Adaptiver Ansatz

Jedes Unternehmen sollte eine adaptive Vorgehensweise bei der Einführung einer Authentifizierungs-lösung wählen, die eine optimale Balance zwischen Sicherheit und Benutzerkomfort gewährleistet. Bei der Entscheidung zwischen einer Zwei- und einer Multifaktor- Authentifizierung sind vor allem zwei Dinge zu berücksichtigen. Zum einen muss nicht jedes Unternehmen, das Kundendaten verwaltet, zwangsläufig eine Lösung für die starke Multifaktor-Authentifizierung implementieren. Zum anderen muss auch immer eine Lösungsumgebung geschaffen werden, die nicht zu einer Beeinträchtigung des Mitarbeiter- oder Kundenkomforts führt. Hier die richtige Balance zu finden, ist die entscheidende Aufgabe.

Die Zweifaktor-Authentifizierung besteht aus der Kombination von zwei Faktoren zur Identifizierung eines Benutzers. Für solche Faktoren können Elemente aus den Kategorien Besitz – etwa ein Smartphone oder eine Smartcard – und Wissen – etwa ein Passwort oder eine PIN-Nummer – herangezogen werden. Aus Sicht des Anwenders stellt die Zweifaktor-Authentifizierung keine größere Beeinträchtigung dar, da die Passwort- oder PIN-Eingabe seit Langem gängige Praxis ist. Die Balance zwischen positiver Anwendererfahrung und einem relativ hohen Sicherheitslevel ist damit gewährleistet und folglich sollte die Zweifaktor-Authentifizierung auch von jedem Unternehmen genutzt werden, und zwar als minimaler Authentifizierungsstandard. Allerdings darf nicht unterschlagen werden, dass jedes Unternehmen ein individuelles Anforderungsprofil hat und dass es keine One-size-fits-all-Lösung für die sichere Authentifizierung geben kann. Deshalb kann die Zweifaktor-Authentifizierung in einigen Fällen auch zu kurz greifen: Das betrifft zum Beispiel Anwendungen und Transaktionen im Bankenbereich, hier reichen zwei Faktoren nicht für einen adäquaten Schutz vor externen Gefahren aus. Eine starke Authentifizierung ist allein schon aufgrund aktueller und künftiger Rechts- und Verwaltungsvorschriften unerlässlich.

Einige Unternehmen arbeiten mit Daten, die nicht sicherheitskritisch sind, ein Datenverlust hätte dann nicht unweigerlich finanz ielle oder geschäftliche Auswirkungen. Für solche Unternehmen ist eine Zweifaktor-Authentifizierung in der Regel ausreichend. Da allerdings immer mehr Unternehmen mit Kunden über Online- oder mobile Kanäle interagieren, sind zunehmend persönliche, vertrauliche Daten zu berücksichtigen, die entsprechend geschützt werden müssen. Für solche Unternehmen kann ein Datendiebstahl aufgrund unzureichender Authentifizierungsverfahren ernste Folgen haben, sowohl unter finanziellen als auch unter Reputationsgesichtspunkten. Aus diesen Gründen sollten die Unternehmen über die Zweifaktor-Authentifizierung hinausgehen und eine Multifaktor-Authentifizierung nutzen. Bei der Multifaktor-Authentifizierung werden üblicherweise traditionelle besitz und wissensbasierte Faktoren um eine weitere Komponente aus den Bereichen Eigenschaft oder Verhalten ergänzt, ein Beispiel hierfür sind biometrische Merkmale.

Der Vorteil einer Multifaktor-Authentifizierung hinsichtlich Sicherheit ist offensichtlich. Eine Frage stellt sich dabei aber: Wenn eine Multifaktor-Authentifizierungs-Lösung eine effiziente Möglichkeit darstellt, Bedrohungen zuverlässig auszuschließen, warum sollte sie dann nicht von allen Unternehmen und durchgängig eingesetzt werden? Die Antwort liegt in der Bedeutung einer positiven Nutzererfahrung. Ein Authentifizierungsprozess muss nicht nur zu einer hohen Sicherheit beitragen, er muss auch für Kunden und Mitarbeiter so einfach wie möglich sein. Aus diesem Grund ist ein adaptiver Sicherheitsansatz extrem wichtig, das heißt, die richtige Balance zwischen positiver Nutzererfahrung und hoher Sicherheit zu finden, ist von essenzieller Bedeutung. Mit jeder zusätzlichen Sicherheitsebene wird die Authentifizierung für den Endanwender aufwendiger. Wenn es um eher unwichtige Daten geht, sollte der Anwender also nicht notwendigerweise mehrere Authentifizierungsschritte für den Zugriff auf seine Online- oder Mobile-Konten benötigen. Umgekehrt sollte im Zusammenhang mit hochvertraulichen Daten, wie sie etwa beim Online- und Mobile-Banking anfallen, eine Multifaktor-Authentifizierung einen unverzichtbaren Minimalkompromiss hinsichtlich Benutzerkomfort und Sicherheit darstellen.

Das Motto muss immer lauten: starke Authentifizierung ohne Beeinträchtigung der Nutzererfahrung. So ist es beispielsweise einerseits auf jeden Fall sinnvoll, eine Zweifaktor- oder sogar Multifaktor-Authentifizierung für die Mobile-Banking-Sicherheit zu nutzen, andererseits ist aber zu berücksichtigen, dass der Anwender auch nicht zu viel Zeit für die Überprüfung seiner Identität und Zugriffsrechte bei der Abfrage seines Kontostands oder bei der Durchführung einer Überweisung verlieren will. Die Kundenbeeinträchtigung kann ohne Abstriche hinsichtlich der Sicherheit etwa minimiert werden, indem die Anmeldung des Nutzers durch Verfahren wie Geolokation, verhaltensbasierende Authentifizierung oder Geräteidentifikation unterstützt wird, die transparent für den Nutzer im Hintergrund ablaufen und eine zusätzliche Sicherheits ebene bieten. Insgesamt muss jedes Unternehmen im Hinblick auf die Einführung eines Authentifizierungsverfahrens die konkreten eigenen Anforderungen ermitteln und davon abgeleitet einen individuellen Lösungsansatz finden. Die Herausforderung für Unternehmen liegt dabei darin, eine Lösung zu finden, die einerseits hohe Sicherheit garantiert, andererseits aber auch eine positive Nutzererfahrung bietet. Schließlich wird die Akzeptanz der Nutzer das ausschlaggebende Kriterium für den Erfolg oder Misserfolg des Authentifizierungsverfahrens sein.

Marc T. Hanne, Director of Sales EMEA and India, IAM Solutions, HID Global