Datenbewusste Nutzer haben ein Problem

Es hilft dabei nicht, dass viele Nutzer ein falsches Bild von RBA haben. Laut einer Studie von Stephan Wiefling, Markus Dürmuth und Luigi Lo Iacono bewerteten Probanden die RBA-Benutzerfreundlichkeit deutlich höher als die der Zwei-Faktor-Authentifizierung. Gleichzeitig empfanden die Testpersonen die Sicherheit von RBA-Systemen aber auch als fast so hoch wie die Zwei-Faktor-Authentifizierung.

Stellenmarkt
  1. Cloud Engineer / Cloud Architect mit Fokus auf Google Cloud Platform (m/f/x)
    Wabion GmbH, Stuttgart, Köln, deutschlandweit (Home-Office)
  2. Mitarbeiter (m/w/d) - Planung und Betrieb des Kommunikationsnetzes
    Universität Hamburg, Hamburg
Detailsuche

Die Forscher gaben in der Studie allerdings auch zu, dass das Sicherheitsempfinden durch relativ häufiges Triggern einer zweiten Authentifzierungsmethode entstand. "Wir gehen davon aus, dass die Neuauthentifizierung eine wichtige Rolle für das hohe Schutzgefühl gespielt hat." Alle 2FA- und RBA-Teilnehmer hätten die zusätzliche Authentifizierung als Grund genannt, dass sie sich geschützt fühlten.

Zusammenfassen lässt sich das auch so: Die Nutzer fühlten sich dadurch, dass hin und wieder nach einer zweiten Authentifizierung gefragt wurde, fast so sicher wie bei einem Zwei-Faktor-System, das dies immer macht. Gleichzeitig empfanden sie sich aber auch weniger bei ihren alltäglichen Aufgaben gestört, weil die Anforderung nach einem weiteren Code weniger häufig passierte. Für die Usability ist RBA also gut, für das Sicherheitsempfinden auch - zumindest, wenn wirklich hin und wieder nach weiteren Authentifizierungsmethoden gefragt wird.

Ein interessanter Punkt am Rande: Die Probanden fanden es deutlich besser, einen zusätzlichen Sicherheitscode per E-Mail zu empfangen, als für den gleichen Code ihre Telefonnummer angeben zu müssen.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
Weitere IT-Trainings

Für den Datenschutz ist das alles nicht besonders gut. Denn für die Risikobewertung der RBA-Systeme müssen eine Menge Daten gesammelt, einem Benutzer zugeordnet und möglichst lange gespeichert bleiben, damit die Bewertung aussagekräftig bleibt. So wird durch RBA das Gebot der Datenminimierung aus der europäischen Datenschutz-Grundverordnung praktisch ausgehebelt.

Es kann plötzlich begründet werden, dass es absolut notwendig ist, eine Menge Nutzerdaten abzuspeichern und auch auf lange Sicht zu behalten. Schließlich ist hier die Sicherheit betroffen und es liegt damit ein Grund vor, wieso diese Daten überhaupt gespeichert werden dürfen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mit Informationen, die sich nicht direkt aus einem Browser auslesen lassen, gehen viele Nutzer zwar immer vorsichtiger um. Sie geben sie häufig nicht mehr auf einer Webseite an. Wenn das unter dem Motto "Mehr Sicherheit" passieren soll, werden sie aber doch wieder dazu verleitet.

Wer seine Daten nicht angibt, wird mitunter blockiert

Wer datenbewusst surft, hat also ein Problem mit RBA. Schon bei der Benutzung eines VPNs, dazu ein Browser im Incognito-Modus ohne Plugins mit ausgeschaltetem Javascript haben RBA-Systeme kaum eine Chance, diesem Nutzer eine so geringe Risikobewertung zu erteilen, dass das nächste Athentifizierungslevel ausbleibt.

Das Ergebnis ist in den meisten Fällen so etwas wie eine Zwei-Faktor-Authentifizierung, die aber für datenbewusste Nutzer immer noch den Nachteil hat, dass versucht wird, die entsprechenden Daten vorzuhalten. Manche Systeme finden nicht identifizierbare User aber so schlimm, dass der Loginversuch nicht durch einen zweiten oder dritten Faktor erweitert wird. Stattdessen wird der Zugriff auf das Konto ganz verhindert. Frei nach dem Motto: Wenn du uns deine Daten nicht gibst, geben wir dir auch dein Konto nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Manchen können schlechte Absichten unterstellt werdenRBA sollte nicht für wichtige Accounts genutzt werden 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


mucpower 07. Jun 2021

genau das ist das Problem. Deine Telefonnummer hat irgendjemand aus dem Bekanntenkreis...

tom.stein 26. Mai 2021

Der Gedankenansatz, dass man für RBA irgendwelche weiteren dem Benutzer zugeordneten...

Cilli 26. Mai 2021

Ich kann der Einschätzung des Autors nicht zustimmen. RBA kommt vor allem bei Diensten in...

Blaubeerchen 26. Mai 2021

Artikulierung und Formatierung spielen nun mal auch ne Rolle, das sollte man gerade als...

Blaubeerchen 26. Mai 2021

Ich z.B. nutze eine physische Zweit-SIM-Karte einfach als reinen Empfängerdienst für 2FA...



Aktuell auf der Startseite von Golem.de
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"

Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
Ein Praxistest von Oliver Nickel

Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
Artikel
  1. eStream: Airstream-Wohnwagen mit eigenem Elektroantrieb
    eStream
    Airstream-Wohnwagen mit eigenem Elektroantrieb

    Der Wohnwagen Airstream eStream besitzt einen eigenen Elektroantrieb nebst Akku. Das entlastet das Zugfahrzeug und eröffnet weitere Möglichkeiten.

  2. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  3. Rainbow Six Extraction im Test: Elitesoldaten gegen Ekelmonster
    Rainbow Six Extraction im Test
    Elitesoldaten gegen Ekelmonster

    Bis zu drei Soldaten im Kampf gegen Außerirdische: Rainbow Six Extraction bietet taktisch anspruchsvolle Einsätze statt wilder Action.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 120,95€ • Alternate (u.a. AKRacing Master Pro Deluxe 449,98€) • Seagate FireCuda 530 1 TB (PS5) 189,90€ • RTX 3070 989€ • The A500 Mini 189,90€ • Intel Core i9 3.7 459,50€ • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /