Moderne Authentifizierung: eine Übersicht
Erfahren Sie mehr über moderne Authentifizierung und welche Technologien sie definieren. Finden Sie heraus, wie es Organisationen dabei hilft, anspruchsvolle Bedrohungen abzuwehren und gleichzeitig die Benutzer*innen dabei unterstützt, produktiv zu bleiben.

Au-then-ti-fi-zierung
/əˌTHen(t)əˈkāSHən,ôˈTHen(t)əˈkāSHən,äˈTHen(t)əˈkāSHən/
Substantiv
Bezeichnet das Verfahren, mit dem die Echtheit oder Originalität einer Tatsache oder eines Dokuments nachgewiesen wird.
„Die Drucke werden mit seinem Siegel versehen und von einem Echtheitsschreiben begleitet.“
- In der Informatik: bezeichnet das Verfahren zur Überprüfung der Identität eines Benutzers oder eines Prozesses.
„Die Authentifizierung der Benutzer*innen für jedes Gerät sorgt dafür, dass die Person, die das Gerät benutzt, dem Unternehmen bekannt ist.“
Authentifizierung findet überall statt.
Jeder, der in den letzten drei Jahrzehnten versucht hat, Geld von einer Bank abzuheben, Kopien von Krankenakten anzufordern oder einen Computer zu benutzen, ist mit dem Verfahren vertraut, einen Nachweis zu erbringen, der bestätigt, dass die Person diejenige ist, die sie vorgibt zu sein, und in Erweiterung dazu die Erlaubnis hat, Zugang zu dem zu erhalten, was sie beantragt.
Im Falle von Computern dient die Authentifizierung als Sicherheitsbarriere zwischen dem Zugriff auf Informationen, die der oder die Eigentümer*in auf die Personen beschränken möchte, die im Rahmen ihrer beruflichen Aufgaben lesen, ausführen, schreiben, ändern und/oder löschen dürfen.
Zylindersiegel, die um 3500 v. Chr. entstanden sind, gelten als die früheste Form der Authentifizierung. Und während die Steinwerkzeuge, mit denen sie gemacht wurden, nur schwer zu reproduzieren waren, ist nach heutigen Standards etwas weitaus Komplexeres und Unabweisbares erforderlich, um unsere Systeme für Daten, Speicherung und Kommunikation vor den Bedrohungen der heutigen Zeit zu schützen.
In diesem Blog behandeln wir genau das: moderne Authentifizierung für die Datenverarbeitung, sowie:
- eine Erklärung, was moderne Authentifizierung ausmacht
- die wichtigsten Komponenten der Authentifizierung
- die Funktionen moderner Authentifizierungsmethoden
- Beispiele und Anwendungsfälle aus der Praxis
Was ist moderne Authentifizierung?
Wir steigen in unsere Zeitmaschine und reisen durch die Zeit - von 3500 v. Chr. bis ins 21. Jahrhundert: Die moderne Authentifizierung ist eine Methode zur Überprüfung der Identität von Benutzer*innen durch die Verwendung mehrerer Faktoren.
Da die Datensicherheit sowohl für Unternehmen als auch für Benutzer*innen von größter Bedeutung ist und es weltweit durchschnittlich 3,6 Geräte pro Benutzer*in gibt, stellte die Notwendigkeit, Daten auf mehreren Geräten zu speichern und gemeinsam zu nutzen, eine Herausforderung dar, die mit herkömmlichen Authentifizierungsmethoden nicht mehr bewältigt werden konnte (mehr zu diesen Unterschieden später). Um den heutigen Anforderungen gerecht zu werden, wurden neue Komponenten entwickelt, die helfen, Daten, Geräte und Benutzer*innen vor unberechtigtem Zugriff zu schützen. Im nächsten Abschnitt werden wir auf die einzelnen Komponenten eingehen, aber zunächst einmal ist die Liste der Komponenten wie folgt:
-
Authentifizierungsmethoden
- Multi-Faktor-Authentifizierung (MFA)
- Passwortlose Authentifizierung
- Biometrische Daten
- Adaptive Authentifizierung
-
Autorisierte Methoden
- OAuth
- OpenID Connect (OIDC)
- Security Assertion Markup Language (SAML)
- Bedingte Zugriffsrichtlinien
Authentifizierungsmethoden: traditionell vs. modern
Die Geschichte lehrt uns zwar, dass es schon immer notwendig war, etwas zu authentifizieren - sei es ein königliches Dekret oder ein personengebundenes Dokument -, aber mit der fortschreitenden Technologie wuchs auch das Bedürfnis der Zivilisation nach einer besseren Kontrolle über den Schutz vertraulicher Daten.
Bei den traditionellen Authentifizierungsmethoden, die auch heute noch verwendet werden, geht es zum Beispiel um Passwörter oder PIN-Codes, damit Unbefugten der Zugang verwehrt bleibt. Diese Methoden haben jahrzehntelang gut funktioniert, aber in der modernen Bedrohungslandschaft entwickeln Bedrohungsakteure immer anspruchsvollere Angriffe, die mehrere Tools wie Wörterbuchangriffe, Social Engineering-Kampagnen, das Ausnutzen von Schwachstellen und - ganz neu - künstliche Intelligenz (KI) und Maschinelles Lernen (ML) nutzen. Heutzutage können Cyberkriminelle unsere geheimen Passwörter leicht erraten, umgehen oder einfach hacken. Dadurch werden herkömmliche Methoden, die sich auf einen einzigen Faktor zum Schutz von Informationen verlassen, einfach ausgehebelt.
Moderne Authentifizierungsmethoden stützen sich auf mehrere Authentifizierungsfaktoren, robuste Autorisierungsprotokolle und bedingte (oder kontextbezogene) Sicherheitsrichtlinien, um die Behauptungen der Benutzer*innen, dass sie die sind, für die sie sich ausgeben, genau zu bewerten. Durch die Kombination mehrerer Faktoren in Ihrem Workflow zur Authentifizierung wechselt die Organisation von den traditionellen Authentifizierungsmethoden, die auf der impliziten Verifizierung eines einzelnen Faktors beruhen, zu modernen Authentifizierungsmethoden, die auf der expliziten Verifizierung von zwei oder mehr Faktoren basieren, bevor eine Zugangsanfrage genehmigt wird. Sollte die Anfrage eines Benutzers die erste Überprüfungsstufe (z. B. Passwort) bestehen, aber die zweite Überprüfungsstufe (z. B. MFA) nicht, dann bleibt der Zugang zu der Ressource verwehrt, sodass die Daten geschützt sind.
Wichtige Funktionen der modernen Authentifizierung
Nach den traditionellen Authentifizierungsmethoden und ihren Schwächen gehen wir in diesem Abschnitt näher auf die verschiedenen Kontrollmechanismen der modernen Authentifizierung ein, also wodurch sie sich unterscheiden und warum sie besser geeignet sind, um die heutigen Sicherheitsanforderungen zu erfüllen.
Multi-Faktor-Authentifizierung(MFA)
MFA bezieht sich auf die Verwendung von mehr als einem unterschiedlichen Faktor, um die Identität eines Benutzenden zu bestätigen. Der Gedanke dabei ist, dass ein*e Angreifer*in alle Faktoren aushebeln muss, um sich Zugang zu einer geschützten Ressource zu verschaffen.
Wie bereits erwähnt, bedeuten die „unterschiedlichen Faktoren“, dass eine ordnungsgemäße Umsetzung von MFA mindestens zwei verschiedene Faktoren aus der nachstehenden Liste enthalten muss:
- etwas, das Sie kennen (z. B. Passwort, Pin-Code, Wiederherstellungscode, One-Time-Passwort (OTP))
- etwas, das Sie sind (d. h. biometrische Daten wie Fingerabdruck, Stimme, Netzhaut-/Gesichtsscan)
- etwas, das Sie haben (z. B. Common Access Card (CAC), RSA-Anhänger, Sicherheitsschlüssel)
Passwortlose Authentifizierung
MFA kombiniert mehrere Faktoren, um die Identität der Benutzer*innen zu überprüfen, bevor sie Zugang erhalten, und bewältigt diese Aufgabe in den meisten Fällen mit Bravour. Meistens wird jedoch einer der Faktoren, nämlich „etwas, das Sie kennen“, in Form des bewährten Passworts umgesetzt.
