Nachweis der Identität eines Online-Benutzers


"Biometrischer Authentifizierung"- was genau versteht man darunter?
Was Sie bei biometrischer Authentifizierung bedenken sollten



Von Petteri Ihalainen, GlobalSign

Will man einige der grundlegenden Konzepte und Ideen der Online-Authentifizierung erläutern, ist es keine schlechte Idee einen Blick auf biometrische Authentifizierung zu werfen. Warum? Nach einer jüngst von Visa durchgeführten Umfrage, wollen zwei Drittel der Europäer biometrische Authentifizierung für Online-Zahlungen / Transaktionen verwenden. Kein ganzunbeträchtlicher Prozentsatz, der zeigt, was die Mehrheit der Online-Nutzer will.

Der Begriff Multi-Faktor-Authentifizierung zeigt an, dass zum Nachweis der Identität eines Online-Benutzers mehr als ein Faktor verwendet werden muss. Ein üblicher zweiter Faktor ist ein SMS-Code, der an eine registrierte Handynummer des Benutzers gesendet wird (wird oft als Einmalpasswort bezeichnet). Diese weit verbreitete Methode hat sich, kritisch betrachtet, allerdings als anfällig erwiesen. Sie wird inzwischen von Institutionen wie dem NIST (National Institute of Standards and Technology) abgewertet. Grundsätzlich gibt es drei Kategorien von Faktoren:

>> Etwas, das Sie kennen (z.B. ein Passwort)
>> Etwas, das Sie besitzen (z.B. ein Token, ein Handy, eine Smartcard)
>> Etwas, das Sie sind (z.B. Fingerabdruck)

Biometrische Daten fallen unter die Kategorie "Etwas, das Sie sind". Ein Fingerabdruck ist, dank der Verbreitung von Fingerabdruck-fähigen Smartphones auf dem Markt, der häufigste biometrische Faktor. Weitere Beispiele für biometrische Faktoren sind Gesicht, Netzhaut (Auge), Herzschlag, Stimme, Verhalten und so weiter. Vielleicht nutzen wir eines Tages sogar die DNA als Authentifizierungs-Faktor. Ich gehe hier nicht in die Details was die Biometrie als solche angeht, aber bei Find Biometrics gibt es einen guten Überblicksartikel (in englischer Sprache) Was ist Biometrie?"

Onlinebanking-Zugang per Fingerabdruck?
Wir wissen jetzt, dass ein biometrischer Faktorden Authentifizierungsprozess vielleicht erleichtert. Aber wie funktioniert das praktisch?

Ihr iPhone gewährt Ihnen nicht automatisch Zugang zu Ihrem Bankkonto. Apple und die entsprechenden Banksysteme arbeiten völlig getrennt voneinander. Wie also die Lücke schließen und den Zugang zu Ihrem Konto per Fingerabdruck gestatten? Das Erste, was man tun muss, ist es, einen Identitätsanbieter (wie beispielsweise GlobalSign) zu nutzen. Der Identitätsanbieter ermöglicht es der Bank, auch andere Authentifizierungsmethoden als die eigenen Einmalpasswort-Generatoren zu akzeptieren.

Als Nächstes braucht man eine App wie MePin auf seinem Smartphone. Wenn Sie die App heruntergeladen haben, den Browser starten und auf Ihre Banking-Website zugreifen, führt der Identitätsanbieter eine sogenannte "User Driven Federation" durch. Das bedeutet, dass Sie sich in der Authentifizierungsphase zuerst mit Ihren Banking-Zugangsdaten authentifizieren und dann etwas wie Ihre Handynummer eingeben. Der Identitätsanbieter der Bank sendet dann eine Authentifizierungsanforderung an Ihre Smartphone-App, die Ihren Fingerabdruck anfordert. Sie berühren den Kreis auf Ihrem iPhone. Dann wird eine Antwort an den Identitätsanbieter gesendet. Und voilà, Sie können nun Ihren Fingerabdruck anstatt des Tokens zur Authentifizierung gegenüber der Bank verwenden.

Ist das wirklich alles Biometrie?
Betrachtet man oben beschriebenen Ablauf, gewinnt man den Eindruck, der Fingerabdruck ist der Schlüssel, der die Tür zur Website entriegelt. Das aber ist falsch. Im obigen Szenario ersetzt der Fingerabdruck einen PIN-Code. In der App gibt es einen privaten Schlüssel (PKI), der die Antwort an den Identitätsanbieter kryptografisch signiert. Diesen Schlüssel kann man mittels PIN-Code, Fingerabdruck oder Gesichtserkennung schützen. Das ist der korrekte Weg, biometrische Authentifizierung für Online-Dienste zu implementieren. Dabei verlassen die biometrischen Daten das Gerät nicht.

Warum biometrische Authentifizierung gut ist
Stellen wir uns einen durchschnittlichen Nutzer vor, der sich nicht unbedingt im Detail mit Sicherheitsvorkehrungen auskennt. Er vertraut darauf, dass die Bank sich darum kümmert. Was ihn viel mehr interessiert ist, ob ein System bequem und benutzerfreundlich ist.

Wir sind uns alle darüber einig, dass komplexe Passwörter, die alle 90 Tage geändert werden müssen, ein Albtraum sind. Und wir können davon ausgehen, dass Einmalpasswort-Token, die Zahlenfolgen mit 6-8 Ziffern generieren, im Alltag nicht immer die tauglichste Alternative sind. Token haben (wie andere kleine Dinge) den fatalen Hang gerne auf Nimmerwiedersehen zu verschwinden.

