Custom Research MEHRSTUFIGE AUTHENTIFIZIERUNG UND ... · Als Konsequenz hieraus verlagern sich...

abiresearch.com

Amerikas: +1.516.624.2500 Asien-Pazifik +65.6592.0290 EUROPA: +41.022.732.33.15

Custom Research

MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN Die Einführung von Endpoint-Security im Unternehmen

Dimitrios Pavlakis: Analyst Michela Menting: Research Director 24. FEBRUAR 2016

1. KURZFASSUNG

Dieses Whitepaper untersucht die Grenzen der aktuellen Endgeräte-Security-Mechanismen im

Rahmen der Mitarbeiter-Authentifizierung an Computern des Unternehmens. Ständige Endgeräte-

Infizierungen, groß angelegter Datenmissbrauch und verbreitete Systemschwachstellen erfordern

neue Anstrengungen im Bereich der Modernisierung von Authentifizierungsmethoden innerhalb

des Unternehmens. Haushaltszwänge, das Konzentrieren auf die Netzwerksicherheit und die

Abhängigkeit von Ein-Faktor-Authentifizierungs-Methoden sind Barrieren, welche die

Unternehmen angehen müssen, um in einer zunehmend bedrohlichen Cyber-Landschaft sicher

und wettbewerbsfähig zu bleiben.

Das Whitepaper soll klare und umfassende Leitlinien für Entscheider und C-Level-Führungskräfte

bereitstellen, die planen, moderne kombinierte Biometrie-basierte Authentifizierungslösungen zu

implementieren. Mit einer leistungsfähigen Prozessor-basierten mehrstufigen Authentifizierungs-

und Biometrie-Lösung bietet das neue Authenticate von Intel eine Antwort auf die steigenden

Herausforderungen an Cybersecurity in der modernen Unternehmenslandschaft.

© 2016 ABI Research • abiresearch.com

Das hierin enthaltene Material dient der individuellen Nutzung durch den einkaufenden Lizenznehmer und darf von ihm ohne die ausdrückliche schriftliche

Genehmigung des Lizenzgebers nicht an andere Personen oder Unternehmen weitergegeben werden, einschließlich, aber ohne Einschränkung auf Personen

innerhalb oder außerhalb des gleichen Unternehmens wie der Lizenznehmer.

2

abiresearch.com

Custom Research

MEHRSTUFIGE AUTHENTIFIZIERUNG UND BIOMETRIE AN MODERNEN ARBEITSPLÄTZEN

2. DIE ENTWICKLUNG DER AUTHENTIFIZIERUNG IM MODERNEN

UNTERNEHMEN

Die rasche Ausbreitung persönlicher Datenverarbeitungsgeräte sowie die Auswirkungen der

erhöhten Sicherheitsrisiken und breiten Annahme Cloud-basierter Dienste verursachte einen

Paradigmenwechsel in der Art, wie Organisationen ihre Benutzer authentifizieren. Eine der

schwerwiegendsten Bedrohungen der Sicherheit auf jedem Computer ist die Personifikation eines

autorisierten Benutzers zum Zugriff auf eingeschränkte Systeme. IT-Abteilungen sehen sich mit

wachsenden Herausforderungen konfrontiert, dem Endbenutzer die Benutzung jeglichen Geräts

sowie und transparenten Zugriff auf Unternehmensressourcen zu erlauben, und dabei gleichzeitig

strenge Sicherheitsrichtlinien zum Schutz vertraulicher Informationen und geistigen Eigentums

durchzusetzen. Deshalb bilden Benutzer-Identifikation und Authentifizierung einen zentralen

Bestandteil jeder Sicherheitsinfrastruktur und sollten eine wichtige Rolle dabei spielen, die

Benutzeridentität und Identitätssicherung sicherzustellen, bevor dem Benutzer der Zugriff auf

Ressourcen gewährt wird.

2.1. Passwörter: Der traditionelle Kern der Authentifizierung

Oft wird das gleiche Passwort für verschiedene Situationen verwendet – für die Anmeldung an

Windows, das Lohn- und Gehaltssystem, den Zugriff auf eine authentifizierte Website, etc.. Dies

erleichtert die Aufgabe des Bedrohungs-Akteurs erheblich; sobald er das Kennwort eines

bestimmten Benutzers erlangt hat, erhält er auf einfache Weise Zugriff auf mehrere weitere Konten

dieses Benutzers. Außerdem neigen Einzelpersonen – sogar technische Experten und

hochrangige Persönlichkeiten – zu einfach zu erratenden Passwörtern. Die Verwendung trivialer

Passwörter zur Sicherung hoch privilegierter Konten für Backup-Programme, Network-Control-

Software, und Anti-Virus-Tools ist verbreitet genug, und so dauert es häufig nicht länger als ein

paar Minuten, im Rahmen eines Penetrationstests die Kontrolle über das gesamte Netzwerk zu

erlangen.

Die Debatte über den dauerhaften Wert von Passwörtern ist überkonzentriert auf die individuelle

Nutzung, die nur ein Teil eines größeren Problems ist. Probleme mit Passwörtern legen nahe, dass

Organisationen sich um die Authentifizierung kümmern müssen. Jüngste Passwort-Verstöße

deuten auf ein Versagen der Organisationen bei der ordentlichen Implementierung und dem

Betrieb moderner Authentifizierungssysteme. Es gibt drei kritische Fragen, die Unternehmen

beachten müssen, wenn sie eine wirksame Authentifizierungslösung implementieren:

1) Was sind die langfristigen Fallstricke der gewählten Lösung?

2) Gibt es irgendwelche Interoperabilitäts-/Genauigkeits-Fragen, die sich im Laufe der Zeit

verschlimmern?

3) Wird die Sicherheit in präziser und effizienter Art und Weise gehandhabt?

2.2. Security Shift: Vom Netzwerk zum Endgerät

Eines der Probleme der Endgeräte-Authentifizierung ist, dass traditionellerweise die

Unternehmenssicherheit ein größeres Gewicht auf das Netzwerk legt als auf das Endgerät. Der

Markt für Netzwerksicherheit ist größer als der für Endgerätesicherheit, aber dies wird sich in den

kommenden Jahren ändern. Mechanismen der Netzwerk- und Endgerätesicherheit sind

wesentliche Bestandteile für den Aufbau eines geschichteten Cybersecurity-Rahmens. Da sich

jedoch zunehmend Geräte nach außerhalb der Unternehmens-Mauern verlagern, wird die

Endgerätesicherheit bald die Netzwerksicherheit als Umsatzmotor für Solution-Provider überrundet

haben.

Eine der schwerwiegendsten

Bedrohungen der Sicherheit

auf jedem Computer ist die

Personifikation eines

autorisierten Benutzers zum

Zugriff auf eingeschränkte

Systeme.





