Einfach und trotzdem sicher?
Authentifizierung: Die etwas andere Diskussion

Was ist die richtige Antwort?

Einfach und trotzdem sicher?

Angesichts der täglichen Phishing-E-Mails im elektronischen Briefkasten und der regelmäßigen Berichterstattung über Identitätsdiebstahl haben viele Verbraucher Bedenken und sind bei Online-Transaktionen zurückhaltender geworden. In einer neueren Umfrage unter Online-Banking-Kunden gaben 18 Prozent der Befragten an, dass sie das Internet nicht mehr oder nur noch in geringerem Maße für Transaktionen nutzen.

Weitgehend unstrittig ist, dass die Unternehmen dieses Problem lösen müssen, indem sie über Passworte hinaus eine stärkere Benutzer-Authentifizierung anbieten. Es wird jedoch nur darüber diskutiert, wie dies erreicht werden soll.

Die Unternehmen ziehen zunächst traditionelle Methoden wie Token oder Chipkarten in Betracht, die eine bessere Authentifizierung für Mitarbeiter ermöglichen. Aus Gründen der Kosten und des Bedienkomforts sind diese Methoden für den durchschnittlichen Privatkunden nicht besonders praktisch. Einige Anbieter haben deshalb neue, innovative Methoden entwickelt, mit denen die Anwender den gestiegenen Sicherheitsanforderungen gerecht werden können.

Diese Innovationen haben zu einer heftigen Diskussion zwischen den Anbietern und Befürwortern bestimmter Authentifizierungsmethoden darüber geführt, wessen Authentifizierungsverfahren das Beste ist. Jede Partei hat gute Argumente dafür, dass ihr jeweiliges Verfahren die richtige Antwort ist, um die Massen vor Identitätsattacken zu bewahren. Leider ist dies aber insgesamt die falsche Diskussion.

Falsche Diskussion über richtige Lösungen

Einfach und trotzdem sicher?

Wie es meistens der Fall ist, wenn es darum geht, eine breite und heterogene Kundenbasis zu bedienen, gibt es nämlich auch hier keine Universallösung. Der richtige Schutz der Anwender richtet sich danach, welche Art von Applikationen verwendet wird, welche Transaktionen durchgeführt werden und was die Anwender bevorzugen. Die Diskussion sollte sich daher eher darauf beziehen, wie die unterschiedlichen Sicherheitsanforderungen angegangen werden müssen, damit sich die verschiedenen Risiken bei Transaktionen möglichst kostengünstig und benutzerfreundlich abdecken lassen.

Dieses Dilemma lässt sich am Beispiel von Banking-Anwendungen veranschaulichen. Generell sind Banking-Privatkunden zahlreich, haben weniger Anlagen als institutionelle Bankkunden, mögen keine komplexen Bedieneroberflächen und lehnen steigende Bankgebühren ab. Dies legt nahe, dass die Organisationen eine Authentifizierungsmethode benötigen, die für eine breite Benutzerbasis eingesetzt werden kann, keine höheren Gebühren verursacht und sich durch ihre einfache Bedienung für den durchschnittlichen Anwender eignet.

Auf der anderen Seite verwalten institutionelle Bankkunden üblicherweise umfangreiche Anlagen, sind bereit, für Dienstleistungen zu bezahlen und akzeptieren auch eher komplexe Bedienkonzepte, wenn diese die Sicherheit verbessern. In diesem Fall können die Authentifizierungsmethoden also aufwendiger sein, wenn sie eine höhere Sicherheit gewährleisten – auch zu Lasten des Anwenders.

Störungen durch falsche Lösungen

Einfach und trotzdem sicher?

Bisher waren separate Authentifizierungssysteme erforderlich, um diese scheinbar völlig verschiedenen Gruppen zu bedienen. Transaktionsrisiken und Personalisierung stellen darüber hinaus zusätzliche Anforderungen an den Authentifizierungsprozess. Versucht man, all diesen Bedingungen ohne eine integrierte Authentifizierungsplattform gerecht zu werden, steigen Kosten und Risiken.

Das Anwenderverhalten ist ein weiterer Aspekt, den die Privatkundenbanken berücksichtigen müssen. Wenn die Sicherheit für die Verbraucher verbessert wird, empfindet der Anwender beispielsweise zusätzliche Authentifizierungsschritte möglicherweise als Störung der gewohnten Benutzungsabläufe und bricht die Transaktion ab oder ruft die Support-Hotline an. Daher sollten diese Abläufe nur dann unterbrochen werden, wenn ein erhebliches Risiko besteht, dass eine betrügerische Handlung vorliegt. So wird ein betrügerischer Nutzer beispielsweise eher Beträge an ein anderes Geldinstitut überweisen, als nur den Kontostand prüfen. Eine weitere Möglichkeit zur Risikoverringerung ist eine transparentere Authentifizierung. Es lässt sich beispielsweise prüfen, ob sich ein Benutzer über einen bekannten Rechner einloggt. Diese Methode zur Benutzer-Authentifizierung wirkt sich überhaupt nicht störend auf den Anwender aus und kann mithelfen, das Risiko einer möglichen betrügerischen Handlung zu ermitteln.

Die richtige Strategie für Anbieter

Einfach und trotzdem sicher?

Die risikobasierte Authentifizierung arbeitet mit abgestuften Verfahren, sie beginnt mit transparenten Methoden und geht mit zunehmendem Risiko zu weiteren, interaktiveren, sicheren Formen über. Dieses Konzept minimiert die Auswirkungen auf die Benutzung in den meisten Anwendungsfällen und bietet dennoch verbesserten Schutz vor betrügerischen Manipulationen.

Eine weitere Strategie, um die Online-Nutzung zu verbessern, besteht darin, den Benutzern die Möglichkeit zur Personalisierung ihrer Online-Schnittstelle zu bieten – einschließlich der Art und Weise der Authentifizierung. Man könnte den Benutzern beispielsweise erlauben auszuwählen, welche Methode für Transaktionen mit höherem Risiko angewandt werden soll. So bevorzugt es ein bestimmter Kunde vielleicht, in diesem Fall einen einmaligen Validierungscode für eine Transaktion per Telefon oder SMS zu erhalten. Ein anderer Kunde führt möglicherweise lieber eine Grid-Card in der Brieftasche mit sich, die für das Web- oder Telefon-Banking einsetzbar ist. Es ist wichtig, die verschiedene Methoden so anzubieten, dass diese in ein und derselben Infrastruktur gemanagt werden können.

Für Organisationen, die ihre Authentifizierungsstrategie planen, unterstreichen diese Beispiele die Notwendigkeit, ihre Argumentation zu ändern. Statt die Vorzüge verschiedener Authentifizierungsverfahren zu diskutieren, sollte man sich an Lösungen orientieren, die möglichst viele Authentifizierungsmethoden anbieten. Hierdurch erhält die Organisation eine strategische Sicherheitslösung, die sich für verschiedene Benutzer, Applikationen und Übertragungswege einsetzen lässt.

Der Autor

Einfach und trotzdem sicher?

Chris Voice ist als CTO verantwortlich für die Techniktsrategie beim Security-Anbieter Entrust. Weil er eng mit Kunden und Partnern zusammenarbeitet, erkennt er nach eigener Aussage am ehesten, welche Technikmöglichkeiten in Frage kommen.

Chris arbeitet als technischer Sprecher des Unternehmens auch daran, Kunden und industrie über die defensien und offensiven Vorteile der Nutzer-Identifizierungstechniken aufzuklären.