Haben Sicherheitsmaßnahmen ein Verfallsdatum?

Klassische Hardware-Token neben dem Mobiltelefon

Neben dem Mobiltelefon gibt es auch weitere Verfahren zur Generierung des 2. Faktors. In der Regel werden reine Hardware-Token verwendet, die in der Lage sind, ein OTP zu generieren. Hierzu ist in der Hardware ein Geheimnis gespeichert, über das OTPs geniert werden können. Die Annahme ist, dass dieses Geheimnis, sobald es auf dem Hardware-Token ist, nicht mehr ausgelesen oder kopiert werden kann. Dies ist eine analoge Annahme zur SIM-Karte, die auch nicht kopierbar sein soll. Klassische Vertreter der Hardware-Token sind Smart-Cards, USB-Dongles oder kleine Schlüsselanhänger mit einem Display.

Bei den Hardware-Token ist zu beachten, dass diese mit zusätzlichen Anschaffungskosten einhergehen und nicht zu vernachlässigende Verwaltungskosten mit sich bringen.

Die nächste Generation: Soft-Token    

Heutzutage ist das Mobiltelefon – oder besser gesagt, das Smartphone – kein geschlossenes System mehr. Benutzer sind in der Lage, eigene Applikationen auf dem Smartphone zu installieren. Dies legt das Fundament für die sogenannten Soft-Tokens. Was damals in Hardware implementiert wurde, wird heute in Software in einer App implementiert und auf dem Smartphone ausgeführt. Die App speichert das Geheimnis auf dem Smartphone, das für die Erzeugung des OTP benötigt wird. Auf Basis des Geheimnisses werden durch die App die OTPs generiert, die für die Anmeldung erforderlich sind. Die SIM-Karte wird für den Abruf des OTPs nicht mehr benötigt.

Jedoch wird bei Soft-Tokens die Möglichkeit des Kopierens des Geheimnisses wahrscheinlicher. Der Schwierigkeitsgrad hängt dabei von der App und dem verwendetem Smartphone ab. Der Vorteil liegt bei den Anschaffungs- und Verwaltungskosten. Diese sind bei Soft-Tokens in der Regel niedriger als bei klassischen Hardware-Tokens.

Sind die erforderlichen Faktoren wirklich unabhängig?

Um den zusätzlichen Sicherheitsgewinn einer 2FA vollständig ausschöpfen zu können, ist die Unabhängigkeit der Faktoren ein entscheidender Aspekt. Dies ist - im Vergleich zu vor fünf Jahren – bei Smartphones allerdings nicht mehr zwangsweise gegeben, denn es handelt sich um nicht mehr geschlossene Systeme. Die Interaktionsmöglichkeiten haben sich in den letzten Jahren deutlich verändert. Durch die stärke Einbeziehung des Smartphones in unseren Alltag arbeiten wir zunehmend mit Apps, die mobil auf dem Smartphone ausgeführt werden. Dies kann die Unabhängigkeit der beiden Faktoren deutlich reduzieren und damit das Sicherheitsniveau verringern.

Beispiel: Meldet sich ein Nutzer mit seinen Smartphone über die mobile App mit seinem Passwort an einem Online-Dienst an und erhält dann das OTP per SMS auf dasselbe Gerät, dann sind die beiden Faktoren nicht mehr unabhängig. Wird angenommen, dass ein Angreifer das Mobiltelefon kontrolliert, so kennt der Angreifer das Passwort des Benutzers und kann sich ferner auch die OTPs, die auf dem Smartphone empfangen werden, weiterleiten. Somit wird der Angreifer in die Lage versetzt, sich an dem Dienst anzumelden.

Das US-Institut für Standards und Technology (NIST) empfiehlt im Entwurf zur „Special Publication 800-63B“, die Authentifizierung per SMS nicht mehr zu wählen und nimmt von dieser Methode Abstand.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Haben Sicherheitsmaßnahmen ein Verfallsdatum?
2. Klassische Hardware-Token neben dem Mobiltelefon
3. Gültigkeit der getroffenen Annahmen und das zu erreichende Ziel

Lesen Sie mehr zum Thema

Weitere Artikel zu TÜV Rheinland LGA Products GmbH Köln

Online-Penetrationstests

TÜV Rheinland startet neuen Onlineservice

Umfrage des TÜV-Verbands

Die Lücke in der Cyberabwehrkette

Energieverbrauch

Wie grün sind die Telekommunikationsnetze wirklich?

TÜV Rheinland erläutert

Compliance Management mit neuer ISO-Norm 37301

Betriebliche Weiterbildung

Azubi- und Fachkräftemangel mit Einfacharbeitern auffangen

Weitere Artikel zu TÜV Rheinland Energie und Umwelt GmbH

Industrie 4.0

Ohne den Faktor Mensch geht es nicht

Penetrationstests

Belastungs-EKG der IT-Sicherheit

Digitalisierung von Lerninhalten

KI-basierte Lippenbewegungen

Cyberrisiken für Industrieanlagen

Operational Technology im Visier der Hacker

Trends in der Cybersicherheit

Gefährliche vernetzte Welt

Weitere Artikel zu TÜV Rheinland LGA Products GmbH

KI und Ethik

Noch eine Imitation?

Smart Home Services

Die finale Teststufe

Smart City Readiness Check

Smarte Cities stehen in Deutschland noch am Anfang

Gesunde und agile Führung

Von Mythen und der Macht des "Freusinn"

Perfekt vernetzt

Datenschutz im Smart Building

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus