Glossar: Adaptive Authentifizierung
Zu Beginn des Jahres 2021 wurden Daten von über 500 Millionen Facebook-Nutzern gestohlen. Im Sommer geriet das Karrierenetzwerk LinkedIn in die Schlagzeilen, weil Hacker die Daten von mehr als 700 Millionen Nutzern zum Kauf anboten. Jüngst erwischte es Amazons Videospiel-Streamingservice Twitch, dessen App-Quellcodes sowie Übersichten zu Auszahlungen an Streamer als Torrent veröffentlicht wurden. Dies sind nur drei von vielen Fällen, die bekannt geworden sind. Immer öfter werden grosse Unternehmen Opfer von Datenklau in grossem Umfang. Das allein stimmt bedenklich. Doch damit nicht genug: In einer Umfrage für das Nevis Sicherheitsbarometer 2021 gibt ein Drittel der befragten Konsumenten an, dass sie erst aus den Medien von einer Cyber-Attacke auf ein Unternehmen erfahren haben, bei dem sie Kunde sind. Wie kann es dazu kommen? Auch dazu bietet das Nevis Sicherheitsbarometer Erkenntnisse. So beleuchtet es etwa die Einstellung von IT-Entscheidern zur Zwei-Faktor-Authentifizierung (2FA) und zur Frage, wie diese im Kampf gegen Online-Kriminelle hilft.
Im April 2021 hat Nevis für die repräsentative Studie in Zusammenarbeit mit den Meinungsforschungsunternehmen Civey und mo’web research 500 deutsche IT-Entscheider und 1.000 deutsche Verbraucher ab 14 Jahren befragt. Im Fokus des Sicherheitsbarometers 2021 stehen Themen wie Login-Verhalten, Umgang mit Passwortsicherheit oder die Einstellung zur passwortlosen Authentifizierung bei Kunden und Unternehmen.
Schon allein, dass ein Drittel der teilnehmenden Verbraucher erst über die Medien erfährt, wenn ihre Kundendaten bei einem Unternehmen in die falschen Hände gelangt sind, lässt aufhorchen. Was ein noch schlechteres Bild auf die Informationspolitik der Unternehmen bei diesem sensiblen Thema wirft, ist ein weiteres Ergebnis der Studie: Mehr als 36 Prozent der Befragten haben gar keine Informationen dazu, ob ein Unternehmen, bei dem sie Kunde sind, Opfer eines Datenangriffs wurde.
2FA für mehr Sicherheit
Dass Unternehmen mit Cyber-Angriffen nicht hausieren gehen, ist verständlich. Es drängt sich aber die Frage auf, warum Online-Kriminelle immer noch so erfolgreich sind und wie Unternehmen die Sicherheit für die Kundendaten verbessern können. Ein wichtiger Faktor ist dabei, dass nicht nur die Zahl der Cyber-Attacken weltweit steigt, sondern die Angreifer auch immer neue und raffiniertere Methoden nutzen. IT-Entscheider in Unternehmen stehen damit vor einer immensen Herausforderung, wenn es darum geht, die Sicherheit ihnen anvertrauter Daten zu gewährleisten.
Als sehr sichere Methode, Kundendaten beim Login-Prozess vor dem Zugriff Unbefugter zu schützen, gilt die Zwei-Faktor-Authentifizierung, kurz 2FA. Dabei werden die bekannten Faktoren Benutzername und Passwort um mindestens einen weiteren Faktor ergänzt. Der erste Faktor ist dabei das Passwort. Die Eingabe des richtigen Passworts führt den Kunden jedoch noch nicht in den gesicherten Bereich. Denn mit dem zweiten Faktor greift eine weitere Sicherheitsschranke. Dieser zweite Faktor kann zum Beispiel eine Authenticator App auf dem Smartphone sein. Das Smartphone eignet sich dafür sehr gut, weil es heute für die meisten Menschen ein unverzichtbarer Begleiter in allen Lebenslagen ist.
Moderne Smartphones verfügen zudem über Sensoren, die die biometrische Authentifizierung ermöglichen. Für die sichere und eindeutige Identifikation wird dabei etwa auf einen Fingerabdruck (Touch ID), das Gesicht (Face ID) oder das Muster der Iris zurückgegriffen. Solche biometrischen Daten gelten als sehr fälschungssicher. Falls Passwörter und Benutzernamen also einmal in die falschen Hände geraten, sind Unternehmen – und Verbraucher – die auf 2FA setzen, eindeutig im Vorteil. Denn ohne im Besitz des zweiten Faktors zu sein, kommen Kriminelle dann beim Login nicht mehr weiter.
Stellenwert der 2FA in Unternehmen
Die Studienergebnisse im Nevis Sicherheitsbarometer legen allerdings nahe, dass diese Vorteile der 2FA noch nicht ausreichend bekannt sind. Nach dem Stellenwert dieser Methode für die Authentifizierung gefragt, verweisen 42 Prozent der IT-Entscheider auf die Risikominimierung für das Unternehmen und noch weniger, nur 38 Prozent, auf die verbesserte Sicherheit für Kunden. Zudem kann ein Viertel nicht beantworten, warum genau die 2FA genutzt wird. Überdies gibt nur ein knappes Viertel an, dass die 2FA für alle Kundenkonten angeboten werde.
Eine der Erkenntnisse aus dem Nevis Sicherheitsbarometer ist also, dass den IT-Experten etwa in puncto 2FA offenbar das Wissen und Bewusstsein für den Nutzen in Sachen Sicherheit fehlen. Doch eine gute Customer Experience ist massgeblich davon abhängig, ob der Kunde den Eindruck hat, dass seine Daten bei einem Unternehmen auch sicher sind. Da der Login ein wesentlicher Bestandteil des ersten Eindrucks ist – für den es bekanntlich keine zweite Chance gibt – sollten Unternehmen das Sicherheitsplus von 2FA nicht ausser Acht lassen.
Übrigens: Im Sicherheitsbarometer von Nevis finden Sie noch weitere Ergebnisse der Studie rund um das Thema IT- und Login-Sicherheit.
