Facettenreiche Authentifizierung

Für viele Firmen sind Karten und Token noch immer die einzige Antwort auf Fragen der Sicherheit, und die Smartcard-Industrie erwartet dementsprechend für 2007 ihr bislang lukrativstes Geschäftsjahr. Doch zwischen den Schauplätzen der grossen Player regen sich etliche Firmen, deren Techniken dem Segment der User-Authentifizierung frische Facetten verleihen. Das kommt nicht von ungefähr: Heute gelten etwa Einfaktor-Benutzernamen und -Passwörter eher als Witz denn als Schutz - gemäss den Richtlinien des Federal Finacial Institutions Examination Council (FFIEC) ist die «Single Factor Authentication» als einziger Kontrollmechanismus inadequat für Risikotransaktionen. Derweil sind Werkzeuge zur starken Authentifizierung - Smartcards, Einmal-Passwortgeneratoren und USB-Token oder Public-Key-Infrastrukturen (PKI) - nach wie vor kostspielig und aufwändig in Einführung und Unterhalt. Dabei erwarten Experten, dass IT-Abteilungen in naher Zukunft standardmässig Schutzmassnahmen einführen müssen, wie sie bislang vorwiegend bei Finanzdienstleistern zum Einsatz kommen. Dies rührt daher, dass Betrüger mit Phishing-Attacken oder gar mit gezieltem Spear Phishing Jagd nach Zugangsdaten machen und dabei immer ausgeklügeltere Vorgehensweisen an den Tag legen. Die grossflächige Verbreitung drahtloser Netze trägt das Ihre dazu bei. Und jüngste Rootkit-Techniken erschweren das Aufspüren von Schadsoftware deutlich.

Kein Wunder also, wittert eine ganze Armada von Jungfirmen Morgenluft und versucht, der alten Authentifizierungsproblematik neue Lösungsansätze entgegenzuhalten. Diese entstammen beispielsweise der Biometrie. Die Disziplin, die seit mehr als zehn Jahren mit dem Attribut des nächsten grossen Durchbruchs geschmückt wird, setzt nun statt auf Fingerabdruck-Scanner auf so genannte «Behavioral Biometrics». Fair Isaac hat kürzlich mit Falcon One for Online Access ein Werkzeug vorgestellt, das das User-Verhalten wie Tip- und Mausbewegungen überwacht. RSA - bald zu EMC gehörig - setzt mit der Spracherkennungstechnik der kürzlich akquirierten Passmark Security auf ein ähnliches Pferd. Derweil versuchen RSA, Diversinet, Saflink und Verisign, die Kosten der starken Authentifizierung runterzubrechen, indem Tokens drahtlos auf mobile Geräte übermittelt werden. Ein weiterer Trend betrifft die so genannte Risk-based Authentication: Firmen gehen dazu über, die Sicherheit der Zugangskontrollen vom Schutzbedarf der betreffenden Daten und Prozesse abhängig zu machen. Hersteller wie Verisign, RSA, En-trust und Tricipher wollen so sicherstellen, dass die Anwender nur dort teuren Aufwand betreiben, wo es auch wirklich nötig ist.

Angesichts der Rootkit-Thematik schliesslich gehen die Anwenderfirmen vermehrt dazu über, das Online-Verhalten ihrer Mitarbeiter zu analysieren und Profile zu erstellen. Cydelity, Cyveillance, Iden Trust, aber auch RSA und Verisign versuchen, Betrugs- und Phishing-Daten mit Verhaltensanalysen zu integrieren, um kompromitierte Maschinen und Menschen zu identifizieren.