Wir wissen, dass die Bereitschaft der Nutzer gering ist, ein weiteres StĂŒck Hardware mit sich herumzutragen. Aber wir wissen auch, dass das der einzige Weg ist, um einen Systemzugang mit einem zweiten Faktor tatsĂ€chlich gegen Angriffe zu schĂŒtzen.

CosmoKey ist klein, handlich und mit einer robusten weißen KunststoffhĂŒlle bequem mit sich zu fĂŒhren. Aber: er muss mit sich gefĂŒhrt werden. In Zeiten, in denen die technologische Devise „weniger ist mehr“ lautet, kein unwichtiger Aspekt. Ist ein Token noch zeitgemĂ€ĂŸ? Und warum auf einen Token zurĂŒckgreifen, wenn es tokenlose Varianten der Authentifizierung gibt?

Weil alles andere nicht sicher ist. Die Authentifizierung ĂŒber das Smartphone oder Tablet scheint auf den ersten Blick praktisch, ĂŒberzeugt aber keinesfalls beim Thema Sicherheit. Die tokenlose Multi-Faktor Authentifizierung spart die Anschaffung von Hardware-Token und deren Verwaltung und nutzt stattdessen die existierenden EndgerĂ€te des Nutzers wie Smartphone oder Tablet.

Die grĂ¶ĂŸte aller Schwachstellen liegt bei der tokenlosen Authentifizierung in der mangelnden Trennung der beiden Authentifizierungswege. Wird z.B. ein One Time Password (OTP) oder ein USB-Stick genutzt, so wird eine Verbindung zwischen dem GerĂ€t, auf dem der Login stattfindet, und dem GerĂ€t, das als zusĂ€tzlicher Faktor eingesetzt wird, hergestellt. In dem ersten Fall wird das OTP an der Stelle eingegeben, an der auch der Login stattfindet. Bei einem USB-Stick besteht ĂŒber die Schnittstelle eine direkte Verbindung zum EndgerĂ€t des Nutzers. Genau diese Verbindung ist die grĂ¶ĂŸte Schwachstelle und Angriffspunkt fĂŒr Hacker.

Die Authentifizierung ĂŒber das Smartphone bringt nur einen geringen Sicherheitsvorteil. Die meist mangelhaften Sicherheitsvorkehrungen bei Smartphones und die Schnittstelle zum Internet bieten Angreifern beste Voraussetzungen. Ist das Smartphone oder der PC mit Schadsoftware infiziert, kann der Datenaustausch abgefangen werden und die fĂŒr vermeintliche Sicherheit sorgenden Codes bieten keinen Mehrwert.

Außerdem erschwert die Nutzung von privater Hardware fĂŒr berufliche Zwecke (BYOD, Bring your own device) die Durchsetzung einheitlicher Sicherheitsstandards. Schwachstellen auf mobilen GerĂ€ten bleiben hĂ€ufig offen – und werden so zum Angriffspunkt fĂŒr die IT-Sicherheit. Zugleich sorgt die große Verbreitung, das immer grĂ¶ĂŸere Nutzungsspektrum und die Menge der Daten, die sich auf den GerĂ€ten befindet, dafĂŒr, dass mobile GerĂ€te ein immer attraktiveres Ziel fĂŒr Angreifer werden.

Authentifizierung-Apps haben den Vorteil, dass die Sicherheitscodes nicht via Internet ĂŒbertragen werden. Alle anderen oben beschriebenen Sicherheitsschwachstellen bleiben jedoch bestehen: Ist das Smartphone infiziert, können auch die Sicherheitscodes betroffen sein.
Auch bei der Verwendung von USB-Sticks gibt es unsichere Komponenten. Ist zum Beispiel der USB-Anschluss des Rechners nicht gesperrt, kann jeder ĂŒber diese Schnittstelle Daten aus der Firma tragen. Und fremde, mit Schadsoftware verseuchte USB-Sticks können in Betriebssystemen viel Unheil anrichten. Dazu kommt, dass unterschiedliche GerĂ€te unterschiedliche Schnittstellen aufweisen, fĂŒr die passende Adapterkabel benötigt werden.

Bei allen beschriebenen Authentifizierungsarten gibt es keine physische Trennung der AuthentifizierungskanÀle. Sowohl bei One Time Passwords (OTP), Authentifizierung-Apps oder USB-Sticks gibt es eine direkte Verbindung des zweiten Faktors zu dem GerÀt, auf dem auch der Login stattfindet. Diese Verbindung hebelt das Prinzip einer klassischen Zwei-Faktor-Authentifizierung praktisch aus.


ï»ż