3

abiresearch.com

Custom Research


Laptops, Smartphones und Tablets werden außerhalb des Unternehmens und außerhalb des

Unternehmensnetzwerks verwendet, wo sie durch herkömmliche Firewalls und andere

Netzwerksicherheits-Lösungen nicht geschützt werden können. Dies ist ein wachsendes Problem,

da Endgeräte weiterhin einen erheblichen Bedrohungsvektor für Cyberattacken darstellen, sei es

durch ungeschützte Verbindungen mit dem Netzwerk oder durch Social Engineering. Besonders

Phishing-Angriffe zielen zunehmend auf Smartphone-Benutzer ab und fordern sie auf, ihre

Anmeldeinformationen (einschließlich der biometrischen Informationen) auf Webseiten

einzugeben, die legitim erscheinen, aber tatsächlich Benutzer-IDs und persönliche Daten

abgreifen.

Als Konsequenz hieraus verlagern sich Verschlüsselung, Authentifizierung, Anti-Malware und eine

Vielzahl von anderen Sicherheits-Optionen auf das Endgerät – auch auf Smartphones – und eine

neue Ära entsteht, in der Netzwerksicherheit über traditionell definierte Konzepte hinaus erweitert

wird. Durch die Erkennung der Endgeräte als neue Grenze des Netzwerk können Organisationen

die Schwachstellen neuer Endgeräte-Vektoren abschwächen, vor allem durch Geräte unter

persönlicher Verantwortung, und so externe Infektionen und Einbrüche in das Firmennetzwerk

einschränken. Endgerätesicherheit gewinnt auch durch die zunehmende Verbreitung von Machine-

to-Machine-Kommunikation (M2M) und das Internet der Dinge (IoT) an Bedeutung.

2.3. MFA zum neuen Standard machen

Eine der größten Herausforderungen im Bereich der Informationssicherheit ist es, sicherzustellen,

dass ein Benutzer der auf sensible, vertrauliche oder geheime Informationen zugreift, dazu auch

berechtigt ist. Dieser Zugang erfolgt in der Regel dadurch, dass eine Person durch ein

Authentifizierungsverfahren einen Nachweis ihrer Identität liefert. Es ist äußerst wichtig, dass der

Benutzer sich zu erkennen gibt, bevor er Zugriff auf Informationen erhält, und wenn er nicht in der

Lage, dies zu tun, wird der Zugriff verweigert. Die meisten Authentifizierungssysteme basieren auf

einem oder mehreren der folgenden Faktoren: (a) Nachweis durch Wissen, (b) Nachweis durch

Eigentum, (c) Nachweis durch Eigenschaft.

Durch die Anwendung von zwei oder mehr Authentifizierungsverfahren in Kombination kann eine

stärkere Authentifizierung erreicht werden. Die Verwendung von mehreren

Authentifizierungsfaktoren erhöht deutlich die Sicherheit eines Systems. Wenn das Risiko besteht,

dass ein Ein-Faktor-Authentifizierungs-System gefährdet ist, wird durch die Hinzunahme eines

zweiten Authentifizierungs-Faktors dieses Risiko deutlich verringert. Mehrstufige Authentifizierung

(MFA) ist die Lösung für Sicherheitsprobleme, die durch die Erweiterung der

Unternehmensgrenzen und die Ausbreitung neuer Technologien und Arbeitsethiken entstehen,

darunter auch Clouds und BYOD. Sie geht über die Fallstricke von Passwörtern hinaus und stellt

sicher, dass der Zugriff auf Unternehmensdaten und Informationen auf die autorisierten Mitarbeiter

beschränkt bleibt.





4

abiresearch.com

Custom Research


3. ANWENDUNG VON MFA AM ARBEITSPLATZ

3.1. Endgeräte-Authentifizierungsprobleme

Zunehmende Komplikationen, Verstöße und ID-Diebstahl im Zusammenhang mit der Endgeräte-

Authentifizierung ergeben sich aus drei wichtigen Punkten. Erstens ist der häufige Gebrauch von

ständig wechselnden und restriktiven Passwörtern gepaart mit der wachsenden Zahl von

persönlichen und Unternehmenskonten ein wesentliches Hindernis für die Erstellung von

komplexen, nicht zu erratenden Passwörtern. In den meisten Fällen haben die neuen Passwörter

eines Anwenders eine große Zahl von Ähnlichkeiten mit den vorangegangenen. Oft ändern

Mitarbeiter lediglich ein paar Buchstaben, ersetzen sie durch Zahlen oder benutzen eine andere

Reihenfolge. Dies befindet sich auch im Konflikt mit dem Prozess der Passworterstellung, den die

Mitarbeiter für ihre persönlichen Konten verwenden. Innerhalb nur eines Jahres mit

Passwortänderungen und Erstellung oder Änderung von Benutzerkonten zeigen etwa 70 % bis 75

% der Passwörter eine Ähnlichkeit mit früheren "Passwort-Iterationen." Wenn es einem Angreifer

gelingt, in den Besitz von ein paar Passwörtern eines Benutzers zu gelangen, kann er ganz einfach

einen Wörterbuch-Angriff auf seine Konten starten, indem er nur wenige Zeichen ersetzt. Es lohnt

sich zu erwähnen, dass einige der am häufigsten verwendeten Passwörter innerhalb der letzten 5

Jahre besorgniserregend schlicht sind: "Passwort", "Admin", "QWERTZ", "12345" und "12345678".

Zweitens, ein weiteres großes Problem der Endgeräte-Authentifizierung ist der Fokus auf Software-

basierten Schutz. Als kostengünstigste Lösung scheint dies zwar die Norm am Arbeitsplatz,

authentifiziert jedoch lediglich das Passwort, nicht aber den Benutzer. Folglich wird jeder Benutzer

(legitim oder Eindringling) mit dem richtigen Passwort als authentifizierter Benutzer erkannt.

Software-basierter Passwortschutz hat keine Möglichkeit zu wissen, ob der Benutzer derjenige ist,

der er zu sein behauptet.

Drittens, in der heutigen vielfältigen Cybersecurity-Landschaft ist es eine wesentliche

Schwachstelle, nur eine einzige Authentifizierungsstufe zu haben, und noch dazu eine, die leicht

geteilt, geknackt oder erraten werden kann. MFA sollte keinesfalls als technologischer

Schnickschnack oder "Sicherheitsextra" betrachtet werden, sondern eher als grundlegender

Aspekt moderner Mitarbeiteridentifikations-Systeme.