Wenn man mithilfe der Biometrie etwas nutzen kann, das man ohnehin dutzende Male am Tag in der Hand hält (und nicht erst seit "Pokémon Go") wäre das für die Authentifizierung ungleich praktischer. Zudem ist diese Variante benutzerfreundlich und genießt einen hohen Akzeptanzwert.

Warum biometrische Authentifizierung schlecht ist
Der Kritikpunkt, der in Bezug auf biometrische Daten am häufigsten genannt wird ist, dass man diese Art von Daten nicht verändern kann. Das stimmt, wenn auch mit kleinen Ausnahmen. Ist aus irgendwelchen Gründen die biometrische Vorlage eines Daumenabdrucks durchgesickert, gibt es so etwas wie 'löschbare biometrische Daten' (Cancelable Biometrics), bei denen die biometrischen Merkmale verzerrt und auf eine neue Vorlage abgebildet werden. Ein weiterer wunder Punkt ist die Privatsphäre. Nicht jeder will sich bei einem biometrischen System registrieren lassen. Biometrische Daten gelten als sehr persönlich und bereits das Registrieren wird unter Umständen als Eingriff in die Privatsphäre empfunden.

In der Informationssicherheit ist nichts zu 100 Prozent sicher. Sicherheitsforscher haben bereits nachgewiesen, dass es ziemlich einfach ist, einen biometrischen Sensor zu täuschen. Natürlich haben die Anbieter von biometrischen Authentifizierungslösungen ihre Software verbessert. Ein Beispiel dafür: Es ist jetzt möglich statische Bilder eines Gesichts zur Gesichtserkennung zu verwenden.

Die biometrische Authentifizierung ist sicherlich bequem. Trotzdem raten wir dazu biometrische Daten zum Entsperren von etwas anderem (z.B. eines privaten Schlüssels innerhalb einer PKI) zu verwenden. Geht dann ein Gerät verloren, kann man es einfach entfernen und den PKI-Schlüssel sperren. Sich allein auf die biometrische Authentifizierung zu verlassen ist ein bisschen wie "Mission Impossible". Um im Bild zu bleiben: Tom Cruise kann sich einfach aus dem Lüftungsschacht herablassen und sich über ihre Vermögenswerte hermachen. (GlobalSign: ra)

eingetragen: 27.09.16
Home & Newsletterlauf: 02.11.16


GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

Verstärkter Angriff auf Backup-Infrastrukturen

Ransomware-Angriffe nutzen Schwachstellen aus, um in Unternehmen einzudringen. Sie verschlüsseln Business-Daten und versuchen damit hohe Lösegeldzahlungen zu erpressen. Eine besonders stark betroffene Branche ist das Gesundheitswesen. Hier verzeichnete man im Jahr 2021 einen erschreckenden Anstieg der Ransomware-Angriffe um 755 Prozent.

Wie "grün" ist Tape?

Die aktuellen Zeiten des Klimawandels verbunden mit zahlreichen Umweltproblemen stellen Unternehmen jeder Art vor die Herausforderung umweltfreundlicher zu werden. Altmodisch nannte man dies Umweltschutz, heute spricht man von "Nachhaltigkeit" oder "ESG", kurz für Environmental Social and Governance. Gemeint ist im Prinzip dasselbe. Auch die IT muss sich der Frage stellen, wie nachhaltig sie ist. Kann sie etwaige negative Einflüsse auf die Umwelt verringern? Ein Faktor, an dem der Einfluss der IT messbar gemacht werden kann, ist die seit Beginn der digitalen Revolution in den 1980er Jahren exponentiell steigende Datenmenge – und natürlich deren Speicherung. Um dies mit einer Zahl zu verdeutlichen, wir steuern derzeit auf eine globale Datenmenge von 175 Zettabyte im Jahr 2025 zu. Es ist schwer zu beschreiben, was 175 Zettabyte tatsächlich darstellen. Mathematisch ausgedrückt sind ein Zettabyte jedenfalls 1,000,000,000,000,000,000,000 (1021) Bytes.

Präventiver Schutz alleine reicht nicht

In Zeiten von Ransomware, Insider Threats und Advanced Persistant Threats sind viele Unternehmen in puncto Security in der Defensive. Neben der eigentlichen Abwehr geht es im Kern darum, lange IT-Ausfallzeiten und Datenverluste zu vermeiden. Backups bieten bei der Wiederherstellung weniger wichtiger Daten eine einfache und praktikable Lösung. Kritische Daten und Workloads benötigen allerdings eine ausgereiftere Wiederherstellungstechnologie.

Erpressung durch Ransomware-Kriminelle

Moderne Datensicherung, bestehend aus zuverlässigem Backup und fehlerfreier Wiederherstellung, ist für viele Unternehmen und Institutionen kein unbekanntes Thema. Ein Bereich, den man nicht sofort auf dem Radar hat, ist jedoch die Finanzdienstleistungsbranche (FSI). Gerade hier sind sehr sensible – und damit für Hacker attraktive – Daten unterwegs, die dringend gesichert werden müssen, um die gesetzlichen Vorgaben zu erfüllen und den möglichen Schaden gering zu halten.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>


Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Diese Webseite verwendet Cookies - Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit dem Klick auf „Erlauben“erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.