- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Digitale Identitäten verhindern Kennwort-Klau


Starke Zwei-Faktor Authentisierung als Grundlage für vertrauenswürdige Identitäten - Nutzername und Passwort alleine nicht mehr zeitgemäß
Sichere Identitäten im IoT auch für Objekte wie Autos und Organisationen notwendig

- Anzeigen -





In der technisierten Lebens- und Arbeitswelt von heute sind sichere digitale Identitäten unverzichtbar: Nicht nur beim Onlinebanking möchten Nutzer zuverlässig erkannt werden. Für immer mehr Anwendungen in der Cloud oder für das Smartphone ist die sichere und zweifelsfreie Identität des Nutzers Grundvoraussetzung. Doch wie lässt sich verhindern, dass sich eine Person digital als jemand anders ausgibt? "Ein Passwort zur eindeutigen Authentifizierung der Person hinter einem Benutzernamen reicht nicht mehr aus", sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V.

Hunderte Millionen gestohlener Passwörter kursieren im Netz
Das betont auch die Bundesregierung in ihrer am 9. November 2016 beschlossenen Cyber-Sicherheitsstrategie für Deutschland 2016: "Das derzeit verbreitete, aber nicht sichere Benutzername/Passwort-Verfahren ist als Standard zu ergänzen und nach Möglichkeit abzulösen", fordert sie. Denn bei einer Authentisierung mittels Nutzername und Passwort sind Diebstahl, Manipulation oder Fälschung einer Identität nicht hinreichend ausgeschlossen. Hunderte Millionen gestohlener Passwörter inklusive Nutzernamen und E-Mail-Adressen kursieren im Internet. Diese stammen aus Hacks großer Seiten. Millionenfacher Passwort-Diebstahl wurde nicht nur von den Online-Diensten Dropbox, Yahoo und LinkedIn eingeräumt. "Es gibt ein großes Bedürfnis nach besseren digitalen Verfahren zum Nachweis der eigenen digitalen Identität", betont Oliver Dehning.

Großer Bedarf an starken und nutzerfreundlichen Authentisierungs-Methoden
"Eine starke Authentisierung setzt die Nutzung zweier unterschiedlicher Faktoren voraus", sagt Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik. Dabei gilt es, Authentisierungsfaktoren geschickt zu kombinieren, um verschiedene Angriffskategorien abzuwehren und um die Stärken verschiedener Faktoren zu kombinieren. Es sollten asymmetrische Verfahren bevorzugt werden, bei denen keine zentrale Datenbank notwendig ist.

Mit Ausweisdokumente mit Online-Ausweisfunktion stellt die Bundesregierung bereits eine hochsichere und datensparsame Identifikationsmöglichkeit im Netz bereit, stellt die Cyber-Sicherheitsstrategie für Deutschland 2016 fest. Der neue deutsche Personalausweis (eID) beispielsweise bietet eine sichere Möglichkeit, sich auch für Cloud-Infrastrukturen zu identifizieren. Das zeigte Dr. Detlef Hühnlein von der ecsec GmbH im Rahmen der Internet Security Days 2016 in Brühl bei Köln. Mit der Lösung SkIDentity auf der Basis der Online-Funktion des Personalausweises lassen sich sichere virtuelle Identitäten erstellen und auch transferieren, beispielsweise auf ein Smartphone. Mit dieser vom BSI nach ISO 27001 auf Basis von IT-Grundschutz und von der TÜV Informationstechnik GmbH gemäß dem Trusted Cloud Datenschutz-Profil zertifizierten Lösung können sich Nutzer anschließend bis zu 14 Tage lang auch ohne Nutzung des physikalischen Ausweises für digitale Services authentisieren.

Staat und Wirtschaft schaffen eigene Lösungen für unterschiedliche Anwendungen
Im Internet der Dinge (IoT) benötigen nicht nur Personen, sondern auch Objekte zweifelsfreie Identitäten. "Wenn beispielsweise Fahrzeuge untereinander kommunizieren, um sich gegenseitig vor Gefahren zu warnen oder über die Verkehrslage zu informieren, dann muss die Kommunikation zugleich vertrauenswürdig sein und extrem schnell ablaufen", sagt Christian Welzel vom Fraunhofer Institut FOKUS. Auch Organisationen und Dienste brauchen digitale Identitäten, denen Nutzer vertrauen können.

"Dem Staat kommt dabei die Rolle zu, den Rahmen festzulegen. Er definiert rechtliche und technische Anforderungen und gewährleistet über Zertifikate Sicherheit." Zugleich steht der Staat in Konkurrenz zur Wirtschaft, die eigene Möglichkeiten zur Authentisierung geschaffen hat. Beispiele dafür sind etwa die Facebook ID für Personen oder Gütesiegel für Online-Shops. Generell gilt: "Lösungen für digitale Identitäten müssen global gedacht werden und internationalen Standards und Kriterien genügen", betont Welzel. Das gelingt mit einheitlichen Standards und Rahmenbedingungen und abgestimmten Vergleichskriterien für Authentisierungsverfahren. (eco: ra)

eingetragen: 13.03.17
Home & Newsletterlauf: 29.03.17


Eco: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -



Meldungen: Hintergrund

  • Digitale Risiken der Bundestagswahl

    Die Bundestagswahlen befinden sich im Endspurt. Bislang scheinen die befürchteten Hackerangriffe auf Parteien, Behörden oder Politiker im Vorfeld der Wahlen ausgeblieben zu sein. Zudem macht der Verzicht auf E-Voting und elektronische Wahlsysteme eine Manipulation des Wahlvorgangs selbst unwahrscheinlich. Grundsätzlich gilt jedoch: Es gibt viele Wege, um Wahlen zu beeinflussen. Ein Rückblick auf Hackerangriffe vergangener Wahlen wie in den USA, in den Niederlanden und in Frankreich zeigt, welche Art der Manipulation Cyberkriminelle am häufigsten einsetzen.

  • Die Maschinen kommen. Und das ist gut so

    Maschinelles Lernen sorgt aktuell für jede Menge Schlagzeilen. Da ist etwa zu lesen "Roboter übernehmen Ihren Job" oder Twitter-Chats drehen sich um Themen wie "Ist künstliche Intelligenz das Ende der Menschheit?" und vieles mehr. Dabei dürfte jedem klar sein, dass Zukunftsvorhersagen in der Regel danebenliegen. Lässt man Science-Fiction aber einmal beiseite, gibt es durchaus einen Bereich, in dem automatisierte Hilfe erwünscht bzw. sogar erforderlich ist: IT-Sicherheit, denn Cyber-Bedrohungen entwickeln sich schnell und ausgefeilter weiter - so sehr, dass diese unerwünschten Gäste den Fortschritt des digitalen Zeitalters ernsthaft beeinträchtigen könnten.

  • Ratschläge für den sicheren Online-Aufenthalt

    Das Jahr 2017 hat bisher gezeigt, dass wir alle für Cyber-Bedrohungen anfällig sind, nachdem wir mit so großen Skandalen wie Wahl-Hacking, zwei großen globalen Ransomware-Angriffen und einem allgemeinen Anstieg von Hacking umgehen mussten. Was können wir also in der zweiten Hälfte dieses Jahres erwarten? Werden Cyber-Attacken zunehmen oder lernen wir, ihnen zu entgegen?

  • Report: Cyber-Attacken rechtzeitig erkennen

    Zeit ist Geld, das gilt besonders im Bereich der IT-Sicherheit. Je mehr Geräte vernetzt sind, desto wichtiger wird es, Angriffe auf Unternehmensstrukturen so schnell wie möglich zu erkennen, zu bekämpfen und den Übergriff auf weitere Endgeräte einzuschränken. In dem Report Cybersecurity: For Defenders, it's about time beleuchtet die Aberdeen Group im Auftrag der IT-Sicherheitsspezialistin McAfee, wie wichtig es für Unternehmen ist, die Zeit zwischen Angriff, Entdeckung und Eindämmung zu verkürzen. Basierend auf den Daten des "Data Breach Investigations Report" von Verizon untersucht der Bericht die Auswirkungen von Angriffen unter dem Aspekt der Zeit, die nötig ist, um Angriffe zu entdecken.

  • App-basierter Bedrohung ausgesetzt

    Mobile Bedrohungen sind weitaus komplexer als eine Malware aus dem App-Store eines Drittanbieters. In diesem Blogbeitrag analysieren wir das Bedrohungspotenzial anhand der "Mobile Risk Matrix" als Teil des größer angelegten Lookout-Forschungsberichts Spectrum of Mobile Risk. Mobiles Arbeiten erhöht die Produktivität in Unternehmen. Allerdings bietet die zunehmende mobile Nutzung auch mehr Angriffsflächen für Hacker. Einer aktuellen Untersuchung von Lookout zufolge waren in den letzten sechs Monaten 47 von 1.000 Android-Geräten in Unternehmen mindestens einmal einer App-basierten Bedrohung ausgesetzt. Bei iOS kam ein solcher Vorfall nur in einem von 1000 Geräten vor. Bei einem mobilen Angriff geht es zunächst darum, sich Zugang zum Endgerät zu verschaffen. Entweder um gezielt an eine bestimmte Information zu gelangen oder um nach und nach Zugriff auf immer mehr Daten im Unternehmensnetzwerk zu erhalten. Eine mobile Bedrohung wesentlich komplizierter und komplexer als Adware, da sie sämtliche Vektoren auf der so genannten Mobile Risk Matrix betreffen kann: Apps, Endgeräte, Netzwerke, Web und Content.