Definitionen durchsuchen :
Definition

Risiko-basierte Authentifizierung (RBA)

Mitarbeiter: Stan Gibilisco

Unter dem Begriff Risiko-basierte Authentifizierung (RBA) versteht man eine Methode, bei der abhängig von dem Risiko, dass ein System kompromittiert werden könnte, unterschiedliche Stufen der Authentifizierung eingesetzt werden. Je höher das vermutete Risiko ist, desto aufwändiger und strikter wird dabei der Authentifizierungsprozess.

Eventuell sind Sie einer Risiko-basierten Authentifizierung bereits schon begegnet, wenn Sie sich von einem anderen Land aus bei Ihrem Bankkonto angemeldet haben und Ihnen dabei mehr als die normalerweise üblichen Security-Fragen gestellt wurden. Häufig verwendete Kriterien zur Einstufung des Risikos sind der geografische Ort der Anfrage, die jeweilige IP-Adresse und das Vorhandensein von Software zum Schutz vor Viren.

Wenn ein Administrator eine Risikoeinschätzung für ein Netzwerk oder eine Webseite vornimmt, sollte er folgende Faktoren mit in Betracht ziehen:

  • Die Größe des Systems, abhängig von der Zahl seiner Nutzer. Durch eine wachsende Zahl von Anwendern wird auch das Risiko eines Einbruchs größer.
  • Die Bedeutung eines Systems für das Funktionieren einer Organisation. Die kritischsten Systeme stellen meist auch das größte Risiko dar, wenn es um erhebliche Schäden im Falle eines Einbruchs geht.
  • Die Leichtigkeit, mit der jemand ein Systeme knacken oder Daten kompromittieren kann. Im besten Fall sollten Schutzmaßnahmen wie Firewalls und Antiviren-Software verlässlich funktionieren sowie auf dem jeweils aktuellsten Stand sein. Bei knappen Budgets stehen diese Vorkehrungen aber nicht immer oben auf der Liste der Prioritäten.
  • Die Wichtigkeit der auf einem System gespeicherten Daten. Grundlegende Kundendaten wie Namen, Adressen und (in den USA) Sozialversicherungsnummern erfordern verstärkte Maßnahmen zum Schutz.

Eine Risiko-basierte Authentifizierung kann entweder abhängig von Anwendern oder abhängig von Transaktionen erfolgen. Anwender-abhängige RBA verwendet dieselbe Authentifizierung, wann immer ein bestimmter Nutzer sich an einem System anmeldet. Die Anmeldedaten, die ein System erfordert, hängen dabei also davon, um wen es sich bei dem Anwender handelt. Bei einem transaktionsabhängigen Prozess können dagegen unterschiedliche Authentifizierungsmethoden von einem Nutzer verlangt werden. Sie sind dann abhängig von der Bedeutung und dem Risiko einer bestimmten Transaktion.

 

Diese Definition wurde zuletzt im Mai 2018 aktualisiert

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close