Beginnen Sie mit dem Bau

Was ist risikobasierte Authentifizierung?

Risikobasierte Authentifizierung hilft, Betrug, Insider-Bedrohungen und andere Angriffe zu verhindern, indem sie Nutzeraktionen mit einer Basis normaler Aktivitäten vergleicht.

Was ist risikobasierte Authentifizierung?

Die risikobasierte Authentifizierung ist ein Ansatz zur Validierung von Benutzeraktionen, die über die Bestätigung ihrer Anmeldedaten hinausgeht. Bei der risikobasierten Authentifizierung werden zusätzlich zu den Authentifizierungsfaktoren, die Nutzer angeben, mehrere Faktoren bewertet, um zu bestimmen, ob ihre Aktivitäten wahrscheinlich legitim sind oder wahrscheinlich die eines Angreifers oder Betrügers. Diese Sicherheitsmaßnahme ist besonders für Plattformen relevant, die häufig dem Ziel von Finanzbetrug ausgesetzt sind, wie E-Commerce-Händler oder Finanzplattformen.

Anstatt einfach nur zu bestätigen, dass ein Nutzer zu Beginn der Sitzung das richtige Passwort eingegeben hat, könnte die risikobasierte Authentifizierung folgende Faktoren berücksichtigen:

  • Geolocation
  • Zeit
  • Früheres Nutzerverhalten
  • IP-Adresse
  • Geräteinformationen
  • Welcher Browser verwendet wird

Während die einfache Authentifizierung entweder zulässt oder verweigert – der Nutzer meldet sich entweder an oder nicht – gewichtet die risikobasierte Authentifizierung all diese Faktoren, um eine Risikobewertung zu erstellen. Sobald die Risikobewertung einen bestimmten Schwellenwert überschreitet, kann eine Aktion des Nutzers eine zusätzliche Sicherheitsprüfung zur weiteren Überprüfung der Identität auslösen. Ab einem bestimmten Punkt kann die Nutzeraktion sogar ganz verweigert werden.

Warum wird risikobasierte Authentifizierung verwendet?

Angreifer nutzen häufig Kontoübernahmen, um legitime Benutzerkonten zu kapern und dann Betrug zu begehen. Die risikobasierte Authentifizierung ist eine Methode, mit der überprüft werden kann, ob sich Benutzer normal verhalten und somit weniger wahrscheinlich Betrug begehen, ohne den Benutzer dabei zu stören. Die risikobasierte Authentifizierung läuft im Hintergrund und fordert den Nutzer nur bei Bedarf zu einer zusätzlichen Authentifizierung auf.

Risikobasierte Authentifizierung: Eine Analogie zur Praxis

Stellen Sie sich diese drei Szenarien vor:

  1. Bob besucht seinen Vater persönlich und bittet um ein Darlehen.
  2. Bob ruft seinen Vater an und bittet um ein Darlehen.
  3. „Bob“ sendet eine SMS von einer neuen Telefonnummer, schickt seinem Vater eine Nachricht und bittet um ein Darlehen, das auf ein Offshore-Konto überwiesen werden soll.

Das erste Szenario ist mit dem geringsten Risiko verbunden. Bobs Vater kann sich sehr sicher sein, dass er wirklich mit seinem Sohn Bob spricht.

Das zweite Szenario bringt ein gewisses Risiko mit sich. Am Telefon könnte sich ein Betrüger als Bob ausgeben. Bobs Vater kann zwar einigermaßen sicher sein, dass er mit Bob spricht, würde aber vielleicht trotzdem sagen: „Lass uns beim nächsten Besuch noch einmal in Ruhe darüber reden.“

Das dritte Szenario ist das riskanteste. Die Person, die sich selbst Bob nennt, verhält sich anders als Bob und verwendet eine andere Telefonnummer. Vielleicht geht Bobs Vater nicht einmal auf eine solche Anfrage ein.

Die risikobasierte Authentifizierung ist eine automatisierte Methode für digitale Plattformen, um das Urteilsvermögen von Bobs Vater zu integrieren. Sie trennt automatisch authentische Aktionen von wahrscheinlichen Betrugsversuchen.

Wie funktioniert risikobasierte Authentifizierung?

Nutzeraktionen werden bei risikobasierter Authentifizierung kontinuierlich überwacht. Sie gilt sowohl für Benutzeranmeldungen als auch für Aktionen, die nach Benutzeranmeldungen ausgeführt werden. Anhand von Risikosignalen wird eine Risikobewertung berechnet. Diese wird dann verwendet, um zu bestimmen, ob der Nutzer eine zusätzliche Authentifizierung durchführen oder ob seine versuchte Aktion vollständig blockiert werden sollte.

Risikosignale

Mit risikobasierter Authentifizierung werden unter anderem folgende Datenpunkte verfolgt:

  • Anzahl der fehlgeschlagenen Anmeldungen
  • Zeit
  • Ort
  • Vergangenes Nutzerverhalten (kann aus UEBA-Analysen stammen)
  • IP-Adresse und Reputation
  • Gerätereputation
  • Browser

All dies können Risikosignale sein. Manche – etwa der Ruf eines Geräts – sind klarer zu bewerten: War ein Gerät in der Vergangenheit an Angriffen oder Betrug beteiligt, können von ihm ausgehende Aktionen als äußerst riskant gelten.

