teissTalk: Das Ende der Multi-Faktor-Authentifizierung (MFA) - Was kommt danach?

Julia Dudenko berichtet zur Einführung bzw. Vereinheitlichung der MFA bei Deutsche Post DHL

„Die MFA ist der Türöffner für ihr Unternehmen, ihre Daten und ihre Identität. Warum sollten wir uns Mühe geben, diesen zusätzlichen Schritt durchzuführen? Denn MFA benötigt die Bestätigung, dass der Mitarbeiter tatsächlich der Mitarbeiter ist, für den er sich ausgibt. Es gibt unterschiedliche Möglichkeiten, wie man das beweisen kann. Die einfachste Methode für den Nutzer ist die Nutzung von Authentifizierungs-Apps. Man hat in der Regel sein Mobiltelefon zur Hand, man bestätigt die Authentizität mit einem Klick und dann hat man Zugang zum System. Die sicherste Methode ist die Nutzung von Token, z.B. für Mitarbeiter in Hochsicherheitsbereichen.“

 

Warum benötigen wir MFA?

 

Julia Dudenko sagt, dass der Schutz der digitalen Identität die Prio Nummer eins ist. Bei 95% der Incidents, die in den letzten 2 Jahren passierten, wurde MFA nicht genutzt.

 

Was beachtet man bei der Einführung von MFA?

 

Julia Dudenko: „Menschen sind Gewohnheitstiere. Selbst wenn es nur um einen Klick geht, um die Identität zu bestätigen, es ist eine Veränderung des Verhaltens, und zwar täglich. Deshalb benötigt es eine sehr intensive Kommunikation. MFA ist ein trockenes Thema, dass den Nutzern spannend erklärt werden muss, vor allem den Impact, nämlich, dass man mit einem Klick die eigene digitale Identität und das Unternehmen schützt. Bei der Einführung von MFA sollte man eine Roadmap vor Augen haben. Die Hacker entwickeln sich schnell weiter und eine MFA verbunden mit SMS ist schwach, aber besser als keine. Es gibt auf dem Markt sehr weit entwickelte Lösungen, z.B. Fido2 Keys oder Nutzung von non-phishible Methoden mit Authentifizierungs-Apps oder mit biometrischen Daten. Man sollte immer eine Lösung im Unternehmen einführen, die zukunftsfähig ist.“

 

Felix Magedanz: „Ich bin Gründer und CIO von hanko.io, ein Startup, dass sich um Online-Security mit Fokus auf den Endkunden-Login kümmert. Unsere Mission ist es, Technologien, die eher für Unternehmen entwickelt werden, übertragbar zu machen für den Endkunden. Wir möchten helfen Passwörter abzuschaffen. Wir konzentrieren uns auf Fido2 und arbeiten an Produkten, die den Einsatz für Entwickler so einfach wie möglich machen.“

 

Kai Hermsen ist CEO bei Identity Valley, das sich der Entwicklung von Digital Responsibility Goals widmet und das Augenmerk auf menschzentrierte Ansätze zum Schutz der Identität digitaler Systeme legt. Was bedeutet das?

 

Kai Hermsen: „Der Name Identity Valley ist nicht zufällig gewählt. Wir kümmern uns um Themen der digitalen, aber auch persönlichen Identität, aber weit mehr als nur die digitale Komponente. Wir denken nicht nur an Identity Management, IAM und Authentifikation, sondern wir denken das nochmal größer. Im Grunde genommen passiert etwas ganz Fundamentales, wenn MFA oder ein Passwort verwendet wird. Das ist der Übergang von der realen in die digitale Welt. Julia hat es schon gesagt, es geht darum, sicherzustellen, dass die Person, die sich einloggen und einen Service nutzen will, auch die Person ist, die sie vorgibt zu sein. Das gibt es auch in der realen Welt, eine Unterschrift oder man muss sich ausweisen. Meine Fundamentalkritik an allen MFA- oder passwortgestützten Login-Systemen, die sind im Grunde ja nicht so richtig vom Menschen her gedacht, sondern von der Technologie her. Die Schwierigkeit, die die Nutzer mit Passwörtern oder auch mit zusätzlichen Geräten haben, die ist angeboren, wir sind nicht dafür gemacht uns 1000 Passwörter zu merken.

