Was ist adaptive Mehr-Faktor-Authentifizierung?
- IAM-Glossar
- Was ist adaptive Mehr-Faktor-Authentifizierung?
Die adaptive Multi-Faktor-Authentifizierung (Adaptive MFA) ist eine Sicherheitsmethode, die Kontextfaktoren auswertet, bevor der Benutzer aufgefordert wird, seine Identität durch zusätzliche Authentifizierung zu bestätigen. Im Gegensatz zur Standard-MFA fordert die adaptive MFA die Nutzer nur dann zur Rechenschaft, wenn Kontextindikatoren wie Gerätetyp, Standort oder Verhalten von ihren normalen Mustern abweichen. Adaptive MFA hilft, Online-Konten zu schützen und gleichzeitig den Anmeldevorgang für vertrauenswürdige Benutzer zu vereinfachen.
So funktioniert die adaptive MFA
Adaptive MFA analysiert Sicherheitsrisiken in Echtzeit mithilfe von Kontextdaten, um festzustellen, ob ein Anmeldeversuch legitim ist und welche Authentifizierungsanforderungen anzuwenden sind. Wenn sich ein Benutzer einloggt, wertet das System Datenpunkte wie die IP-Adresse des Benutzers, den geografischen Standort und den Zeitpunkt des Zugriffs im Vergleich zu seinem üblichen Verhalten aus. Anhand der Ergebnisse ordnet das System dem Anmeldeversuch eine Risikobewertung zu. Folgende Arten von Risikobewertungen gibt es:
- Geringes Risiko: Wenn der Anmeldeversuch dem typischen Verhalten des Benutzers entspricht, muss er möglicherweise nur seinen Benutzernamen und sein Passwort eingeben, um Zugriff zu erhalten.
- Mittleres Risiko: Meldet sich der Benutzer von einem neuen Gerät oder zu einer ungewöhnlichen Zeit an, wird er möglicherweise aufgefordert, seine Identität mit einem zusätzlichen Schritt, wie z. B. einem Einmalpasswort (OTP), zu bestätigen.
- Hohes Risiko: Wenn das System mehrere Anomalien feststellt, wie z. B. eine Anmeldung von einem unbekannten Standort oder einer verdächtigen IP-Adresse, muss der Benutzer möglicherweise stärkere Authentifizierungsmethoden, wie z. B. Biometrie, verwenden, andernfalls wird der Zugriff verweigert.
Wenn sich ein Benutzer beispielsweise üblicherweise während der Geschäftszeiten von einem Laptop in New York aus einloggt, würde ein Anmeldeversuch von einem Mobilgerät in Australien um 3:00 Uhr morgens als hohes Risiko eingestuft. Das System könnte sowohl eine Einmalpasswort-Authentifizierung als auch eine biometrische Authentifizierung erfordern, und der Zugriff würde gesperrt werden, wenn der Benutzer die Anforderungen nicht erfüllen kann.
MFA vs. adaptive MFA
Bei der herkömmlichen Multi-Faktor-Authentifizierung (MFA) müssen Benutzer ihre Identität mithilfe von zwei oder mehr Authentifizierungsmethoden überprüfen. Typischerweise benötigt MFA etwas, das der Benutzer weiß (wie ein Passwort), etwas, das er besitzt (wie ein Einmalpasswort) oder etwas, das er ist (wie ein Fingerabdruck). MFA wendet unabhängig von Risikostufe oder Kontextdaten die gleichen, vordefinierten Authentifizierungsschritte auf alle Benutzer an.
Die adaptive Multi-Faktor-Authentifizierung erweitert dies durch die Verwendung kontextbezogener Risikobewertungen, um den notwendigen Grad der Authentifizierung zu bestimmen. Benutzer mit geringem Risiko erhalten weniger Eingabeaufforderungen, was die Benutzerfreundlichkeit verbessert, während risikoreiche Zugriffsversuche stärkere Sicherheitsmaßnahmen auslösen.
| 2-Faktor-Authentifizierung | Adaptive Multi-Faktor-Authentifizierung |
|---|---|
| Authentifizierungsmethode | |
| Gleiche Schritte für alle Benutzer | Dynamische Schritte basierend auf Kontext und Risikoniveau |
| Flexibilität | |
| Wendet feste Regeln auf alle Anmeldeversuche an | Passt sich jedem Anmeldeszenario an |
| Risikobewertung | |
| Nicht enthalten | Integriert, nutzt Kontextdaten zur Risikoanalyse |
| Anwendungsfälle | |
| Ideal für einfache Umgebungen mit einheitlichem Benutzerzugriffsverhalten | Ideal für dynamische Umgebungen, die sowohl Komfort als auch fortschrittliche Sicherheitsmaßnahmen erfordern |
Vorteile der adaptiven MFA
Adaptive MFA bietet Organisationen mehrere Vorteile, insbesondere im Vergleich zu traditioneller MFA, da sie den Kontext in den Mittelpunkt stellt. Hier sind die Möglichkeiten, wie die adaptive MFA die Sicherheit erhöht und gleichzeitig die Benutzerfreundlichkeit für vertrauenswürdige Nutzer verbessert.
