Aktueller Channel Fokus:

Managed Services

Neue Formen der sicheren Authentifizierung

Digitale Identitäten erfolgreich schützen

| Autor / Redakteur: Markus Hertlein / Peter Schmitz

Digitale Identitäten ermöglichen immer mehr Transaktionen Online durchzuführen und brauchen deshalb besonderen Schutz vor Cyberkriminellen.
Digitale Identitäten ermöglichen immer mehr Transaktionen Online durchzuführen und brauchen deshalb besonderen Schutz vor Cyberkriminellen. (Bild: gemeinfrei)

Obwohl das Risiko durch eine Vielzahl von Datendiebstählen bekannt ist, setzen die meisten Unternehmen weiterhin auf den klassischen Login mit Benutzername und Passwort. Je mehr Geschäfte und Verwaltungsvorgänge digital werden, desto wichtiger wird es aber, die persönlichen digitalen Identitäten besser abzusichern.

Wir bewegen uns täglich durch eine Vielzahl an digitalen Anwendungen wie zum Beispiel Facebook, Slack, Mail Programme, interne Programme, Carsharing, E-Banking, Reisebuchung und viele mehr. Die meisten davon sind personalisiert – also direkt auf den Nutzer zugeschnitten. Damit das aber überhaupt möglich ist, müssen wir uns als Nutzer dieser Dienste identifizieren und anschließend auch authentifizieren. Dazu werden unterschiedliche Informationen oder besser gesagt Identitätsattribute benötigt. Diese Attribute bestehen zum Beispiel aus der eigenen E-Mail-Adresse oder dem Geburtsdatum. Beim online Shopping werden zusätzlich auch noch Informationen wie Konto- und Zahlungsinformationen, die private Anschrift oder die Lieferadresse benötigt. Doch in Anbetracht der zunehmenden Hackerangriffe kommt immer häufiger die Frage auf, wie sicher denn die eigene digitale Identität wirklich ist und was man tun kann, um diese optimal zu schützen.

Digitale Identitäten – schnell erstellt und schnell gestohlen

Eine digitale Identität kann per Selbstauskunft oder mit verifizierten Informationen erfolgen. Wir selbst können also persönliche Daten wie Geburtsdatum, Anschrift, E-Mail-Adresse oder Telefonnummer zur Erstellung einer digitalen Identität nutzen. Verifizierte Informationen sind dann zum Beispiel Video-Chats, eID des neuen Personalausweises oder auch via Postident. All diese Informationen münden dann in der eigenen persönlichen digitalen Identität, von der wir mehrere besitzen – denn pro Dienst erstellen wir ein digitales Ich. Unternehmen verwenden für die Erstellung einer digitalen Identität ihrer Mitarbeiter zusätzlich Informationen wie Abteilung, Vorgesetzte, Weisungsbefugnis und Rollen innerhalb des Unternehmens.

Doch die Identitätsattribute sind allesamt sensible Informationen, die weder von jemand anders genutzt werden sollten noch an die breite Öffentlichkeit weitergegeben werden sollten. In einer Zeit, in der Hackerangriffe zunehmen, die sich an einem Buffet an digitalen Daten bedienen und sich nicht mehr vorwiegend auf Großkonzerne fokussieren, ist jeder angreifbar geworden. Deshalb ist es umso wichtiger, diese optimal zu schützen.

Login per Kontonummer und Passwort oder per QR Code

Im privaten Bereich sind klassische Anwendungen für digitale Identitäten die Nutzung im e-Banking und e-Commerce. Beim e-Banking handelt es sich um eine starke digitale Identität, die einen sicheren Nachweis der nutzenden Person zulässt. Dies beginnt mit der GWG konformen Erstidentifikation, durch persönliches Vorsprechen bei der Bank, der Verwendung von Post-Ident oder online mit der digitalen Ausweisfunktion (eID) des Personalausweises oder per Video-Chat. Alle genannten Verfahren bieten einen eindeutigen Erstnachweis des Nutzers. Auch die Daten die erfasst und bei der Registrierung des Nutzers erzeugt werden sind von hoher Wertigkeit und unterliegen einem sehr hohen Datenschutz. Dies beinhaltet: Anschrift, Name, Handschriftliche Signatur und die erzeugten Kontoinformationen. Da der Nutzer mit dieser angelegten digitalen Identität in der Lage ist gesetzlich rechtsbindende Handlungen durchzuführen, unterliegt die Verwendung neben der starken Erfassung einer sicheren Multi-Faktor-Authentifizierung mit mindestens zwei Faktoren. Das ist in den meisten Fällen der Login auf der e-Banking-Seite per Kontonummer und Passwort, gefolgt von einem TAN-Verfahren bei der Ausführung einer Transaktion, einer Überweisung. Bei den verwendeten TAN-Verfahren gibt es diverse Unterschiede, die die Sicherheit und Benutzerfreundlichkeit betreffen. Ein allgemein sehr gutes Setup ist beispielsweise der Login per QR Code, Smartphone und Challenge-Response-Verfahren und die TAN-per-Push-Verfahren.

