Wie unterscheiden sich Identifizierung, Identitätsverifizierung und Authentifizierung?

Identifizierung, Verifizierung und Authentifizierung spielen allesamt eine Rolle für die Sicherheit im Rahmen des Identitätsmanagements. Wenn Unternehmen verhindern wollen, dass Cyberkriminelle gestohlene Identitäten und Login-Daten verwenden, müssen sie proaktiv handeln. Laut des FBI kostete die Internetkriminalität die amerikanische Bevölkerung 4,2 Milliarden US-Dollar im Jahr 2020.

Die Wahl des geeigneten Sicherheitsniveaus hängt von der Anwendung ab. So benötigt beispielsweise ein Finanzdienstleister, der mit hochwertigen Vermögenswerten und Transaktionen agiert, in der Regel einen stärkeren Identitätsnachweis als ein Unternehmen im Bereich der sozialen Medien. Dies bedeutet allerdings nicht, dass Social-Media-Unternehmen auf strenge Maßnahmen zur Identitätssicherung verzichten können. Im Jahr 2016 übernahmen Hacker das Twitter-Konto von Katy Perry und damit das Konto mit der damals höchsten Anzahl an Followern.

Wir wollen uns damit befassen, wie Identifizierung, Verifizierung und Authentifizierung für das Identitätsmanagement und die Sicherheit im Internet genutzt werden.

Die Identifizierung stellt die folgende Frage: „Wer sind Sie?“ Beim Abschluss der Registrierung identifiziert sich ein neuer Benutzer auf Ihrer Website. Manche Unternehmen beschränken ihr Identitätsmanagement allein auf die Identifizierung und nehmen die Angaben der Benutzer für bare Münze. Dies kann sehr riskant sein.

In vielen Fällen können Unternehmen nicht ohne zusätzliche Maßnahmen herausfinden, ob eine Person wirklich ein echter Kunde ist, oder ob es sich um einen Betrüger handelt, der einen falschen Namen bzw. eine gestohlene Identität verwendet. Für Cyberkriminelle ist es ein Leichtes, Social-Media-Konten unter gefälschtem Namen und Erscheinungsbild zu erstellen und für eine ganze Reihe von üblen Absichten einzusetzen, wie beispielsweise auch Menschenhandel.

Die Verifizierung erstreckt sich von „Wer sind Sie?“ bis „Beweisen Sie es“. Um zu überprüfen, ob die Person ihren tatsächlichen Namen, ihre Adresse, Telefonnummer usw. verwendet, verlangen die Unternehmen eine Verifizierung. Die Verifizierung kann in Form eines Führerscheins, eines staatlich ausgestellten Ausweises, biometrischer Daten wie Fingerabdrücke oder mit bestätigten Fotos erfolgen, die sich für die Gesichtserkennung eignen.

Es gibt normalerweise nur eine Verifizierung während des Registrierungsvorgangs. Die Identitätsverifizierung kann zur Überprüfung der Angaben des Kunden direkt in mobile Apps integriert werden.

Wenn kein Verifizierungsprozess eingerichtet ist, können Betrüger gestohlene Identitäten oder Login-Daten erfolgreich zum Einsatz bringen. Zu Beginn der Pandemie stellten organisierte Verbrecherringe mit gestohlenen Identitäten betrügerische Anträge auf Arbeitslosenhilfe, um millionenschwere Beträge an Zuwendungen zu kassieren. Als das Ausmaß dieses Betrugs zum Vorschein kam, begannen Staaten, Dienste für den Identitätsnachweis in Anspruch zu nehmen, die Selfies mit den Fotos offizieller Ausweisdokumente verglichen, um die Legitimität der Antragsteller sicherzustellen. Ohne die geforderten Selfies konnten die Betrüger ihre betrügerischen Absichten nicht weiter verfolgen. Leider wurde auf diese Weise echten Antragstellern, die keine Geräte für die Aufnahme von Selfies hatten, der Zugang zu ihren rechtmäßigen Leistungen erschwert. 

