweiten Schutzfaktors durchaus darüber nachdenken, ob die Passwort-Policies, die häufig zu unmerkbaren monströsen Passwörtern geführt haben, nicht wieder etwas anwenderfreundlicher gestaltet werden können.

Unter die Überschrift Anwenderfreundlichkeit fällt auch der Einsatz von Soft- Token auf Smartphones, denn das Mitführen des persönlichen Mobiltelefons wird selten als Erschwernis empfunden, ein zusätzlicher Token am überfüllten Schlüsselbund kann für den Anwender aber durchaus lästig sein.

Inhalt

  • Seite 1: Zwei-Faktor-Authentifizierung – aber wie?
  • Seite 2: Einschätzung der Authentication-Techniken
  • Seite 3: Schutzbereiche und Systemkosten
  • Seite 4: Projekt- und Betriebskosten

(ID:2048388)