Im E-Commerce werden ebenfalls sensible Informationen gehandelt, jedoch mit der Möglichkeit des Rücktritts eines Vertrags. So bieten häufig erst moderne online Shops die Möglichkeit seine digitale Identität mit zwei Faktoren zu schützen. Für einen online Shop ist die Benutzerfreundlichkeit bei der Verwendung der digitalen Identität von großer Bedeutung. Der Einsatz von umständlichen Verfahren, z. B. eine benötigte Registrierung und die Verwendung von komplizierten Passwortregeln, führt dazu, dass der Nutzer den Kaufvorgang abbricht somit der online Shop somit die Konversion verliert. Bei online Shops werden ebenfalls sensible Informationen der digitalen Identität gespeichert. Diese wird allerdings eher als schwach klassifiziert, da die Erstidentifikation als Selbstauskunft geschieht und wie erwähnt in der Regel nur mit einem Faktor – häufig das klassische Passwort – abgesichert wird. Abhilfe schaffen hier beispielsweise Identitätsprovider, die sowohl die Benutzerfreundlichkeit als auch die Sicherheit und den Datenschutz für den Endnutzer als auch den Online Shop erhöht. Gepaart mit modernen und passwortlosen Authentifikationsmethoden, beispielsweise per persönlichen Smartphone und QR Code, kann eine geringere Absprungrate und weniger Frustration bei allen Parteien erzeugt werden.

Klassische Passwörter als größtes Sicherheitsrisiko

Obwohl die Anzahl der Hackerangriffe auf Unternehmen, Privatpersonen und auch Politiker mittlerweile zunimmt setzen viele weiterhin auf klassische Passwörter und genau diese stellen das größte Risiko da. Für Programme, die die Arbeit für die Hacker übernehmen oder mit denen sie arbeiten, liefern Passwörter die Nutzerdaten fast schon auf dem Silbertablett. Sie sind teilweise leicht zu erraten, der Aufwand ist gering und die Ausbeute teilweise enorm.

Doch seit vielen Jahren schon lassen sich diese einfach implementieren und bieten vielen trotz allem eine hohe gefühlte Sicherheit, eine bewährte Methode also, um seine digitale Identität zu schützen. Dennoch ist es wichtig, dass man sich darüber bewusst wird, dass man angreifbar ist. Sich also mit 123456789! sicher zu fühlen, weil man bestimmt nie Opfer einer Cyberattacke wird, das ist nicht zu empfehlen. Es ist wichtig, darauf zu achten, dass man, wenn man weiterhin Passwörter nutzen möchte, lange Passwörter mit Merksätzen und Zahlen sowie auch Sonderzeichen erstellt, statt Passwortkombinationen die leicht zu errechnen aber schwer zu merken sind.

Wie kann ich meine digitale Identität auch ohne Passwort schützen?

Eine sinnvolle Alternative dazu bietet ein Authentifizierungsverfahren, das statt Passwörter zu übertragen, das eigene Smartphone über eine App mit digitalen Zertifikaten und kryptografischen Schlüsseln ausstattet. Dabei erhält das Smartphone eine eigene digitale Identität, die direkt an die digitale ID des Nutzers gebunden wird. Auch diese Kopplung geschieht über ein kryptografisches Verfahren. Eine Authentifizierung wird dann über ein asymmetrisches Challenge Response Protokoll ausgeführt. Dies ist ein kryptografisches Frage-Antwortspiel. Die digitalen Zertifikate sind wie der Personalausweis zur Identifikation zu verstehen.

Kurzum: Am Ende lässt sich jeder Schritt der Authentifizierung unverfälschbar nachweisen und für die Authentifizierung werden mehrere kryptografische Schlüssel genutzt, die in der Kombination mit dem Frage-Antwort Spiel verhindern, dass sensible Informationen verloren gehen. Dies ermöglicht dem Nutzer, nur eine einzige digitale Identität zu pflegen. Über diese hält er selbst die Hoheit und kann sie im Web, aber auch in Anwendungen wie Sharing Angeboten und Smart City Facilities verwenden.

Über den Autor: Der IT-Sicherheitsexperte Markus Hertlein ist überzeugt davon, dass klassische Passwörter in der heutigen Zeit zu einem großen Sicherheitsrisiko geworden sind. Mit XignQR hat der XignSys-Gründer und sein Team ein Authentifizierungsverfahren entwickelt, das gänzlich auf den Einsatz von Passwörtern verzichtet und stattdessen digitale Zertifikate und kryptografische Schlüssel verwendet, um höchste Sicherheit und Benutzerfreundlichkeit bei jeder Authentifizierung zu ermöglichen.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45885938 / Security)