Datenbewusste Nutzer haben ein Problem

Es hilft dabei nicht, dass viele Nutzer ein falsches Bild von RBA haben. Laut einer Studie von Stephan Wiefling, Markus Dürmuth und Luigi Lo Iacono bewerteten Probanden die RBA-Benutzerfreundlichkeit deutlich höher als die der Zwei-Faktor-Authentifizierung. Gleichzeitig empfanden die Testpersonen die Sicherheit von RBA-Systemen aber auch als fast so hoch wie die Zwei-Faktor-Authentifizierung.

Stellenmarkt
  1. IT-Serviceverantwortliche*r für den Bereich Netzwerk
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e. V., München
  2. Referent_in Datenschutz
    Diözesan-Caritasverband für das Erzbistum Köln e.V., Köln
Detailsuche

Die Forscher gaben in der Studie allerdings auch zu, dass das Sicherheitsempfinden durch relativ häufiges Triggern einer zweiten Authentifzierungsmethode entstand. "Wir gehen davon aus, dass die Neuauthentifizierung eine wichtige Rolle für das hohe Schutzgefühl gespielt hat." Alle 2FA- und RBA-Teilnehmer hätten die zusätzliche Authentifizierung als Grund genannt, dass sie sich geschützt fühlten.

Zusammenfassen lässt sich das auch so: Die Nutzer fühlten sich dadurch, dass hin und wieder nach einer zweiten Authentifizierung gefragt wurde, fast so sicher wie bei einem Zwei-Faktor-System, das dies immer macht. Gleichzeitig empfanden sie sich aber auch weniger bei ihren alltäglichen Aufgaben gestört, weil die Anforderung nach einem weiteren Code weniger häufig passierte. Für die Usability ist RBA also gut, für das Sicherheitsempfinden auch - zumindest, wenn wirklich hin und wieder nach weiteren Authentifizierungsmethoden gefragt wird.

Ein interessanter Punkt am Rande: Die Probanden fanden es deutlich besser, einen zusätzlichen Sicherheitscode per E-Mail zu empfangen, als für den gleichen Code ihre Telefonnummer angeben zu müssen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Für den Datenschutz ist das alles nicht besonders gut. Denn für die Risikobewertung der RBA-Systeme müssen eine Menge Daten gesammelt, einem Benutzer zugeordnet und möglichst lange gespeichert bleiben, damit die Bewertung aussagekräftig bleibt. So wird durch RBA das Gebot der Datenminimierung aus der europäischen Datenschutz-Grundverordnung praktisch ausgehebelt.

Es kann plötzlich begründet werden, dass es absolut notwendig ist, eine Menge Nutzerdaten abzuspeichern und auch auf lange Sicht zu behalten. Schließlich ist hier die Sicherheit betroffen und es liegt damit ein Grund vor, wieso diese Daten überhaupt gespeichert werden dürfen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mit Informationen, die sich nicht direkt aus einem Browser auslesen lassen, gehen viele Nutzer zwar immer vorsichtiger um. Sie geben sie häufig nicht mehr auf einer Webseite an. Wenn das unter dem Motto "Mehr Sicherheit" passieren soll, werden sie aber doch wieder dazu verleitet.

Wer seine Daten nicht angibt, wird mitunter blockiert

Wer datenbewusst surft, hat also ein Problem mit RBA. Schon bei der Benutzung eines VPNs, dazu ein Browser im Incognito-Modus ohne Plugins mit ausgeschaltetem Javascript haben RBA-Systeme kaum eine Chance, diesem Nutzer eine so geringe Risikobewertung zu erteilen, dass das nächste Athentifizierungslevel ausbleibt.

Das Ergebnis ist in den meisten Fällen so etwas wie eine Zwei-Faktor-Authentifizierung, die aber für datenbewusste Nutzer immer noch den Nachteil hat, dass versucht wird, die entsprechenden Daten vorzuhalten. Manche Systeme finden nicht identifizierbare User aber so schlimm, dass der Loginversuch nicht durch einen zweiten oder dritten Faktor erweitert wird. Stattdessen wird der Zugriff auf das Konto ganz verhindert. Frei nach dem Motto: Wenn du uns deine Daten nicht gibst, geben wir dir auch dein Konto nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Manchen können schlechte Absichten unterstellt werdenRBA sollte nicht für wichtige Accounts genutzt werden 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Aktuell auf der Startseite von Golem.de
Star Trek
Playmobil bringt 1 Meter langes Enterprise-Spielset

Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
Artikel
  1. Materialforschung: Leichtes Schallschutzmaterial für leisere Luftfahrt
    Materialforschung
    Leichtes Schallschutzmaterial für leisere Luftfahrt

    Das Material wiegt nicht einmal ein Zehntel so viel wie heute eingesetzter Schaum zur Schalldämmung. Einsatzmöglichkeiten sehen die Erfinder vor allem in der Luftfahrt.

  2. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

  3. World of Warcraft, Pokémon, Bitcoin: Moba Pokémon Unite startet schon bald
    World of Warcraft, Pokémon, Bitcoin
    Moba Pokémon Unite startet schon bald

    Sonst noch was? Was am 18. Juni 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

mucpower 07. Jun 2021 / Themenstart

genau das ist das Problem. Deine Telefonnummer hat irgendjemand aus dem Bekanntenkreis...

tom.stein 26. Mai 2021 / Themenstart

Der Gedankenansatz, dass man für RBA irgendwelche weiteren dem Benutzer zugeordneten...

Cilli 26. Mai 2021 / Themenstart

Ich kann der Einschätzung des Autors nicht zustimmen. RBA kommt vor allem bei Diensten in...

Blaubeerchen 26. Mai 2021 / Themenstart

Artikulierung und Formatierung spielen nun mal auch ne Rolle, das sollte man gerade als...

Blaubeerchen 26. Mai 2021 / Themenstart

Ich z.B. nutze eine physische Zweit-SIM-Karte einfach als reinen Empfängerdienst für 2FA...

Kommentieren


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport: bis zu 70% Rabatt (u. a. WD Black SN750 1TB 109,90€) • Prime-Filme leihen für je 0,99€ • Weekend Deals (u. a. Seagate Expansion+ 4TB 89,90€) • 10% auf Gaming bei Ebay (u. a. AMD Ryzen 7 5800X 350,91€) • Apple Weekend bei MediaMarkt [Werbung]
    •  /