So wie Investmentbanken Datenmodelle für die Prognose von Marktentwicklungen nutzen oder Versicherungsunternehmen zur Vorhersage von Unfällen, könnte auch die Nutzerauthentifizierung bald auf ähnliche Datenanalytik zurückgreifen.
Security-Teams in Unternehmen nutzen maschinelles Lernen, um in Daten Muster im Zusammenhang mit Anmeldezeiten, Standorten und Gerätegröße zu finden und zu sammeln. Ziel ist es, normales von abnormalem Nutzerverhalten effizienter unterscheiden zu können und die Legitimität einer Aktion im Einzelfall selbstständig zu identifizieren.
Foto: CYCLONEPROJECT - shutterstock.com
Dies baut auf dem Konzept der adaptiven Authentifizierung auf. Demnach kann eine Risikoeinstufung durchgeführt und die Zugriffsrechte, entsprechend des Aufgabenbereichs und der damit verbundenen Befugnisse, angepasst werden.
Maschinelles Lernen wird genutzt, um detailliertere Benutzerprofile zu erstellen, indem auf die Anschlagsmuster von Nutzern reagiert wird oder bestimmte Bluetooth-Geräte hinterlegt werden, die sich tendenziell in der Nähe des Zugangsgeräts befinden. Jede Abweichung von der Norm könnte zu einer höheren Risikoeinstufung des führen. Je abnormaler die Umstände einer Anmeldung oder je kritischer die Daten auf die zugegriffen wird, desto mehr Authentifizierungsfaktoren sind letztendlich erforderlich.
Lesetipp: 10 kostenlose KI-Tools für Entwickler
Mit diesem Ansatz kann die Sicherheit gewahrt und der Nutzer gleichzeitig entlastet werden. Man stelle sich vor, man prüft ein Bankkonto, führt aber keine Transaktion durch. Tut man dies von einem gängigen und dem System bekannten Ort aus und nutzt dabei ein bekanntes Gerät, könnte das ein einziges Passwort oder vielleicht überhaupt keine Zugangsdaten erfordern.
Wenn man aber tatsächlich Geld bewegen oder das von einem bisher unbekannten Gerät oder Ort aus erledigen möchte, kann dafür die Nutzung eines zweiten Authentifizierungsfaktors, wie ein per Textnachricht versendetes, einmaliges Passwort erforderlich sein. Die gleichen Richtlinien können für einen IT-Administrator gelten. Versucht dieser, Anpassungen in einem System vorzunehmen - beispielsweise das Hinzufügen eines Nutzers - muss er möglicherweise mehrere Faktoren wie ein Hardware-Token und ein Passwort nutzen. Er könnte diesen Schritt aber überspringen, wenn es lediglich darum geht, die Anzahl der Nutzer zu überprüfen.
Die Balance machts
Diese neuen Methoden verlangen sowohl dem Menschen als auch der Maschine Einiges ab. Wenn automatisierte Algorithmen eine Risikobewertung liefern, kann der Administrator eine Einzelfall-Prüfung durchführen. Es geht darum, die richtige Balance zu finden, sodass es am Ende nicht zu viele gültige Nutzer gibt, die False-Negative-Meldungen erzeugen, weil sie zufällig versuchen, sich außerhalb der vorhandenen Parameter einzuloggen. Im Idealfall kann maschinelles Lernen jedoch dazu genutzt werden, die Qualität der Risikobewertung zu verbessern und die Anmeldung zu vereinfachen.
Eine der Schwierigkeiten ist, dass die meisten dieser Methoden darauf beruhen, mehr Informationen über Nutzer und ihre Umgebungen zu erlangen - was oftmals Alarm in Sachen Datenschutz auslöst. Beispielsweise könnten in Europa Bemühungen, der DSGVO gerecht zu werden, mit dieser Art der Datenerfassung in Konflikt geraten.
Doch obwohl in den letzten Jahren neue Befürchtungen der Öffentlichkeit aufkamen, entwickelte sich auch noch ein anderer Trend: der auf die Benutzerfreundlichkeit ausgerichtete Fokus der Technik-Branche - oftmals zulasten der Sicherheit. Mit der Einführung von Technologien wie PKI (Public Key Infrastructure) und Smart Cards waren die 1990er und die frühen 2000er weitaus stärker auf die Sicherheit ausgerichtet. Allerdings waren diese Lösungen schwerfällig und fanden außerhalb ihrer Nischenmärkte nur begrenzt Akzeptanz. Nun werden vermehrt praktischere Optionen wie Cloud-basiertes Single-Sign-On (SSO) und etwas weniger sichere Methoden, wie SMS- und Software-basiertem Schutz, angewandt. Das Optimum liegt irgendwo in der Mitte.
Um diesen Mittelweg zu finden, wird wohl die Wiedereinführung von Hardware-Tokens nötig sein, allerdings auf nutzerfreundlichere Art, nämlich mithilfe von Smartphhones als smarte Hardware-Tokens. Es gibt eindeutige Belege für eine allgemeine Passwortmüdigkeit. Die Menschen sind jetzt mehr denn je an reibungslosen Authentifizierungsmethoden, wie Zero-Log-in und impliziter Authentifizierung interessiert. Hierüber können Systeme oder Geräte Sensoren und Algorithmen für maschinelles Lernen nutzen, um Nutzer problemlos anhand Ihres Verhaltens zu erkennen.
Die Branche spricht schon seit einiger Zeit über diese Konzepte - jetzt nehmen sie endlich Gestalt an. In den nächsten zwei bis drei Jahren werden sich neue Möglichkeiten kontextbasierter, risikobasierter und impliziter Authentifizierung und Zugriffsmanagement etablieren. Die Herausforderung ist es dabei, die richtige Balance zwischen Nutzerfreundlichkeit, Sicherheit und Datenschutz zu finden.