Der ultimative Leitfaden zur risikobasierten Authentifizierung

Bei der risikobasierten Authentifizierung (RBA) bewertet ein Authentifizierungssystem das Risiko, das von den einzelnen Profilen ausgeht, die versuchen, Zugriff auf das Netzwerk (oder die Anwendung) zu erhalten. Sie analysiert die Wahrscheinlichkeit einer Kontokompromittierung oder einer anderen Art von Datenschutzverletzung bei jedem Login-Versuch. Dies erfolgt nicht nur ausgehend von der Person, die das Login durchführen möchte, sondern auch unter Einbeziehung weiterer Informationen über die Umstände dieses Login-Versuchs (mehr dazu weiter unten).

Obwohl dies bis zu einem gewissen Grad zur tägliche Routine in Unternehmen gehört, gehen sie vielleicht nicht den zusätzlichen (aber ausschlaggebenden) Schritt, um sich zu schützen. Wenn Unternehmen sicherstellen möchten, dass diese Sicherheitskontrollen auf jeder Stufe des Zugriffs durchgeführt werden, ist möglicherweise die Zeit gekommen, eine risikobasierte Authentifizierung in Betracht zu ziehen und dafür zu sorgen, dass ihre Kunden auch wirklich diejenigen sind, für die sie sich ausgeben.

Aber wo sollte man anfangen? Dieser ultimative Leitfaden zur risikobasierten Authentifizierung deckt folgende Themen ab:

• Was ist die risikobasierte Authentifizierung?

• Der Unterschied zwischen RBA und einer regulären Authentifizierung

• Wie funktioniert eine risikobasierte Authentifizierung?

• Die Vor- und Nachteile einer risikobasierten Authentifizierung

• Der richtige Moment für eine Investition in risikobasierte Authentifizierung

Bei der risikobasierten Authentifizierung handelt es sich um eine Form der Identitätsermittlung, bei der die Person, die das Login durchführt, genau unter die Lupe genommen wird. Dies betrifft ihr Identitätsprofil und alles, was an ihrem Login-Versuch verdächtig sein könnte und somit auf einen potenziellen Datenmissbrauch hindeuten könnte.

Ausgehend von dieser Analyse kann das System diese Person auffordern, weitere Authentifizierungsdaten anzugeben. Dies erfolgt z. B. im Zuge einer Multi-Faktor-Authentifizierung (MFA), insbesondere in Fällen, in denen das System außer der Identität nicht auch die weiteren, mit dem Login verbundenen Attribute erkennt, damit sowohl Sie als die Person geschützt bleiben.

Wenn zum Beispiel ein Mitarbeiter, der sich regelmäßig von New York aus in das HR-System einloggt, plötzlich einen Login-Versuch von Paris aus startet, kann dies darauf hinweisen, dass seine Login-Daten kompromittiert wurden. Je nach den geltenden Richtlinien muss der Hochrisiko-Benutzer eine zusätzliche Form der Authentifizierung durchlaufen, sich erneut authentifizieren, sein Passwort zurücksetzen oder erhält nur eingeschränkten Zugriff auf die Anwendung.

Die risikobasierte Authentifizierung erkennt auch die Male, bei denen das Risiko gering ist und der Benutzer sich innerhalb seines Kontextes bewegt und normal verhält. Unter diesen Voraussetzungen kann das System die für den Zugang erforderlichen Schritte verringern, so dass sich der Mitarbeiter oder Kunde einfacher und schneller einloggen kann.

Beispiele für die risikobasierte Authentifizierung:

Es gibt viele verschiedene Szenarien, in denen die RBA eine potenzielle Bedrohung erkennen würde. Sei es nun mit Absicht oder ohne: Der Verizon Data Breach Investigations Report von 2021 stellt fest, dass 17% der Bedrohungen von Insidern ausgehen. Die RBA übernimmt damit die Rolle eines Türstehers, der die Gästeliste doppelt überprüft, selbst wenn er die Leute in der Schlange erkennt.

• Geografische Region: Wenn eine erkannte Identität sich von einem ungewöhnlichen Standort aus einloggt, oder wenn aufeinanderfolgende Login-Versuche von zwei Standorten aus erfolgen, deren Distanz nicht innerhalb der gegebenen Zeit überbrückt werden kann.

• Uhrzeit und Tag: Wenn die Identität erkannt wird, sich aber zu einer für sie ungewöhnlichen Tageszeit einloggt.

• Unerkanntes Gerät: Wenn die Identität erkannt wird, sich aber von einem Gerät aus einloggt, von dem aus sich die Identität normalerweise nicht einloggt.

• IP-Reputation: Wenn die IP-Adresse des Nutzers mit betrügerischen und anderen bösartigen Aktivitäten in Verbindung gebracht werden kann.

• Anomalie bei privilegiertem Zugriff: Wenn ein Nutzer auf ein bestimmtes System oder eine bestimmte Anwendung zugreift, diese aber bisher nicht oder nur selten genutzt hat.

Jedes Unternehmen sollte über ein grundlegendes Authentifizierungssystem verfügen, wobei einige Systeme komplexer sind als andere. Wenn Sie sich jedoch fragen, was die RBA von herkömmlichen Authentifizierungsmethoden unterscheidet, gibt es einige bedeutende Unterschiede zu erwähnen.

Zunächst einmal wird bei einer regulären Authentifizierung normalerweise nur eine einzige Authentifizierungsmethode für alle Benutzer, Interaktionen, Transaktionen usw. angewendet. Die gängigste Variante ist die Anforderung eines Benutzernamens und eines Passworts, manchmal auch mit MFA. Wie wir nur zu gut wissen, können Passwörter leicht gestohlen oder kompromittiert werden, insbesondere wenn keine weiteren Authentifizierungssysteme vorhanden sind.

Der Unterschied zur risikobasierten Authentifizierung liegt im Kontext. Jeder Benutzer wird mit seinem Login vor seinem spezifischen Hintergrund betrachtet. Dies beinhaltet seinen geographischen Standort, die Zeit, das Gerät, seine Sicherheitslage und den angefragten Zugriff, wie oben erwähnt. Ausgehend von der Auswertung des Gesamtrisikos wird der Authentifizierungsprozess dann angepasst, um ein ausreichendes Maß an Sicherheit in Bezug auf die Identität dieses Nutzers zu gewährleisten, anstatt für alle die gleichen Authentifizierungsanforderungen anzuwenden.

Die RBA nutzt Echtzeit-Intelligenz, um einen ganzheitlichen Blick auf den Kontext hinter jedem Login zu erhalten. Anhand des Profils der Identität, die den Zugriff anfordert, ermittelt sie das damit verbundene Risiko, indem sie weitere Gegebenheiten im Umfeld der Identität betrachtet (einige davon wurden bereits erwähnt) und die beabsichtigte Handlung berücksichtigt. Je nach den Erkenntnissen, die das System über das Profil ermittelt hat, signalisiert es die Notwendigkeit einer zusätzlichen Authentifizierung.

Die besten risikobasierten Authentifizierungssysteme nutzen das maschinelle Lernen, um eine Basislinie des typischen Verhaltens einer bestimmten Benutzergruppe zu erstellen und dann Verhaltensanomalien in Echtzeit zu erkennen und sie in verschiedenen Risikostufen zuzuordnen. Der Administrator oder das Sicherheitsteam können für jede Risikokategorie spezifische Maßnahmen festlegen.

Ein Beispiel für eine RBA ist das „Geofencing“: Ein Unternehmen grenzt diejenige(n) geografische(n) Region(en) virtuell ein, von denen es als Ausgangspunkt für die Login-Versuche seiner Nutzer und Mitarbeiter ausgeht (z. B. seinen Geschäftssitz). Wenn ein Benutzer dann versucht, sich von anderen Orten aus einzuloggen, wird dies automatisch von der risikobasierten Authentifizierungslösung erkannt, die daraufhin mit einer zusätzlichen Authentifizierung reagiert, wie beispielsweise:

• Einem temporären Pin-Code, der per SMS oder E-Mail versendet wird (Einmalpasswort bzw. OTP)

• Multi-Faktor-Authentifizierung

• Einer alternativen E-Mail-Adresse

• Dem Beantworten einer Sicherheitsfrage oder der Eingabe eines Sicherheitscodes/einer Antwort

• Biometrischen Daten, wie Gesichtserkennung oder Fingerabdruck

Die risikobasierte Authentifizierung ist eine gute Initiative für jedes Unternehmen, das den Schutz seiner Kunden und Mitarbeiter sicherstellen und dafür sorgen möchte, dass diese das richtige Maß an Sicherheit und Komfort vorfinden. Wie bei jeder weitreichenden Entscheidung ist es auch hier wichtig, die Nachteile zu bedenken. Während die risikobasierte Authentifizierung Ihrem Unternehmen ausschließlich Vorteile bringt, gibt es bei dem nächsten Schritt ein Für und Wider:

Die Vorteile der risikobasierten Authentifizierung:

• Minderung von Risiken und Verbesserung der Sicherheit

• Flexible Richtlinien auf der Grundlage von Risikobewertungen für die Ausgewogenheit von Sicherheit und Komfort

• Relativ einfach im Vergleich zu anderen Sicherheitsmaßnahmen

• Kostengünstig, wenn man langfristig das Einsparpotenzial einer durch die RBA verhinderten Datenschutzverletzung betrachtet

Die Nachteile der risikobasierten Authentifizierung:

• Admins müssen sich in ein neues System einarbeiten, das komplizierter ist als die standardmäßige Strategie einer Authentifizierung für alle Bereiche

• Mögliche Probleme bei der Implementierung

• Skepsis gegenüber einem neuen Sicherheitssystem

• Auswahl der richtigen risikobasierten Authentifizierungslösung und -richtlinien

Die Implementierung von RBA birgt enorme potenzielle Vorteile. Dennoch sehen wir nur allzu oft, dass Unternehmen erst eine Datenschutzverletzung erleben müssen, bevor sie die Gefahr ernst nehmen.

Die Investition in eine risikobasierte Authentifizierungslösung ist eine Selbstverständlichkeit für jeden Unternehmensleiter oder IT-Verantwortlichen, der die Sicherheit optimieren und gleichzeitig die Benutzerfreundlichkeit für seine Mitarbeiter und Kunden verbessern möchte. Zunächst sollten Sie Ihre Fragen und Bedenken klären, um sicherzugehen, dass Sie sich mit der Umstellung auch wirklich wohl fühlen. Bei Interesse an risikobasiertem Datenmanagement finden Sie weitere Informationen bei einem Blick auf PingOne Risk.