Immer mehr Anwendungen werden inzwischen auch über das Internet genutzt und bieten hierbei nicht selten Zugriff auf personenbezogene oder anderweitig vertrauenswürdige Daten. In diesem Zusammenhang kommt der Auswahl und Umsetzung einer geeigneten Funktion zur Authentisierung eine zentrale und bisweilen unterschätzte Bedeutung für die Datensicherheit zu. Der folgende Artikel erläutert zunächst Funktion und Bedeutung von Authentisierung, bevor anschließend auf Möglichkeiten zur Umsetzung der empfohlenen 2-Faktor-Authentisierung durch One-Time-Password-Token, SmartCards, Zertifikate oder Biometrie eingegangen wird.
Authentisierung
Die Authentisierung, umgangssprachlich auch häufig als Anmeldung betitelt, dient dem Nachweis über die Identität eines Nutzers. Zum Beispiel benötigt ein Computerprogramm diesen Nachweis, um den Zugriff auf geschützte Daten zu ermöglichen. Durch seinen Benutzernamen und sein zugehöriges Passwort authentisiert sich der Benutzer gegenüber einer Anwendung bzw. einem System. Hierbei kann es sich um einen VPN-Zugang, einen Terminalserver oder ein Webportal handeln. Für diese Zugangsmöglichkeiten ist es besonders wichtig, dass nur berechtigte Nutzer Zugang zu den Daten erhalten.
Die Umsetzung eines geeigneten Authentisierungsverfahrens ist Grundvoraussetzung eines jeden Zugangs- bzw. Berechtigungskonzeptes und gleichermaßen wichtig wie anspruchsvoll. Passwörter, die uns sowohl im beruflichen als auch im privaten Alltag auf Schritt und Tritt begleiten und der Authentisierung dienen, sind häufig nicht ausreichend sicher. Nicht selten wird ein und dasselbe, wenig komplexe und damit unsichere Passwort für unterschiedliche Logins genutzt. Passwörter können erraten, weitergegeben oder bei der Übertragung über unverschlüsselte Kommunikationswege mitgehört und von Angreifern missbraucht werden. Auch der Benutzername ist erfahrungsgemäß leicht zu erraten und kann häufig z.B. aus der E-Mail-Adresse abgeleitet werden.
Hieraus wird deutlich, dass eine Authentisierung, die allein auf dem Faktor Wissen (Benutzername, Passwort) basiert, als nur begrenzt sicher einzustufen ist. Insbesondere personenbezogene oder anderweitig unternehmenskritische Daten sollten durch Hinzunahme mindestens eines weiteren Faktors zur Authentisierung weiter geschützt werden. Richtungsweisend ist an dieser Stelle mindestens eine 2-Faktor-Authentisierung. Sie soll die o.g. Probleme beheben und ist ein besserer Schutz vor unberechtigtem Zugang in gesicherte Systeme. Bei der 2-Faktor-Authentisierung werden zwei verschiedene Authentisierungsmethoden kombiniert und somit die Sicherheit erhöht.
Grundsätzlich unterscheidet man drei Kategorien von Authentisierungsmethoden:
- Wissen (z.B. Passwort)
- Besitz (z.B. Schlüssel)
- Biometrie (z.B. Fingerabdruck)
Die jeweiligen Methoden haben ihre Vor- und Nachteile. Vor der Umsetzung sollten die einzelnen Methoden sorgfältig geprüft und auf die Unternehmensstruktur und den jeweiligen Anwendungsfall abgestimmt werden. Nur so kann das angestrebte Sicherheitsniveau erreicht werden.
2-Faktor-Authentisierung
Bei einer 2-Faktor-Authentisierung werden zwei Methoden miteinander kombiniert. Dadurch werden Sicherheitsschwächen bei der Authentisierung verringert. Gängige Login-Daten beinhalten gegenwärtig häufig lediglich den Faktor „Wissen“, durch die Abfrage eines zweiten Faktors (Besitz oder Biometrie) wird die Zugangssicherheit vergrößert und Angriffe erschwert. Ein gutes Beispiel für die 2-Faktor-Authentisierung ist der Geldautomat, hier wird der Faktor „Wissen“ mit einem Faktor „Besitz“ kombiniert. Um Geld abheben zu können ist sowohl der Besitz einer entsprechenden Bankkarte (Faktor „Besitz“) als auch die Kenntnis einer persönlichen PIN (Faktor „Wissen“) notwendig. Ein Verlust des Faktors „Besitz“ (z.B. Smartphone) kann schnell erkannt werden, ein Missbrauch des Faktors „Biometrie“ kann dagegen schwerwiegende Folgen für den Betroffenen haben, denn biometrische Daten lassen sich nicht austauschen.
Beim Zugriff auf sensible Daten über das Internet oder andere, nicht gesicherte Netze ist eine 2-Faktor-Authentisierung unentbehrlich. Dies wird auch durch regelmäßige Meldungen über Hackerangriffe gegen Unternehmen und den zugehörigen Datenverlust deutlich.
Im Folgenden werden drei verschiedene Methoden vorgestellt, die regelmäßig in Verbindung mit dem Faktor Wissen für eine 2-Faktor-Authentisierung genutzt werden.
One-Time-Password-Token
One-Time-Password-Token (OTP-Token) sind Einmalpasswörter, die nach unterschiedlichen Algorithmen berechnet und durch Hardware- oder Software-Token erzeugt werden. Wie sich aus dem aus dem Begriff One-Time-Password bzw. Einmalpasswort ableiten lässt, sind derartig erzeugte Passwörter stets nur ein einziges Mal gültig.
Hardware-Token sind portable Geräte in der Größe eines USB-Sticks. Ein Hardware-Token für ein One-Time-Password (OTP) generiert einen Zahlencode, der vom Authentisierungs-Server validiert wird. Bei Hardware-OTP-Token gibt es zwei Varianten. Die einen generieren das OTP per Knopfdruck, die anderen (z.B. RSA-Token) zeigen das OTP für eine bestimmte Gültigkeitszeit auf dem Gerätedisplay an.
Software-Token sind die kostengünstigere Variante des OTP-Token-Systems. Das Verfahren ist ähnlich wie bei Hardware-Token aber flexibler, da die Software zur Errechnung des Codes auf verschiedenen Geräten (z.B. Smartphone) installiert werden kann. Software Token können zum Beispiel durch einen Computervirus manipuliert oder gestohlen werden. Ein Beispiel für ein Software-Token ist der RSA SecurID Toolbar Token, dieser wird von Microsoft Internet Explorer und Mozilla Firefox unterstützt.
Biometrie
Der Einsatz von biometrischen Merkmalen bei der 2-Faktor-Authentisierung ist umstritten, da es sich um eindeutige persönliche Merkmale handelt. Besonders problematisch wird es, wenn gespeicherte biometrische Daten gestohlen und veröffentlicht werden. Identitätsmissbrauch könnte eine schwerwiegende Folge sein. Kann trotzdem nicht darauf verzichtet werden, sollte immer hinterfragt werden, auf welche Weise welche Daten gescannt und gespeichert werden, ob der Datentransfer verschlüsselt und die Speicherung besonders geschützt ist bzw. ob die persönlichen Merkmale aus der Datenspeicherung rekonstruiert und missbraucht werden könnten. Aufgrund der hohen Datensensibilität müssen die Daten ferner vor unbefugtem Zugriff besonders geschützt sein.
Ein bekanntes Beispiel ist der Reisepass mit integriertem Chip, auf dem ein digitales Lichtbild und auch die Fingerabdrücke als biometrische Merkmale gespeichert sind.
SmartCards und digitale Zertifikate
Ein digitales Zertifikat dient einem Benutzer als Ausweis gegenüber dem System. Dieser digitale Ausweis kann auf einer SmartCard gespeichert werden. Bei einer Anmeldung an einem System überprüft der Server zusätzlich zu den Login-Daten, ob der Benutzer über ein gültiges Zertifikat verfügt. Häufig werden Zertifikaten auf unterschiedlichen Geräten wie SmartCards oder USB-Sticks gespeichert. Einen großen Nachteil bei der Anschaffung und Verwendung von Zertifikaten in großen Umgebungen stellen die meist hohen Kosten und die komplexe Umsetzung der Public-Key-Infrastruktur (PKI) dar.