3.2. Das schwächste Glied

Mit genügender Zeit und Ressourcen, kann jedes System gehackt werden. Aber dennoch gilt auch:

Hacker suchen sich das schwächste Ziel aus und beginnen innerhalb dieses Ziels mit dem

schwächsten Glied. Angreifern einen Schritt voraus zu sein ist eine schwierige Übung, und es gibt

eine grundlegende Kluft zwischen Unternehmen, die aktiv mit dem Thema umgehen und

diejenigen, die dies nicht tun: die "innovativen Implementierer" im Gegensatz zu den mehr

"traditionellen Implementierern".

Hacker suchen sich das

schwächste Ziel aus und

beginnen innerhalb dieses

Ziels mit dem schwächsten

Glied.





5

abiresearch.com

Custom Research


Die Mehrheit der Unternehmen (traditionelle Implementierer) hosten nur die Mindestanforderungen

für den Endgeräteschutz:

• Software-basierte Verschlüsselung, Firewall, URL-Filterung

• Notebooks und Desktop-Virenschutz

• Email-Scanner

• Logische Zugangskontrolle: Passwort-geschützte Mitarbeiterkonten

• Möglicherweise in Verbindung mit einer Zweit-Faktor-Authentifizierung: zusätzliche OTP, externes USB-Gerät, Token etc.

Traditionelle Implementierer legen viel mehr Wert auf Netzwerksicherheit und vernachlässigen

dabei den Endgeräteschutz an sich. Bedrohungs-Akteure sind den Unternehmen in Bezug auf die

Ausnutzung von Schwachstellen, insbesondere auf Softwareebene, in der Regel immer einen

Schritt voraus. Das Implementieren von Sicherheitslösungen, die in der Hardware verankert und

auf Softwareebene nochmals gesichert sind, tragen deutlich zur Verringerung potenzieller

Angriffsflächen bei. Unternehmen, die solche Maßnahmen sowohl auf Netzwerk- als auch auf

Endgeräte-Ebene unterhalten, sind innovative Implementierer und nutzen unter anderem folgende

Techniken:

• MFA, die speziell dazu entworfen wurde, Daten aus drei verschiedenen und ganz unterschiedlichen Quellen an einem sicheren Ort in der Prozessoreinheit aufzunehmen: logische Tokens (z.B. Benutzer-IDs, PINs, Passwörter); von Geräten erzeugte Anmeldeinformationen wie z. B. Hardware-Token; Bluetooth-Kopplung mit Smartphone-Geräten; Smartcard-basierte Anmeldeinformationen; Anmeldeinformationen nicht-GPS-basierter Dienste (LBS) (verfügbar seit Intels VPro-Prozessor der vierten Generation); biometrische Anmeldeinformationen mit RSA oder DES Biokryptografie-Varianten und nicht-USB-integrierte Fingerabdruck-Sensoren (z. B.., Synaptics); und Kameras (z.B. Intel RealSense).

• Leistungsstarke Prozessoren und Chipsätze mit eingebetteter Sicherheit wie "Trusted Platform Modules" mit UEFI, vertrauenswürdige Ausführungsumgebungen und weitere ähnliche Sicherheitsprotokolle, die so gestaltet sind, dass sie Root-of-Trust (RoT) in kleineren Endgeräten liefern und nicht nur in Servern und PCs.

• Eine anspruchsvolle und vielschichtige Strategie, die speziell dafür geschaffen wurde, sich mit Fragen der Identitätspolitik zu befassen.

Auf der einen Seite ist softwarebasierte Sicherheit flexibler als ihr Hardware-Pendant. Eine

Software-Firewall kann z. B. auf dem Desktop-Computer und Laptop eines Mitarbeiters und auf

dem Firmen-Server installiert werden. Die Kosten werden deutlich reduziert und die

Funktionalitäten sind vielseitiger. Auf der anderen Seite ist hardwarebasierte Sicherheit in der

Regel teurer, bietet aber traditionell einen besseren Schutz, der an der Wurzel beginnt, etwas, das

bei Software-Security fehlt. Bei der Authentifizierung – und hier vor allem bei der MFA – ist nach

den Hardware-Optionen wie Tokens oder Smartcards die nächste Stufe der Evolution die

Verwurzelung in eingebetteter Hardware.

Das Herzstück des traditionellen Authentifizierungs-Faktors ist ein grundlegender Akteur: das

einfache Passwort. Fast jede Authentifizierungs-Schwelle, die ein Mitarbeiter überschreiten muss,

beinhaltet ein Passwort – vom Zugriff auf sein Gerät über das Anmelden am

Unternehmensnetzwerk bis zum Einloggen am VPN-Client. Passwortsicherheit kann zwar durch

Komplexität (Zahlen, Buchstaben, Symbole) erhöht werden und es können Anforderungen an die

Änderungsfrequenz gestellt werden, doch sie bleiben von Natur aus verwundbar. Rainbow-

Tabellen, Brute-Force-Methoden und zunehmend leistungsfähigere Prozessoren können

Passwörter leicht knacken. Es gibt jedoch eine bestehende Technologie mit jahrzehntelanger

Forschung, die dieses Problem abmildern kann: die Biometrie.





6

abiresearch.com

Custom Research


3.3. Biometrische Bereitstellungen und die daraus gewonnenen Erkenntnisse

Biometrische Anmeldeinformationen:

Biometrische Anwendungen sind die Antwort auf das Passwort-Problem. In den letzten Jahren

haben die zugrunde liegenden Technologien für eine Vielzahl von Modalitäten (wobei der

Fingerabdruck derzeit die Nummer 1 ist) eine umfangreiche Entwicklung durchlaufen. Aus

fehlgeschlagenen Bereitstellungen von biometrischen Technologien in vielen Branchen wurden

wertvolle Erkenntnisse gewonnen:

• Im Jahr 2002 gelang es dem japanischen Kryptographen Tsutomu Matsumoto, Fingerabdruck-Sensoren mit Gelatine zu täuschen. Der Angriff war in etwa 80 % der Fälle erfolgreich und ist auf die schlechte Qualität der Sensoren zurückzuführen.

• Im Jahr 2007 täuschte der Chaos Computer Club (CCC) einen Fingerabdruck-Sensor im POS-Terminal eines semi-überwachten Einzelhandelsumfelds mit von Alltagsgegenständen genommenen Fingerabdrücken.

