Glossar: Sichere Authentifizierung

Die wichtigsten Begriffe mit Fokus auf Webdienste mit mittleren bis höchsten Anforderungen an Sicherheit und Datenschutz.

Authentisierung/Authentifizierung

Die Authentisierung ist der Nachweis der → Authentizität. Durch ein festgelegtes Verfahren wird dabei festgestellt, ob jemand wirklich derjenige ist, der er vorgibt zu sein oder ob vorliegende Daten tatsächlich von einem behaupteten Urheber stammen. Der Vorgang der Prüfung des Nachweises einer Authentisierung wird oft als Authentifizierung bezeichnet. Umgangssprachlich wird zwischen beide Begriffen oft nicht unterschieden.

Multi-Faktor-Authentifizierung (MFA)

Bei einer Multi-Faktor-Authentifizierung erfolgt die Authentifizierung auf Basis mehrerer unterschiedlicher und voneinander unabhängiger Faktoren aus den folgenden drei Kategorien:

  • Wissen: Geheime Informationen, wie z.B. → Passwörter oder → PINs.
  • Besitz: IT-Komponenten, z.B. Smartcards oder Mobiltelefone mit einem → Secure Element, die eindeutig erkannt und nicht nachgemacht oder kopiert werden können.
  • Sein: Individuelle → biometrische Merkmale einer Person, wie z.B. Fingerabdruck oder Gesicht

Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung ist ein Spezialfall der Multi-Faktor-Authentifizierung, bei der die Authentifizierung auf Basis von zwei unterschiedlichen Faktoren erfolgt. Sie wird in den IT-Grundschutz-Katalogen des deutschen Bundesamts für → Sicherheit in der Informationstechnik empfohlen. Für Webdienste mit hohen Anforderungen an Sicherheit und Datenschutz ist sie der einzusetzende aktuelle Stand der Technik, um der → Datenschutzgrundverordnung und spezifischen Gesetzen zu entsprechen. Insbesondere betrifft dies E-Government, Banken, Gesundheitswesen und kritische Infrastrukturen.

Zwei-Kanal-Authentifizierung

Bei einer Zwei-Kanal-Authentifizierung erfolgt die Authentifizierung über zwei verschiedene Kommunikationskanäle. Im Idealfall werden nicht nur verschiedene Kommunikationskanäle, sondern auch unterschiedliche Geräte (z.B. PC und Smartphone) verwendet. Eine Zwei-Kanal-Authentifizierung kann allein auf dem Faktor Wissen basieren, und ist daher nicht unbedingt auch eine Zwei-Faktor-Authentifizierung.

Out-of-Band-Authentisierung

Dabei werden Sicherheitsinformationen bei der Authentisierung über einen getrennten unabhängigen Kommunikationskanal übermittelt. Eine Out-of-Band-Authentisierung liegt beispielsweise vor, wenn beim Online-Banking am Desktop-Computer Einmalpasswörter (siehe → Passwörter) als SMS-TAN über das Mobilfunknetz versendet werden.

Authentizität

Die Authentizität bezeichnet die Echtheit einer vorgegebenen Identität oder die zweifelsfreie Urheberschaft einer Information, z.B. einer Nachricht oder eines Dokuments. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder Anwendungen.

Autorisierung

Eine Autorisierung ist die Einräumung von Rechten für eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion nach erfolgreicher → Authentifizierung.

Bedrohungen im Internet

Mit Fokus auf einen möglichen Diebstahl der → digitalen Identität spielen nachfolgende Bedrohungen und Angriffsszenarien eine Rolle:

Passwort-Angriffe

Bei einem Angriff mit der Brute-Force-Methode wird ein → Passwort oder ein Schlüssel durch automatisiertes Ausprobieren aller oder eines großen Teils der möglichen Werte ermittelt. Dagegen wird bei einem Wörterbuch-Angriff eine Passwörterliste durchprobiert, wenn man davon ausgehen kann, dass das → Passwort aus einer sinnvollen oder bereits an anderer Stelle verwendeten Zeichenkombination besteht.

Man-in-the-Middle-Angriff

Bei einem Man-in-the-Middle-Angriff schaltet sich ein Angreifer zwischen die Kommunikationspartner, hat mit seinem System zumindest teilweise die Kontrolle über den Datenverkehr und kann die Informationen nach Belieben einsehen und manipulieren. Den Kommunikationspartnern täuscht er vor, der jeweils andere Partner zu sein.

Phishing

Beim sogenannten Phishing werden Anwender dazu verleitet, sich gegenüber einer vorgetäuschten Webseite zu authentisieren und dabei z.B. ihr → Passwort und Online-Banking-TANs preiszugeben.

Schadsoftware/Malware

Schadsoftware oder englisch Malware ist eine Bezeichnung für bösartige, häufig multifunktionale Programme. Ist ein System infiziert, können sie oft zusätzliche Schadprogramme aus dem Internet nachladen, die weitere Schäden anrichten. Typische Ziele sind das Ausspionieren von Daten, die Plünderung von Bankkonten, Erpressung, Anzeige von Werbung oder der Aufbau eines Botnetzes. Typische Arten von Schadsoftware sind: Viren, Würmer, Trojaner, Ransomware, Rootkits, Keylogger und Spyware/Adware.

Biometrisches Merkmal

Ein biometrisches Merkmal ist ein eindeutiges personenbezogenes Merkmal, das dazu benutzt wird, die Identität einer Person zu überprüfen. Man unterscheidet physiologische Merkmale wie z. B. Fingerabdruckmuster oder Gesichtsgeometrie und verhaltenstypische Merkmale wie z. B. Frequenzprofil der Stimme oder Erzeugungsweise der Unterschrift.

Bei Erfassung biometrischer Merkmale wird als Referenz ein sogenanntes Muster extrahiert. Dieses Muster kann dann für einen biometrischen Vergleich genutzt werden. Wird ein definiertes Maß an Übereinstimmung erreicht, gilt die Person als identifiziert bzw. verifiziert.

Datenschutz-Grundverordnung (DSVGO)

Verordnung zur EU-weiten Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten zum Schutz personenbezogener Daten und für den freien Datenverkehr. Die Einhaltung zentraler Grundsätze, wie z.B. Zweckbindung und Datensparsamkeit, gilt auch für eine eventuelle Auftragsverabeitung bei Dienstleistern und muss von den Verantwortlichen nachgewiesen werden. Unter anderem müssen Unternehmen Ihre Daten bei der Verarbeitung nach jeweils aktuellem Stand der Technik vor fremdem Zugriff schützen.

Zu personenbezogenen Daten gehören alle Informationen, mit denen man eine natürliche Person unmittelbar oder mittelbar identifizieren kann. Das höchste Schutzniveau haben die in Artikel 9 der DSGVO genannten besonderen Kategorien personenbezogener Daten, wie z.B. Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen. Gleiches gilt für genetische und biometrische Daten, Gesundheitsdaten sowie Informationen über das Sexualleben oder die sexuelle Orientierung. Solche Daten dürfen nur in Ausnahmefällen verarbeitet werden, wobei sehr hohe technische und organisatorische Anforderungen erfüllt werden müssen, um unbefugten Zugriff zu verhindern.

Die Nichteinhaltung dieser Grundsätze und der Rechenschaftspflicht kann mit Bußgeldern in Höhe von bis zu 20 Millionen EUR oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens geahndet werden. Kommt es zu einer Verletzung des Schutzes persönlicher Daten, muss diese innerhalb von 72 Stunden der Datenschutzbehörde angezeigt werden. Bei einem hohen Risiko für persönliche Rechte und Freiheiten Betroffener, müssen auch diese unverzüglich informiert werden.

Digitale Identität

Eine digitale Identität, oft auch elektronische Identität genannt, dient zur eindeutigen Identifikation von Personen oder Objekten durch Computer. Reale Personen werden durch ihre digitale(n) Identität(en) in der virtuellen Welt repräsentiert.

Als Identitätsdiebstahl wird die missbräuchliche Nutzung durch Dritte bezeichnet. Siehe auch → Bedrohungen im Internet.

Digitale Signatur

Eine digitale Signatur ist eine spezielle Kontrollinformation, die an eine Nachricht oder Datei angehängt wird. Damit kann einerseits festgestellt werden, wer diese erzeugt hat. Andererseits wird die → Authentizität und Unverfälschtheit dadurch verifizierbar. Bei der dafür meist eingesetzten asymmetrischen → Verschlüsselung wird die digitale Signatur mit einem geheimen privaten Schlüssel erzeugt und kann mit dem zugehörigen öffentlichen Schlüssel von jedem geprüft werden.

Elektronische Signatur

Im Gegensatz dazu ist „elektronische Signatur“ ein rechtlicher Begriff. Die Bandbreite möglicher Ausprägungen reicht von einfachen und fortgeschrittenen elektronischer Signaturen, welche nicht zwangsläufig auf digitalen Signaturen basieren, bis hin zur qualifizierten elektronischen Signatur als sehr sichere Form der digitalen Signatur.

Elektronischer Identitätsnachweis (eID)

Der Begriff "elektronischer Identitätsnachweis" wird insbesondere im Bereich E-Government als feststehender synonymer Begriff für → digitale Identität verwendet. Eine eID ermöglicht einen sicheren digitalen Identitätsnachweis, z.B. gegenüber Diensteanbietern im Internet oder bei Grenzkontrollen. Dafür sind in Deutschland der → elektronische Personalausweis und ein zum Datenauslesen berechtigter eID-Server erforderlich.

Elektronischer Personalausweis (nPA)

Von Deutschland seit dem 1. November 2010 herausgegebenes Ausweisdokument. Technisch ist der elektronische Personalausweis eine kontaktlose Chipkarte mit optischen Sicherheitsmerkmalen. Auf dem Ausweis können auch zwei Fingerabdrücke als → biometrisches Merkmal fälschungssicher gespeichert werden. Neben der eigentlichen Ausweisfunktion gegenüber hoheitlichen Stellen bietet der elektronische Personalausweis die → eID-Funktion, welche in gleicher Weise sowohl vom elektronischen Aufenthaltstitel (eAT) für Nicht-EU-Ausländer, als auch von der geplanten eID-Karte für EU-Bürger anderer Länder unterstützt wird.

Identitätsanbieter/Identity Provider (IDP)

Das Grundprinzip ist, dass man sich nur einmal und zwar bei seinem Identitäts-Provider anmelden muss und damit Zugang zu weiteren Webdiensten bekommt. Ganz ohne Ausfüllen von Adressdaten, Bestätigungs-Mails und vor allem ohne weiteres → Passwort.

Bei Webdiensten und Smartphone-Apps sieht man oft die Option „Anmelden mit“ Google/Apple/Facebook/Amazon. Deutsche Alternativen dazu sind z.B. Verimi, NetID, IDnow, WebID, ID4me, Keyp und Yes. Das ist komfortabel und dank der Technik im Hintergrund (z.B. OAuth 2.0 bei Google) auf den ersten Blick recht sicher – wenn Sie Ihr Konto beim jeweiligen Anbieter sicher halten. Natürlich bekommen die Anbieter genau mit, welche Dienste Sie wie oft nutzen und einige machen auch keinen Hehl daraus, dass die Nutzerprofile und –daten Teil ihres Geschäftsmodells sind. Das eigentlich neue ist jedoch, dass nicht mehr der Nutzer nachweist, wer er ist, sondern ein Dritter ihm das bestätigt. Somit erhält dieser die Kontrolle über seine → digitale Identität und es entsteht eine starke Abhängigkeit. Zu bedenken ist weiterhin, dass nahezu jedes Unternehmen mit solchen wertvollen Daten bereits erfolgreich von Hacker angegriffen wurde und es immer auch Begehrlichkeiten von Geheimdiensten gibt.

Identity and Access Management (IAM oder IdAM)

Identity and Access Management bezeichnet ein kombiniertes System zur Verwaltung von → digitalen Identitäten (als alleinstehendes System auch „IdM“) und Berechtigungen in Unternehmen. Folgende typische Prozesse werden abgedeckt:

  • Identifizierung: Um wen oder was handelt es sich?
  • Registrierung: Prozess, um ein Benutzerkonto zu erhalten
  • → Authentisierung: Nachweis der → Authentizität
  • → Authentifizierung: Prüfung des Nachweises
  • → Autorisierung: Einräumen von Rechten

Beispiele für weitere Funktionen solcher Systeme sind die Identitätsbereitstellung und ‑verwendung über Unternehmensgrenzen hinweg (Federated Identity Management) sowie die Möglichkeit, dass Benutzer selbst z.B. ihre Profildaten ändern, Zugangsdaten und registrierte Geräte verwalten sowie ggf. die Entsperrung des Zugangs anfordern können (User Self Services).

