Europäische Verbraucher haben durchschnittlich über 90 digitale Identitäten, auf die sie sich verlassen, um online Dienste und Anwendungen in Anspruch nehmen zu können. Unternehmen sind bestrebt, diese zu schützen, da sie einen integralen sowie wachsenden Bestandteil der Kundenbeziehungen bilden. Integral deshalb, weil die Bedrohung durch Datenschutzverletzungen allgegenwärtig ist und sich die Angriffstechniken fortlaufend weiterentwickeln. Wachsend, weil Kunden mehr denn je den Wert ihrer digitalen Identitäten verstehen und diese schützen möchten. Doch digitale Identitäten werden ständig von Cyberkriminellen angegriffen. Damit befinden sich Unternehmen dauerhaft in der unangenehmen Lage, nur einen Hack vom Vertrauensverlust der Kunden entfernt zu sein.
Um sicherzustellen, dass die Customer-Experience auf allen Ebenen zufriedenstellend ist, müssen Unternehmen eine immer komplexere Authentifizierungsumgebung verwalten, in der föderierte Identitäten die Anmeldung vereinfachen und unberechtigte Zugriffsversuche erkannt und vereitelt werden. Der Schutz vor Online-Bedrohungen durch CIAM-Dienste (Customer-Identity and Access-Management) kann daher entscheidend sein, um die Reputation des Unternehmens zu erhalten und potenzielle Kosten und Ressourcen für die Behebung von Sicherheitsproblemen zu vermeiden.
Kunde oder Angreifer?
Verbraucher sind eine heterogene Menge und daher ist es nicht einfach, automatisch zwischen Benutzern, die beispielsweise verschiedene Passwort-Kombinationen austesten, und fortgeschrittenen Angreifern zu unterscheiden. Auf CIAM-Dienste, wie beispielsweise die Kontoverwaltung oder die Kundenregistrierung, zielen verschiedene Angriffsarten ab, darunter betrügerische Registrierungen und Credential-Stuffing. Betrügerische Registrierung bedeutet das Erstellen gefälschter Konten im großen Stil, um von Anmeldeboni zu profitieren, Fehlinformationen zu verbreiten und allgemein Schaden anzurichten. Dies ist leider weit verbreitet: Der „The State of Secure Identity Report“ des Identitätsmanagement-Anbieters Auth0 zeigt, dass etwa 15 Prozent der Versuche, ein neues Konto zu registrieren, auf Bots zurückzuführen sind. In einigen Fällen handelt es sich um das Vorhaben, in den Genuss von Vorteilen zu kommen, die mit der Registrierung verbunden sind, wie Zugang zu limitierten Waren. Solche „Puppet Accounts“ schaden Website- und Anwendungsbetreibern, da zu viele gefälschte Konten legitime Nutzer an der Registrierung hindern können. Die gute Nachricht ist, dass eine durchdachte Implementierung der Sicherheitsstrategie betrügerische Registrierungen abwehren und berechtigte Kunden schützen kann.
Credential-Stuffing-Angriffe sind die größte Bedrohung für Identitätssysteme. Cyberkriminelle nutzen dafür gestohlene Anmeldedaten, die bei groß angelegten Datenverletzungen geleakt werden, um sich Zugang zu Konten zu verschaffen. In den ersten 90 Tagen des Jahres 2021 entdeckte Auth0 im Durchschnitt mehr als 26.600 geknackte Passwörter pro Tag, während Credential-Stuffing im gleichen Zeitraum 16,5 Prozent des Login-Traffics auf der Plattform ausmachte.
Zwischen erhöhter Cyberabwehr und Usability – ein vielschichtiger Ansatz
Traditionell wurden mehrere Sicherheitslösungen auf verschiedenen Ebenen oder an verschiedenen Orten eingesetzt, beispielsweise am Endpunkt, im Netzwerk und in der Cloud, um eine stabile Verteidigung zu gewährleisten. Heute umfasst ein mehrschichtiger Ansatz für CIAM Verteidigungsmaßnahmen vor und während des gesamten Authentifizierungsprozesses. Die Herausforderung besteht darin, Sicherheitsmaßnahmen zu entwickeln und zu implementieren, die das richtige Gleichgewicht zwischen der Erhöhung des Aufwands für Angreifer und der Beeinträchtigung des Nutzungserlebnisses finden. Unabhängig davon, ob CIAM-Lösungen unternehmensintern oder von einer Identity-as-a-Service-Plattform bereitgestellt werden, bieten die folgenden Maßnahmen eine sichere Identitäts- und Zugangsverwaltung.
Bewusster Umgang mit Passwörtern: Einem Bericht von Telesign zufolge verwenden 73 Prozent der Online-Konten Passwörter doppelt. Schwache und weit verbreitete Passwörter sind das Einfallstor vieler Hacks und Brute-Force-Angriffe nutzen solch ein unbedachtes Sicherheitsverhalten aus, um Anmeldedaten zu knacken. Eine Sicherheitslücke bei einem einzigen Dienst liefert den nötigen Treibstoff für Credential-Stuffing-Angriffe, wodurch viele Dienste bedroht werden können. Durch den Vergleich von Passwörtern mit Listen geknackter Anmeldedaten können Anwendungsanbieter jedoch Warnungen ausgeben und dazu auffordern, Passwörter zurückzusetzen.
