Glossar
Die Begriffe rund um das Thema Authentifizierung sind nicht jedermann direkt bekannt. Hier haben wir die gängigsten Ausdrücke zusammengefasst und kurz erklärt.
Bei weiteren Fragen kontaktieren Sie uns gern!
A - F
Von Authentikatoren bis FIDO
In der Abbildung möchte der Nutzer Zugriff auf ein IT-System (Server, IT-Dienst, …) erhalten. Aus der Sicht des Nutzers und des IT-Systems werden IT-Sicherheitsfunktionen umgesetzt, die verschiedene Sicherheitsdienste erbringen.
Ein Nutzer legt mit der Authentisierung einen Nachweis einer bestimmten Identität vor, die vom System überprüft werden soll.
Die Authentifizierung ist die eigentliche Prüfung der vom Benutzer behaupteten Identität. Die Authentifizierung wird von einer vertrauenswürdigen Instanz vorgenommen. Diese verifiziert oder falsifiziert die Identität des Users anhand der zur Verfügung gestellten Merkmale.
Nach erfolgreich abgeschlossener Authentifizierung werden bei der Autorisierung dem Benutzer bestimmte Rechte zugeteilt.
Biometrie ist die Identifikation und Authentifizierung mittels biologischer Merkmale. Biometrische Authentisierung verwendet physiologische oder verhaltenstypische, also personengebundene Charakteristika. Biometrische Merkmale können auf viele Arten gemessen werden. Die unterschiedlichen Verfahren messen die Gesichtserkennung, den Fingerabdruck, das Tippverhalten an einer Tastatur, die Fingergeometrie, das Fingerlängenverhältnis oder die Handgeometrie.
In Europa ist der Datenschutz durch die Datenschutz-Grundverordnung (DSGVO) geregelt.
Der Schutz natürlicher Personen bei der Sammlung und Verarbeitung personenbezogener Daten ist ein Grundrecht der EU-Bürger. Gemäß der Charta der Grundrechte der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
Die FIDO-Protokolle sind von der FIDO (Fast Identity Online) Allianz entwickelte, offene und lizenzfreie Authentifizierungsprotokolle für die sichere Authentifizierung im World Wide Web. Eine Vielzahl an Sicherheitstoken und Authentisierungslösungen und Anwendungen nutzen bzw. unterstützen bereits FIDO Protokolle. Diese bieten durch die Verwendung von asymmetrischen Schlüsselpaaren besonders hohe Sicherheit. Ein einzelner Token/ Authenticator kann 1-n Anwendung absichern. Die FIDO-Protokolle sind W3C Standard und erfreuen sich daher hoher Prominenz und steigender Verbreitung.
G - M
Von Homeoffice Sicherheit bis Multi-Faktor-Authentifizierung
Derzeit wird hauptsächlich der Begriff Homeoffice verwendet, wenn Mitarbeiter:innen außerhalb ihres Unternehmens arbeiten. Es gibt weitere Bezeichnungen, die das Arbeiten von zu Hause beziehungsweise außerhalb der Liegenschaften des Arbeitgebers bezeichnen. Dabei ist zu beachten, dass rechtliche Rahmenbedingung bei der jeweiligen Form der Heimarbeit gelten. Es wird zwischen Telearbeit, Mobile Working und Homeoffice unterschieden.
Allgemein ist ein Identitätsdiebstahl die missbräuchliche Nutzung personenbezogener Daten einer natürlichen Person durch Dritte. Ziel eines Identitätsdiebstahls ist daraus finanzielle Vorteile abzuleiten oder der bestohlenen Person durch Diskreditierung zu schaden.
Wenn eine Person im Internet unterwegs ist, nutzt sie digitale Identitäten. Diese sind verknüpft mit personenbezogenen Daten und Aktivitäten dieser Person bei den unterschiedlich genutzten Diensten. Werden diese digitalen Identitäten von Dritten unerlaubt zu deren eigenen Zwecken genutzt, ist dies Identitätsmissbrauch.
Ein Identity Provider (IdP) oder Identitätsanbieter ist ein zentrales Zugangssystem für Service-Provider-Dienste (SP – Dienstanbieter), bei dem sich die Nutzer anmelden können. Identity Provider-Systeme bieten wichtige Cyber-Sicherheitsdienste für Service-Provider, wie die Authentifizierung eines Nutzers für Single-Sign-On (SSO) und die Autorisierung eines Zugriffs auf die Ressourcen der Identität über spezielle APIs.
Mit Hilfe der IT-Sicherheit sollen vorhandene Risiken, die durch Bedrohungen auf IT-Systeme wirken, auf ein angemessenes Maß reduziert werden.
IT-Sicherheit befasst sich daher mit IT-Sicherheitsmaßnahmen, die Informationen auf IT-Systemen vor dem Verlust von Vertraulichkeit, Authentifikation, Authentizität, Integrität, Verbindlichkeit, Verfügbarkeit und Anonymisierung/Pseudonymisierung schützt.
