Mobile Authentifizierung: Wie sicher sind Push-Tan, eID, Biometrie und Verimi?
Das Kompetenzzentrum Öffentliche IT (ÖFIT) bewertet in einem Whitepaper neue Methoden der sicheren, mobilen Authentifizierung
Es spielt keine Rolle, wie kompliziert ein Benutzername und Passwort zum Login angelegt wurde. Es ist und bleibt eine über 30 Jahre alte und sehr anfällige Methode. Mittlerweile gibt es eine Vielzahl fortgeschrittener und sicherer Methoden. Dennoch benutzen 87 Prozent der deutschen Internetnutzerinnen und -nutzer zum Login Benutzername und Passwort. Das Kompetenzzentrum Öffentliche IT (ÖFIT) zeigt auf, welche Alternativen es aktuell gibt, wie diese funktionieren und wie eine sichere mobile Authentifizierung damit aussehen kann.
Authentifizierungsfaktoren
Heutzutage arbeiten Onlinedienste personalisiert, wobei die persönlichen Informationen in Nutzerkonten und -profilen verwaltet werden. Um die Nutzer voneinander zu unterscheiden und beim Zugriff sicher zuzuordnen, muss der Dienst zumindest über Basisinformationen zur Identität jedes Nutzers (z. B. Nutzernamen) verfügen und muss sichern, dass ausschließlich legitime Zugriffe zugelassen werden. Beim Authentifizierungsvorgang während der Anmeldung belegt der Nutzer seine Identität durch Vorweisen eines oder mehrerer Authentifizierungsfaktoren:
- Wissensfaktor: Etwas, das nur die Nutzererin / der Nutzer selbst kennt (z. B. Passwort oder PIN)
- Besitzfaktor: Etwas Materielles, das ausschließlich der Nutzer besitzt (ein fälschungssicherer physischer Gegenstand, z. B. ein USB-Stick mit hardwaregeschützt gespeicherten privaten Schlüsseln)
- Inhärenzfaktor: Etwas, das untrennbar zu einem Nutzer gehört (z. B. ein spezifisches biometrisches Merkmal wie Fingerabdruck oder Irisgeometrie)
Wird mehr als ein Faktor in die Anmeldung eingebunden, so spricht von einer Mehrfaktor-Authentifizierung. Jedoch reicht das einfache Einbinden von mehreren Authentifizierungsfaktoren für sich nicht aus, um eine sichere Mobile Authentifizierung mit akzeptabler Nutzererfahrung zu realisieren.
Bessere mobile Authentifizierung erfolgreich implementieren
Eine dem heutigen Stand der Technik angemessene mobile Authentifizierung sollte im Idealfall folgende Voraussetzungen erfüllen:
Angemessen sicher: Das Sicherheitsniveau der Authentifizierung sollte dem Sicherheitsbedarf des abgesicherten Dienstes angepasst werden. Eine »one size fits all«-Authentifizierung ist unrealistisch – sinnvoll sind dagegen überschaubar abgestufte Konzepte.
Mobilnutzer-freundlich: Der verstärkte Fokus auf die mobile Nutzung in den letzten Jahren geht mit einer gesteigerten Erwartungshaltung an die Nutzerfreundlichkeit einher. Auch für Authentifizierungsvorgänge werden einfache Prozesse ohne allzu hohen Interaktionsaufwand erwartet.
Breitentauglich: Um die Mehrheit der Nutzerinnen und Nutzer zu erreichen, muss das Authentifizierungsverfahren auf allen marktbestimmenden Mobilgeräteplattformen einsetzbar sein und keine von den Nutzern als zu hoch wahrgenommene Einstiegshürden aufbauen. Das Verfahren darf aber auch keine unangemessenen Kosten oder Risiken verursachen.
Einheitlich: Es wird als angenehmer empfunden, für unterschiedliche Dienste einen einheitlichen Bedienablauf zur Authentifizierung und idealerweise auch dieselben Authentifizierungsfaktoren verwenden zu können.
