Authentifizierung aber sicher

1. Juli 2021

In unserem heutigen DSGVO Donnerstag Blog-Beitrag geht es um das Thema "Authentifizierung". Was es genau damit auf sich hat, welche Arten der Authentifizierung es gibt und was Sie dabei beachten sollten, haben wir in diesem Artikel für Sie zusammengefasst.

Der Begriff der "Authentifizierung" findet sich nur selten im allgemeinen Sprachgebrauch wieder, obwohl uns die Authentifizierung im Alltag immer wieder begegnet: die PIN-Eingabe am Bankautomaten, die Eingabe eines Passworts am Computer oder ein Fingerabdruck zum Entsperren des Bildschirms am Smartphone. In diesen Beispielen wird die Authentifizierung verwendet, um zu verifizieren, dass es sich beim Benutzer um eine bestimmte Person handelt.

Authentifizierung als Solches dient jedoch dem Nachweis der Echtheit und kann sich auch auf beliebige (im-)materielle Gegenstände beziehen, wie z.B. Kunstwerke oder elektronische Dokumente. Für diesen Beitrag möchten wir Authentifizierung mit der Verifikation der Identifizierung gleichsetzen, auf den Anwendungsfall der Benutzeridentifikation reduzieren und Ihnen Wege an die Hand geben, wie Sie durch den Einsatz von Authentifizierungsverfahren sicherstellen können, dass der Benutzer eines IT-Systems der ist, der er vorgibt zu sein.

Welche Möglichkeiten der Authentifizierung gibt es?


Die Beschränkung des Zugriffs eines Mitarbeiter auf die Daten, welche er für die tägliche Arbeit benötigt, setzt voraus, dass der Mitarbeiter eindeutig identifiziert werden kann. Zur Authentifizierung wird grundsätzlich mindestens einer der folgenden Authentifizierungsfaktoren abgefragt:

AuthentifizierungsfaktorBeispielVorteileNachteile
Etwas, das der Benutzer weißPasswort, PIN-Nummer, Mnemonische Phrase- für Wissen müssen i.d.R. keine Hilfsmittel genutzt werden- Wissen kann dupliziert und weitergegeben
- Wissen kann vergessen werden
- Wissen kann u.U. erraten werden (z.B. via Brute Force oder Social Engineering Attacken)
Etwas, das der Benutzer besitztPhysische Schlüssel, SmartCard, RFID-Token, Dongel, Magnetstreifen, TAN-Generator, SSL-PrivateKeys- kann ersetzt werden- Besitz kann gestohlen werden oder verloren gehen
- kann überlassen werden oder ggf. auch kopiert werden
- Besitz alleine sagt nur aus, dass der Besitzer das Objekt im Zugriff hat, allerdings nicht, dass der Besitzer die Person ist, für die er sich ausgibt
- Besitz erzeugt den Mehraufwand des sicheren Transportes
Etwas, das der Benutzer ist oder tutFingerabdruck, Handschrift, Gangbild, Iris-Scan- überwiegend fälschungssicher und eindeutig einer Person zuzuordnen- biometrische Authentifizierungsmerkmale können nicht geändert werden (Siehe hier: Der Fingerabdruck kann nicht geändert werden, auch wenn sich Kopien davon im Umlauf befinden)

Worauf sollte ich bei der Wahl des Authentifizierungsverfahrens achten?

Bei der Auswahl des eingesetzten Authentifizierungsverfahren ist darauf zu achten, dass sich die Maßnahmen zum Erreichen eines angemessenen Schutzniveaus und der Aufwand für die Authentifizierung in einem akzeptablen Verhältnis befinden. Es lohnt sich besonders bei der Einführung von aufwändigeren Authentifizierungsverfahren - wie bei einer Mehrfaktorauthentifizierung - Ihre Mitarbeiter frühzeitig mit einzubeziehen und sie auf die Sensibilität der verarbeiteten Daten und das Missbrauchspotential hinzuweisen.

Eine Mehrfaktorauthentifizierung (MFA) beschreibt ein mehrstufiges Authentifizierungsverfahren, dabei werden unterschiedliche Komponenten miteinander kombiniert um eine zusätzliche Schutzebene zu erzeugen. So könnte beispielsweise zum Entsperren eines Computers eine Passworteingabe und eine Smartcard erforderlich sein um somit etwas, das der Benutzer weiß mit etwas, das der Benutzer besitzt kombiniert werden.

Mit der komplexität des Authentifikationsverfahrens erhöht sich allerdings steigt auch der Aufwand für den Endanwender. Eine Zweifaktorauthentifizierung stellt in den meisten Fällen eine deutliche Verbesserung zu bestehenden Passworteingaben dar und wird als ausreichend sicher angesehen. - Jedoch sollte wenn möglich immer eine Mehrfaktorauthentifizierung gewählt werden.

Die Verwendung von biometrischen Erkennungsmerkmalen wie z.B. einem Fingerabdruck oder Handvenenmuster ist aus datenschutzrechtlicher Sicht zwar möglich, muss aber im Vorfeld sorgfältig geprüft werden. Über biometrische Merkmale lässt sich ein Mensch eindeutig identifizieren und im Gegensatz zu einem Passwort, kann dieses Merkmal nicht geändert werden. Der Schaden für den Betroffenen ist also beim Abhandenkommen seiner biometrischen Daten potentiell höher, als wenn die Smartcard gestohlen oder das Passwort erraten wurde.

Sichere Passwörter erhöhen das Datenschutzniveau

Bei der Verarbeitung von personenbezogenen Daten gilt es sicherzustellen, dass keine unbefugte Verarbeitung der Daten erfolgt. Um unterscheiden zu können, ob ein bestimmter Verarbeitungsvorgang zulässig ist, muss klar erkennbar sein, wer gerade versucht diesen Verarbeitungsvorgang durchzuführen. Nur so kann geprüft werden, ob dieser Anwender im Zuge seiner beruflichen Tätigkeit einen validen Grund hat, diese Verarbeitung durchzuführen.

Als Folge hieraus ergibt sich, dass jeder Benutzer eines IT-Systems über eine eigene, persönliche Benutzerkennung verfügen muss und die Authentifizierungsfaktoren zu dieser persönlichen Benutzerkennung ausschließlich dem Anwender zugänglich sind. Im Alltag würde dies z.B. konkret bedeuten, dass jeder Benutzer einen eigenen, personalisierten Zugang (Benutzerkonto) zu einem Endgerät besitzt, das Passwort für diesen Zugang geheim hält und seine Smartcard nicht an Kollegen übergibt.

Das Erzwingen von Passwörtern mit einer gewissen Komplexität und einer Passwort History kann dafür sorgen, dass das Passwort durch Ausprobieren nicht einfach erraten werden kann. Zur Orientierung für eine Passwortrichtlinie hat das Bundesamt für Sicherheit (BSI) in der Informationstechnik hierzu eine Richtlinie für die Erstellung sicherer Passwörter veröffentlicht.

Haben Sie Fragen zu diesem oder anderen Themen oder benötigen Sie konkrete Unterstützung? - Wir sind nur einen Klick entfernt.

crossmenu