Um ihre IT-Systeme und Online-Anwendungen zu schützen, sind Unternehmen auf eine effektive Nutzer-Authentifizierung angewiesen. Lange Zeit wurden einfache Passwortverfahren genutzt, um hier das notwendige Maß an Sicherheit zu generieren. Mittlerweile ist diese Lösung aber nicht mehr praktikabel. Hacker überwinden die einfachen Passwortverfahren problemlos. Ein erfolgreicher Phishing-Angriff auf die Passworthalter genügt, schon befinden sich die Cyberkriminellen im Besitz ihrer Zugangsdaten. Multi-Faktor-Authentifizierungen sollen hier Abhilfe schaffen, erweisen sich aber meist als zu komplex für den einfachen Nutzer. Schon jetzt sind viele kaum noch in der Lage, den Überblick über ihr stetig wachsendes Zugangsdaten-Portfolio zu behalten. Seit Frühsommer 2018 ist nun ein neuer Hardware-Sicherheitsmodul-Standard auf dem Markt: FIDO2. Er ermöglicht erstmals absolute Sicherheit bei gleichzeitig höchster Nutzerfreundlichkeit – dank seiner völlig passwortfreien Nutzer-Authentifizierung.
Lange Zeit standen Unternehmen lediglich einfache Passwortverfahren zur Verfügung, wollten sie ihre Systeme und Online-Dienstleistungen vor dem Zugriff unberechtigter Dritter schützen. Die Schwachstelle dieses Systems hatten Cyberkriminelle rasch erkannt: die Sicherung der Zugangsdaten durch die Nutzer selbst. So fokussierten sie ihre Angriffe auf eben diese. Angriffstechniken wie Phishing, Spear-Phishing und Whaling kamen dabei zum Einsatz. Schon bald waren sie zu einem integralen Bestandteil der weltweiten Bedrohungslandschaft geworden. Erst kürzlich gaben im 2017 Threat Landscape Survey des SANS-Instituts wieder 70 Prozent der Umfrageteilnehmer zu Protokoll, dass ihre Organisationen im vergangenen Jahr unzähligen Phishing-, Spear-Phishing- und Whaling-Attacken ausgesetzt waren – nicht selten mit gravierenden Folgen für ihre IT-Systeme. Dass das Austricksen der Authentifizierung bei Hackerangriffen eine zentrale Rolle spielt zeigte auch Verizons 2017 Data Breach Investigations Report. 81 Prozent aller erfolgreichen Hackerangriffe haben demnach ein Versagen des Passwortverfahrens zum Hintergrund gehabt. Eine Möglichkeit, diese Sicherheitslücke zu stopfen, liegt in der Implementierung einer Multi-Faktor-Authentifizierung – der Verknüpfung eines Passworts mit einer oder mehreren weiteren Authentifizierungsmaßnahmen. Doch geht das dadurch entstehende Mehr an Sicherheit vielen Unternehmen in der Praxis zu sehr zu Lasten der Nutzerfreundlichkeit.
Multi-Faktor-Authentifizierungen – zu aufwendig für den einfachen Nutzer
Verständlicherweise sind Multifaktor-Authentifizierungen deutlich sicherer als reguläre 1-Faktor-Passwort-Authentifizierungen. Doch haben sie – gerade im Fall von Online-Dienstleistungen – häufig auch negative Auswirkungen auf die Kundenzufriedenheit. Ihre Anwendung gestaltet sich komplizierter, ist mit mehr Aufwand verbunden, was bei vielen Nutzern nicht positiv zu Buche schlägt. Gerade Online-Dienstleister schrecken deshalb immer wieder vor ihrem Einsatz zurück. So vermeldete vor wenigen Monaten das Dashlane 2FA Power Ranking, dass rund 77 Prozent der großen Verbraucher-Websites in den USA und Deutschland ihren Kunden immer noch keine vollständige 2-Faktor-Authentifizierung anbieten würden. 23 Prozent der Webseiten würden ihren Kunden sogar überhaupt nicht ermöglichen eine 2-Faktor-Authentifizierung in Anspruch zu nehmen. Der Grund ihrer Zurückhaltung: die Angst vor einem Absinken der Zufriedenheit ihrer Kunden. Lange Zeit bestand diese Befürchtung auch im Fall einer Authentifizierungstechnik, die in letzter Zeit immer häufiger bei einer Multi-Faktor-Authentifizierung zum Einsatz kommt: den Hardware Security Tokens.