Das Problem ist, dass Passwörter von Bedrohungsakteuren und Sicherheitsexperten nachweislich leicht zu knacken sind. Dies macht die Praxis „müde und wirklich unsicher“, da die Benutzer*innen unter Passwortmüdigkeit leiden. Unser Verstand muss versuchen, sich individuelle Passwörter für jedes Gerät, jede Website und jeden Service, zu dem wir Zugang haben, auszudenken und zu merken.
Nimmt man noch Bedrohungen wie Phishing oder anspruchsvolle Angriffe dazu, die Passwortabfragen nachahmen, um Benutzer*innen zur Herausgabe sensibler Informationen zu verleiten, wird schnell klar, dass eine Authentifizierung ohne Passwort viele Vorteile hat. Hierbei handelt es sich um eine Authentifizierung, die vertrauenswürdige Geräte auf der Grundlage von sicheren Zertifikaten für die Hardware-Bestätigung nutzt. Diese Informationen werden dann mit anderen Faktoren kombiniert, z. B. mit SMS oder zeitkritischen Mitteilungen, die an eine auf Ihrem Mobilgerät installierte sichere App gebunden sind, oder an biometrische Daten - oder an alle drei.
Einpasswortloser Workflow, der in Ihren Identitätsprovider (IdP) integriert ist, verifiziert nahtlos, dass der Benutzer derjenige ist, der er vorgibt zu sein, und erfordert niemals die Verwendung eines unsicheren Passworts.
Adaptive Authentifizierung
Ein relativer Neuling auf dem Gebiet der Authentifizierung, die adaptive oder risikobasierte Authentifizierung, erhöht die Anzahl der Authentifizierungsfaktoren von den bisher genannten drei auf vier.
Der vierte Faktor verifiziert die Identität eines Benutzers, indem er KI/ML-Technologien nutzt, um den Standort der Benutzer*innen zu bestimmen, den Status ihres Geräts/ihrer Geräte zu analysieren und/oder das Verhalten der Benutzer*innen zu bewerten. Bei der adaptiven Authentifizierung wird nach Qualifizierungsmerkmalen gesucht, die anzeigen, ob die Angaben des*der Benutzer*in legitim sind oder ob diese Variablen die Angaben des Antragstellenden verraten.
Ihre Organisation kann beispielsweise einen Authentifizierungsfaktor so konfigurieren, dass bei jeder Anfrage der physische Standort des Anfragenden ermittelt wird. Wenn ein*e Benutzer*in aus der Ferne Zugang zu einer Ressource anfordert, bei der festgestellt wird, dass die Abfrage des physischen Standorts ein verdächtiger Standort ist, würde eine KI-gesteuerte adaptive Authentifizierung die Anfrage mit der Begründung verweigern, dass die Anfrage von einem Standort außerhalb der zulässigen Liste der physischen Standorte kommt.
Single-Sign-On (SSO)
SSO ist darauf ausgelegt, Identitätsattribute über unabhängige, aber vertrauenswürdige Netze hinweg gemeinsam zu nutzen. Sie wird auch als Föderation oder föderierte Identität bezeichnet. Im Allgemeinen sieht der SSO Workflow etwa so aus:
- Ein Benutzer beantragt Zugang zu einem Anbieter (das kann eine App, eine Website oder ein Service sein).
- Der Anbieter generiert ein SSO-Token und sendet eine Anfrage zur Authentifizierung an den integrierten IdP.
- Der IdP prüft, ob das Benutzerkonto bereits authentifiziert ist:
- Wenn ja, wird eine Bestätigung an den Anbieter gesendet, dass der Benutzer derzeit authentifiziert ist, und der Zugang zur Ressource wird gewährt.
- Wenn nein, leitet der IdP die Anfrage des Benutzers an das Login-Portal weiter. Von hier aus muss der Benutzer seine Anmeldeinformationen eingeben, die der IdP validieren muss. Wenn dies bestätigt wurde, gibt der IdP die Antwort an den Anbieter weiter und der Zugang zur Ressource wird gewährt.
Weil sich SSO leicht integrieren lässt, ist er ein Segen für Organisationen und Benutzer*innen gleichermaßen
Unternehmen genießen folgende Vorteile:
- Ausweitung der sicheren Authentifizierung auf ihre gesamte Infrastruktur
- Integration in ihre Lösung für die Identitäts- und Zugangsverwaltung (IAM)
- Bereitstellung einer zentralisierten Methode zur Authentifizierung und Autorisierung von Benutzeranfragen
- Vereinfachte Verwaltung und mehr Sicherheit für den Workflow zur Authentifizierung für IT- und Sicherheitsteams
Benutzer*innen genießen folgende Vorteile:
- Ein Satz von Anmeldeinformationen für den Zugang zu arbeitsbezogenen Ressourcen
- Zentraler Zugang zu allen genehmigten Websites, Apps und Diensten, die für die Ausübung ihrer Tätigkeit erforderlich sind
- Zugang zu allen genehmigten Ressourcen nach Authentifizierung bei einer Ressource (d. h. keine mehrmalige Eingabe von Anmeldeinformationen pro Tag)
- Konsistenz im SSO Portal; es funktioniert immer gleich, unabhängig vom verwendeten Gerät
Bedingte Zugriffsrichtlinien
Richtlinien für den bedingten Zugriff oder kontextbezogene Richtlinien beziehen sich auf eine Anweisung (oder eine Reihe von Anweisungen), mit der festgelegt wird, ob einem oder einer Benutzer*in und/oder einem Gerät Zugang zu einer geschützten Ressource gewährt werden soll. Ein Admin kann eine Richtlinie erstellen, um nach einer bestimmten Variablen zu suchen, die als Voraussetzung dient, die erfüllt sein muss, damit auf die Ressource zugegriffen werden kann.
Wenn es sich so anhört, als ob wir den Begriff „Variable“ nur vage verwenden, so ist das nicht unsere Absicht. Vielmehr wird die Variable verwendet, weil Richtlinien für den bedingten Zugriff in hohem Maße anpassbar sind. Sie können eine oder mehrere Richtlinien erstellen, die den speziellen Compliance-Anforderungen Ihrer Organisation entsprechen. Je nachdem, wie die Lösungen in Ihr Sicherheitssystem integriert sind, können Sie die Richtlinien noch flexibler anpassen, um eine höhere Granularität zu erreichen.
Schauen wir uns einen automatisierten Workflow an, der aktiviert wird, wenn Jamf Trusted Access zum Schutz von Ressourcen im Unternehmen implementiert wird. Die Integration zwischen Jamf Connect (Identität) und Jamf Protect (Sicherheit) bietet sichere Authentifizierung, Sichtbarkeit und Endpoint-Schutz für macOS und mobile Geräte. Durch die Integration beider Lösungen wird außerdem Zero-Trust-Netzwerkzugriff (ZTNA) aktiviert, wodurch Admins über die Jamf Security Cloud kontextabhängige Richtlinien konfigurieren können.
In unserem Szenario beantragt ein*e Benutzer*in den Zugang zu einer geschützten Ressource über ihr*sein persönliches iPhone, das er oder sie auch für die Arbeit nutzt. ZTNA ist so konfiguriert, dass die Anmeldeinformationen und der Zustand des Geräts überprüft werden und dann der Account des Benutzers authentifiziert werden kann.
Als Nächstes scannt ZTNA das Gerät des Benutzers in Echtzeit und vergleicht den Sicherheitsstatus des Geräts anhand umfangreicher Telemetriedaten mit den von Ihrer Organisation festgelegten Vorgaben. Dabei wird festgestellt, dass das Gerät kompromittiert ist und eine anfällige App ausgenutzt wurde. Da ZTNA nach dem Prinzip „never trust, always verify“ arbeitet, wird der Zugang zur geschützten Ressource verweigert.
Aber das ist noch nicht alles. Da das Gerät die Compliance nicht erfüllt, wird ein Workflow zur automatischen Behebung der Schwachstellen auf dem Endpoint ausgelöst, indem die problematische App aktualisiert wird. Sobald dies geschehen ist, scannt ZTNA das Gerät erneut, um zu überprüfen, ob das Gerät wieder konform ist.
Erst wenn dies der Fall ist, wird der Zugang zur angeforderten Ressource genehmigt. Im Gegensatz zu SSO verifiziert ZTNA bei jeder Anfrage nahtlos die Anmeldeinformationen und den Zustand des Geräts, bevor der Zugang gewährt wird, um zu verhindern, dass Risiken durch kompromittierte Anmeldeinformationen und/oder Geräte entstehen.
OAuth und OpenID Connect
OAuth und OpenID Connect sind Protokolle, die für den Zugang zu webbasierten Anwendungen und Services verwendet werden, aber die Art und Weise, wie sie den Zugang implementieren, ist in jedem Protokoll anders.
OAuth ist ein Framework für die Autorisierung. Dabei handelt es sich um einen offenen Standard, der für die Delegierung des Zugangs verwendet wird, z. B. für die Freigabe bestimmter Informationen an Drittanbieter, ohne dass die Benutzer*innen ihre Anmeldeinformationen weitergeben müssen, oder um Drittanbietern vollständigen Zugang zu allem zu gewähren.
Ein Beispiel für OAuth in Aktion ist die Möglichkeit, dass sich Benutzer*innen auf Websites von Drittanbietern mit den Anmeldeinformationen anmelden können, die für den Zugang zum Account in den sozialen Medien verwendet wurden.
Trotz der unterschiedlichen Namen basiert OpenID Connect auf dem Standard OAuth 2.0 und umfasst auch eine Authentifizierungsebene über dem Framework für die Autorisierung. Aus diesem Grund funktioniert OIDC in der Praxis ähnlich wie OAuth und unterstützt gleichzeitig erweiterbare Funktionen wie Session-Verwaltung, Verschlüsselung von Identitätsinformationen und Erkennung von OIDC-Anbietern für den Zugang zu Cloud-basierten Diensten wie Office 365, Google Workspace und anderen SaaS-Anwendungen.
Security Assertion Markup Language (SAML)
Genauso wie OAuth ist auch SAML ein offener Standard, der auf XML basiert. Seine Hauptfunktion ist der Austausch von Daten zur Authentifizierung und Autorisierung über mehrere Domains hinweg. Insbesondere erleichtert es den sicheren Austausch zwischen dem IdP einer Organisation und einem Serviceanbieter wie einer Website, einer App oder einem Service.
Es ist die „geheime Zutat“, um SSO zu verwenden und versetzt Unternehmen in die Lage, Identitäten über verschiedene Anbieter hinweg zu bündeln. Außerdem können sich Benutzer*innen bei einer geschützten Ressource authentifizieren, um Zugang zu allen anderen geschützten Ressourcen zu erhalten, für die sie die entsprechenden Zugriffsrechte besitzen. Schließlich wurde SAML nicht nur entwickelt, um zu standardisieren, sondern auch, um die Interoperabilität zwischen scheinbar proprietären Technologien zu fördern.
Aus der Sicherheitsperspektive sorgt SAML dafür, dass eine sichere Übergabe authentifizierter Sitzungen erfolgt. Da Passwortdaten sicher bei Ihrem IdP verbleiben, speichern Serviceanbieter niemals Account-Passwörter, da diese Informationen nie an sie weitergegeben werden - nur die SAML-Attribute werden vom IdP an die Serviceanbieter weitergegeben.
Außerdem können Admins die Authentifizierung über SAML anpassen und zusätzliche Sicherheitsebenen - wie MFA - implementieren, um die Identitätsüberprüfung der Benutzer*innen zu verbessern.
Jamf kann Sie dabei unterstützen.
Jamf hilft Ihnen, Ihre Infrastruktur vollumfänglich zu verwalten und zu schützen.
Wenn Sie Workflows zur Identitäts- und Zugangsverwaltung integrieren, können Sie Ihre macOS und mobile Geräte mit Jamf umfassend schützen.
Erfahren Sie mehr über die Authentifizierung bei Jamf