Flexible Authentifizierung: Die erforderliche Sicherheit für alle
Einer der großen Trends rund um die Informationssicherheit ist die flexible Authentifizierung. Dahinter stecken Konzepte, mit denen man flexibel unterschiedliche Authentifizierungsmechanismen einsetzen und damit jeweils die angemessene Stärke der Authentifizierung nutzen kann. Das hört sich im ersten Moment vielleicht danach an, dass man nun viel mehr verschiedene Authentifizierungsverfahren verwalten muss als bisher. Tatsächlich geht es aber darum, dass man die starke Authentifizierung leichter beherrschbar und oft überhaupt erst nutzbar macht. Das geschieht über Authentifizierungsplattformen, die sozusagen die Middleware zwischen den Authentifizierungsmechanismen auf der einen Seite und den Anwendungen auf der anderen Seite bilden.
Die Realität der Authentifizierung heute bewegt sich immer noch zwischen Benutzername/Kennwort und einfachen PIN-Nummern. Starke Authentifizierungsmechanismen sind vergleichsweise wenig im Einsatz. In Unternehmen finden sie sich meist in speziellen Anwendungsbereichen, im Web vor allem beim eBanking – und selbst dort wird häufig noch mit archaischen Ansätzen wie PINs und einem iTAN-Verfahren gearbeitet. Dafür, dass sich die starke Authentifizierung nicht flächendeckend durchgesetzt hat, gibt es gute Gründe: Es gibt viele unterschiedliche Mechanismen, von denen viele spezielle Hardware wie Fingerabdruckleser, spezielle microSD-Karten, Hardware-OTP-Tokens (Einmal-Kennwörter) oder Smartcard-Lesegeräte benötigen. Die Vielfalt der Mechanismen macht es aber schwer, dass eines der Geräte die kritische Masse erreicht. Und die explizite Bereitstellung von nicht standardmäßig in PCs und Notebooks eingebauter Hardware verursacht hohe Logistikkosten. Hinzu kommt, dass es auch in der Nutzung unterschiedliche Anforderungen gibt: Nicht jedes Verfahren ist für jeden Einsatzbereich geeignet. Das Ergebnis ist, dass starke Authentifizierungsmechanismen meist nicht in der Fläche im Einsatz sind – und dort, wo sie genutzt werden, handelt es sich um Punktlösungen (eBanking, isoliert pro Bank) oder um Kompromisse, die für den einen Anwendungsfall vielleicht zu »gut«, aber vor allem zu teuer und in der Nutzung zu umständlich und für den anderen doch nicht ausreichend sind.
Tatsächlich geht es darum, für unterschiedliche Interaktionen und Transaktionen unterschiedlicher Nutzergruppen wie Mitarbeiter, externe Partner oder Kunden einen jeweils angemessenen und geeigneten Mechanismus für die Authentifizierung zu finden. Für den ersten Kontakt mit einem möglichen Kunden mag die »Authentifizierung« über einen Facebook- oder Google-Account ausreichend sein. Wenn es um den Vertragsabschluss geht, braucht es dagegen mehr Sicherheit – vielleicht ist dann demnächst der nPA das Mittel der Wahl. Auch intern gibt es deutlich unterschiedliche Anforderungen und Nutzungsszenarien. Wer sich nur am Desktop-PC anmeldet, unterscheidet sich vom mobilen Benutzer, der auch über unsichere externe Netzwerke arbeitet, deutlich.
Die Plattformen für die flexible Authentifizierung, englisch auch als »versatile authentication« bezeichnet, ermöglichen es, unterschiedliche Authentifizierungsverfahren zu kombinieren. Dabei geht es nicht darum, alles zu ermöglichen, sondern Wahlmöglichkeiten zu schaffen, um mit einer überschaubaren Kombination von Mechanismen alle Anforderungen von einer rudimentären Erstauthentifizierung des Kunden bis hin zum gut geschützten Zugriff auf sensitive Informationen und Systeme durch kleine Gruppen interner Nutzer abdecken zu können.
Solche Ansätze werden inzwischen in einer breiten Vielfalt angeboten. Sowohl bei Enterprise-Single Sign-On-Lösungen als auch bei Web Access Management-Systemen und als Erweiterung der Angebote von Anbietern starker Authentifizierungslösungen gibt es eine wachsende Zahl von Plattformen, in die sich unterschiedliche Authentifizierungsmechanismen einklinken lassen. Dazu zählen typischerweise auch Soft-Tokens und andere rein softwarebasierende Ansätze für die starke Authentifizierung. Hinzu kommt, dass man über diese Plattformen einfach auch verschiedene Mechanismen kombinieren kann und beispielsweise für spezielle Systeme auch eine stärkere Authentifizierung zur Laufzeit fordern kann.
Mit den kontinuierlich wachsenden IT-Risiken muss man sich dem Thema stärkere Authentifizierung widmen. Die Definition einer konsistenten Authentifizierungsstrategie und ihre Umsetzung wird mit dem Trend hin zu flexiblen Authentifizierungsplattformen einfacher, weil man mit dem richtigen Mix aus einer kleinen Zahl von Verfahren arbeiten und unterschiedliche Anforderungen flexibel abdecken kann.
Martin Kuppinger ist Mitbegründer der Analystengruppe Kuppinger Cole, die sich auf Themen rund um digitales Identity Management, GRC (Governance, Risk und Compliance) sowie Cloud Computing spezialisiert hat.