11.09.2017

Authentifizierung: Mehr Sicherheit im eCommerce

Die Eingabe von Benutzer-Identifikation und Passwort ist für die Durchführung von Transaktionen im World Wide Web zwingend. Ohne Überprüfung der Identität eines Benutzers in einem eShop ist man als Anbieter nicht sicher, ob man es wirklich mit der «richtigen» Person zu tun hat. Spätestens bei der Rechnungstellung führt dies zu Problemen, wenn eine Partei den Sachverhalt abstreitet und behauptet, gar nichts bestellt zu haben. Leider finden sich in der Praxis immer wieder Beispiele, wie Mechanismen zur Authentifizierung von böswilligen Angreifern umgangen oder manipuliert werden können. Eine Verbesserung der Sicherheit bietet dabei die Zwei-Faktor Authentifizierung.

Von: Umberto Annino   Drucken Teilen   Kommentieren  

Umberto Annino

Umberto Annino verfügt über 20 Jahre Erfahrung im ICT-Bereich, wo er nach einer Lehre als Anwendungsentwickler eingestiegen ist. Als System Engineer, Projektleiter und Produktmanager entwickelte er sich stetig im Bereich der Informationssicherheit weiter. Nach abgeschlossener Weiterbildung mit eidg. Diplom als Wirtschaftsinformatiker schloss er noch ein NDS FH in Qualitätsmanagement ab und verfügt über verschiedene Zertifizierungen im Bereich der Informationssicherheit wie CISSP, CISSP-ISSAP, CISSP-ISSMP​, ISO 27001 Lead Auditor​ sowie CISA, CISM, CGEIT, CRISC und CIPP/E ​sowie CIPT​ zu Datenschutz. Neben seinen Tätigkeiten als Dozent für IT-Riskmanagement und Information Security an verschiedenen Schulen und in den Vorständen von ISACA Switzerland Chapter und ISSS Information Security Society Switzerland ist Umberto Annino als Senior Security Consultant bei InfoGuard AG tätig. 

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Authentifizierung

Grundlagen der Zwei-Faktor Authentifizierung

Die Prüfung der Identität wird als Authentifizierung (auch: Authentisierung) bezeichnet. Nicht zu verwechseln mit der Autorisierung: der Erteilung von Berechtigungen in einem Computersystem bzw. in einer Anwendung. Die erfolgreiche Authentifizierung ist eine Bedingung, bevor eine Berechtigung – z.B. zum Bearbeiten von Produktmerkmalen – in der Anwendung erteilt wird. Zur Authentifizierung stehen folgende grundlegende Kategorien zur Verfügung:

  • Logische Authentifizierung: basiert auf Wissen des Benutzers, beispielsweise ein Passwort. Hoher praktischer Nutzen, da Wissen immer verfügbar ist. Nachteil ist, dass ein Verlust weniger schnell bemerkt wird – wenn beispielsweise eine andere Person mein Passwort ebenfalls kennt.
  • Physische Authentifizierung: basiert auf Besitz des Benutzers, beispielsweise ein Schlüssel. Der praktische Nutzen ist insbesondere, dass ein Verlust einfach bemerkt werden kann (Schlüssel zu Hause vergessen). Der Nachteil ist damit auch, dass dieses Merkmal immer mitgetragen werden muss und je nach Merkmal ist eine Kopie durch einen böswilligen Angreifer möglich.
  • Biometrische Authentifizierung: basiert auf der Existenz des Benutzers, beispielsweise Fingerabdruck. Diese Kategorie gilt allgemein als sicher, jedoch ist auch hier eine Fälschung oder Überlistung durch einen Angreifer möglich. Biometrische Merkmale sind direkt mit dem eigenen Körper verbunden und damit immer «greifbar», bei der praktischen Umsetzung ergeben sich jedoch bestimmte Herausforderungen für den Systembetreiber.  

Die Verwendung von mehr als einem Authentifizierungs-Merkmal zur Prüfung einer Identität wird Zwei-Faktor Authentifizierung (2FA) bzw. Mehr-Faktor-Authentifizierung genannt. Dabei kann, streng genommen, einfach der gleiche Authentifizierungs-Typ mehrfach verwendet werden, beispielsweise zwei verschiedene Passwörter statt nur eines Passworts. Die sogenannte «starke Authentifizierung» ist eine Kombination von zwei verschiedenen Kategorien von Merkmalen. Die Grundannahme dabei ist, dass sich ein böswilliger Angreifer möglicherweise Zugriff auf einen Merkmal-Typ (z.B. abhören des Passwort durch Einbruch/Hacking in ein System oder Netzwerk) verschaffen kann, jedoch nur mit viel höherem Aufwand an zwei verschiedene Merkmale heran kommt – er müsste neben dem abgehörten Passwort auch eine Kopie des Fingerabdruck machen können oder das physische Merkmal entwenden.  