IT-Sicherheit

Im Kontext der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik bezeichnet IT-Sicherheit einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von → Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind.

In der Praxis spielen die Standards der ISO/IEC-27000-Reihe eine wichtige Rolle. Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Die Evaluierung und Zertifizierung von IT-Produkten und -systemen erfolgt häufig auf Basis der Norm ISO/IEC 15408 (Common Criteria). Speziell mit dem Thema Cybersecurity in der Industrie 4.0 befasst sich die IEC 62443.

Passwort

Ein klassisches Passwort ist eine Zeichenfolge, mit der ein Benutzer nachweist, dass er eine Zugangsberechtigung zu einem geschlossenen System hat. Zur Prüfung muss in diesem System entweder das Passwort selbst oder ein daraus abgeleiteten Prüfwert hinterlegt sein. Im Rahmen einer → Multi-Faktor-Authentifizierung sind klassische Passwörter ein wissensbasierter Faktor.

Einmalpasswort (One Time Password/OTP)

Ein Einmalpasswort kann nur für eine -> Authentifizierung benutzt werden und ist danach ungültig. So entsteht kein Schaden, wenn es ausgespäht wird. Ein Beispiel dafür sind Transaktionsnummern (TAN) beim Online-Banking.Einmalpasswörter können entweder einer zuvor erstellen statischen Liste entnommen, oder auf Basis eines geheimen Schlüssels (sogenannter Startwert oder Seed), dynamisch generiert werden. Dafür gibt es drei unterschiedliche Verfahren:

  • Zeitbasiert (TOTP)
  • Ereignisbasiert (HOTP)
  • Server-Anforderung/Challenge-Response-Algoritmus (OCRA)

Zeit- und ereignisbasierte Einmalpasswörter können mit einem speziellen Gerät („OTP-Token“) oder einer Software (z.B. Google-Authenticator) erzeugt werden.

Im Rahmen einer → Multi-Faktor-Authentifizierung sind Einmalpasswörter im Gegensatz zu klassischen Passwörtern eher dem Faktor Besitz zuzuordnen. Einmalpasswörter schützen nicht vor allen → Bedrohungen und Angriffsszenarien, z.B. nur bedingt gegen → Man-in-the-Middle-Angriffe oder Trojaner. Auf Computern und Smartphones könnte Schadsoftware auch Zugriff auf mit Software erzeugte OTP-Codes oder den Schlüssel bekommen. Auch SMS-TAN beim Online-Banking wurden bereits erfolgreich abgegriffen.

Passwortsafe/-manager

Ein Passwortsafe oder Passwortmanager ist ein Programm zur sicheren Passwortverwaltung, dessen verschlüsselte Datenbank durch ein zentrales Hauptpasswort geschützt wird. Benutzer müssen sich dadurch nur ein Passwort merken. Oft können damit auch verschieden starke Passwörter generiert werden. Da sich Benutzer nicht mehr einzelne Passwörter merken, sind sie schnell von ihrer Passwort-Datenbank abhängig. Die Nutzung als Cloud-basierter Dienst erscheint auf den ersten Blick sehr komfortabel. Allerdings sollte man dem jeweiligen Anbieter und seinen Sicherheitsvorkehrungen uneingeschränkt vertrauen können. Angriffsszenarien: Aufgrund der wertvollen Zugangsdaten gehören Passwort-Manager zu den beliebtesten Angriffszielen von Cyber-Kriminellen. Untersuchungen ergaben z.B., dass bei verbreiteten Passwortmanagern die Passwörter unnötig lange im Arbeitsspeicher verbleiben, sogar dann noch, wenn das Programm gesperrt wird. Auch in Webbrowsern unverschlüsselt gespeicherte Passwörter sind eine Sicherheitslücke und sollten unbedingt durch ein Hauptkennwort geschützt werden.

Persönliche Identifikationsnummer (PIN)

Eine persönliche Identifikationsnummer ist eine nur einer oder wenigen Personen bekannte Ziffernfolge, mit der diese sich gegenüber einer Maschine authentifizieren können. Im engeren Sinne sind PINs (meist numerische) → Passwörter.

Damit eine PIN nicht durch wiederholtes Ausprobieren zu erraten ist (Enumerations-Angriff), darf ein System nicht beliebig viele falsche Eingaben akzeptieren. Insbesondere bei Webdiensten könnte ein Angreifer sonst einfach automatisch alle möglichen PIN durchprobieren. Die meisten Systeme sperren daher nach einer bestimmten Anzahl von Falscheingaben der PIN den Zugang, der dann auf anderem Wege (meist durch eine weitere PIN oder durch den Kundendienst des Anbieters) entsperrt werden muss. Bei Geldautomaten, beim Online-Banking und bei Mobiltelefonen erfolgt die Sperre üblicherweise nach drei Falscheingaben.

Secure Element

Secure Element bezeichnet ein Hardware-Sicherheitsmodul, welches in modernen Smartphones und Tablets verbaut ist. Es handelt sich meist um einen Chip, der kryptografische Sicherheitseigenschaften bietet. Das Secure Element schützt → private Schlüssel und sorgt so für hohe Sicherheit bei sensiblen Prozessen, wie z.B. Bezahlvorgängen oder der Nutzung einer aus dem → elektronischen Personalausweis abgeleiteten und auf dem Smartphone gespeicherten → digitalen Identität.

Bei der Nutzung mobiler Geräte im Rahmen der → Multi-Faktor-Authentifizierung bei Webdiensten gibt jedoch auch Schwachpunkte: Zum einen wird ein mobiles Gerät üblicherweise nach wenigen Jahren durch ein neueres Modell ersetzt. Benutzer sollten ihrem Profil deshalb selbst neue Geräte hinzufügen und verwalten können. Zum anderen können Geräte verloren werden, defekt sein oder sogar gestohlen werden. Es muss dann immer eine Möglichkeit geben, sich auch ohne diesen Faktor beim Webdienst zu authentifizieren. Und dieser Weg muss so sicher sein, dass er nur dem tatsächlichen Benutzer offen steht und nicht von einem Cyberkriminellen genutzt werden kann.

Security-Token

Bei einem Security-Token (kurz nur „Token“, auch als „Sicherheitsschlüssel“ übersetzt) handelt es sich um eine kryptografische Hardware- oder Softwarekomponente zur → Authentifizierung von Benutzern. Häufig zusätzlich gesichert durch → Passwort, → PIN oder ein → biometrisches Merkmal. Beispiele für Token sind Smartcards, USB-Krypto-Token oder kontaktlose Token mit Bluetooth, NFC oder RFID-Technologie. Auch Trusted Platform Modules (TPM) in Computern oder das → Secure Element in Smartphones können als Security-Token verwendet werden.

Ohne zweites, unabhängiges Authentifizierungsmerkmal bietet ein Security-Token keinen zuverlässigen Schutz gegen Manipulation, Verlust oder Angriffe. Er kann zerstört oder verloren werde. Im Gegensatz zu Computer und Smartphone verursacht der Einsatz zusätzlicher, externer Hardware-Token Kosten für Herstellung, Registrierung und/oder Personalisierung, die Verteilung und die Bereitstellung von Infrastruktur in Form von Lesegeräten oder Software. Ein mögliches Angriffsziel ist die Kommunikation zwischen Token und Lesegerät. Insbesondere bei Funkübertragungen ist zu bedenken, dass diese ggf. noch in großer Entfernung aufgezeichnet werden können.

Verschlüsselung

Verschlüsselung wird verwendet, um Daten vor unbefugtem Zugriff zu schützen oder um Nachrichten vertraulich übermitteln zu können. Bei der Verschlüsselung werden Daten so umgewandelt, dass die ursprünglichen Daten nur unter Verwendung eines geheimen Schlüssels wiedergewonnen, also entschlüsselt werden können. Für Ver- und Entschlüsselung werden bei symmetrischen Verfahren jeweils der gleiche und bei asymmetrischen Verfahren verschiedene (ein privater und ein öffentlicher) Schlüssel benutzt.

Im Webbrowser werden Datenverbindungen durch HTTPS gesichert, was für die Verwendung des Internet-Protokolls HTTP mit SSL/TLS-Verschlüsselung und Integritätsschutz steht.