Hardware Tokens – die sicherste Art der Authentifizierung
Security Tokens sind hochsichere physische Geräte, die kryptografische Schlüssel verwalten, verarbeiten und speichern können. Derzeit stellen sie die wohl sicherste Variante einer Multi-Faktor-Authentifizierung dar. Bereits 2016 kam die von Google durchgeführte Studie Security Keys: Practical Cryptographic Second Factors for the Modern Web zu dem Ergebnis, dass diese Art der Authentifizierung praktisch keine Fehlerquote mehr aufweist und damit sogar noch sicherer als biometrische Authentifizierungen ist. Google war so überzeugt von ihrer Zuverlässigkeit, dass es Anfang 2017 bei seinen mehreren zehntausend Mitarbeitern, im Rahmen einer 2-Faktor-Authentifizierung, die flächendeckende Nutzung dieser physischen Sicherheitsschlüssel anordnete – mit großem Erfolg. Seit ihrer Einführung wurde nicht eine gemeldete oder bestätigte Kontoübernahmen durch unberechtigte Dritte mehr registriert. Um sich anzumelden, müssen die Mitarbeiter ein Passwort eingeben, den Token in einen USB-Anschluss stecken und über eine Taste bestätigen. Phishing-Angriffe bleiben bei dieser Form der Authentifizierung weitgehend nutzlos. Denn allein mit den Zugangsdaten kann der Hacker sich keinen Zugang mehr verschaffen. Doch auch wenn Security Tokens die Authentifizierung nachweislich sicherer machen, fehlte es ihnen, gerade im Kontext von Online-Dienstleistungen, doch lange Zeit an der notwendigen Nutzerfreundlichkeit. Bis jetzt. Denn mit der Einführung des neuen offenen Standards FIDO2 müssen Unternehmen bei der Zweit-Faktor-Authentifizierung in puncto Nutzerfreundlichkeit erstmals keine Abstriche mehr in Kauf nehmen.
FIDO2 – Der neue nutzerfreundliche Authentifizierungsstandard
Mit FIDO2 können Sicherheitsschlüssel in einer Vielzahl von Anwendungsfällen eingesetzt werden: als zweiter Faktor einer 2-Faktor-Authentifizierung, als Faktor einer Multi-Faktor-Authentifizierung und erstmals: als starker singulärer Faktor einer gänzlich passwortlosen Authentifizierung. Wie bei bisherigen Tokens auch, sind Phishing-Angriffe auf mit FIDO2 abgesicherte Systeme weitgehend wirkungslos. Im Gegensatz zu ihnen ist es mit dem neuen Standard jedoch erstmals möglich, sichere Authentifizierungen gänzlich ohne für den Nutzer umständliche Passworteingaben durchzuführen. Zum Einsatz kommen hierbei asymmetrische Kryptographie, ein Web-ABP (WebAuthn) und ein Client-to-Authenticator-Protocol (CTAP2). Entwickelt wurde der Standard von der FIDO Alliance, zu der neben Microsoft und Google auch ein führender Produzent für Security Tokens gehören sowie dem World Wide Web Consortium.
Bewusst wurde FIDO2 als offener Standard entwickelt und gelauncht. Stina Ehrensvärd, CEO und Gründerin von Yubico, sieht hierin einen deutlichen Mehrwert: „Als Volvo den Sicherheitsgurt erfand, hat es das Patent auch nicht für sich behalten, sondern mit der Konkurrenz geteilt. Heute ist jeder Wagen mit Sicherheitsgurten ausgestattet. Langfristig hat Volvo davon profitiert – genauso wie Millionen und Abermillionen Autofahrer weltweit. Aus demselben Grund haben wir FIDO U2F, FIDO2 und WebAuthn als offen zugängliche Standards konzipiert. Langfristig, so hoffen wir, werden sich physische Sicherheitskeys und passwortloser Login als die praktikabelste Variante einer sicheren Authentifizierung durchsetzen – und dabei helfen, Online-Dienstleistungen weltweit sicherer zu machen.“ Bereits jetzt ist FIDO2 mit einer Vielzahl von Online-Dienstleistern kompatibel, darunter Google, Facebook, Twitter, Dropbox und Github.
Vor allem Unternehmen die Online-Dienstleistungen anbieten, werden die Qualität von FIDO2, Sicherheit und Nutzerfreundlichkeit bei der Authentifizierung effektiv zusammenzubringen, zu schätzen wissen.