Stand der Technik und aktuelle Trends
Wie kann eine Mehrfaktor-Authentifizierung aussehen? Eine der gängigsten Methoden ist die SMS-TAN bzw. mTAN. Eine Transaktionsnummer (TAN) ist ein üblicherweise aus sechs Ziffern bestehendes Einmalkennwort. Die TAN muss daher, neben Benutzernamen und Passwort, als zweiter Faktor vorgewiesen werden, um die Authentifizierung zu vollenden oder eine Transaktion auszulösen. Bis 2009 wurden die TANs in Papierform übergeben, danach wurde diese Praxis durch den Versand von transaktionsspezifischen zufällig erzeugten TANs per SMS an den Nutzer abgelöst. Die Annahme, dass die SMS-TAN eine sichere Methode darstellt, stellt sich jedoch inzwischen als nicht tragfähig dar. Das liegt zum einen an Schwächen der Protokolle, die von Mobilfunkanbietern zum SMS-Transport eingesetzt werden, zum anderen auch an social-engineering-Attacken, mit denen sich Angreifer gezielt illegitim Zugang zu SIM-Karten verschaffen, um SMS-TANs abzuschöpfen.
Als Alternative zur unsicheren SMS-TAN hat sich die Push-TAN etabliert. Üblicherweise wird eine zusätzliche Applikation (App) installiert und mit einem Passwort geschützt. Über diese App werden serverseitig generierte TANs zum Endbenutzer transportiert. Kryptografische Kommunikationsprotokolle sichern diesen Transport ab.
eID-Funktion, Smartcards und elektronische Sicherheitsschlüssel
Für Anwendungsfälle mit hohem Sicherheitsbedarf ist auch die Push-TAN in der Regel nicht sicher genug. In diesem Fall ist eine Einbindung unabhängiger externer Hardware wünschenswert. Konkret bieten sich hierfür unter anderem die eID-Funktion in Personalausweis und Aufenthaltstitel, Smartcards und elektronische Sicherheitsschlüssel (externe Hardwaretoken) an. Bei modernen Mobilgeräten werden herstellerseitig interne Hardware-Sicherheitskomponenten integriert. So können ausgewählte, besonders sensible Daten mit deutlich erhöhter Sicherheit gespeichert und verarbeitet werden.
Biometrische Verfahren ermöglichen eine Bestätigung der Nutzeridentität durch individuelle körperliche Merkmale. Mittlerweile ist die Entwicklung der entsprechenden Sensoren so fortgeschritten, das biometrische Verfahren (vor allem Fingerabdruck-Sensoren) auf vielen Mobilgeräten (nicht mehr nur im Premium-Preissegment) zu finden sind. Und dies bei hoher und weiter steigender Verlässlichkeit der Erkennung.
Dank neuer Protokollstandards wie FIDO und WebAuthn, die zunehmend durch Plattformhersteller und Dienstanbieter unterstützt werden, wird es derzeit bei immer mehr Diensten möglich, Hardware-Sicherheitstoken oder auch das Smartphone selbst (gegebenenfalls in Kombination mit Biometrie) als verlässlichen Besitzfaktor in Authentifizierungsprozessen einzusetzen. Auch die nun auch von den deutschen Mobilnetzbetreibern unterstützte MobileConnect-Funktion bietet, basierend auf der im Smartphone eingesetzten SIM-Karte, hardwareunterstützte Authentifizierungssicherheit.
Identifizierung und Authentifizierung im staatlichen Sektor
Besonders im E-Government-Bereich gibt es stärkere Regulierungen. Insbesondere gelten bei digitalen Verwaltungsdienstleistungen in Deutschland strikte Anforderungen bezüglich der Identifizierung des Nutzers, welche eine Verwendung ungesicherter, nicht hoheitlicher Identitäten nicht zulassen. Gemäß der eIDAS-Verordnung stellen der Einsatz der Fernsignatur, die eID-funktion in Personalausweis und Aufenthaltstitel sowie der gesicherte E-Mail-Versand über die DE-Mail-Plattform attraktive Optionen der Dienstabsicherung dar. Soeben erhielt auch die Identitätsplattform Verimi die Zulassung, Identifizierungs- und Authentifizierungsdienste für die öffentliche Verwaltung bis zum eIDAS-Sicherheitsniveau „substantiell“ anzubieten. Die Identitätsdaten aus dem Personalausweis werden hier beim Dienstanbieter sicher zwischengespeichert, so dass der Nutzer diesen nicht für jeden Identifizierungsvorgang benötigt, sondern lediglich eine Smartphone-App und die darin implementierte Zwei-Faktor-Authentifizierung ausführen muss.
ÖFIT-Publikation
In der Publikation „Sichere Mobile Authentifizierung“ gehen die Autorinnen und Autoren Thilo Ernst, Nadja Menz, Jaroslav Svacina, Christian Welzel und Johannes Wolf neben den bereits genannten Verfahren detailliert auf andere ausgewählte Authentifizierungsverfahren ein. Es werden weitere Handlungsfelder aufgezeigt und klare Empfehlungen gegeben.
