20. Januar 2014 - Zugangskontrolle

3-Faktor-Authentifizierung: Macht das wirklich Sinn?

Viele Unternehmen haben bereits Probleme damit, starke Passwörter oder eine 2-Faktor-Authentifizierung bei den Nutzern durchzusetzen. Nun werden zunehmend Lösungen für eine 3-Faktor-Authentifizierung angeboten. Hat das Chancen auf Erfolg?

(Bild: Thinkstock/maxkabakov) 3-Fach-Authentifizierungen können auch mit wenig Aufwand eine höhere Datensicherheit bieten. (Bild: Thinkstock / maxkabakov)

Bequemlichkeit siegt?

Starke Passwörter, diese Forderung prallt an vielen Nutzern ab, denn sie wollen oder können sich die komplizierten Kennwörter nicht merken. Greift man dann zur Zwei-Faktor-Authentifizierung, um den Zugang besser abzusichern, sieht es meist nicht besser aus.

Sollen zusätzlich zum Kennwort noch eine Smartcard, ein USB-Token oder ein Einmal-Passwort genutzt werden, sieht dies nach zusätzlichem Aufwand aus. Schnell werden die Nutzer kreativ und suchen nach Auswegen. Statt der besonders geschützten externen Festplatte nutzen sie dann ihre private Festplatte, gekauft im Supermarkt um die Ecke. Besondere Sicherheit hat diese zwar nicht zu bieten, die Verwendung ist aber herrlich bequem.

Höhere Anforderungen, weniger Sicherheit

Fast könnte man den Eindruck bekommen, dass steigende Anforderungen an die Zugangskontrolle dazu führen, dass diese insgesamt unsicherer wird: Komplexe Passwörter werden notiert oder gespeichert, der USB-Token bleibt gleich dauerhaft in der Notebook-Tasche, denn schließlich könnte man den vergessen.

Auf diesem Hintergrund scheinen Sicherheitslösungen, die eine 3-Faktor-Authentifizierung anbieten, kaum erfolgversprechend. Andererseits ist ganz klar, dass es auf eine sichere Authentifizierung ankommt, wenn man den Zugang zu personenbezogenen Daten durch unbefugte Dritte verhindern will.

Es kommt auf die Faktoren an

Wenn also zur Optimierung der Zugangskontrolle eine neue Lösung zur Authentifizierung gesucht wird, kann durchaus eine Lösung mit 3-Faktor-Authentifizierung darunter sein, wenn der Schutzbedarf der personenbezogenen Daten entsprechend hoch ist. Bevor solche Mehr-Faktor-Lösungen als erfolglos eingestuft werden, sollten Sie und die IT-Leitung genauer hinsehen: Nicht alle Faktoren zur Authentifizierung machen zusätzlichen Aufwand für den Nutzer.

Beispiel: Geräteidentifikation

Eine 3-Faktor-Authentifizierung muss nicht so aussehen, dass der Nutzer nach dem Passwort und dem Einmal-Passwort noch eine Smartcard zücken muss. Das würde bei vielen Anwendern auf Ablehnung stoßen, auch bei Managern und anderen Geheimnisträgern. Stattdessen können auch Faktoren zur Authentifizierung genutzt werden, die sich ohne Nutzereingriff anwenden lassen, wie zum Beispiel die eindeutige Gerätenummer.

Ein Nutzer würde in diesem Beispiel also nur Zugang bekommen, wenn er das Passwort und das Einmal-Passwort kennt und zudem noch das richtige Gerät nutzt. Alternativ kann zum Beispiel bei einer externen Festplatte festgelegt werden, dass nach Prüfung des Passwortes und des Fingerabdrucks noch die Gerätekennung des PCs geprüft wird, an der die Festplatte angeschlossen werden soll. Erst wenn alle Faktoren stimmen, wird der Zugang zu den Daten auf der Festplatte gewährt, um diese z.B. auf den PC zu übertragen.

Achtung: Faktoren aus Datenschutzsicht bewerten

Zusätzliche Sicherheitsfaktoren wie die Prüfung des aktuellen Standorts bei versuchtem Zugang haben durchaus Auswirkungen auf den Schutz der Privatsphäre des Nutzers. Auswertungen der Standorte für Bewegungsprofile müssen verhindert werden. Stattdessen sollte der aktuelle Standort nur auf Zulässigkeit geprüft werden, um den Zugangsschutz zu erhöhen, ohne die Standorte des jeweiligen Nutzers jeweils zusammen mit anderen Nutzerdaten zu analysieren, zum Beispiel für eine anlasslose Prüfung, wo sich der Außendienstmitarbeiter wann aufgehalten hat.

Sie sehen: Die Zugangskontrolle kann durchaus um weitere Faktoren ergänzt werden, wenn die Nutzer weder überfordert noch heimlich überwacht werden. Nutzen Sie die aktuelle Checkliste für Ihre eigene Prüfung einer optimierten Zugangskontrolle.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Fachjournalist und IT-Analyst

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln