Unabhängige News und Infos

USA: Biometrischer Authentifizierungsmethoden anstelle von Passwörtern

USA: Biometrischer Authentifizierungsmethoden anstelle von Passwörtern

Biometrische Daten als Antwort auf die Bedenken der USA in Bezug auf die Cybersicherheit

Von Bob Eckel, Präsident und CEO von Aware, Inc.

Im Jahr 2020 wurde ein großes US-amerikanisches Informationstechnologieunternehmen gehackt, wodurch vertrauliche Daten von über 18.000 seiner Kunden, darunter viele Regierungsbehörden wie das Finanzministerium und das Ministerium für Innere Sicherheit, offengelegt wurden. Kurze Zeit später wurde die größte Treibstoffpipeline der Vereinigten Staaten Opfer eines Ransomware-Angriffs, der zu weit verbreiteten Engpässen und Panik bei den Verbrauchern führte.

Leider sind Angriffe wie diese keine Seltenheit mehr. Sie machen deutlich, dass Regierungsbehörden und Privatunternehmen ihre Bemühungen im Bereich der Cybersicherheit verstärken, ihre Lieferketten sichern und ihre Authentifizierungs- und Need-to-know-Methoden verbessern müssen, damit ihre Vermögenswerte – und die ihrer Kunden – in sicheren Händen bleiben. Im Mai 2021 ergriff die US-Regierung Maßnahmen gegen diese besorgniserregenden Trends und unterzeichnete die „Executive Order on Improving the Nation’s Cybersecurity“. Im Folgenden werden wir erörtern, was diese Anordnung beinhaltet, welche Authentifizierungslösungen derzeit von der Bundesregierung verwendet werden und welche wichtigen nächsten Schritte unternommen werden sollten, um die Cybersicherheitsprotokolle zu verbessern und vor diesen problematischen Trends zu schützen.

Die „Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation“ (Executive Order on Improving the Nation’s Cybersecurity)

Die „Executive Order on Improving the Nation’s Cybersecurity“ (Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation) wurde von Präsident Biden als direkte Reaktion auf die wachsende Bedrohung durch groß angelegte Datenschutzverletzungen und die damit verbundenen Probleme bei der Zugangskontrolle unterzeichnet, mit denen die Regierung während der COVID-19-Pandemie konfrontiert war. In acht Abschnitten beschreibt die Anordnung die Maßnahmen, die die US-Bundesregierung innerhalb eines Jahres ergreifen muss, um die Erkennung, Eindämmung und Beseitigung von Cyberbedrohungen zu verbessern.

Eine Schlüsselkomponente von Bidens Anordnung war die Forderung an die Regierungsbehörden, mehrstufige Authentifizierungsverfahren für den physischen und digitalen Zugang einzuführen. In Abschnitt 3 der Anordnung wird ausdrücklich auf die Notwendigkeit verbesserter Authentifizierungsverfahren innerhalb der Bundesregierung hingewiesen und gefordert, dass die Behörden innerhalb von 180 Tagen nach Inkrafttreten dieser Anordnung eine Multifaktor-Authentifizierung einführen müssen“. Die Cybersicherheitsverordnung schreibt außerdem vor, dass Smartcards in der Regierung weiterhin für die physische und digitale Zugangskontrolle verwendet werden dürfen, sofern sie mit einer Multi-Faktor-Authentifizierung kombiniert werden, um zusätzliche Sicherheit anstelle von Benutzernamen und Passwörtern zu gewährleisten.

Wie steht es um die Cybersicherheit in den USA?

Bei der Sicherung der Cybersicherheit und der Lieferketten geht es vor allem um den Datenzugang. Es ist von entscheidender Bedeutung zu wissen, wer derzeit Zugang hat und ob diese Zugangsstufe angemessen ist. Derzeit ist für den meisten physischen und digitalen Zugang innerhalb der US-Bundesregierung die Verwendung von Chipkarten erforderlich. Die gebräuchlichsten sind Personal Identity Verification (PIV)-Karten und Common Access Cards (CAC), die dem Inhaber Zugang zu einem physischen Ort, einem sicheren Terminal oder beidem gewähren sollen. Sollte eine Karte verloren gehen oder nicht mehr verfügbar sein, ermöglicht die erfolgreiche Kombination von Benutzername und Passwort in vielen Fällen weiterhin den Zugang.

