Lange Zeit war die statische Authentifizierung eine sicher geglaubte Authentifizierungsmethode, bei der der Benutzer seine Identität anhand von vordefinierten Kriterien wie einem Passwort oder einer PIN eingibt. Im Gegensatz dazu verwendet die adaptive Authentifizierung (risikobasierte Authentifizierung) kontextspezifische Daten, um zu ermitteln, ob zur Bestätigung der Identität des Benutzers zusätzliche Überprüfungschritte erforderlich sind.
Während die statische Authentifizierung für den Benutzer und den Anbieter selbst Gefahren birgt, bietet die adaptive Authentifizierung ein höheres Mass an Komfort für den Endbenutzer und Sicherheit, da sie aufgrund der momentanen Bedingungen festlegt, welches Authentifizierungsverfahren am geeignetsten ist.
Wie funktioniert die adaptive Authentifizierung?
Die adaptive oder risikobasierte Authentifizierung ist eine moderne Authentifizierungsmethode, die auf der Bewertung von Risikofaktoren basiert, um den Zugriff auf Systeme, Applikationen und Benutzerdaten zu sichern.
Im Gegensatz zu traditionellen Authentifizierungsmethoden, bei denen der Benutzername und das Passwort oder ein Token die einzigen Sicherheitsmerkmale sind, verwendet die risikobasierte Authentifizierung eine Vielzahl von Kontextinformationen, um die Authentizität eines Benutzers zu überprüfen.
Die risikobasierte Authentifizierung tut dies, indem sie die verschiedenen Faktoren auswertet, die das Risiko einer Anmeldung beeinträchtigen können, z. B. geografischer Standort, Gerät, Verhaltensmuster, Anmeldeverhalten, Nutzungsmuster und mehr. Diese Informationen werden dann mit anderen Faktoren, wie z. B. dem Sicherheitsprotokoll des Unternehmens, abgeglichen, um einen Risikowert zu ermitteln.
Anhand der Risikobewertung kann die risikobasierte Authentifizierung bestimmen, welche Art von Authentifizierungsverfahren für den Anwender geeignet ist. Bei einer niedrigen Risikobewertung kann beispielsweise eine einfache Authentifizierung mit Benutzername und Kennwort ausreichen, während bei einer höheren Risikobewertung eine zusätzliche Authentifizierung wie die biometrische Authentifizierung erforderlich sein kann. Zusätzlich wird bei der adaptiven Authentifizierung auch die Zwei-Faktor-Authentifizierung (2FA) eingesetzt, um die Sicherheit zu erhöhen. Hier müssen die Nutzer bei der Anmeldung zusätzlich zu ihrem Benutzernamen und Passwort einen zweiten Faktor wie einen Einmalcode oder einen Fingerabdruck angeben.
Welche Branchen profitieren von adaptiver Authentifizierung?
Die adaptive Authentifizierung ist in der Regel ein wichtiger Bestandteil der Sicherheitsstrategie von Unternehmen, die mit personenbezogenen Daten operieren.
Einige der Einsatzgebiete für adaptive Authentifizierung sind:
- Finanzdienstleistungen: Banken und Finanzinstitute müssen gewährleisten, dass ihre Kundenkonten und Transaktionen sicher sind. Die adaptive Authentifizierung ermöglicht es, verdächtige Aktivitäten zu erkennen und eine zusätzliche Authentifizierung zu verlangen, um den Zugang zu sichern.
- Online-Handel: Online-Händler werden oft mit betrügerischen Aktivitäten konfrontiert. Adaptive Authentifizierung kann bei der Erkennung und Verhinderung von Betrugsversuchen helfen, indem das Käuferverhalten analysiert und bei verdächtigem Vorgehen eine zusätzliche Authentifizierung verlangt wird.
- Gesundheitswesen: Im Gesundheitswesen gibt es viele sensible Daten wie Krankenakten und persönliche Identifikationsdaten. Die adaptive Authentifizierung kann dazu beitragen, den Zugang zu diesen Daten zu sichern und den Datenschutz zu garantieren.
- Behörden: Regierungsbehörden verfügen oft über sehr sensible Daten, die sicher aufbewahrt werden müssen. Adaptive Authentifizierung kann dabei helfen, den Zugriff auf diese Daten zu beschränken und sicherzustellen, dass nur autorisierte Personen darauf zugreifen können.
Ein Beispiel für adaptive Authentifizierung im Gesundheitswesen
Der Patient möchte auf die Online-Plattform seines Arztes zugreifen, um seine Krankenakte einzusehen oder Termine zu vereinbaren.
Das System berücksichtigt eine Reihe von Kriterien, um festzustellen, ob der Zugriff tatsächlich vom Patienten ausgeht. Dazu gehören z. B. die IP-Adresse, ob das Endgerät vom Benutzer schon benutzt worden ist, der Zeitpunkt des Zugriffs, das Nutzerverhalten, die Art der angeforderten Inhalte und viele andere Faktoren.
Anhand dieser Faktoren kann das System entscheiden, welche Authentifizierungsmethoden am besten geeignet sind, den Datenzugriff zu ermöglichen, ohne die Sicherheit zu beeinträchtigen.
Durch Hinzufügen einer zusätzlichen Sicherheitsebene kann das System sicherstellen, dass der Benutzer tatsächlich derjenige ist, für den er sich ausgibt, und auf diese Weise den Zugang zu elektronischen medizinischen Daten sicher und einfach gestalten.
Welche Vorteile bietet die risikobasierte Authentifizierung?
- Gesteigerte Sicherheit: Mit der adaptiven Authentifizierung erhöhen Unternehmen die Sicherheit von Anmeldeprozessen, indem sie die Risiken identifizieren und Massnahmen zur Reduzierung von Gefahren ergreifen. So können beispielsweise verdächtige Aktivitäten erkannt und sofort blockiert werden.
- Weniger Betrugsfälle: Da die adaptive Authentifizierung auf einer kontinuierlichen Risikobewertung aufbaut, kann sie Missbrauchsversuche aufdecken und unterbinden, bevor sie Schaden verursachen können.
- Einfache Nutzung: Die adaptive Authentifizierung erhöht auch die Benutzerfreundlichkeit, da der Anmeldeprozess einfacher und komfortabler wird. Durch die automatisierte Anpassung der Risikoeinstufung auf der Basis verschiedener Faktoren wie dem Nutzerstandort, dem Gerätetyp und anderen kontextbezogenen Faktoren.
- Einhaltung von Rechtsvorschriften: Die adaptive Authentifizierung unterstützt zudem Compliance-Anforderungen, indem sie gewährleistet, dass nur berechtigte Benutzer auf gesicherte Ressourcen Zugriff haben.
- Kosteneffizienz: Adaptive Authentifizierung ermöglicht es Unternehmen darüber hinaus, Geld zu sparen, indem sie Betrugsfälle und die Notwendigkeit, teure Sicherheitsmassnahmen und manuelle Kontrollen durchzuführen, reduziert.