Sie sind hier: HomeMobile Solutions

Zwei-Faktor-Authentisierung: Adaptiv und anwenderfreundlich

Führt ein Unternehmen für die Authentisierung einen zweiten Faktor ein, sollte dieser nur dann notwendig sein, wenn es sicherheitstechnisch Sinn macht. Das fördert auch die nicht zu unterschätzende Mitarbeiterakzeptanz.

Desktop Bildquelle: © fotolia/ Anja Kaiser

Mit der Nutzung von Cloud-Diensten und der Verlagerung von Datentöpfen in die Cloud sind neue Angriffsflächen entstanden, die sowohl Privatpersonen als auch Unternehmen dringend absichern müssen. Kritische Unternehmensinformationen oder personenbezogene Daten wurden in der Vergangenheit durch Firewalls innerhalb eines Unternehmens abgeschirmt. Heute gilt es, sie durch geeignete Maßnahmen in der Cloud zu schützen – die bekanntlich besonderen Risiken ausgesetzt ist. Immer häufiger nutzen Kriminelle vorhandene Datenlecks oder einfaches Phishing, um Anmeldeinformationen abzugreifen – der einfachste Weg zum vollständigen Zugriff auf die jederzeit zugänglichen Cloud-Dienste. Zahlreiche Vorfälle belegen den Diebstahl, Verkauf und die Veröffentlichung unternehmenskritischer oder personenbezogener Daten. Im schlimmsten Fall kommt es zur unbemerkten Manipulation von Daten und Geschäftsprozessen über Monate und Jahre. Die einfache Anmeldung mit Benutzernamen und Passwort, insbesondere bei der gängigen Mehrfachverwendung im privaten und geschäftlichen Kontext sind also längst nicht mehr ausreichend. Gleichzeitig steht bei vielen Unternehmen eine reibungslose Benutzererfahrung im Fokus – auch wenn es um Authentisierungsprozesse geht. Wenn ein Unternehmen folglich beispielsweise einen zweiten Faktor einführt, dann soll dieser auch wirklich nur notwendig sein, wenn ein Sicherheitsrisiko besteht.

Sinn und Unsinn eines zweiten Faktors
Die Notwendigkeit, einen weiteren Faktor für die Authentisierung einzuführen, hängt von unterschiedlichen Faktoren ab. Bewährt hat sich hier die adaptive Authentisierung. Ausschlaggebend sind dabei bestimmte Situationen im Arbeitsalltag, wie sich anhand der folgenden Beispiele zeigt: Tom ist ein Mitarbeiter eines Unternehmens, das eine Lösung für einen zweiten Faktor eingeführt hat. Wenn Tom morgens seinen Laptop im Büro aufklappt und sich das erste Mal anmeldet, muss er einen zweiten Faktor zur Identifikation bereitstellen. Für Tom ist das ungewohnt, da dieser Vorgang seinen Arbeits-ablauf nicht mehr so reibungslos wie bisher gestaltet. Er zeigt jedoch Verständnis, da sich sein Unternehmen vor möglichen Gefahren aus dem Internet schützen muss. Die adaptive Authentifizierung kommt ins Spiel. Wenn sich Tom im Büro seiner Firma befindet, meldet er sich aus einem bekannten und gesicherten Netzwerk an. Warum soll er also einen zweiten Faktor eingeben? Bei modernen Lösungen lassen sich Netzwerkbereiche definieren, die ein geringes Risiko darstellen. Damit entfällt die zusätzliche Authentifizierung und Tom könnte wie gewohnt arbeiten. Ist Tom hingegen auf dem Weg zu einem Kunden und außerhalb vom Firmennetzwerk unterwegs, muss er einen zweiten Faktor zur Verfügung stellen. Das ist auch gut so, denn es besteht ein höheres Sicherheitsrisiko, es könnte sich schließlich auch um einen potenziellen Angreifer handeln.

Angenommen Tom arbeitet regelmäßig von seinem Home-Office aus, dann ist das vergleichbar mit der Anmeldung im Firmennetzwerk. Das heißt, ein zweiter Identifikationsfaktor ist nicht zwingend notwendig, wenn eine regelmäßige Anmeldung aus dem gleichen Netzwerk erfolgt. Arbeitet Tom in seinem Home-Office allerdings etwas länger oder am Wochenende – also außerhalb seiner typischen Arbeitszeit, könnte das System darin einen potenziellen Angreifer erkennen. Um dieses Risiko zu reduzieren, muss Tom einen zweiten Faktor bereitstellen.

Darüber hinaus ist die Reisegeschwindigkeit der Mitarbeiter zur Erkennung von möglichen Angreifern auswertbar. Meldet sich Tom zum Beispiel in Frankfurt an und eine Stunde später versucht das ein Angreifer aus Singapur, ist dies unmöglich und eine starke Authentifizierung notwendig. Anhand Toms IP-Adresse lässt sich sein Standort bestimmen. Solange er langsamer reist, als eine festgelegte Reisegeschwindigkeit, wie zum Beispiel 800 km/h eines Flugzeugs, geht hingegen kein Alarm los.

Auch der Zugriff aus bestimmen Ländern kann risikoreich sein. Angenommen Toms Unternehmen ist nur in Europa tätig. Wenn ein Zugriff von einem anderen Teil der Erde erfolgt, ist die Wahrscheinlichkeit folglich hoch, so dass es sich um einen Angreifer handelt. Ein zweiter Faktor wird in diesem Fall stets eingefordert. Außerdem sind die verwendete Software und Hardware von Tom analysierbar: In der Regel verwendet er zum Beispiel ein MacBook und den Browser Firefox. Doch was ist, wenn er plötzlich mit einem Windows-Laptop und dem Internet Explorer arbeitet? Dies ist untypisch für Tom und eine starke Authentifizierung sinnvoll.

Um den Nutzer weitgehend zu entlasten, bietet sich zudem das punktuelle Abfragen eines zweiten Faktors an – so wie beispielsweise beim Onlinebanking: Will ein Kunde nur seinen Kontostand einsehen, reichen Benutzername und Passwort vollkommen aus. Zur Durchführung einer Überweisung wird ein zweiter Faktor wie etwa eine TAN via Smartphone-App abgefragt. Dieses Konzept lässt sich leicht auch innerhalb einer Organisation anwenden, indem ausschließlich bei kritischen Transaktionen die starke Authentifizierung eingeführt wird.