IT-Sicherheit beinhaltet auch die Aspekte der Softwaresicherheit und Zuverlässigkeit von IT-Systemen. IT-Sicherheit schütz IT-Systeme, um Schäden für Unternehmen, Behörden, Organisationen und Personen zu vermeiden.
Kritische Infrastrukturen (KRITIS) sind Organisationen mit hoher Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Daher stellen Cyber-Angriffe auf Kritische Infrastrukturen eine prinzipiell höhere Verwundbarkeit der Gesellschaft dar und bilden eine neue Ebene der existenziellen Bedrohung.
Stand der Technik heute ist die Multifaktor-Authentifizierung. Mit einer Multifaktor-Authentifizierung (MFA) kann flexible agiert und mit einer höheren Vertrauenswürdigkeit authentifiziert werden. Beispiel Multifaktor-Authentifizierung: Es wird als Basis eine digitale Signatur einer Zufallszahl mithilfe eines Hardware-Sicherheitsmoduls (Smartcard, USB-Sick, …) umgesetzt, das mit einem Passwort oder PIN aktiviert werden muss. Um den Nutzerbezug zu verstärken, muss der Nutzer noch mithilfe eines Fingerabdrucks oder Gesichtserkennung seine Gegenwärtigkeit zusätzlich verifizieren lassen.
N - Z
von Passwort bis Smartphone
Das Passwort ist die weitest verbreitete Authentifizierungsmethode und besteht im Idealfall aus einer zufälligen Ziffern-, Buchstaben- und Sonderzeichenfolge.
Eine Passphrase besteht im Vergleich zu einem Passwort aus einer längeren Zeichenkette (bis zu 100 Zeichen), wodurch eine höhere Sicherheit gewährleistet wird. Häufig wird diese Methode für Verschlüsselungen oder Signaturen verwendet.
Die persönliche Identifikationsnummer (PIN) meist aus einer 4- oder 6-stelligen Ziffernfolge besteht, mit welcher sich der User an einem Gerät identifizieren kann. Beide Methoden werden üblicherweise in Verbindung mit einem Benutzernamen angewandt.
Das One-Time-Password (OTP) oder auch Einmalkennwort wird für die einmalige Verwendung zur Authentifizierung genutzt und kann kein zweites Mal verwendet werden. Somit erfordert jede Anmeldung ein neues Einmalkennwort. Diese bewährte Methode basiert auf symmetrischen Schlüsselpaaren und ist schnell und einfach in eine CloudAnwendung zu implementieren. Weiterhin ist diese Methode für den User verständlich und einfach in der Handhabung. Die jeweils generierten Einmalpasswörter können sowohl serverseitig als auch auf der Userseite generiert werden. Serverseitig generierte OTP werden zumeist per E-Mail, per SMS oder Voice Call an den User übermittelt. Ein Benutzer kann OTP aber auch per Smartphone App (z.B. Google Authenticator, Microsoft Authenticator) oder auf einem Hardwaretoken generieren lassen und jeweils eingeben. OTP Verfahren gelten als sicher, jedoch aufgrund der symmetrischen Schlüsselpaare und der jeweiligen 1:1 Beziehung als etwas „in die Jahre gekommenes“ Verfahren.
Sicherheitstoken dienen meist der zusätzlichen Absicherung von Benutzerkonten als zweiter Faktor, oftmals in Form eines USB-Sticks. Sie können einem Benutzer eindeutig zugeordnet und somit personalisiert werden. Sicherheitstoken generieren ein One Time Password (OTP) und reagieren auf Berührung bzw. verwenden zusätzlich ein biometrisches Merkmal.
Eine Smartcard oder intelligente Chipkarte ist ein Hardware-Sicherheitsmodul in der genormten Größe der EC-Karte (86 × 54 × 0,76 mm), das Personen IT-Sicherheitsdienstleistungen zur Verfügung stellt. Eine Smartcard enthält einen Sicherheitschip mit CPU, RAM und ROM-Speicher, ein „schlankes“ und sicheres Betriebssystem im ROM, eine I/O-Schnittstelle, über die die gesamte Kommunikation stattfindet (Kontaktflächen oder kontaktloses Interface) und ein EEPROM, auf dem die geheimen Schlüssel, wie ein geheimer RSA-Schlüssel oder andere symmetrische Schlüssel sowie persönliche Daten (Passwörter etc.) sicher gespeichert sind. „Sonstiges“ ist beispielsweise ein Co-Prozessor, der symmetrische oder asymmetrische Verschlüsselung sehr schnell durchführt (Krypto-Prozessor).
Das Smartphone kann zum Generieren von OTP per App und dem Empfangen von SMS sowie als Out of Band Authenticator verwendet werden. Hierbei wird dem Benutzer eine Aufforderung zur Bestätigung oder Ablehnung eines Logins an eine App versendet. Dieses Verfahren ist für den User recht komfortabel und erfreut sich hoher Akzeptanz.