Entwicklungen im Identity- und Access-Management (IAM)

Auslaufmodell Passwort

29.01.2019
Von   IDG ExpertenNetzwerk

Seit Anfang 2018 fungiert Pascal Jacober als Sales Manager für die DACH-Region bei Ping Identity. Identity- and Access-Management, Data Governance, Multi-Factor-Authentication und SSO (Single Sign On) sind aber schon deutlich länger Teil seiner Expertise. Vor seiner Zeit bei Ping arbeitete er unter anderem bei Beta Systems CA Technologies und über 6 Jahre bei One Identity als IAM-Spezialist. Mit diesem mehrjährigen Erfahrungsschatz bietet der Schweizer auch Lösungen für Open Banking sowie ein fundiertes Wissen zur GDPR.

Nutzername und Passwort. Diese alte Standard-Formel um sich digital zu authentifizieren hat zum Glück langsam ausgedient. Sie ist viel zu unsicher. Die Zukunft liegt in Technologien, die mehrere Verfahren wie Biometrie oder Verhaltensanalyse zu einem Zero Login bündeln. Das hat seine Vorteile aber auch ein paar Fragezeichen.

Seit es das Internet gibt dienen Passwärter dazu, Nutzer zu "authentifizieren". Durch diese Art des Logins identifiziert das Gerät aber nicht zweifelsfrei den Nutzer, sondern registriert lediglich, dass irgendjemand die Zugangsrechte korrekt eingegeben hat. Vorfälle wie das "Collection #1"-Datenleck, bei dem über 773 Millionen Login-Datensätze im Internet veröffentlicht wurden, zeigen, wie anfällig diese Authentifizierungsmethode ist. Verwendet ein User einfache Passwörter - im schlimmsten Fall für jeden Account dasselbe - ist das für Hacker ein gefundenes Fressen. Auch Zahlen- und Sonderzeichen-Kombinationen schützen nicht unbedingt vor dem unrechtmäßigen Zugang Dritter, denn Betrüger werden raffinierter und ihre Späh-Algorithmen ausgefeilter.

Es gilt also, neue Wege zu finden, Nutzer zweifelsfrei zu identifizieren.

Mobilgeräte nutzen mittlerweile unterschiedliche biometrische Merkmale, um Nutzer zu identifizieren.
Mobilgeräte nutzen mittlerweile unterschiedliche biometrische Merkmale, um Nutzer zu identifizieren.
Foto: Andrea Danti - shutterstock.com

Biometrische Verfahren

Eine Lösung für dieses Problem lautet "Zero Login". Damit ist die Anmeldung ohne irgendeine aktive Eingabe gemeint. Smartphones ebnen seit einiger Zeit den Weg für derartige kennwortlose Authentifizierung mithilfe von biometrischen Daten. Der Fingerabdruck-Scanner, um das Gerät durch Berührung oder Drücken des Home-Buttons zu entsperren, ist bereits gängige Praxis

Neuere Modelle gehen noch einen Schritt weiter: Das Samsung S8 scannt die Iris des Nutzers, während das iPhone X das gesamte Gesicht abtastet. Dafür projiziert das Gerät Zehntausende von Lernpunkten auf das Gesicht. Eine Infrarotkamera liest das entstehende Punkteraster und rechnet es in ein dreidimensionales Modell um. Der Besitzer blickt also nur noch auf den Bildschirm und das Gerät wird freigegeben.

Auch Verhaltensanalysen dienen der Identifizierung

Im Identity- und Access-Management (IAM)-Umfeld ist Biometrie vielerorts bereits in Anwendung. Multi-Faktor-Authentifizierung (MFA) kann aber noch um einiges mehr. Vorausgesetzt die verwendeten Devices und verarbeitenden Systeme unterstützen die entsprechenden Identifizierungs-Verfahren, kann beim Entsperr- oder Login-Versuch die Rechtmäßigkeit der Anwender anhand kombinierter Kriterien festgestellt werden. Neben biometrischen Körpermerkmalen fließen dabei zum Beispiel Geo- und Bewegungsdaten, die Erkennung von anderen Geräten in der Nähe sowie Verhaltensanalysen etwa der Tippgeschwindigkeit in die Profil-Erstellung mit ein.

Passend zum Thema: Server gehören zum zentralen Nervensystem Ihres Unternehmens. Wissen Sie genug über Server-Sicherheit?

Amazon entwickelt beispielsweise in diese Richtung. Schon jetzt registriert der US-amerikanische Konzern, wenn sich ein Nutzer über ein fremdes Gerät oder von einem ungewöhnlichen Standort anmeldet, und stellt per Bestätigungs-Mail oder -Anruf die Identität sicher. Individuelle Verhaltensweisen wie der typische Finger-Druck beim Bedienen von Mobilgeräten können ebenfalls zur zweifelsfreien Identifizierung dienen.

Vorsicht vor isolierten Verfahren

Die neuen Verfahren wollen sicher und benutzerfreundlich sein. Entscheidend ist jedoch, dass nur mehrere Aspekte in bestimmter Übereinstimmung Zugangsrechte erlauben sollten. Werden einzelne Komponenten isoliert als Identifikations-Verfahren herangezogen, entstehen Risiken. Kritiker bemängeln zum Beispiel, dass die ausschließliche Abfrage eines einzigen biometrischen Merkmals weniger sicher sei als eine herkömmliche PIN. Es besteht also noch Handlungsbedarf, da bei manchen Geräten die Face-ID auch für Bezahlvorgänge als alleinige Authentifizierungsmethode einstellbar ist.

Auf der einen Seite eigenen sich personenbezogene Daten hervorragend, um komplexe IAM-Prozesse aufzusetzen. Sie ermöglichen ein hohes Maß an Unverwechselbarkeit und damit Sicherheit. Auf der anderen Seite sind solche Daten natürlich besonders sensibel und verdienen ihrerseits denselben Schutz, wie die Identität, deren Unversehrtheit sie gewährleisten sollen. Bei jedem neuen Faktor, der zur digitalen Authentifizierung herangezogen wird, ist daher auch immer die Frage berechtigt, wo Hersteller und Anwender einmal hinterlegte Identifikations-Merkmale speichern und wer Zugriff darauf hat.