Dieses kurze Video demonstriert den Vorgang der Kundenverifizierung.

Die Authentifizierung dient ebenfalls dazu, die Identität von Benutzern nachzuweisen. Eine Authentifizierung erfolgt in der Regel jedes Mal, wenn sich ein Benutzer anmeldet. Sie kann zusätzlich implementiert werden, wenn ein Benutzer eine Transaktion mit hohem Wert durchführt oder versucht, an einem risikoreichen Ort (z.B. einem Flughafen) auf sensible Daten zuzugreifen.

Die Authentifizierungsmethoden lassen sich in drei Hauptkategorien einteilen, die auch als Authentifizierungsfaktoren bezeichnet werden:

• Wissen: Etwas, das man weiß. Informationen oder Geheimnisse, die nur Ihnen bekannt sind. Darunter fallen auch Passwörter, PINs und Antworten auf Sicherheitsfragen.

• Besitz: Etwas, das man hat. Zu dieser Art von Besitz zählen Smartphones, Karten, Schlüsselanhänger und physische Token, die entweder Einmalpasswörter oder Codes erzeugen bzw. empfangen können.

• Biometrie: Etwas, das man ist. Dabei handelt es sich um individuelle physische Merkmale, die durch Fingerabdruckscans, Stimmerkennung, Gesichtserkennung und andere Scantechniken, die eine bestimmte Art von Gerät erfordern, zur Bestätigung erfasst werden.

Bei der Zwei-Faktor-Authentifizierung (2FA) und der Multi-Faktor-Authentifizierung (MFA) müssen sich die Benutzer durch Faktoren aus mehr als einer Kategorie verifizieren. Dies hindert böswillige Akteure mit kompromittierten Passwörtern oder anderen Login-Daten daran, auf Konten zuzugreifen.

In diesem kurzen Video erfahren Sie mehr über moderne Multi-Faktor-Authentifizierung (MFA).

Die Identifizierung ist der erste Schritt im Prozess, bei dem ein Nutzer bei der Einrichtung eines Kontos Angaben zu seiner Person macht. Ein rechtmäßiger Nutzer wird korrekte Informationen liefern, aber ein Betrüger wird mit falschen oder gestohlenen Daten agieren.

Bei der Verifizierung wird der Nutzer gezwungen, die Richtigkeit der von ihm angegebenen Informationen nachzuweisen. Es ist möglich, Konten mit gestohlenen Identitäten einzurichten. Dieser Schritt legt den Betrügern das Handwerk, da sie nicht in der Lage sind, den erforderlichen Identitätsnachweis zu erbringen und gefälschte Konten zu erstellen. Die Benutzer können dazu aufgefordert werden, einen Fingerabdruck oder einen Gesichtsscan abzugeben, eine Kopie des Führerscheins vorzulegen oder eine andere Form der Verifizierung zu durchlaufen.

Die Authentifizierung fordert die Benutzer ebenfalls zum Nachweis ihrer Identität auf, was bei jeder einzelnen Anmeldung der Fall sein kann. Die für die Verifizierung verwendeten Methoden kommen auch bei der Authentifizierung zum Einsatz, einschließlich Fingerabdruckscans und Gesichtserkennung. Die risikobasierte, adaptive Authentifizierung berücksichtigt bei der Entscheidung auch kontextbezogene Daten. Sie stuft die Notwendigkeit zusätzlicher Nachweise hoch, ausgehend davon, ob die Zeit, der Ort oder ein anderer Aspekt des Logins für diesen Benutzer ungewöhnlich erscheint.

Weitere Informationen darüber, wie wichtig es ist, Gewissheit über die wahre Identität der Nutzer zu erhalten, finden Sie unserem Blog

Alles, was Sie über Online-Betrug wissen sollten.