Die risikobasierte Authentifizierung, auch bekannt als kontextbasierte Authentifizierung, ist die Überprüfung eines Benutzers bei der Anmeldung und seine Bewertung anhand einer Reihe von Richtlinien, die ihm Zugriff auf Ressourcen je nach der Risikoeinschätzung gewähren oder verweigern.
Wenn Sie sich bei einer wichtigen Website oder Anwendung anmelden, müssen Sie möglicherweise nur Ihren Benutzernamen und Ihr Passwort angeben. Im Hintergrund werden jedoch wahrscheinlich noch verschiedene weitere Faktoren analysiert.
Heutzutage genügt eine einfache Kombination aus Benutzername und Passwort nicht mehr, um die Echtheit der Identität einer Person zu garantieren. Unternehmen müssen wesentlich mehr berücksichtigen, wenn sie einem Nutzer Zugang zu sensiblen Informationen gewähren.
Bei der risikobasierten Authentifizierung werden viele individuelle Faktoren berücksichtigt, unter anderem:
Diese Faktoren ergeben die Risikostufe einer Transaktion. Je nach dem erkannten Risiko könnten die Benutzer zur Eingabe eines zweiten Authentifizierungsfaktors aufgefordert werden. Wenn Sie zum Beispiel versuchen, sich von einem anderen Land aus bei Ihrem Bankkonto anzumelden, müssen Sie höchstwahrscheinlich Ihre Identität verifizieren.
Andererseits können Sie Nutzern auch ein reibungsfreies Erlebnis bieten, wenn das kalkulierte Risiko gering ist. So muss ein Benutzer beispielsweise seine Anmeldedaten nach Ablauf seiner Sitzung nicht erneut eingeben, wenn sie nach wie vor das firmeneigene Gerät und Netzwerk während normaler Arbeitszeiten nutzen.
Einige risikobasierte Authentifizierungslösungen können auch dynamische Profile der einzelnen Benutzer erstellen und aktualisieren. Die Software erlernt mit der Zeit die Muster im Verhalten eines Nutzers und kann so das Risiko noch genauer berechnen.
In vielen Fällen wissen die Benutzer nicht einmal, dass sie es mit einer risikobasierten Authentifizierung zu tun haben. Da die meisten Transaktionen nicht unter das hohe Risiko fallen, ist eine Step-up-Authentifizierung nur gelegentlich erforderlich. Damit kommen wir zum größten Vorteil der risikobasierten Authentifizierung: Sie bietet eine nahtlose Benutzererfahrung und erhöht gleichzeitig die Sicherheit der Infrastruktur eines Unternehmens.
Heute arbeiten mehr Mitarbeiter von Zuhause aus. Mit einer Belegschaft im Homeoffice steigen auch die Risiken für die Identitätssicherheit. Bisher nutzten Unternehmen eigene Netzwerke und Firewalls, um sicherzustellen, dass nur am Standort auf ihre Materialien zugegriffen werden konnte. Heutzutage ist das Arbeiten am Standort nicht mehr immer möglich.
Die Mitarbeiter arbeiten unter Umständen von öffentlichen WLAN-Netzwerken aus, die unsicher und daher anfällig für das Abhorchen durch Dritte sind. Die risikobasierte Authentifizierung kann die mit öffentlichen Netzen verbundenen Risiken leicht verringern, indem der Zugang aus solchen Netzen verweigert wird.
Ein weiteres, mit der Remote-Arbeit verbundenes Risiko ist die Verwendung von persönlichen Geräten. Die risikobasierte Authentifizierung entdeckt unerkannte Geräte und kann durch eine abgestufte Authentifizierung sicherstellen, dass der Benutzer derjenige ist, für den er sich ausgibt.
Mit der Zunahme der Datenschutzverletzungen kann typische Kombination aus Benutzername und Passwort nicht mehr für eine echte Benutzeridentität garantieren. Laut IBM waren im Jahr 2021 die durchgesickerten Zugangsdaten der häufigste Grund für Datenschutzverletzungen, während die künstliche Intelligenz (KI) im Sicherheitsbereich, wie unter anderem bei der risikobasierten Authentifizierung, die größte Effektivität bei der Minderung der durch diese Verstöße entstehenden Kosten hatte.
Neben den bei der risikobasierten Authentifizierung zusätzlich analysierten Faktoren, können Sie Daten auswerten und den Ursprung von Datenlecks ermitteln. So können Sie beispielsweise risikoreiche Transaktionen nach Standort, Benutzer, Browser und vielen weiteren Faktoren filtern.
Die risikobasierte Authentifizierung bietet nicht nur ein Plus an Sicherheit, sondern kann auch die Produktivität der Mitarbeiter erhöhen. Ein Nutzer kann bei einer Sitzung mit geringem Risiko, wenn er z. B. ein vertrauenswürdiges Gerät und Netzwerk während üblichen Arbeitszeiten verwendet, eine nahtlose Erfahrung machen. Er muss demnach keine Zeit damit verlieren, sich bei seinen häufig verwendeten Anwendungen wiederholt zu authentifizieren.
Die risikobasierte Authentifizierung wird durch eine Reihe von Regeln gesteuert, die auch als Richtlinien bezeichnet werden und das Risiko einer bestimmten Transaktion kategorisieren.
Bei jeder eingehenden Anfrage analysieren diese Richtlinien die verschiedenen Risikosignale und wägen sie gegeneinander ab, um einen Risikowert zu errechnen. Der Risikowert wiederum entscheidet über die Authentifizierungserfahrung des Endbenutzers. Seine Erfahrung kann nahtlos sein, oder er wird zwecks einer Überprüfung zu weiteren Schritten aufgefordert.
Risikosignale lassen sich alles in allem in vier verschiedene Kategorien einteilen:
Die Risikorichtlinien sind anpassbar und variieren je nach Unternehmen und Art der Daten, auf die zugegriffen wird. Wenn ein Unternehmen zum Beispiel nur Mitarbeiter in Kanada hat, könnte ein Sicherheitsarchitekt eine Regel erstellen, die jede Transaktion aus einem anderen Land als hohes Risiko einstuft. Ebenso kann der Versuch, auf allgemeine Unternehmensinformationen zuzugreifen, als weniger riskant eingestuft werden als der Zugriff auf sensible Daten, wie beispielsweise die Sozialversicherungsnummer eines Mitarbeiters.
Wenn eine Transaktion als hochriskant eingestuft wird, kann in Abstimmung mit den Unternehmensrichtlinien eine entsprechende Step-up-Authentifizierung konfiguriert werden. Je nach Risikoeinstufung oder Sensibilität der Anwendung muss ein Benutzer möglicherweise verschiedene Arten von Zweit-Faktor-Authentifizierung durchlaufen. Der Zugriff kann ihm sogar verweigert werden, wenn es zu viele verdächtige Risikofaktoren gibt.
Die anspruchsvollsten risikobasierten Authentifizierungssysteme nutzen das maschinelle Lernen, um eine Basislinie des typischen Verhaltens einer bestimmten Benutzergruppe zu erstellen, daraufhin Verhaltensanomalien in Echtzeit zu erkennen und sie verschiedenen Risikostufen zuzuordnen. Der Administrator oder das Sicherheitsteam können für jede Kategorie der Risikorichtlinien spezifische Maßnahmen festlegen.
Risikorichtlinien lassen sich außerordentlich gut anpassen. Im folgenden Diagramm sehen Sie ein Beispiel für eine grundlegende Risikorichtlinie und die daraus resultierenden Authentifizierungserfahrungen nach Risikostufe.
Ressourcen zu diesem Thema
Starten Sie jetzt
Kontaktieren Sie uns
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern