Identity
Ping Identitiy formuliert die Bedeutung des Identitätsmanagements
Identifizierung, Identitätsüberprüfung und Authentifizierung – wo liegen die Unterschiede?
Mehmet Yaliman, Senior Solutions Architect bei Ping Identitiy
Laut einer bitkom-Studie aus dem Sommer letzten Jahres entsteht der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage jährlich ein Gesamtschaden von 223 Milliarden Euro. Das Erschreckende: Die Schadenssumme ist mehr als doppelt so hoch wie in den Jahren 2018/2019 (103 Milliarden Euro). Ganze 88 Prozent der Unternehmen waren im Erhebungszeitraum 2020/2021 betroffen, während es 2018/2019 75 Prozent waren. Diese Zahlen verdeutlichen die angespannte Bedrohungslage in Sachen Cybercrime, die auch 2022 weiterhin besteht und sich eher noch zuspitzen dürfte.
Doch was können Betriebe konkret tun, um sich zu schützen? Zuerst ist es wichtig, sich mit grundlegenden Begrifflichkeiten der Cyber Security zu beschäftigen. Fest steht: Das Identitätsmanagement mit Identifizierung, Überprüfung und Authentifizierung spielt grundsätzlich eine wesentliche Rolle für die IT-Security, und jedes einzelne Element bedarf der anderen.
IBMs „Cost of Data Breach 2021“-Report zeigt nochmals eindrucksvoll die kritische Bedeutung der sicheren Verwaltung von Identitäten und Anmeldedaten, denn aus dem Report geht hervor, dass kompromittierte Anmeldedaten der erste Angriffsvektor sind und für 20 Prozent der Datendiebstähle verantwortlich sind. Auch hier ist ein deutlicher Anstieg der Gefahrenlage zu beobachten: Die durchschnittlichen Kosten eines solchen Diebstahls von Unternehmensdaten stiegen von 3,86 Millionen Dollar im Vorjahr auf 4,24 Millionen Dollar im Jahr 2021. Um zu verhindern, dass böswillige Akteure gestohlene Identitäten und Anmeldedaten verwenden, müssen Unternehmen also proaktiv handeln.
Während verschiedene Firmen und Branchen unterschiedliche Bedürfnisse in Hinblick auf Datenschutz und Datensicherheit haben – gerade auch in Sachen Compliance – sollte diese Themen niemals vernachlässigt werden – schließlich kann ein erfolgreicher IT-Sicherheitsangriff geschäftskritisch sein. Natürlich benötigt ein Finanzdienstleistungsunternehmen mit hochwertigen Vermögenswerten und Transaktionen in der Regel einen höheren Identitätsnachweis als eine Organisation im Bereich der sozialen Medien. Das bedeutet aber nicht, dass Social-Media-Unternehmen auf starke Identitätssicherheitsmaßnahmen verzichten können. So entdeckten Sicherheitsforscher eine geleakte Facebook-Datenbank mit 533 Millionen Konten und persönlichen Informationen von Nutzern aus 106 Ländern. Es bedarf nicht viel Phantasie, um sich vorzustellen, was Kriminelle mit diesen Daten anrichten können.
Wie werden Identifizierung, Identitätsüberprüfung und Authentifizierung für das Online-Identitätsmanagement und die IT-Sicherheit eingesetzt?
Die Identifizierung ist der erste Schritt des Prozesses, bei dem ein Benutzer bei der Einrichtung eines Kontos Informationen über sich selbst angibt. Während ein rechtmäßiger Benutzer korrekte Angaben macht, kann ein Betrüger falsche oder gestohlene Daten angeben.
Identifizierung beinhaltet zunächst die Frage: "Wer sind Sie?", denn wenn ein neuer Benutzer den Registrierungsprozess eines Dienstes abschließt, hat er sich damit auch identifiziert. Einige Unternehmen beschränken ihr Identitätsmanagementverfahren auf die Identifizierung und nehmen die von den Benutzern angegebenen Informationen für bare Münze. Das kann sehr riskant sein.
Ohne zusätzliche Schritte, die sicherstellen, dass der Benutzer derjenige ist, der er zu sein vorgibt, haben Betriebe oft keine Möglichkeit zu erkennen, ob die Person ihre echte Identität verwendet oder ein Betrüger einen falschen Namen, beziehungsweise eine gestohlene Identität benutzt. Cyberkriminelle können beispielsweise leicht Social-Media-Konten mit gefälschten Namen und Personas für eine Vielzahl von verwerflichen Zwecken, einschließlich Menschenhandel, erstellen.
Die Verifizierung fordert den "Beweis" für die Echtheit der Angaben bei der Identifizierung. Um zu überprüfen, ob die Person ihren echten Namen, ihre Adresse, Telefonnummer usw. verwendet, verlangen Unternehmen eine Verifizierung. Da gestohlene Identitäten leicht zur Erstellung von Konten verwendet werden können, verhindert dieser Schritt, dass Betrüger, die nicht in der Lage sind, den erforderlichen Identitätsnachweis zu erbringen, diese gefälschten Konten überhaupt erst anlegen können. Die Verifizierung erfolgt zum Beispiel in Form des Vorzeigens des Führerscheins oder eines amtlichen Ausweises, oder aber in Form von biometrischen Daten wie Fingerabdrücken oder verifizierten Fotos, die für die Gesichtserkennung verwendet werden.
Die Verifizierung wird in der Regel einmalig während des Registrierungsprozesses durchgeführt. Die Identitätsüberprüfung kann direkt in mobile Anwendungen integriert werden, um sicherzustellen, dass die Kunden die sind, die sie vorgeben zu sein.
Gibt es kein Überprüfungsverfahren, können Betrüger, die Identitäten oder Berechtigungsnachweise kompromittiert haben, diese für ihre Zwecke missbrauchen. Zu Beginn der Pandemie nutzten etwa organisierte Verbrecherringe gestohlene Identitäten, um betrügerische Arbeitslosenanträge zu stellen und Millionen an Leistungen zu kassieren. Als das Ausmaß des Betrugs aufgedeckt wurde, begannen die USA beispielsweise, Identitätsnachweisdienste einzusetzen, die Selfies mit offiziellen Fotodokumenten verglichen, um sicherzustellen, dass die Antragsteller rechtmäßig waren. Da die Betrüger die geforderten Selfies nicht vorlegen konnten, wurden sie daran gehindert, weitere Betrugsdelikte zu begehen. Leider wurden echte Antragsteller, die nicht über Geräte verfügten, mit denen sie Selfies machen konnten, davon abgehalten, rechtmäßige Leistungen zu erhalten.
Die Authentifizierung wird auch verwendet, um zu beweisen, dass ein Nutzer wirklich der ist, der er vorgibt zu sein. Die Authentifizierung erfolgt in der Regel jedes Mal, wenn sich ein Benutzer anmeldet, und kann auch implementiert werden, wenn ein Benutzer eine hochwertige Transaktion durchführt oder versucht, an einem risikoreichen Ort, zum Beispiel einem Flughafen, auf sensible Daten zuzugreifen. Die für die Verifizierung verwendeten Methoden werden auch für die Authentifizierung genutzt, etwa Fingerabdruck-Scans und Gesichtserkennung. Die risikobasierte, adaptive Authentifizierung bezieht kontextbezogene Daten in den Entscheidungsprozess ein und erfordert zusätzliche Nachweise, wenn sich der Benutzer zu einer ungewöhnlichen Zeit, an einem ungewöhnlichen Ort anmeldet oder wegen anderen unüblichen Verhaltensmustern.
Die Arten der Authentifizierung lassen sich in drei Hauptkategorien einteilen, die auch als Authentifizierungsfaktoren bezeichnet werden:
- Wissen – Etwas, das Nutzer wissen. Informationen oder Geheimnisse, die nur die rechtmäßigen User kennen; einschließlich Kennwörter, PINs und Antworten auf Sicherheitsfragen.
- Besitz – Etwas, das Nutzer haben. Dazu gehören Smartphones, Karten, Schlüsselanhänger und physische Token, die entweder einmalige Passwörter beziehungsweise Codes erzeugen oder empfangen können.
- Biometrie – Etwas, das Nutzer sind: Dies sind einzigartige physische Merkmale, die durch Fingerabdruck-Scans, Stimmerkennung, Gesichtserkennung und andere Scan-Techniken mittels eines Gerätes wie zum Beispiel einem Mobiltelefon bestätigt werden können.
Bei der Zwei-Faktor-Authentifizierung (2FA) und der Multi-Faktor-Authentifizierung (MFA) müssen die Benutzer Nachweise aus mehr als einer Kategorie erbringen, was bösartige Akteure mit kompromittierten Passwörtern oder anderen Anmeldeinformationen daran hindert, auf Konten zuzugreifen.
Fazit
Die drei genannten Verfahren gehören alle zu dem Prozess, der notwendig ist, um die Sicherheit der Daten von Benutzern bei der Einrichtung und Verwendung von Online-Konten zu gewährleisten. Es geht nicht darum, zwischen den drei Abläufen – nämlich Identifizierung, Identitätsüberprüfung und Authentifizierung – zu wählen, sondern sie müssen alle durchlaufen werden, um Betrüger daran zu hindern, gefälschte Konten aufzusetzen oder Anmeldeinformationen zu kompromittieren.