Andere Risikosignale ergeben sich erst im Vergleich mit einem Ausgangswert: Die Tageszeit sagt für sich genommen wenig aus. Greift ein Nutzer jedoch zu einer für ihn sehr ungewöhnlichen Uhrzeit auf sein Konto zu – etwa um drei Uhr morgens –, kann das ein Risikosignal sein, dessen Stärke unterschiedlich ausfallen kann. Arbeitet Alice normalerweise von 9 bis 17 Uhr, wäre ein Login um 18 Uhr ein leichtes Risikosignal, ein Login um 23 Uhr dagegen ein deutlich stärkeres. Machine Learning wird eingesetzt, um solche Datenpunkte miteinander zu vergleichen und Abweichungen vom Normalverhalten zu erkennen.

Bei Datenpunkten wie der IP-Reputation und der Gerätereputation stützen sich risikobasierte Authentifizierungsplattformen häufig auf Bedrohungsdaten von Drittanbietern. Dies hilft ihnen zum Beispiel bei der Identifizierung unbekannter IP-Adressen, die in der Vergangenheit mit Betrug in Verbindung gebracht wurden.

Risikobewertungen

Die Risikosignale werden verfolgt und zu einer Risikobewertung kombiniert. Eine Aktion wie Alice, die sich von einem neuen Gerät, aber von einem vertrauten Ort und zu einer typischen Zeit bei einer Anwendung anmeldet, könnte eine mittlere Risikobewertung erhalten. Alice, die sich von einem neuen Gerät aus am anderen Ende der Welt bei einer Anwendung anmeldet, könnte eine hohe Risikobewertung erhalten.

Wenn die Risikobewertung einen bestimmten Schwellenwert überschreitet, kann Folgendes passieren:

  • Zusätzliche Authentifizierungsmethoden werden ausgelöst. Wenn Alice sich vom anderen Ende der Welt aus anmeldet, wird sie möglicherweise aufgefordert, ihren Fingerabdruck zu scannen, um zu bestätigen, dass sie es wirklich ist.
  • Die Autorisierung wird reduziert. Alice kann aufgrund ihrer hohen Risikobewertung möglicherweise nicht auf bestimmte Teile des Systems zugreifen.
  • Wenn die Risikobewertung hoch genug ist, kann die Aktion ganz blockiert werden. Eine risikobasierte Authentifizierungsplattform könnte eine Mitarbeiterin wie Alice, die sich unerwartet von einem völlig neuen Standort aus anmeldet, als zu riskant betrachten und sie vom Login abhalten. (Das könnte einen Angreifer, der die Anmeldedaten von Alice gestohlen hat, daran hindern, ihr Konto zu übernehmen, wenn es nicht wirklich Alice wäre, die sich anmelden möchte.)

Nutzerauthentifizierung:

Bei einer erhöhten Risikobewertung kann die risikobasierte Authentifizierung den Nutzer dazu auffordern, einen zusätzlichen Authentifizierungsfaktor anzugeben, um sich anzumelden oder bestimmte Aktionen durchzuführen. Nutzer müssen sich möglicherweise mit einem Faktor authentifizieren, den sie bei der Anmeldung nicht angegeben haben, z. B. mit einem Hardkey oder einer biometrischen Authentifizierung. Oder sie müssen eine weitere Instanz eines zuvor verwendeten Authentifizierungsfaktors bereitstellen – durch erneutes Antippen eines Hardkeys oder durch die Beantwortung von Sicherheitsfragen, nachdem sie zuvor ein Passwort eingegeben hatten. (Erstes ist in der Regel sicherer.)

Was sind die Vorteile der risikobasierten Authentifizierung?

  • Reibungsloseres Kundenerlebnis: Meistens läuft die risikobasierte Authentifizierung im Hintergrund. Es sollte es Nutzern ermöglichen, risikoarme Transaktionen ohne zusätzliche Sicherheitsmaßnahmen durchzuführen. Eine risikobasierte Authentifizierung trägt dazu bei, dass Transaktionen sicher sind, ohne die Nutzererfahrung zu beeinträchtigen.
  • Schutz von Nutzern und Plattformen vor Betrug: Transaktionen mit höherem Risiko werden zusätzlich geprüft oder blockiert, wodurch das Betrugsrisiko sowohl für die Plattform als auch für potenzielle Opfer verringert wird. Für E-Commerce-Plattformen kann dies Angriffe wie Inventory Hoarding und Credential Stuffing stoppen.
  • Schutz vor Datenschutzverletzungen: Eine risikobasierte Authentifizierung kann bei Bedrohungen für vertrauliche Daten eine zusätzliche Überprüfung erfordern oder diese blockieren.
  • Unterstützung für hybride Belegschaften: Eine risikobasierte Authentifizierung kann dazu beitragen, die Sicherheit des Remote-Arbeitsstils zu gewährleisten, indem die Identität des Endnutzers überprüft wird, wenn die Daten gefährdet sein könnten.

Mit Cloudflare One können Unternehmen Nutzerrisikobewertungen direkt in ihre Zero Trust-Netzwerkzugang (ZTNA)-Richtlinien einbinden. Der Nutzerzugang kann basierend auf dem Risiko, das Nutzer für das Unternehmen darstellen, angepasst werden, um Insider-Bedrohungen, Betrug und andere Angriffe zu stoppen. Erfahren Sie, wie die Benutzer-Risikobewertung funktioniert.