Sandra Aengenheyster: „Ich habe ja verschiedene digitale Identitäten, z.B. eine private und eine berufliche.“

 

Kai Hermsen: „Ich möchte das noch erweitern. Die digitalen Identitäten sind unterschiedlich, das ist im realen Leben aber auch so. Meine Identität hier, in einer professionellen Talkrunde, da kleide ich mich zum Beispiel anders. Ich habe eine andere Identität, wenn ich hier aus dem Zimmer gehe und den Geburtstag meiner Tochter feiere.  Eine Identität ist komplex und entwickelt sich über die Zeit. Bei digitalen Identitäten ist es bisher so gelöst, dass es immer die gleiche ist. Das schlimmste, was passieren kann, ist, dass ich mich immer mit dem Zugangsdaten für eines der großen Social Media Unternehmen in andere Konten einlogge, das ist ja möglich und wird vielfach angeboten. Das ist vielleicht sogar MFA-geschützt, man meldet sich aber immer mit dem Konvolut an Daten an und an Identitätspunkten, die man mitbringt. Das ist nicht datenminimiert. Ich öffne das Feld jetzt sehr weit, weil wir bisher nur über die MFA gesprochen haben, aber wir wollten ja auch diskutieren, was kommt denn danach. MFA ist im Grunde ja nur die Weiterentwicklung des Passwortansatzes, wir sind aber immer noch nicht an dem Punkt, an dem ich mich, als Person, identifiziere. Es geht auch darum, wie kann diese eine Interaktion abgesichert werden, sondern wie kann die Gesamtheit aller Interaktionen abgesichert werden, aber auch vertrauenswürdig gemacht werden.“

 

Sandra Aengenheyster: „Wir verwenden Technologien, um vertrauenswürdige Informationen abzusichern. Und dann müssen wir diesen Technologien und den handelnden Unternehmen auch noch vertrauen, dass sie mit den Daten verantwortungsbewusst umgehen. Ist das nicht ein Widerspruch in sich?“

 

Julia Dudenko: „Wenn wir über die Zukunft von MFA sprechen, würde ich die Idee von Kai weiterspinnen. Was wir momentan machen, wir schützen eine Identität, die zentral irgendwo gespeichert wird, die für diesen Use Case gilt. Wie wäre es, wenn wir eine dezentrale Identität hätten, nach dem Prinzip der Blockchain und nach dem Prinzip von non-forgeable. Dann könnte die Identität gar nicht gefaked werden. Dann brauchen wir kein MFA oder Passwörter mehr. Um deine Frage zu beantworten, können wir den Unternehmen vertrauen, eher nein, aber in Zukunft, in einem dezentralen System, habe ich die Hoffnung, dass die Identitäten gar nicht angegriffen werden können.“

 

Felix Magedanz: „Die Vorstufe eines dezentrales Systems ist ja, dass man jeden Login ermächtigt, einen Komfort-Login anzubieten, wie das zum Beispiel Apple macht. Ich weiß, dass Kai das kritisiert, denn man hat auf jeden Fall einen Datenaustausch im Hintergrund, wenn man so ein SignIn über so eine Plattform macht. Deshalb sind wir auch so große Fans der Fido-Technologie, da sie jeden individuellen Login-Anbieter, das kann ein kleiner Online-Shop sein, das kann ein Forum sein, bemächtigt, einen Login mit Touch ID, mit Face ID anzubieten, ohne dass irgendwelche Daten an Apple und Google zwangsläufig fließen. Das ist keine dezentrale Identity per Definition, aber es ist trotzdem nicht dieses "all eggs in one basket" Verfahren, dass sich an anderen Stellen etabliert hat.“

 

Brauchen wir viele digitale Identitäten?

 

Felix Magedanz: „Aus meiner Sicht absolut. Ich möchte mich auch nicht überall mit meinem Personalausweis anmelden, ich möchte mich auch nicht für jeden Login damit ausweisen müssen. Je nach Kontext benötige ich eine am besten datenminimale Identität. Wir spezialisieren uns auf Authentifizierung und nicht Identifizierung, das sind aus meiner Sicht zwei unterschiedliche Dinge, die oftmals sehr eng zusammenliegen oder auch vermischt werden. Aber es ist eben das Erkennen des Nutzers, die Identifizierung, wie kann man das besonders schön abbilden, d.h. aber nicht, dass ich jedes Mal wieder diesen Prozess durchlaufen muss. Wie nutzerfreundlich der auch immer aussieht, es wird in der Regel einfacher sein zu sagen, ich kenn dich schon, ich habe dich schon verifiziert, deshalb mache ich dir nun den Wiedereintritt so leicht wie möglich. Und deshalb ist es wichtig, diese beiden Felder zu trennen.“

 

Kai Hermsen: „Zwei Punkte möchte ich gerne aufgreifen. Zur dezentralen Identität oder die Self Sovereign Identity. Das ist ein sehr heißes Thema, zu dem es noch keine echten Lösungen im Markt gibt, aber sehr viel Dynamik. Ich sehe das sehr positiv, denn es löst einen Knackpunkt. Die Plattform stellt nicht mehr die Identität bereit, sondern sie liegt bei mit als Nutzer*in. Ich habe im Idealfall so eine Art Wallet und entscheide selbst, welche Identitätsmerkmale ich teilen möchte mit einem Service und ob ich Kontrolle darüber habe. Das ist technisch nicht trivial und das ist meiner Meinung noch eine größere Herausforderung in der User Experience. Wenn da am Ende so eine Art Cookie Click dabei herauskommt, wie bei Websites, dann haben wir im Grunde nicht viel gewonnen. Und der andere Punkt ist, ob denn Anbieter überhaupt Interesse daran haben, datensparsame Login-Möglichkeiten zur Verfügung zu stellen. Das ist eine Kernfrage, denn da geht es um das digitale Geschäftsmodell, also womit Geld gemacht wird. Und ja, momentan deuten einige Geschäftsmodelle in eine andere Richtung, aber es gibt Überlegungen, wie muss denn ein Geschäftsmodell aussehen, damit sie nicht auf diese Datensammelwut angewiesen ist, sondern vielleicht einen Service zur Verfügung stellt, der Vertrauen aufbaut. Wir von Identity Valley haben uns überlegt, wie denn ein vertrauenswürdiger digitaler Raum aussieht und was kann ein Anbieter machen, um vertrauenswürdiger zu werden. Dazu haben wir 7 Digital Responsibility Goals definiert, ähnlich zu den Sustainability Goals, die viele bereits kennen. Unternehmen richten danach ihre Nachhaltigkeitsstrategie aus, uns fehlt dies im digitalen Bereich. Wie muss digitaler Raum aussehen, damit er zukunftsfähig ist, damit er uns allen Wohlstand ermöglicht. Die Geschäftsmodelle, die daraus entstehen, sind nicht mehr darauf angewiesen, Daten abzuziehen. Dies ermöglicht auch, dass wir in der digitalen Transformation schneller werden. Das Ziel Digital Literacy ist an erster Stelle, denn ohne digitale Kompetenz ist es nicht möglich, einen vertrauenswürdigen digitalen Raum zu schaffen.“

 

Julia Dudenko: „Das kann ich nur unterstützen. Was wir in der Praxis sehen, wir können die Systeme noch so sichern, aber wenn der Nutzer nicht versteht, dass er mit einem Klick die Tür aufmacht für den Hacker und auch die Folgen nicht versteht, bringt das gar nichts. Wir müssen den Nutzer erziehen. Bei MFA ist die User Experience extrem wichtig. Stellen wir uns vor, wir stehen vor unserer Haustüre und wir müssten erst einmal einen Fragebogen ausfüllen, jedes Mal, wenn wir unsere Haustüre aufsperren wollen. Das ist vergleichbar mit einem Nutzer, der auf ein System zugreifen möchte. Das sollte so einfach wie möglich aufgehen, keiner will darauf viel Zeit verwenden.“