FIDO2-Authentifizierung im Einsatz:Hilft bei der Einhaltung gesetzlicher Vorschriften
12. Oktober 2021Unternehmen unterliegen einem immer komplexeren Netzwerk von Vorschriften, Rechtsprechungen und Standards, die Sicherheits- und Datenschutzanforderungen vorschreiben. Ein gemeinsamer Nenner in allen Regularien ist die Notwendigkeit einer starken Authentifizierung – und hier kommt FIDO2 ins Spiel.
Starke Authentifizierung ist der Schlüssel zur Bekämpfung eines großen Teils der Cyber-Angriffe, einschließlich solcher, die auf gestohlenen Anmeldedaten und anschließendem Credential Stuffing basieren. Vor allem der Einzelhandel ist ein lukratives Ziel für Angriffe mittels Credential Stuffing, die jedes Jahr zu Milliardenverlusten führen.
FIDO2 bietet eine hochsichere, starke Authentifizierung, da es auf passwortlosen, mehrstufigen Authentifizierungstechnologien basiert. Mindestens ein Faktor ist dabei die Public-Key-Kryptografie. Einer der großen Vorteile von FIDO2 ist, dass es nicht anfällig für Phishing, Man-in-the-Middle- und andere Angriffe auf die Benutzerdaten ist.
Aus diesem Grund kann FIDO2 zu einem Enabler für die Einhaltung von Vorschriften werden. Im Folgenden werden wir beispielhaft zwei Anwendungsfälle beleuchten, in denen FIDO2 die Einhaltung von Datenschutz- und Sicherheitsvorschriften vereinfacht, nämlich die DSGVO und die PSD2.
Compliance mit DSGVO
Laut der europäischen Datenschutzrichtlinie haben Bürger der EU das Recht auf Zugang, Berichtigung, Löschung und Übertragbarkeit ihrer personenbezogenen Daten. Eine Schlüsselkomponente für die sichere Bereitstellung dieser Funktionen ist die Überprüfung der Authentizität und Gültigkeit der Identität von Personen, die diese Datenrechte ausüben. Daher müssen Organisationen, die solche personenbezogenen Daten speichern und verarbeiten, nachweisen, dass eine Person eine Änderung ihrer Daten beantragt hat. Andernfalls könnte es zu Verstößen gegen andere regulatorische Anforderungen kommen.
Um ein Multi-Faktor-Authentifizierungssystem durchzusetzen, nutzen viele Organisationen Lösungen mit Biometrie als zweiten Faktor. Laut DSGVO sind biometrische Daten jedoch sensible personenbezogene Daten und die Verarbeitung solcher Daten ist verboten – es sei denn, die Organisation erfüllt eine Handvoll Bedingungen.
Eine der Bedingungen, die für die Aufhebung der Einschränkung der Verarbeitung biometrischer Daten erforderlich ist, besteht darin, diese Daten lokal auf einem privaten Gerät zu speichern und dieses Attribut nicht außerhalb des Geräts zu übertragen. Während des Authentifizierungsprozesses soll nur ein Token übertragen werden, das den Erfolg oder Misserfolg der Personenerkennung anzeigt.
Der FIDO2-Standard und die unterstützten Geräte umfassen den Schutz persönlicher Daten und ermöglichen eine vereinfachte und dennoch effiziente Authentifizierung. FIDO2 basiert auf Public-Key-Kryptografie, wobei die Schlüssel lokal auf dem Authentifizierungsgerät generiert und gespeichert werden. Die Authentifizierungsantwort ist verschlüsselt und schützt vor Phishing- und Man-in-the-Middle-Angriffen. Gespeichert und verarbeitet werden die biometrischen Daten nur auf dem Gerät des Benutzers.
Compliance mit PSD2
Die Zahlungsdienste-Richtlinie der Europäischen Union (PSD2) zielt auf die Schaffung eines integrierten europäischen Zahlungsmarkts ab, der die Zahlungen zum Schutz der Verbraucher sicherer und zuverlässiger macht. Eine der wichtigsten Anforderungen der PSD2 ist die Notwendigkeit einer starken Kundenauthentifizierung (Strong Customer Authentication, SCA) durch die Verwendung mehrerer Authentifizierungsfaktoren, bei denen die Verletzung eines der Elemente die Zuverlässigkeit der anderen Elemente nicht beeinträchtigt.
Um diese Sicherheitsanforderung zu erreichen, verlangt die PSD2-Richtlinie von Zahlungsdienstleistern den Einsatz eines Mehrzweckgeräts, das die Unabhängigkeit der Authentifizierungsfaktoren durch die Verwendung von getrennten sicheren Ausführungsumgebungen schützt.
Banken und Zahlungsdienstleister können die FIDO2-akkreditierten Geräte nutzen, um die Compliance-Anforderungen der Europäischen Bankenaufsicht zu erfüllen. Die Verwendung asymmetrischer Kryptographie hilft, alle bekannten Angriffe zu entschärfen, die auf „shared Secrets“ wie z.B. Passwörter abzielen. Die Biometrie und die verwendeten Sicherheitsschlüssel validieren die Authentifizierungsfaktoren „Merkmal“ und „Besitz“ und bieten gleichzeitig einen erhöhten Benutzerkomfort. Wie bereits erwähnt, verlassen die biometrischen Daten niemals das FIDO2-Authentifizierungsgerät und ermöglichen so die Einhaltung der DSGVO-Anforderungen zum Schutz sensibler persönlicher Daten.
Wie man sieht, bietet FIDO2 eine benutzerfreundliche, passwortlose Multi-Faktor-Authentifizierungslösung, die mit anderen etablierten Authentifizierungsmechanismen integriert werden kann. Die Frage, die Unternehmen beantworten müssen, ist, welches der von verschiedenen Anbietern angebotenen Geräte sie wählen sollten.
Oliver Ott ist Regional Sales Director DACH IAM bei Thales.