Risikobasierte u. adaptive Authentifizierung - Prof. Dr. Norbert Pohlmann

Was ist eine risikobasierte u. adaptive Authentifizierung?

Die risikobasierte u. adaptive Authentifizierung entscheidet auf der Basis der Vertrauenswürdigkeit des zugreifenden Nutzers, der Kritikalität der konkreten Anwendung/Aktion und den Rahmenbedingungen des aktuellen Zugriffs, welche Authentifikationsverfahren zum Einsatz kommen sollen.

Dieser risikoorientierte Ansatz erhöht das allgemeine Sicherheitsniveau und vermindert die Anzahl nicht notwendiger starker Authentifizierungen. Es wird mithilfe der risikobasierten und adaptiven Authentifizierung das Optimum zwischen IT-Sicherheit und Komfort angestrebt.

Umgesetzt werden Konzepte der adaptiven Authentifizierung mithilfe von Mehrfaktor Authentifizierung (MFA), die flexibel in Abhängigkeit des gerade notwendigen Sicherheitsniveaus oder Risiken die passenden Authentifikationsverfahren auswählt.

Adaptiv: Eine Authentifizierung ist adaptiv, falls die Auswahl der benötigten Verfahren/Faktoren zur Authentifikation nicht pauschal im Vorfeld für eine bestimmte Menge an Anwendungsfällen festgelegt wird, sondern auf Basis von Eingabeparametern dynamisch zur Laufzeit ermittelt wird.

Risikobasiert: Eine Authentifizierung ist risikobasiert, falls das gelernte Verhalten einer Person mit den Eingabeparametern einer zukünftigen Anforderung abgeglichen wird und die Wahrscheinlichkeit eines Risikos als Maß für die Authentizität verwendet wird.

Risikobasiert und adaptiv: Die risikobasierte u. adaptive Authentifizierung verwendet die Wahrscheinlichkeit eines Risikos als Eingabeparameter für die dynamische Ermittlung der benötigten Verfahren/Faktoren zur Authentifikation. Das heißt, durch die Auswertung von Hintergrundinformationen und der Erstellung von Verhaltensmustern kann auf dessen Basis adaptiv die Anzahl der benötigten Faktoren für die Authentifikation bestimmt werden.

Die Idee und Umsetzung einer risikobasierten u. adaptiven Authentifizierung wird am Beispiel einer Banküberweisung dargestellt

1. Fallbeispiel einer risikobasierten u. adaptiven Authentifizierung

Überweisung eines Betrags von weniger als 25 EUR, welche schon mehrfach erfolgreich umgesetzt wurde (Reputation). In diesem Fall wird auf Basis des erfolgreichen Logins zum Online-Banking keine weitere Authentifikation der Transaktion vorgenommen.

2. Fallbeispiel einer risikobasierten u. adaptiven Authentifizierung

Überweisung eines Betrags von mehr als 1000 EUR auf ein deutsches, gut einschätzbares Konto einer vertrauenswürdigen Firma. In diesem Fall wird eine Authentifikation durch ChipTAN (Besitz) plus Authentifikation mithilfe eines Passworts (Wissen) umgesetzt.

3. Fallbeispiel einer risikobasierten und adaptiven Authentifizierung Überweisung eines Betrags von mehr als 10.000 EUR auf ein ausländisches, nicht einschätzbares Konto zu einer Zeit, in das der Bankkunde noch nie eine Überweisung veranlasst hat. Bei diesem Szenario kann dann zum Beispiel die Authentifikation durch ChipTAN (Besitz) plus Authentifikation eines Passworts (Wissen) und zusätzlich die Authentifikation mithilfe eines Fingerabdrucks (Sein) umgesetzt werden.

Risikobasierte und adaptive Authentifizierung auf der Basis der Standortinformation

Spannend für Unternehmen ist der Einsatz von Kontextinformationen, wie dem Standort. Außendienstmitarbeitern wird in einer als sicher eingestuften Umgebung ein anderes Vertrauensniveau zugewiesen als in einer unsicheren Umgebung, wie einem Flughafen oder öffentlichem Café. Daran orientieren sich die Anforderungen des Zugriffs auf Unternehmensressourcen.

Weitere Informationen zum Begriff “Risikobasierte und adaptive Authentifizierung”:

„Risikobasierte und adaptive Authentifizierung“

„Smart Authentication, Identification and Digital Signatures as Foundation for the Next Generation of Eco Systems“

„Die Zeit nach dem Passwort – Handhabbare Multifaktor-Authentifizierung für ein gesundes Eco-System“

„Sichere Authentisierung im Internet – OpenID trifft elektronischen Personalausweis“

„Abschied vom Passwort – Authentifikation für ein gereiftes Internet“

„Bring Your Own Device For Authentication (BYOD4A) – The Xign–System“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Aktuelle Angriffe – Übersicht und Handlungsmöglichkeiten“

„Künstliche Intelligenz (KI) und Cyber-Sicherheit“

„Immer mehr Daten = Immer mehr (Un) Sicherheit?“

„Cyber-Sicherheit vor dem Hintergrund von Krisensituationen“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„It’s all about Trust!“

Summary

Article Name

Risikobasierte u. adaptive Authentifizierung

Description

Die risikobasierte u. adaptive Authentifizierung erhöht das allgemeine Sicherheitsniveau und vermindert die Anzahl nicht notwendiger starker Authentifizierungen. Es wird das Optimum zwischen IT-Sicherheit und Komfort angestrebt.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo