Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Risikobasierte Authentifizierung | Ping Identity
Basiswissen über Identität
Authentifizierung
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Expand All | Collapse All

Risikobasierte Authentifizierung


Die risikobasierte Authentifizierung, auch bekannt als kontextbasierte Authentifizierung, ist die Überprüfung eines Benutzers bei der Anmeldung und seine Bewertung anhand einer Reihe von Richtlinien, die ihm Zugriff auf Ressourcen je nach der Risikoeinschätzung gewähren oder verweigern.


Wenn Sie sich bei einer wichtigen Website oder Anwendung anmelden, müssen Sie möglicherweise nur Ihren Benutzernamen und Ihr Passwort angeben. Im Hintergrund werden jedoch wahrscheinlich noch verschiedene weitere Faktoren analysiert.


Heutzutage genügt eine einfache Kombination aus Benutzername und Passwort nicht mehr, um die Echtheit der Identität einer Person zu garantieren. Unternehmen müssen wesentlich mehr berücksichtigen, wenn sie einem Nutzer Zugang zu sensiblen Informationen gewähren.


Was ist risikobasierte Authentifizierung?


Bei der risikobasierten Authentifizierung werden viele individuelle Faktoren berücksichtigt, unter anderem:
 

  •  Uhrzeit
  •  Standort
  •  Info über Gerät und Browser
  •  IP-Adresse
  •  Benutzerinformationen
  •  Der Kontext der Anfrage

Diese Faktoren ergeben die Risikostufe einer Transaktion. Je nach dem erkannten Risiko könnten die Benutzer zur Eingabe eines zweiten Authentifizierungsfaktors aufgefordert werden. Wenn Sie zum Beispiel versuchen, sich von einem anderen Land aus bei Ihrem Bankkonto anzumelden, müssen Sie höchstwahrscheinlich Ihre Identität verifizieren.


Andererseits können Sie Nutzern auch ein reibungsfreies Erlebnis bieten, wenn das kalkulierte Risiko gering ist. So muss ein Benutzer beispielsweise seine Anmeldedaten nach Ablauf seiner Sitzung nicht erneut eingeben, wenn sie nach wie vor das firmeneigene Gerät und Netzwerk während normaler Arbeitszeiten nutzen.

Einige risikobasierte Authentifizierungslösungen können auch dynamische Profile der einzelnen Benutzer erstellen und aktualisieren. Die Software erlernt mit der Zeit die Muster im Verhalten eines Nutzers und kann so das Risiko noch genauer berechnen.


In vielen Fällen wissen die Benutzer nicht einmal, dass sie es mit einer risikobasierten Authentifizierung zu tun haben. Da die meisten Transaktionen nicht unter das hohe Risiko fallen, ist eine Step-up-Authentifizierung nur gelegentlich erforderlich. Damit kommen wir zum größten Vorteil der risikobasierten Authentifizierung: Sie bietet eine nahtlose Benutzererfahrung und erhöht gleichzeitig die Sicherheit der Infrastruktur eines Unternehmens.
 

Welches sind die Vorteile einer risikobasierten Authentifizierung?


Heute arbeiten mehr Mitarbeiter von Zuhause aus. Mit einer Belegschaft im Homeoffice steigen auch die Risiken für die Identitätssicherheit. Bisher nutzten Unternehmen eigene Netzwerke und Firewalls, um sicherzustellen, dass nur am Standort auf ihre Materialien zugegriffen werden konnte. Heutzutage ist das Arbeiten am Standort nicht mehr immer möglich.


Die Mitarbeiter arbeiten unter Umständen von öffentlichen WLAN-Netzwerken aus, die unsicher und daher anfällig für das Abhorchen durch Dritte sind. Die risikobasierte Authentifizierung kann die mit öffentlichen Netzen verbundenen Risiken leicht verringern, indem der Zugang aus solchen Netzen verweigert wird.


Ein weiteres, mit der Remote-Arbeit verbundenes Risiko ist die Verwendung von persönlichen Geräten. Die risikobasierte Authentifizierung entdeckt unerkannte Geräte und kann durch eine abgestufte Authentifizierung sicherstellen, dass der Benutzer derjenige ist, für den er sich ausgibt.


Mit der Zunahme der Datenschutzverletzungen kann typische Kombination aus Benutzername und Passwort nicht mehr für eine echte Benutzeridentität garantieren. Laut IBM waren im Jahr 2021 die durchgesickerten Zugangsdaten der häufigste Grund für Datenschutzverletzungen, während die künstliche Intelligenz (KI) im Sicherheitsbereich, wie unter anderem bei der risikobasierten Authentifizierung, die größte Effektivität bei der Minderung der durch diese Verstöße entstehenden Kosten hatte.


Neben den bei der risikobasierten Authentifizierung zusätzlich analysierten Faktoren, können Sie Daten auswerten und den Ursprung von Datenlecks ermitteln. So können Sie beispielsweise risikoreiche Transaktionen nach Standort, Benutzer, Browser und vielen weiteren Faktoren filtern.


Die risikobasierte Authentifizierung bietet nicht nur ein Plus an Sicherheit, sondern kann auch die Produktivität der Mitarbeiter erhöhen. Ein Nutzer kann bei einer Sitzung mit geringem Risiko, wenn er z. B. ein vertrauenswürdiges Gerät und Netzwerk während üblichen Arbeitszeiten verwendet, eine nahtlose Erfahrung machen. Er muss demnach keine Zeit damit verlieren, sich bei seinen häufig verwendeten Anwendungen wiederholt zu authentifizieren.
 

Wie funktioniert eine risikobasierte Authentifizierung?


Die risikobasierte Authentifizierung wird durch eine Reihe von Regeln gesteuert, die auch als Richtlinien bezeichnet werden und das Risiko einer bestimmten Transaktion kategorisieren.


Bei jeder eingehenden Anfrage analysieren diese Richtlinien die verschiedenen Risikosignale und wägen sie gegeneinander ab, um einen Risikowert zu errechnen. Der Risikowert wiederum entscheidet über die Authentifizierungserfahrung des Endbenutzers. Seine Erfahrung kann nahtlos sein, oder er wird zwecks einer Überprüfung zu weiteren Schritten aufgefordert.


Risikosignale lassen sich alles in allem in vier verschiedene Kategorien einteilen:
 

  • Gerätereputation: Die Historie des Geräts wird durchleuchtet, um festzustellen, ob es an betrügerischen Aktivitäten beteiligt war. Crowd-basierte Konsortien setzen Benutzer mit Geräten in Beziehung, um Betrugsringe zu definieren und jene zu identifizieren, die mehrere Konten angreifen, und erstellen dann Regeln auf Grundlage dieser Profile.

  • Benutzerverhalten: Die Historie des Benutzerverhaltens wird unter die Lupe genommen, um eine Grundlinie zu erstellen und Bedrohungen erkennen zu können, falls Benutzer von ihrem typischen Verhalten abweichen.  

  • Netzwerkrisiko: Der normale Datenverkehr im Netzwerk wird betrachtet, um anhand der Netzwerkeingaben ein risikoreiches Verhalten zu erkennen, einen Basis-Risikowert zu ermitteln und anschließend unter Einbeziehung des Benutzerverhaltens die Risikobewertung durchzuführen. 

  • Verhaltensbiometrie: Der Verlauf des biometrischen Nutzerverhaltens wird untersucht, um eine Grundlinie zu erstellen und Bedrohungen zu erkennen, falls Benutzer von ihrem typischen Verhalten abweichen. Die physischen Bewegungen der Benutzer, wie z. B. die Tipp-Kadenz, das Tastaturmuster, die Stärke des Tastendrucks oder die Mausbewegungen, werden mit den Bezugswerten verglichen, um das Risiko zu ermitteln. Diese Faktoren gelten auch für mobile Geräte und prüfen, ob der Benutzer das Gerät mit dem gleichen Winkel hält, mit der gleichen Kraft auf das Display drückt und ob er auf die gleiche Weise wischt.
     

 

Die Risikorichtlinien sind anpassbar und variieren je nach Unternehmen und Art der Daten, auf die zugegriffen wird. Wenn ein Unternehmen zum Beispiel nur Mitarbeiter in Kanada hat, könnte ein Sicherheitsarchitekt eine Regel erstellen, die jede Transaktion aus einem anderen Land als hohes Risiko einstuft. Ebenso kann der Versuch, auf allgemeine Unternehmensinformationen zuzugreifen, als weniger riskant eingestuft werden als der Zugriff auf sensible Daten, wie beispielsweise die Sozialversicherungsnummer eines Mitarbeiters.


Wenn eine Transaktion als hochriskant eingestuft wird, kann in Abstimmung mit den Unternehmensrichtlinien eine entsprechende Step-up-Authentifizierung konfiguriert werden. Je nach Risikoeinstufung oder Sensibilität der Anwendung muss ein Benutzer möglicherweise verschiedene Arten von Zweit-Faktor-Authentifizierung durchlaufen. Der Zugriff kann ihm sogar verweigert werden, wenn es zu viele verdächtige Risikofaktoren gibt.


Die anspruchsvollsten risikobasierten Authentifizierungssysteme nutzen das maschinelle Lernen, um eine Basislinie des typischen Verhaltens einer bestimmten Benutzergruppe zu erstellen, daraufhin Verhaltensanomalien in Echtzeit zu erkennen und sie verschiedenen Risikostufen zuzuordnen. Der Administrator oder das Sicherheitsteam können für jede Kategorie der Risikorichtlinien spezifische Maßnahmen festlegen.

 

Wie sieht eine Risikorichtlinie aus?


Risikorichtlinien lassen sich außerordentlich gut anpassen. Im folgenden Diagramm sehen Sie ein Beispiel für eine grundlegende Risikorichtlinie und die daraus resultierenden Authentifizierungserfahrungen nach Risikostufe.
 

Nutzer 1Nutzer 2Nutzer 3 Erkannte LokalisierungErkannte IP-AdresseGeringes RisikoZugriff gewährtMittleres RisikoMFA veranlasstHohes RisikoZugriff verweigert

Ressourcen zu diesem Thema

Blog
Risikobasierte Authentifizierung: Integrationen für bessere digitale Erlebnisse

   

Funktion

Risk Management

   

Organisation

Risk-Based Authentication

   

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.