Leider hat sich gezeigt, dass Passwörter angesichts der zunehmenden Zahl von Datenschutzverletzungen und Cyberangriffen eine immer unsicherere Methode zum Schutz sensibler Daten sind, insbesondere im staatlichen Bereich. Passwörter sind als Authentifizierungsmethode zunehmend unzuverlässig, da sie von böswilligen Parteien gestohlen oder erraten werden können. Hacker werden auch immer besser darin, Passwörter aufzudecken oder zu umgehen, so dass die Verwendung von Passwörtern als einziges Mittel für den Zugang zu Regierungseinrichtungen, wenn keine PIV- oder CAC-Karte zur Verfügung steht, von Tag zu Tag riskanter wird.

Die COVID-19-Pandemie hat die Situation noch verschlimmert, da die meisten PIV- oder CAC-Karten nicht mehr ausgestellt werden können, da der Vorgang persönlich durchgeführt werden muss. Infolgedessen ist die Verwendung von Benutzernamen und Passwörtern als einziges Mittel für den physischen und digitalen Zugang im Jahr 2020 stark angestiegen, was die Schwachstellen der Cybersicherheit auf Bundesebene weiter vergrößert und die dringende Notwendigkeit eines sichereren Multi-Faktor-Ansatzes unterstreicht.

Entscheidende nächste Schritte

Angesichts der steigenden Zahl von Cyberangriffen und des Mandats, diese problematischen Trends zu bekämpfen, müssen sofort viele Schritte unternommen werden, um sicherzustellen, dass die Herausforderung bewältigt wird. Der erste und wichtigste Schritt ist die Einführung biometrischer Authentifizierungsmethoden anstelle von Passwörtern.

Der wichtigste Grund dafür ist, dass biometrische Verfahren von Natur aus sicherer sind als Passwörter. Dies liegt daran, dass sie etwas nutzen, das eine Person ist (ihre einzigartigen physischen Merkmale), anstatt etwas, das eine Person hat oder weiß. Passwörter und physische Zugangskarten können gestohlen werden, so dass sie und die Behörden, die sie ausstellen, angreifbar sind. Biometrische Verfahren sind jedoch weitaus sicherer, da sie in der Regel innerhalb von Sekunden einen Gesichts-, Stimm- oder Irisabgleich durchführen und in Verbindung mit der Aktivitätserkennung sicherstellen, dass es sich bei dem Benutzer um eine echte Person und nicht um ein gedrucktes Bild, eine Videoaufnahme oder eine Maske handelt.

Die moderne Biometrie ist auch mobil und ermöglicht einen bequemen Zugang und Funktionalität von jedem Smartphone oder Gerät aus. Anstatt ein Passwort oder einen Zugangscode einzugeben, können autorisierte Personen einfach ihr Gesicht und/oder ihre Stimme dem Gerät präsentieren und erhalten innerhalb von Sekunden sicheren Zugang. Als bequeme, reibungslose und vor allem sichere Alternative zu Passwörtern ist die biometrische Technologie die ideale Lösung für Behörden und Privatunternehmen, die ihre betrugsanfälligen Authentifizierungsmethoden ersetzen möchten.

Die Zukunft der Cybersicherheit liegt in der Biometrie

Behörden und Privatunternehmen können es sich einfach nicht mehr leisten, sich beim Schutz ihrer Vermögenswerte und Lieferketten auf unsichere Authentifizierungsmethoden auf der Grundlage von Passwörtern zu verlassen. Angesichts der Tatsache, dass Behörden weniger als ein Jahr Zeit haben, um sicherere Multi-Faktor-Authentifizierungslösungen zu implementieren, und dass groß angelegte Datenschutzverletzungen und Cyberangriffe zunehmen, ist die biometrische Technologie die beste Wahl, um diesen Bedarf zu decken und eine solide Grundlage für die Zukunft zu schaffen.

Die heutigen biometrischen Lösungen bieten unvergleichliche Sicherheit gegen Hacker und Ransomware-Angriffe, sind flexibel genug, um für praktisch jeden Anwendungsfall und über nahezu jedes mobile Gerät eingesetzt zu werden, sind in der Regel schneller als herkömmliche Multi-Faktor-Methoden und bieten ein hohes Maß an Komfort für die Benutzer. Mit so vielen Vorteilen gegenüber bestehenden Authentifizierungsmethoden ist die Biometrie eine klare Wahl für alle, die sich und ihre sensiblen Daten im nächsten Jahr und darüber hinaus schützen wollen.
Über den Autor

Bob Eckel ist der Präsident und CEO von Aware, Inc. Herr Eckel ist außerdem im Vorstand der International Biometrics + Identity Association (IBIA), als strategisches Beiratsmitglied von Evolv Technology und als Berater der Digimarc Corporation tätig. Herr Eckel erwarb seinen Master-Abschluss in Elektrotechnik an der University of California Los Angeles und seinen Bachelor-Abschluss in Elektrotechnik an der University of Connecticut.