Verbesserte Sicherheit
Die traditionelle MFA arbeitet mit statischen Anmeldedaten wie Passwörtern und PINs zusammen, die anfälliger für Phishing-Angriffe und den Diebstahl von Zugangsdaten sind. Bei adaptiver MFA werden Anmeldeversuche in Echtzeit ausgewertet, um verdächtige Aktivitäten zu erkennen und gegebenenfalls stärkere Authentifizierungsschritte anzuwenden. Wenn ein Anmeldeversuch zu ungewöhnlich ist und der Benutzer die erforderliche Authentifizierung nicht vorlegt, wird der Zugriff vollständig gesperrt, um sensible Daten vor unbefugten Benutzern zu schützen.
Bessere Benutzererfahrung
Wenn ein Benutzer durch die Anmeldung von einem vertrauten Ort oder Gerät als risikoarm eingestuft wird, wird er weniger MFA-Aufforderungen erhalten. Dieses beschleunigte Anmeldeverfahren ermöglicht es vertrauenswürdigen Benutzern, schneller auf ihre Konten zuzugreifen, ohne ihre Identität unnötigerweise bestätigen zu müssen. Durch die Anforderung einer stärkeren Authentifizierung nur bei Bedarf bietet die adaptive MFA ein weniger frustrierendes Anmeldeerlebnis, ohne die Sicherheit zu gefährden.
Geringere Operationskosten
Durch weniger unnötige Authentifizierungsaufforderungen vergessen die Benutzer ihre Anmeldeinformationen seltener, was zu weniger IT-Helpdesk-Tickets führt. Adaptive MFA hilft Unternehmen, Zeit und Geld zu sparen, indem es die Anzahl der Passwortzurücksetzungsanfragen minimiert und die Zahl der Kontosperrungen aufgrund starker Authentifizierungsprozesse reduziert.
So wird adaptive MFA implementiert
Hier sind die wichtigsten Schritte für die erfolgreiche Implementierung der adaptiven MFA in Ihrem Unternehmen:
- Ermitteln Sie den Geschäftsbedarf: Ermitteln Sie anhand der Sicherheitsanforderungen Ihrer Organisation, der Benutzerrollen und der Zugriffsebenen, wo adaptive MFA am dringendsten benötigt wird. Priorisieren Sie Systeme, die vertrauliche Daten verarbeiten, über privilegierte Konten verfügen oder mit höherer Wahrscheinlichkeit Ziel von Cyberangriffen werden.
- Wählen Sie einen Anbieter: Wählen Sie einen vertrauenswürdigen Anbieter für adaptive MFA, der zu Ihrer Infrastruktur und Ihren Sicherheitsanforderungen passt. Zu den beliebten Optionen gehören Microsoft Entra ID und DUO Security.
- Definieren Sie kontextbezogene Risikorichtlinien: Legen Sie klare Regeln fest, um Anmeldeversuche in niedrige, mittlere oder hohe Risikokategorien einzuordnen. Ermitteln Sie, welche Kontextfaktoren (IP-Adresse, Gerät, Verhalten usw.) weitere Authentifizierungsanforderungen auslösen sollten.
- Integration in bestehende Systeme: Stellen Sie sicher, dass die von Ihnen gewählte Lösung mit Ihrer aktuellen IT-Umgebung kompatibel ist, einschließlich Single Sign-On (SSO)-Plattformen, Identitätsanbietern (IdPs) und virtuellen privaten Netzwerken (VPNs).
- Führen Sie eine Pilotphase durch: Testen Sie Ihre adaptive MFA-Konfiguration mit einer kleinen Gruppe von Benutzern, bevor Sie sie im Rest Ihrer Organisation einführen. Beobachten Sie die Funktionsweise des Risikobewertungssystems und überprüfen Sie, ob die entsprechenden Authentifizierungsschritte kontextbezogen angewendet werden.
- Schulen Sie die Nutzer: Erläutern Sie, warum die adaptive Multi-Faktor-Authentifizierung (MFA) eingeführt wird und welche Vorteile sie für alle Mitarbeiter bietet. Es ist wichtig, die Nutzer auf mögliche Änderungen während des Anmeldevorgangs vorzubereiten, um unnötige Frustration oder Störungen zu vermeiden.
- Überwachen und optimieren Sie: Überprüfen Sie regelmäßig die Audit-Protokolle, um festzustellen, ob Richtlinien aufgrund des Benutzerverhaltens aktualisiert werden müssen. Nutzen Sie die Daten, um Auslöser anzupassen und die Genauigkeit der Risikostufen zu verbessern.
