RBA sollte nicht für wichtige Accounts genutzt werden

RBA funktioniert nur bei Menschen gut, die immer das oder die gleichen Geräte mit der gleichen Software (vor allem Browser) nutzen, die zudem viele Trackinginformationen verraten muss. Ist das nicht der Fall, weil Nutzer immer wieder neue Geräte nutzen, auf Reisen sind oder einfach Datenschutz wichtig finden, gibt es Probleme. Denn dann kommt das RBA-System trotz aktivierter und durchgeführter Zwei-Faktor Authentifizierung zu dem Schluss, dass das zu gefährlich ist und der Nutzer draußen bleiben muss - manchmal auch gleich für länger.

Risk Based Authentication hat seine Daseinsberechtigung. Aber es muss entsprechend gut umgesetzt sein und dazu gehört eigentlich auch, dass Nutzer über den Einsatz eines solchen Tools informiert werden - schließlich findet hier völlig transparent im Hintergrund ein User-Profiling statt. Wer das nicht will, sollte die Möglichkeit bekommen, auf ein Zwei-Faktor-System umzustellen und den RBA-Ansatz gleich auszuschließen.

Für wirklich sicherheitsbedürftige Anwendungen kommt RBA in seiner öffentlichen Form - also als Entscheidung darüber, ob ein zweiter Faktor angefordert werden soll - ohnehin nicht in Frage. So setzen beispielsweise Systeme mit Online-Banking-Funktionen Zwei-Faktor-Authentifizierung sowieso voraus. Eine RBA ist da höchstens im Hintergrund sinnvoll, etwa um einem Bankkunden bei auffälligen Transaktionen eine E-Mail oder SMS zu schicken, er möge sich bitte beim Kundendienst melden, wenn er das nicht selbst war.

Durch die Weitergabe von Nutzerprofilen, die Dritte simulieren können, hat RBA sogar eine gefährliche Komponente. RBA erweckt für Nutzer den Eindruck, betroffene Accounts sind besser abgesichert, als sie es tatsächlich sind: Loggen sie sich von einem fremden Computer ein, werden sie aufgefordert, sich über einen zweiten Faktor zu authentifizieren.

Hacker haben aber die Möglichkeit, ihren Computer als den des Nutzers für das System erscheinen zu lassen. So ändert sich lediglich die IP-Adresse, was die Systeme aber normalerweise durchwinken müssen, damit sie nicht jeden einzelnen Tag den zweiten Faktor anfordern müssen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Für manche, nicht ganz so wichtige Accounts ist RBA zweifellos eine Alternative. Es hat sogar eine Daseinsberechtigung für Hochsicherheitssysteme. Aber als einfache, angeblich benutzerfreundliche Alternative, einen einfachen Username-Password-Login auf ein ganz anderes Niveau zu heben, taugt es nicht. In dieser Verwendung ist es eher als kontraproduktiv für die Verbreitung von Zwei-Faktor-Authorisierungen zu sehen. Und für den Datenschutz ist es ohnehin katastrophal.