Nutzen einer sicheren Zwei-Faktor Authentifizierung

Mit einer starken Authentifizierung bieten sie ihren Kunden eine stark erhöhte Sicherheit. Um erfolgreich in den Web-Shop einloggen zu können, werden zwei voneinander unabhängige Merkmale verwendet. Dem Missbrauch einer gestohlenen Identität kann mit starker Authentifizierung wirkungsvoll ein Riegel geschoben werden. In einer Zeit, wo Angriffe auf vernetzte Systeme beinahe täglich in den Medien rapportiert werden und dabei oft Millionen von Kundendaten gestohlen werden – darunter oft auch unsicher gespeicherte Passwörter – ist der Augenmerk dringend auf die Sicherheit zu richten. Identitätsmerkmale, Kreditkarten-Daten und Passwörter werden von Angreifern im Internet gegen Geld gehandelt und zum Nachteil der betroffenen Personen missbraucht. Starke Authentifizierung hat neben den genannten Vorteilen aber auch Nachteile und Herausforderungen. So ist die Implementation in die eigenen Systeme oft aufwändig und technisch komplex – ein Fehler oder ein nicht durchdachtes Sicherheitskonzept relativiert den Sicherheits-Zugewinn möglicherweise umgehend. Systeme zur Zwei-Faktor Authentifizierung sind oft auch mit höheren Kosten verbunden, z.B. der Versand von SMS. Nicht zuletzt geht mit zwei oder mehreren Authentifierungs-Faktoren auch eine komplexere Bedienung einher, die Benutzer müssen jeweils immer zwei (unterschiedliche) Merkmale eingeben, bevor sie Zugriff auf die Anwendung erhalten. Entsprechend soll starke Authentifizierung dort eingesetzt werden, wo der Wert der zu schützenden Daten die Kosten und Nutzbarkeits-Nachteile überwiegt.  

Beispiele von Zwei-Faktor Authentifizierung aus der Praxis

Die eBanking-Angebote der Schweizer Banken sind die wohl bekanntesten Beispiele von starker Authentifizierung. Um sich voneinander abzuheben, aber auch aufgrund verschiedener Sicherheitsanforderungen und der möglichst einfachen Nutzung sind verschiedene Arten im Einsatz:

  • PhotoTAN der Raiffeisen Banken – Beispiel einer logischen UND physischen Authentifizierung: nach erfolgreicher Eingabe des Passwort wird dem Benutzer ein zwei-dimensionales Bild angezeigt, das mit einer entsprechend vorbereiteten App auf dem eigenen Mobiltelefon fotografiert wird. Damit wird ein Antwort-Schlüssel erzeugt, der als zweiter Faktor eingegeben wird. Das physische Merkmal ist dabei das eigene Mobiltelefon mit der vorkonfigurierten App.
  • SMS der Credit Suisse – Beispiel einer logischen UND physischen Authentifizierung: nach erfolgreicher Passwort-Eingabe erhält der Benutzer ein SMS auf die Mobiltelefonnummer, die vorgängig bei der Bank registriert wurde. Ohne die Eingabe der 6-stelligen Zahlenfolge gibt es keinen elektronischen Zugriff auf das Konto. Das physische Merkmal ist dabei das eigene Mobiltelefon zum Empfang des SMS.  

Biometrische Authentifizierungs-Verfahren finden sich im WWW eher selten, aufgrund der erwähnten höheren Komplexität bei Implementation und Gebrauch. Die Funktion «TouchID» der neueren Apple-iPhones wird zunehmend von Apps eingesetzt, so z.B. in der Paymit-App zur einfachen und raschen Überweisung von Beträgen mit dem Mobiltelefon. Ein weiteres Beispiel biometrischer Authentifizierung ist die Gesichts-Erkennung. Da in heutigen Computern und Mobiltelefonen eine Front-Kamera zum festen Lieferumfang gehört, kann diese Authentifizierungs-Möglichkeit einfach genutzt werden. Leider zeigt sich aber in der Praxis, dass sich biometrische Authentifizierungs-Möglichkeiten mit geringem bis mittlerem Aufwand überlisten lassen, beispielsweise mit kopierten Fingerabdrücken oder durch verwenden die ausgedruckten Profilfotos eines Social Network.  

Fazit

Zwei-Faktor Authentifizierung bzw. starke Authentifizierung erhöht die Sicherheit beim prüfen einer Identität in internet-basierten Systemen. Je nach eingesetzter Lösung ist auf die Komplexität und Aufwand für Beschaffung, Implementation und Betrieb gegenüber einfachen, Ein-Faktor Authentifizierungslösungen erhöht. Nicht zu vernachlässigen ist auch die Akzeptanz bei den betroffenen Benutzern. Eine vorsichtige Abwägung der Sicherheitsanforderungen, die sich aus dem Wert der zu schützenden Daten, Systeme und Anwendungen ergibt, gegenüber dem erhöhten Aufwand für Installation und Betrieb sowie der komplexeren Nutzung der Systeme und Anwendungen ist damit unabdingbar.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Workshop Datenschutz in der Praxis

Die neue DSGVO und deren Folgen für Schweizer Unternehmen

Nächster Termin: 30. November 2017

mehr Infos

Seminar-Empfehlung

Praxis-Seminar, ½ Tag, ZWB, Zürich

Update Datenschutz

Neuerungen in der EU und der Schweiz

Nächster Termin: 07. November 2017

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Download-Paket IT-Musterverträge

    Download-Paket IT-Musterverträge

    Über 120 Mustervorlagen für ein sicheres und effizientes IT-Management

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 07. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 16. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 30. November 2017

    mehr Infos