• Zwischen 2004 und 2014 gab es mehrere Bereitstellungen und Upgrades des Programms "US Automated Biometric Identification System" (ABIS) speziell für Mehrfachkonfliktoperationen. Offiziellen Berichten des US-Verteidigungsministeriums (DoD) zufolge gab es mindestens vier erfolglose umfangreiche Bereitstellungen des ABIS. Das DoD hat die Mängel festgestellt und ist dabei, die Probleme zu beheben. Zusammenfassend: (a) das System konnte nicht den Erwartungen der Benutzer gemäß ausgeführt werden, (b) bei hochprioritären Operationen traten Mängel auf, die die Missionserfüllung beeinträchtigten, (c) bei der Aktualisierung und dem Ersetzen alter Fingerabdruck-Datensätze durch neuere gab es eine erhebliche Ausfallwahrscheinlichkeit, (d) Probleme der Interoperabilität gepaart mit dem Versagen beim effektiven Koordinieren und Kommunizieren der biometrische Daten über mehrere Institutionen hinweg, e) Fragen der Gesetzgebung und politische Fragen bezüglich biometrischer Daten, (f) unbefriedigende Softwareentwicklung und Verteilung über mehrere Plattformen hinweg.

Kann nicht über verdeckte Beobachtung oder Überwachung erlangt werden

Ist weit schwieriger zu duplizieren oder zu täuschen

Kann nicht aufgeschrieben oder mit anderen Mitarbeitern geteilt werden

Bleibt relativ unverändert, solange die Person lebt

Muss nicht alle 30 Tage geändert werden





7

abiresearch.com

Custom Research


• Im Jahr 2009 wurde in Indien die UIDAI, eine Behörde zur Bekämpfung von Identitätsdiebstahl und Infiltration durch Fingerabdruck-Anmeldung eingeführt. Es gab zahlreiche Probleme, angefangen bei Verbindungsfragen, die dazu führten, dass das System nicht in der Lage war, einfache Authentisierungen durchzuführen, bis hin zur mangelnden Genauigkeit bei der bereitgestellten Lösung. Ein weiteres großes Problem war das Unvermögen, über die bloße technische Bereitstellung hinaus zu denken und durch Erforschung der Sicht des Benutzers Probleme vorherzusehen (z.B. glichen im Laufe von wenigen Monaten die Fingerabdrücke vieler Arbeiter nicht mehr den Vorlagen, die sie registriert hatten).

• Im Jahr 2012 wurden Benutzer, die noch die UPEK Fingerabdruck-Software verwendeten und nicht auf den Treiber von AuthenTec aufgerüstet hatten (nachdem UPEK von AuthenTec aufgekauft worden war), sehr verwundbar. Die Fingerabdruckdaten waren nämlich in Klartext im Systemen gespeichert. Die Sensoren wurden auf einer Vielzahl von Laptops und Notebooks bereitgestellt, was die Bedeutung des obligatorischen Treiber- und Software-Updates unterstrich.

• Im Jahr 2013 gelang es dem CCC schon kurz nach der Produktveröffentlichung Apples iPhone-Fingerabdruckfunktion durch Abdrücke von einer Glasoberfläche zu täuschen, was zur Entwicklung neuer Arten von Spoof-resistenten Sensoren führte.

• Im Jahr 2014 konnte der CCC bei einer Pressekonferenz mit Hilfe einer hochauflösenden Kamera erfolgreich einen Fingerabdruck des deutschen Verteidigungsministers extrahieren, was die Entwicklung von Lebenderkennungs-Sensoren vorantrieb, die als neuer Standard für hochwertige Sensoren gelten.

• Im Jahr 2015 (und vielleicht schon früher) wurden beim Office of Personal Management (OPM) in den Vereinigten Staaten Millionen von biometrischen Anmeldeinformationen gestohlen. Quellen bezeichneten den Vorfall als großen Cyberangriff durch ein anderes Land und als Produkt erfolgreichen Social-Engineerings.

• Mitte 2015 fanden Forscher von FireEye bei OEMs wie Samsung und HTC schwerwiegende Software-Designfehler bei der ordnungsgemäßen Speicherung von biometrischen Anmeldeinformationen. Die Daten wurden in lesbaren, unverschlüsselte Klartext-Dateien gespeichert. Die Firma berichtete später, dass Samsungs KNOX und andere Betriebssystem-Updates tatsächlich die nötigen Patches erhielten, woraufhin die Branche begann, das Speicher-Problem in der Entwicklungsphase zu überarbeiten.

Ausgehend von dem Problem der einfachen Leser-Speicher-Kombination, das vor ein paar Jahren

eine Fülle von Schwachstellen schuf, entwickelte sich ein Authentifizierungs-Protokoll auf der Basis

biometrischer Sicherheit, das sich im Kern der hochrangigsten Unternehmen weltweit wiederfindet

(Microsoft, Intel, Apple, Samsung). Es wird durch eine wachsende Zahl von Unternehmen (FIDO-

Allianz) mit gemeinsamer Standardisierung unterstützt und vereinheitlicht (UAF und U2F), und von

Jahr zu Jahr werden mehr Unternehmens-Patente eingereicht.

Die Leser-Speicher-Kombination wurde weiteren bedeutenden Prüfungen durch die Branche

unterzogen, gerade in Bezug auf ihre Sensor-Fähigkeiten, die Speicherung der

Anmeldeinformationen und Produktzertifizierungen (z.B. NIST, FBI, ISO, IEC, PIV / FIPS, ANSI).

Sie unterliegt nun einem hochentwickelten Algorithmen-Design, erfreut sich weiterhin der

Finanzierung und Unterstützung durch Regierungen weltweit und wird ständig verbessert durch

dynamische R&D-Initiativen von Unternehmen, die entschlossen sind, einen Wettbewerbsvorteil in

der Sicherheitsumgebung zu erlangen.

3.4. MFA-Hardware-Sicherheit und Biometrie

Bei der mehrstufigen Sicherheit auf Hardware-Basis gibt es zwei Hauptmethoden der Endgeräte-

Authentifizierung. Die erste ist die Verwendung eines externen Hardware-Tokens. Dieser wird in

der Regel neben kennwortgeschützten Geräten als sekundärer Authentifizierungsfaktor verwendet.

Er hat eine entscheidende Ähnlichkeit und Verletzlichkeit mit Passwörtern gemeinsam: man kann

ihn teilten.

Die zweite Methode ist die Verwendung einer physikalisch eingebetteten Lösung. Intels neue MFA-

Lösung zum Beispiel, die im Prozessor der sechsten Generation vorgestellt wurde, ermöglicht

Unternehmen im Wesentlichen die Implementierung Hardware-eingebetteter Authentifizierung in





8

abiresearch.com

Custom Research


einer einfachen, interoperablen Lösung. Biometrische Technologien sind der Kern der Intel-Lösung

für sichere und präzise Hardware-Authentifizierung.