Anmeldeversuche begrenzen: Bei Credential-Stuffing und anderen groß angelegten Angriffen sind viele Fehlversuche nötig, bis es zur erfolgreichen Anmeldung kommt. Gibt es also Anhaltspunkte für zahlreiche fehlgeschlagene Anmeldeversuche, sollten Gegenmaßnahmen eingeleitet werden, wie z. B. das Prüfen mit einem CAPTCHA.
Allgemeine Fehlermeldungen: Täter können aus fehlgeschlagenen Anmeldeversuchen wertvolle Informationen über die Benutzer gewinnen, insbesondere wenn die Anwendung eine detaillierte Fehlermeldung zurückgibt. Daher sollten nur allgemeine Fehlermeldungen ausgegeben werden.
Verschlüsselung: Bei der Verschlüsselung werden sensible Daten mit deinem Algorithmus unkenntlich gemacht, so dass nur Personen mit dem Entschlüsselungscode die Informationen abrufen können. So sind verschlüsselte Passwortdatenbanken im Falle einer Kompromittierung für die Hacker unbrauchbar. Dies trägt zum Schutz vor gestohlenen Passwörtern bei und macht eine Organisation von vornherein zu einem weniger attraktiven Ziel.
Multi-Faktor-Authentifizierung (MFA): Sind Passwörter der einzige Schlüssel zur Tür, gibt es keinen zusätzlichen Schutz, wenn sie einmal in die Hände Dritter gelangen. MFA prüft Identitäten anhand mehrerer unabhängigen Faktoren wie Wissen (Passwortabfrage), biometrische Merkmale und den Besitz eines Smartphones. Um diesen zusätzlichen Schutz zu überwinden, müssten Angreifer den Zeit- und Arbeitsaufwand für die Kompromittierung eines Kontos drastisch erhöhen, was in großem Umfang nicht machbar ist. Laut Microsoft sinkt die Wahrscheinlichkeit, dass ein Konto kompromittiert wird um 99,9 Prozent, wenn MFA verwendet wird.
Die Forderung nach zusätzlichen Berechtigungsnachweisen für die Authentifizierung führt jedoch zu einer Verzögerung beim Anmelden, was Frustrationen auslösen, die Produktivität beeinträchtigen und im schlimmsten Fall zum Abbruch der Sitzung führen kann. 78 Prozent der deutschen Verbraucher brechen ihren Kaufprozess ab, wenn der Prozess zu beschwerlich ist, wie eine Studie von Auth0 zum Login-Verhalten der Deutschen herausfand. MFA sollte daher die Sicherheit erhöhen, ohne den Benutzer Unannehmlichkeiten zu bereiten. Adaptive MFA schaltet die Abfrage des zusätzlichen Faktors nur dann ein, wenn eine Interaktion als riskant eingestuft wird. Beispielsweise wenn ein Anmeldeversuch plötzlich von einem Ort aus erfolgt, der zu weit von dem vorherigen Anmeldevorgang entfernt ist, um plausibel zu sein.
Ohne Identitätssicherung kein Vertrauen
Da Online-Zahlungen und das Einrichten von Konten weiter zunehmen werden, steigt auch die Zahl der digitalen Identitäten und Betrugsversuche. Um Cyberkriminelle abzuschrecken, muss die Wirtschaftlichkeit von Angriffen unterbrochen werden, indem Identitätsdienste mit einem flexiblen, mehrschichtigen Ansatz entwickelt werden, bei dem IT-Teams im Vorfeld und während des gesamten Authentifizierungsprozesses Abwehrmaßnahmen ergreifen können. Eine robuste Authentifizierung sollte auf dem Verständnis identitätsbezogener Bedrohungen, einem mehrschichtigen Ansatz für CIAM und dem Schutz der Customer Experience beruhen.
Digitale Identitäten kontrollieren den Zugang zu immer mehr Anwendungen und Diensten und werden irgendwann alle Aspekte des modernen Lebens beeinflussen. Authentifizierung und Autorisierung sind daher entscheidende Faktoren für das Aufrechterhalten von Vertrauen. Cybersicherheit rückt durch diese Entwicklungen stärker ins Bewusstsein der Kund*innen und Unternehmen sind gefragt, nicht nur eine Strategie, sondern auch konkrete Antworten für die Umsetzung parat zu haben, wie sie digitale Identitäten schützen. Der Login, das Aushängeschild der Identitätssicherheit, sollte den Erwartungen an Schutz und Privatsphäre, aber auch an Bequemlichkeit gerecht werden. Kund*innen werden wiederkommen, wenn ihre Online-Erfahrung einfach, sicher und angenehm ist.
Von Vitor de Sousa, Regional Director DACH bei Auth0
