Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Zwei-Faktor-Authentifizierung – Schutz der nächsten Generation für digitale Identitäten

Der Diebstahl einer digitalen Identität ist mittlerweile die häufigste Form der Datenschutzverletzung in der Bundesrepublik. Cyberkriminelle bringen sich in den Besitz von Nutzerkennungen und Passwörtern, die ihre Opfer bei Online-Dienstleistern unterhalten. Im zweiten Schritt versenden sie in deren Namen E-Mails, kaufen ein oder greifen unberechtigt auf nicht-öffentliche IT-Infrastrukturen zu. Schwer fällt ihnen diese Übernahme in der Regel nicht. Basiert die Absicherung der Kundendaten der meisten Online-Dienstleister doch immer noch auf einer simplen Ein-Faktor-Authentifizierung. Dabei ist eine sicherere Form der Authentifizierung schon längst auf dem Markt: die Zwei-Faktor-Authentifizierung.

Identitätsdiebe auf dem Vormarsch

Auch im letzten Jahr konnte der kriminelle Akt des Identitätsdiebstahls wieder besorgniserregende Zuwachsraten verzeichnen. Schon allein die Zahl der Angriffe auf Kundendatenbanken von Online-Dienstleistern spricht eine mehr als deutliche Sprache. Laut Gemaltos Breach Level Index wurden 2016 weltweit 1792 Attacken auf Datenbanken von Großunternehmen zur Kompromittierung von annähernd 1,4 Milliarden Kundendatensätzen durchgeführt – eine Steigerung um 86 Prozent im Vergleich zum Vorjahr. Die meisten dieser Angriffe richteten sich gegen US-amerikanische Unternehmen. Europäische Unternehmen waren nur in neun Prozent der Fälle betroffen, wobei britische Unternehmen deutlich dominierten. Doch auch deutsche Unternehmen – und vor allem Nutzer – wurden und werden zur Zielscheibe. Laut dem Wirtschaftswissenschaftlichen Sicherheitsindikator für Deutschland fielen bereits im Jahr 2014 rund 20% der deutschen Bevölkerung schon einmal einem Identitätsdiebstahl zum Opfer. Ein hiermit verbundener, jährlicher wirtschaftlicher Schaden für die Bundesrepublik von 3,4 Milliarden Euro sei anzunehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht dies ähnlich und zählt Identitätsdiebstahl deshalb mittlerweile zu den größten Gefahren, denen sich Internetnutzer ausgesetzt sehen. Kann der Nutzer von Online-Dienstleistungen sich privat doch kaum gegen die immer raffinierteren Methoden der Cyberkriminellen zur Wehr setzen. Zusätzlich bietet die derzeit bei Online-Dienstleistern gängige Art der Nutzerauthentifizierung, die Ein-Faktor-Authentifizierung, keinen wirksamen Schutz gegen die Methoden der auf Identitätsdiebstahl spezialisierten Cyberkriminellen.

Schwachstelle Ein-Faktor-Authentifizierung

Lediglich ein Nutzername, ein Passwort und vielleicht noch die E-Mail-Adresse fordern Online-Dienstleister für gewöhnlich zur Registrierung und zum Einloggen. Cyberkriminelle haben hier ein leichtes Spiel. Handelt es sich doch um Informationen, an die im Einzelfall mit den heute gängigen Phishing-Methoden oder durch den Einsatz eines Trojaners relativ leicht heranzukommen ist. Benötigen sie für ihre Machenschaften größere Datensätze – Millionen Kundendaten – so hacken sie sich einfach in die Datenbanken des entsprechenden Onlinedienstleisters. Haben sie die wenigen erforderlichen Informationen zusammen, können sie sich problemlos im Namen ihres Opfers registrieren und dessen digitale Identität annehmen. Auch die Bundesregierung hat diese Schwachstelle in der Sicherheitsarchitektur der Online-Dienstleister inzwischen erkannt. Im Zuge der am 9. November 2016 verkündeten Cyber-Sicherheitsstrategie für Deutschland 2016 erklärte sie, dass das „Benutzer/Passwort-Verfahren“ in der heutigen Zeit nicht mehr ausreichten. Es müsse ergänzt oder gleich ganz durch ein neues Verfahren abgelöst werden. Nicht nur die Bundesregierung, selbst große Online-Dienstleister wie Google beginnen ebenfalls langsam, die derzeit gängige Ein-Faktor-Authentifizierung zu hinterfragen. Der Transformationsprozess der Onlinedienstleister von der Ein- zur Zwei-Faktor-Authentifizierung hat begonnen.