4. EIN KURZER LEITFADEN FÜR ENTSCHEIDER

4.1. Die Speicherung biometrischer Daten: Geräte-basiert kontra Server-basiert

Der Schutz von Arbeitnehmerdaten ist eine der höchsten Prioritäten biometrischer

Authentifizierungsmethoden am Arbeitsplatz. Erkenntnisse aus einer Reihe von Befragungen

deuten auf die „Gefahr einer biometrischen Datenschutzverletzung“ als eines der vorrangigsten

Anliegen neuer Implementierungen. Dieses Risiko deckt sich mit jüngsten Meldungen zu Initiativen

der Cyber-Security sowie mit Debatten und Entwicklungen rund um Fragen des Datenschutzes.

Die Integration biometrischer Daten in den Authentifizierungsprozess erhöht die Schwelle zur

Privatsphäre. Unternehmen sollten angemessen vorbereitet sein, die biometrischen Daten ihrer

Mitarbeiter zu schützen und diese Probleme mit einer sicheren und optimierten Lösung anzugehen.

Faktor Hierarchie für Entscheider :

Es gibt zwei wichtige technologische Perspektiven in Bezug auf die Speicherung biometrischer

Daten: a) Server- oder Cloud-basiert, und b) lokal im Gerät oder Laufwerk. Gemäß dem ersten

werden die Daten vor und nach der Übertragung von einem Leser verschlüsselt, durch das

Netzwerk-Sicherheitssystem des Unternehmen mit seinem eigenen dedizierten Server geschützt

und in einer separaten Datenbank getrennt von anderen Unternehmensdaten gespeichert. Der

große Vorteil dieser Lösung ist, dass die Administratoren über die Daten in Ruhe oder beim

Transport eine verstärkte Kontrolle haben. Das Speichern von Daten in der Cloud ist bei Lösungen

im Regierungssektor am weitesten verbreitet, wo das Daten-Management zentralisiert werden

muss. Dies erfordert jedoch auch die Einbeziehung der Datenbanken einer Vielzahl von anderen

nationalen Institutionen. Darüber hinaus sind staatliche IT-Sicherheitsfragen in der Regel mehr mit

der zugrunde liegenden Sicherheit, Zweckmäßigkeit und Genauigkeit befasst, als mit dem Budget.

Der letztgenannte Ansatz spricht dafür, biometrische Daten lokal zu speichern, um im Falle einer

Datenschutzverletzung oder eines unbeabsichtigten Lecks die Identität der Benutzer zu schützen.

Diese Perspektive wird durch die FIDO-Allianz und ihre Mitglieder unterstützt, zu denen unter

anderem Google, Intel, Microsoft, Mastercard, die Alibaba-Gruppe, Samsung, Qualcomm, Nok Nok

Labs usw. gehören. Darüber hinaus können Implementierer dank der laufenden Bemühungen von

Das Speichern von Daten in der

Cloud ist bei Lösungen im

Regierungssektor am weitesten

verbreitet, wo das Daten-

Management zentralisiert

werden muss.

Bedenken der dritten Stufe

Bedenken der zweiten Stufe

Bedenken der ersten Stufe

Kosten für die Lösungsimplementierung

Risiko einer biometrischen Datenschutzverletzung

Hardware- und Software-

Interoperabilität

Benutzerfreundlichkeit, Genauigkeit,

Sicherheit

Kosten für die Systemwartung

IT-bezogener Zeitaufwand

Probleme bei der Umsetzungsphase





9

abiresearch.com

Custom Research


Seiten von FIDO zur Standardisierung und einer alles umfassenden lückenlosen MFA-Lösung

sicher sein, dass Interoperabilitätsprobleme minimiert oder ganz beseitigt werden können.

4.2. Fingerabdruck-Authentifizierung

Als faktische biometrische Technologie ist die Fingerabdruckerkennung Gegenstand der

überwiegenden Mehrheit der Unternehmens-, staatlichen und akademischen biometrischen

Forschungsprojekte. Biometrische Installationen der Vergangenheit haben eine Fülle von

wertvollen Informationen darüber geliefert, was eine gute Fingerabdruck-Anwendung darstellt.

Unternehmen preisen die Zulassungsrate unberechtigter (Falschakzeptanzrate, FAR) sowie die

Abweisungsrate berechtigter Metriken (Falschrückweisungsrate, FRR) fast ausschließlich als das

primäre Verkaufsargument für ihre jeweiligen Produkte an. Die Entscheidungsträger müssen

jedoch über diese Metriken hinaus auf andere entscheidende Fragen schauen:

• Bildauflösungsverhältnisse – Pixel pro Zoll (PPI): Übersteigen sie die durch die FBI-Zertifizierung gesetzte 500 PPI Schwelle? Haben sie andere Zertifizierungen erhalten? Zielt die Auflösung auf PPI im Bereich 800 bis 1000?

• Sensor-Spezifikationen: Wenn der Sensor als „dünn“ und „einfach zu implementieren“ beworben wird, ist er auch robust genug? Wenn der Sensor als „kapazitiv“, „Sweep“ oder „Solid-State“ klassifiziert wird, ist dies genau genug? Sind mehr als drei Versuche nötig, um einen Benutzer zu authentifizieren?

• Eingebettet kontra USB: Statistisch gesehen sind externe USB-Sensoren anfälliger für Angriffe und Exploits, die Sicherheitslücken ausnutzen, als eingebettete Sensoren. Gibt es einen signifikanten Vorteil der Verwendung eines externen USB-Sensors? Spiegeln die zusätzlichen Kosten sich in der TCO wider?

• Lebenderkennung: Verfügt der Sensor über Lebenderkennung oder andere Anti-Spoofing-Funktionen? Gibt es bereits andere erfolgreiche Implementierungen?





10

abiresearch.com

Custom Research


• Robustheit: Was ist die höchste ESD-Schutzebene (Maßnahmen gegen Beschädigungen durch elektrostatische Entladungen) des Sensors? Verfügt der Sensor über geeignete Schutzbeschichtung, um eine lange Lebensdauer auch bei zahlreichen Verwendungen zu gewährleisten? Sind Sensor und Modul leicht austauschbar?

• Zertifizierungen und Algorithmen: Wurde der Algorithmus durch das National Institute of Technology (NIST) getestet? Ist das Unternehmen mit diesen Ergebnissen zufrieden? Gibt es Zertifizierungen durch FBI, ISO, ROHS, CE oder FCC?

4.3. Gesichtsauthentifizierung

In der Branche gibt es starke Bedenken bezüglich einer Umgehung der Gesichts-Authentifizierung

– oftmals sogar mit ganz einfachen Mitteln. In den letzten 5 Jahren war es möglich, ein Foto von

einigermaßen guter Auflösung von jemandem auszudrucken und damit die

Gesichtserkennungssoftware seines Computers zu umgehen. Soziale Medien und Networking-

Seiten bieten eine verschwenderische Auswahl an Fotos unterschiedlicher Beleuchtung und

Bildwinkel als Ausgangsmaterial für Hacker, die einen ID-Bypass planen. Fortschritte in der

Branche zielen darauf ab, diese Schwachstellen zu beheben und die Merkmale der

Gesichtserkennung zu erweitern.

Die RealSense F200 Kamera von Intel und die Windows 10-Funktion „Windows Hello“ sind zwei

Beispiele für hochentwickelte Gesichtserkennung bei PCs. Intel RealSense ist eine 1080 RGB-

Infrarot-Kamera, die dank Multi-Kameratechnologie 3D-Scans ermöglicht, über einen

Erkennungsbereich von bis zu 1,2 Metern verfügt und ein sehr anpassungsfähiges Developer Kit

beinhaltet. Die von Intel angebotene Technologie ermöglicht gründliche und anspruchsvolle Scans

der Gesichtsmerkmale des Benutzers als Grundlage für die Schaffung eines zuverlässigen

biometrischen ID-Nachweises. Darüber hinaus hat Microsoft sein Windows Hello mit einem

zusätzlichen Sicherheitsmerkmal aufgerüstet, um die Geräte von Endbenutzern noch besser zu

schützen. Wenn diese Funktion aktiviert ist, muss der Benutzer seinen Kopf leicht nach jeder Seite

neigen, damit der Algorithmus verifizieren kann, dass sich tatsächlich eine lebende Person vor der

Kamera befindet. Diese Maßnahme wird als zusätzlicher „Lebenderkennungs“-Test bereitgestellt,

damit Betrüger nicht mit einem hochauflösenden Foto des Opfers das System täuschen können.

4.4. Gesetzgebung und Ausbildung

Wie bereits erwähnt ist die Sicherheit rund um biometrische Anmeldeinformationen eines der

wichtigsten Anliegen und eine Hürde für Unternehmen, die nach einer biometrischen

Implementierung suchen. Ein Teil dieser technologischen Bedenken wurzelt jedoch auch von der

Unsicherheit in Bezug auf Gesetzesänderungen. Während die aktuelle Gesetzgebung in Bezug

auf biometrische Daten zweifellos einen Einfluss auf die zugrunde liegende Technologie ausübt

und auf die Art, wie Unternehmen ihre Lösungen einer neuen und bestehenden Kundenbasis

bereitstellen, ist zu beachten, dass die meisten Regelungen in Bezug auf biometrische Technologie

bereits vorhanden sind. Es lohnt sich jedoch für Unternehmen immer, besonderes auf die Art und

Weise zu achten, wie Regierungen mit Biometrie bei Grenzkontrollen, Identifikation von Bürgern

und Datenschutzverletzungen umgehen. Als Hinweise auf künftige Rechtsvorschriften können

verschiedene Faktoren dienen, z.B. welche Bereitstellungen erwartungsgemäß funktionieren, wo

es erhebliche Ausfälle gibt und ob sich Fragen zu personenbezogenen Daten oder Dateneigentum

abzeichnen.





11

abiresearch.com

Custom Research


Eine der größten Verbesserungen seit der Einführung der Biometrie in der Verbraucherelektronik

(insbesondere bei Smartphones) war in diesen letzten Jahren die Tatsache, dass Nutzer viel Zeit

damit verbrachten, zu lernen und sich an die Technologie zu gewöhnen. Diese Tatsache,

zusammen mit dem kommerziellen Erfolg intelligenter Geräte, hat den Weg für verbesserte

Versionen von Erkennungsverfahren (insbesondere in den Bereichen Fingerabdruck, Gesicht und

Stimme) für kommerzielle, Regierungs- und Unternehmensanwendungen geebnet. Benutzer sind

bereits recht vertraut mit den meisten biometrischen Technologien und wissen, wie sachgemäße

Authentifizierung auf ihren Geräten (Smartphones, Computer, Tablets) umgesetzt werden sollte.

5. PROJEKTBESCHREIBUNG

Mehrere Befragungen von Händlern im Biometrie-Markt – von OEMs und Algorithmus-Entwicklern

bis hin zu Systemintegratoren und Software-Ingenieuren – haben Erkenntnisse über ein breites

Spektrum von vielfältigen aber kritischen Cybersecurity-Themen erbracht. Dieser Input wurde mit

Querverweisen zu Erkenntnissen aus der Sekundärforschung und zu wissenschaftlichen

Publikationen versehen, um die folgende hypothetische Fallstudie anhand der MFA-Lösung von

Intel zu erstellen.

5.1. Hintergrund

Nach steigenden Spannungen zwischen C-Level-Führungskräften in einem Unternehmen (erstellt

aus einem Verbund mehrerer anderer realer Unternehmen) entstand ein interner Konflikt über die

Frage der Verbesserung der Sicherheitssysteme. Der erste Teil der Fallstudie zeigt einige der von

Management und Mitarbeitern angesprochenen System-Empfindlichkeiten und Bedenken. Es wird

davon ausgegangen, dass das System von bestimmten Low-Level-Attacken nicht beeinträchtigt

wird und dass die IT die Infrastruktur mit grundlegenden Lösungen zum Netzwerk- und Endgeräte-

Schutz gestärkt hat (Antivirus, Firewall, SIEM, Passwort-Schutz, VPN). Trotzdem treten, wenn man

ein bisschen tiefer gräbt, einige schwerwiegende Schwachstellen zutage, die leider zu einem

großen Teil auf die alternde Computerhardware zurückgehen, die an modernen Arbeitsplätzen

immer noch vorherrscht. Der zweite Teil der Fallstudie zeigt, dass Intel eine umfassende Lösung

bieten kann, ohne dass eine komplette Überarbeitung des bestehenden Netzwerksystems oder

zusätzliche Sicherheitskosten nötig sind, bei gleichzeitiger Verbesserung der Mitarbeiter-

Produktivität und Endgeräte-Sicherheit.

5.2. Herausforderungen und Schwachstellen

Das Unternehmen entscheidet, dass der Großteil der Mittel für die IT-Sicherheit zur

Netzwerksicherheit verwendet werden soll. Vor der Prüfung einer neuen Implementierung erlebt

die IT-Abteilung ein paar externe Bedrohungen, aber nichts, womit das vorhandene

Sicherheitssystem nicht zurechtkäme. In der Vergangenheit hat das Management beschlossen,

mehrere Upgrade-Zyklen ihres Computerbestands auszulassen, um die Kosten niedrig zu halten.

Jedoch sind einige andere scheinbar geringfügige Vorfälle vor kurzem zur Aufmerksamkeit des

CIO und CISO gelangt. Das System registriert gelegentlich den Eingang von

Anmeldeinformationen einiger User zu ungewöhnlichen Zeiten (z.B. Angestellte, die sich ab und

zu in der Mittagspause oder nach Dienstschluss ein- und ausloggen). Bei etwa einem Drittel dieser

Fälle griffen autorisierte Benutzer von ihrem Computer auf zuvor abgefragte Ressourcen zu und

übertrugen Dateien zu unbekannten Empfängern, die nicht in der Unternehmensdatenbank

registriert waren. Der Zugang war völlig legitim und folgte sogar den meisten Verhaltensmustern,

die bereits bei den Nutzern selbst festgestellt worden waren. Die Mitarbeiter bestritten, irgendeine





12

abiresearch.com

Custom Research


der im Back-End-Protokoll aufgezeichneten Aktionen durchgeführt zu haben. Bald begann das

gesamte Bild Gestalt anzunehmen:

• Mitarbeiter, die seit drei Jahren beim Unternehmen waren, hatten entsprechend der Unternehmensrichtlinie alle vier Monate ihre Kennwörter geändert (i.e. 12 Passwortänderungen in 3 Jahren). Eine sorgfältige Prüfung ergab, dass der Erstellungsprozess der Passwörter der Mitarbeiter drei hauptsächlichen Mustern folgte: 1) Mitarbeiter verwenden reihum drei oder vier Passwörter, (2) diese Passwörter werden auch für soziale Medien, E-Mail und andere persönliche Konten verwendet, (3) jedes Mal wird ein anderer Buchstabe großgeschrieben, (4) eine Zahl wird vorne oder hinten oder anstelle eines Zeichens eingefügt, das ihm visuell gleicht (z.B. 1 statt I oder L, 3 oder 5 anstelle von E. 0 statt O)

• Eine Untersuchung der Endgeräte selbst ergab, dass sie mit Screen-scraping Spyware und/oder Key-Logger Malware infiziert waren.

• Die Infektion verblieb völlig unbemerkt über drei Quartale hinweg auf diesen Endgeräten.

• Einige Mitarbeiter hatten ihr Passwort mit einer kleinen Anzahl von Kollegen geteilt.

• Mitarbeiter hatten begonnen, ihre eigenen Laptop-Geräte an den Arbeitsplatz mitzubringen, da das Management nicht bereit war, die Firmen-PCs im normalen Zyklus zu erneuern. Deshalb übertrugen die Mitarbeiter ihre Arbeit auf ihre eigenen Geräte, die über viel mehr Rechenleistung verfügten.

• In den meisten Fällen erwies sich die Zweit-Faktor-Authentifizierung als nicht hilfreich, da die Angreifer bereits in das System eingedrungen waren und still und heimlich die auf den Endgeräten verfügbaren Unternehmensdaten absaugten. Anstatt zu versuchen, die Netzwerksicherheit zu beeinträchtigen, warteten die Angreifer einfach darauf, dass die Mitarbeiter die Informationen aus dem Netzwerk auf ihre Endgeräte übertrugen.

• Management und IT widersetzten sich der Verwendung externer biometrischer USB-Lesegeräte und dem Cloud-basierten biometrischen Daten-Management, weil sie diese Verfahren für möglicherweise unsicher, ungenau und anfällig für Angriffe hielten.

• Das Management war nicht bereit, weitere Ausgaben für die Netzwerksicherheit zu tätigen, visiert aber derzeit eine Implementierung an, die optimale ROI-Ergebnisse erzielen wird.

5.3. Lösung

Ein Erneuerungs- und Aktualisierungs-Zyklus für Unternehmens-PCs ist dringend erforderlich und

das Arsenal von Intel Authenticate erweist sich als die Lösung, nach der IT und Management

gesucht haben. Angetrieben durch Hardware-verstärkte Sicherheit stellten Intel und andere

Anbieter folgendes zur Verfügung:

• Eine hochsichere, eingebettete Multifaktor-Lösung für Endgeräte, Mitarbeiterzufriedenheit, Datensicherheit, und insgesamt verbesserte TBO (durchschnittliche Dauer bis zur Überholung von Geräten) verglichen mit anderen Software-basierten Lösungen.

• Freiheit von der Anfälligkeit von Passwörtern, bösartigen externen USB-Lesern und Screen-Scraping durch die Verwendung biometrischer Daten, eingebetteter Sicherheit und randomisierten, prozessorbasierten Anmeldeinformationen.

• Freiheit von Kosten für Biometrie als Dienstleistung, Drittanbieter-System-Integration und Interoperabilitätsfragen.

• Seelenfrieden für Mitarbeiter und Führungskräfte bezüglich der Verwaltung der biometrischen Anmeldeinformationen. Die FIDO-zugelassene Lösung sorgt dafür, dass die Daten der Benutzer ihre Geräte nie verlassen, und beschwichtigen dadurch die Bedenken von Benutzern bezüglich der Cloud-Speicherung biometrischer Daten und den Zugriff Dritter darauf.

• Isolierte, Prozessor-basierte Speicherung bedeutet, dass die Bedrohungs-Akteure die biometrischen Daten des Nutzers nirgends auf den zahlreichen Etappen des Datenpfads abfangen können: Sensor-Datenerfassung, Daten-Vorverarbeitung Merkmalextraktion, Biokryptografie, Verschlüsselung und Datenbank-Kommunikationskanäle.





13

abiresearch.com

Custom Research


6. SCHLUSSFOLGERUNG

Die Endgeräte-Security bildet zusammen mit mangelnder Erneuerung des Computerbestands und

wiederkehrenden Upgrade-Zyklen zwei wichtige Sicherheitsaspekte, die von Unternehmen oft

übersehen werden. Darüber hinaus ist es die Prävalenz von Passwörtern als primäre Form der

Authentifizierung, die derzeit aus dem Scheinwerfer rückt. Sowohl Software- als auch Hardware-

basierte Sicherheitsmaßnahmen für Authentifizierungsmechanismen müssen parallel eingesetzt

werden, um dem Unternehmen die notwendigen Werkzeuge zur Bekämpfung interner und externer

Angriffe an die Hand zu geben.

Eine beträchtliche Anzahl von Endgeräte-Schwachstellen offenbaren sich erst nach sorgfältiger

Prüfung. Sie können völlig unentdeckt bleiben und Malware kann oft jahrelang schlummern und

nur dann an die Oberfläche kommen, wenn ihre Ziele getriggert werden. Management und IT

fangen langsam an, die Tatsache anzuerkennen, dass ein alternder Computerbestand nicht nur

ein Sicherheitsrisiko und eine Belastung für die Mitarbeiter darstellt, sondern sie außerdem dazu

anregt, ihre Arbeitsgewohnheiten auf ihre eigenen Endgeräte zu übertragen, was alle Bemühungen

der IT um eine Optimierung der Vermögenssicherung aushebelt. Sie sind auch eher Opfer von

Phishing oder Social Engineering-Angriffen.

