Bringt das denn etwas für die Sicherheit?

Der Kryptoexperte Bruce Schneier fand Risk Based Authentication im Jahr 2013 einen guten Gedanken. Auf seinem Blog schrieb er: "Ich mag diese Idee, jedem einzelnen Anmeldeversuch eine Risikobewertung zu geben, die auf den Merkmalen des Versuchs basiert."

Dem ist nicht zu widersprechen, denn wenn ein RBA-System gut implementiert ist, können die für die Risikobewertung abgeglichenen Informationen durchaus als ein eigenständiger Faktor in der Authentifizierung gesehen werden. Nutzer geben die Credentials ihres Kontos ein, wenn dann auch noch der benutzte Computer zu diesem Konto passt, sind mehr Faktoren erfüllt als nur eine gültige Kombination von Username und Passwort.

Dass das Konzept als Sicherheitsmaßnahme brauchbar erscheint, ist jedoch nicht alles. Die Qualität der Implementierung ist ebenfalls wichtig, genauso wie die Kalibrierung der Sicherheitsschwellen mit der Konfiguration. Nicht zuletzt muss es auch eine Analyse der Angriffswege geben, um herauszufinden, ob da nicht ein paar unerwartete Schwachstellen warten.

Das für die Risikobewertung in einem RBA-System verantwortliche Modul ist oft ein Stück Software, das auf Machine-Learning-Konzepten basiert. So ein System kann mit den Daten aus den bisherigen Logins in das gleiche Konto trainiert werden oder mit den gleichen Daten anderer Konten, um Unterschieden zwischen verschiedenen Nutzern mehr Gewicht zu verschaffen.

Allerdings ist es auch wichtig, in ein System Erkenntnisse aus der Sicherheitslage für so ein System generell einfließen zu lassen. Denn neue Bedrohungen, Taktiken oder Werkzeuge können es Angreifern ermöglichen, veraltete Strategien mühelos auszuhebeln. Ein schlechtes System ist schwerlich in der Lage, eine fundierte Bewertung des Risikos abzugeben. Es ist damit praktisch wertlos, weil die Bewertung nur noch einem gewichteten Zufall entspricht.

Die Kalibrierung des Systems ist wichtig, weil hier Grenzwerte festgelegt werden. Ein RBA-System, das bei jedem Wechsel der WAN-IP-Adresse des heimischen Routers meldet, der Loginversuch könne kaum von der berechtigten Person sein, wird wahrscheinlich noch weniger von den Nutzern akzeptiert als eine Zwei-Faktor-Athentifizierung. Ein System, das sich sprichwörtlich zurücklehnt und alles durchwinkt, bietet wiederum keinerlei Sicherheitsvorteil gegenüber einer einfachen Authentifizierung.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auch die Authentifizierungsmethoden sind wichtig

Nicht zuletzt - das gilt aber nicht nur für RBA-Systeme - hängt die Sicherheit auch davon ab, welche zusätzlichen Authentifizierungsmethoden gefordert werden, wenn das System findet, das Risiko sei hoch. Als Negativbeispiel sei hier Facebook aus der Frühzeit der RBA-Systeme genannt: Hier mussten die auf Briefmarkenformat verkleinerten Profilfotos von in Facebook als Freunde markierten Personen identifiziert werden.

Was für manche Nutzer ein amüsantes Spielchen war, konnte für Menschen mit vielen Facebook-Freunden schnell zum Problem werden - ganz abgesehen von den Fällen, in denen mal wieder eine große Solidaritätsaktion lief, in der alle ein bestimmtes Bild als Profilbild nehmen sollten. Das Schlimmste an dem Ansatz jedoch war, dass viele Freundeslisten öffentlich waren - ein Angreifer, der sich ernsthaft Zugang zu einem Account verschaffen wollte, hätte also einfach auf einem anderen Gerät nachschauen können.

Aber auch heutzutage ist nicht alles gut. Neben Microsoft mit seinen Outlook-Accounts tritt auch hier wieder Facebook auf - diesmal in Form der Tochter Instagramm.