Ausweg Zwei-Faktor-Authentifizierung

Die Lösung der derzeitigen Sicherheitsprobleme liegt in der flächendeckenden Einführung einer Zwei-Faktor-Authentifizierung. Dem Passwort, als erstem Faktor, wird hierbei ein zweiter Faktor, in Form einer Hardwarekomponente, eines Tokens, zur Seite gestellt. Die Umsetzung kann dabei entweder über ein Onetime-Pass-Token oder über ein Hardware-Sicherheits-Token erfolgen. Beim Onetime-Pass-Token generieren ein spezielles Hardwaretool oder ein Smartphone, auf das der Token aufgespielt wurde, nach einem spezifischen Algorithmus ein einmal gültiges Passwort, das dann zusätzlich mit dem regulären Passwort und der Nutzerkennung an den Authentifizierungsserver des Online-Dienstleisters gesandt wird. Der Server ist ebenfalls mit diesem Algorithmus ausgestattet und kann dessen Gültigkeit verifizieren.

Beim Hardware-Sicherheits-Token erfolgt die Authentifizierung auf Basis eines Zertifikats und eines zu diesem passenden privaten Schlüssels. Der Endnutzer oder sein Unternehmen müssen zu deren Erstellung persönlich bei einem hierfür zugelassenen Trust-Center vorstellig werden und sich ausweisen. Das Trust-Center erstellt dann einen privaten und einen öffentlichen Schlüssel. Der private Schlüssel wird auf dem Token, beispielweise einer Smartcard, gespeichert und dem Endnutzer übergeben. Der öffentliche Schlüssel wird, zusammen mit den Daten zur digitalen Identität des Endanwenders und einem Siegel des Trust-Centers, in einer Zertifikatsdatei gespeichert, die der Online-Dienstleister erhält. Möchte der Endanwender nun sicher auf dessen Online-Dienste zugreifen, muss er lediglich die Hardwarekomponente, in diesem Fall die Smartcard, bei kontaktbehafteter Kommunikation in ein entsprechendes Lesegerät einführen oder bei kontaktloser Kommunikation vor das Lesegerät halten und eine persönliche PIN eingeben. Öffentlicher und privater Schlüssel sowie PIN werden dann vom Authentifizierungsserver des Online-Dienstleisters überprüft und der Nutzerzugriff im Fall einer erfolgreichen Verifizierung freigegeben. Schon seit Jahren ist diese Art der Zwei-Faktor-Authentifizierung bei Bank- und Kreditkarten flächendeckend im Einsatz – mit großem Erfolg. Unternehmensintern könnten sich Smartcards ebenfalls sinnvoll einsetzen lassen. Ob die Beschränkung von Zugangsberechtigungen für einzelne Gebäudeteile, die An- und Abmeldung am Rechner und Arbeitsplatz, die elektronische Signierung von Dokumenten oder der Versand von E-Mails ̶ all dies und mehr lässt sich mit einer Smartcard problemlos bewerkstelligen.

Fazit und Lösungsansatz

Online-Dienstleister werden um die Einführung einer Zwei-Faktor-Authentifizierung in den kommenden Jahren kaum herumkommen. Smartcards werden hierbei zweifellos die kundenfreundlichste Variante darstellen. Auch der Weg zum Einsatz von Smartcard-Technologie in eingebetteten Sicherheitselementen in unterschiedlichen Endgeräten und Szenarien wie beispielsweise IoT (Internet of Things) und Industrie 4.0, gerade um für die sichere Speicherung und Verwaltung von digitalen Identitäten, und das sowohl für Objekte und Personen, ein angemessenes Sicherheitsniveau zu erreichen, ist vorgezeichnet.


Dr. Friedrich Tönsing, Head of Security Engineering & Solutions bei Telekom Security