Darüber hinaus gibt es starke Bedenken von Mitarbeitern bezüglich der Serverspeicherung,

Verwaltung und Nutzung von biometrischen Daten. Biometrische Technologien haben eine

Vorzüge für

Arbeitnehmer

Geräte-Mobilität und sicherer VPN-Zugang

Walk-away Sperrsystem

Screen-scraping-Schutz und Keypad

Nicht verlinkbare biometrische Daten

bleiben im Gerät

Leistungsstarker Prozessor und sichere

Kanäle

Einfache

Authentifizierung

Alles umfassende MFA einschließlich

PIN, Gerät, OTP, LBS

BYOD leicht gemacht mit Bluetooth

Integration mit Windows 7, 8, 10, und

Windows Hello

Mildert Verstöße durch Passwort-Fehlschläge

Hochmodern

Gesichts- und Fingerabdruck-

Authentifizierung

Robuste Sicherheit

Eingebettete Lösung und isolierte Umgebung

PKI-Verschlüsselung

Vorteile aus dem kompletten Intel

Hardware-betriebenen Arsenal

Komplette Transparenz, wer

hinter dem Computer sitzt

Frei von Cloud-basierten

biometrischen Systemschwachstellen

Investitionsvorteile

Interoperable Lösung und FIDO-

standardisiert

Arbeitet zusammen mit bestehender oder

zukünftiger Software und Netzwerk-

Sicherheit

Stabile Grundlagen für Iris-Erkennung

Keine versteckten Kosten oder

wiederkehrende Gebühren

Weniger Hilfe von IT benötigt, keine

langwierigen Versuche erforderlich

Die eingebettete Hardware-getriebene MFA-Lösung von Intel

bringt mehrstufige Authentifizierung auf ein neues Niveau und

löst mehrere IT-Probleme durch das folgende Angebot:

Sowohl Software- als auch

Hardware-basierte

Sicherheitsmaßnahmen für

Authentifizierungsmechanisme

n müssen parallel eingesetzt

werden, um dem

Unternehmen die notwendigen

Werkzeuge zur Bekämpfung

interner und externer Angriffe

an die Hand zu geben.





14

abiresearch.com

Custom Research


kritische Masse erreicht und fangen an, eine Vielzahl von Implementierungen in einem breiten

technischen Spektrum zu genießen. MFA und Biometrie sind mächtige Werkzeuge im IT-Arsenal

und ermöglichen einen gründlicheren Schutz von Mitarbeiterdaten.

Passwörter waren über Jahrzehnte hinweg der Grundpfeiler der Authentifizierung. Großformatige

Cyberattacken, Verstöße gegen den Datenschutz, Systembeeinträchtigungen und die Entstehung

von anspruchsvollen Cyberspionage-Aktionen zeigen jedoch zusammen mit dem Aufkommen

überlegener Malware, dass ein Erneuerungszyklus für Unternehmens-PCs sowie eine umfassende

Umsetzung der MFA in der modernen Arbeitswelt unverzichtbar sind. Es ist daher wichtig für

Entscheidungsträger, die langfristigen Vorteile einer neuen Lösungen zusammen mit den

entsprechenden Sicherheitsoptionen für optimalen Schutz vor unberechtigtem Zugriff zu

berücksichtigen.





15

abiresearch.com

Custom Research


7. INHALTSANGABE

1. KURZFASSUNG ................................................................................................................................................................. 1

2. DIE ENTWICKLUNG DER AUTHENTIFIZIERUNG IM MODERNEN UNTERNEHMEN .................................................. 2

2.1. Passwörter: Der traditionelle Kern der Authentifizierung ..................................................................................................................... 2 2.2. Security Shift: Vom Netzwerk zum Endgerät ....................................................................................................................................... 2 2.3. MFA zum neuen Standard machen ..................................................................................................................................................... 3

3. ANWENDUNG VON MFA AM ARBEITSPLATZ ............................................................................................................... 4

3.1. Endgeräte-Authentifizierungsprobleme ............................................................................................................................................... 4 3.2. Das schwächste Glied ......................................................................................................................................................................... 4 3.3. Biometrische Bereitstellungen und die daraus gewonnenen Erkenntnisse ......................................................................................... 6 3.4. MFA-Hardware-Sicherheit und Biometrie ............................................................................................................................................ 7

4. EIN KURZER LEITFADEN FÜR ENTSCHEIDER.............................................................................................................. 8

4.1. Die Speicherung biometrischer Daten: Geräte-basiert kontra Server-basiert ...................................................................................... 8 4.2. Fingerabdruck-Authentifizierung .......................................................................................................................................................... 9 4.3. Gesichtsauthentifizierung .................................................................................................................................................................. 10 4.4. Gesetzgebung und Ausbildung ......................................................................................................................................................... 10

5. PROJEKTBESCHREIBUNG ............................................................................................................................................ 11

5.1. Hintergrund ........................................................................................................................................................................................ 11 5.2. Herausforderungen und Schwachstellen ........................................................................................................................................... 11 5.3. Lösung ............................................................................................................................................................................................... 12

6. SCHLUSSFOLGERUNG .................................................................................................................................................. 13

7. INHALTSANGABE ........................................................................................................................................................... 15





16

abiresearch.com

Custom Research


Veröffentlicht 24. Februar 2016

©2016 ABI Research

249 South Street

Oyster Bay, NY 11771 USA

Tel: +1 516-624-2500

www.abiresearch.com

ALLE RECHTE VORBEHALTEN. Kein Teil dieses Dokuments darf reproduziert aufgezeichnet, fotokopiert, in eine

Kalkulationstabelle, einen Informationsspeicher und/oder ein Abrufsystem jeglicher Art eingefügt werden, sei es auf

elektronische, mechanische oder sonstige Weise, ohne die ausdrückliche schriftliche Genehmigung des Herausgebers.

Ausnahmen: Regierungsdaten und andere Daten aus öffentlichen Quellen in diesem Bericht sind nicht durch Copyright

oder geistiges Eigentumsrecht geschützt. Die Besitzer dieser Daten können an den Stellen, wo diese Daten auftauchen,

angezeigt werden, müssen jedoch nicht.

Lizenzen für elektronisches geistiges Eigentum sind für die Nutzung der Website verfügbar. Bitte kontaktieren Sie ABI

Research für eine Site-Lizenz.

Custom Research MEHRSTUFIGE AUTHENTIFIZIERUNG UND ... · Als Konsequenz hieraus verlagern sich...

Documents

Transcript of Custom Research MEHRSTUFIGE AUTHENTIFIZIERUNG UND ... · Als Konsequenz hieraus verlagern sich...