Was haben der Mädchenname Ihrer Mutter, Ihr erstes Haustier, und das Jahr, in dem Sie Ihre bessere Hälfte kennengelernt haben, gemeinsam?
Als Sie sich das letzte Mal an eines dieser Details erinnern mussten, ging es sehr wahrscheinlich um eine Sicherheitsfrage.
Inhalt:
Sicherheitsfragen werden Ihnen üblicherweise als zweite Stufe einer Identitätsprüfung gestellt, wenn Sie versuchen, Zugriff auf einen Account zu erlangen. Ihr Zweck ist es, eine zusätzliche Sicherheitsebene einzuziehen – unter der Annahme, dass ein unberechtigter Nutzer die Frage nicht korrekt beantworten kann und ihm daher der Zutritt verweigert wird.
Eine Sicherheitsfrage bekommen Sie entweder am Telefon oder nach Anmeldung zu einem Account gestellt. Sicherheitsfragen sind einfach einzurichten und bequem zu beantworten, was wahrscheinlich auch der Grund dafür ist, dass sie nach wie vor häufig in Unternehmen genutzt werden, obwohl sich Cybersicherheitsexperten einig sind, dass solche Fragen nicht sicher sind.
Doch ganz gleich, ob Sie Sicherheitsfragen selbst erstellen oder beantworten müssen, Sie können das Risiko verringern, indem Sie die häufigsten Schwachstellen kennen und sich an bewährte Praktiken halten.
Was sind Sicherheitsfragen?
Sicherheitsfragen sind eine Form der Authentifizierung. Eine Person am Telefon oder eine Aufforderung auf Ihrem Bildschirm legt Ihnen die Fragen vor, um so Ihre Identität zu verifizieren. Der ganze Nutzen von Sicherheitsfragen beruht auf der Annahme, dass Sie die einzige Person sind, die die betreffende Frage richtig beantworten kann.
Benutzerdefinierte Sicherheitsfragen
Benutzerdefinierte Fragen sind wie ein Fragebogen. Dabei beteiligen Sie als Nutzer sich selbst an der Einrichtung der Fragen für Ihren Account. Sie können wählen, welche Frage Sie beantworten möchten, üblicherweise aus einer vorgegebenen Liste, und die Antwort selbst eingeben.
Diese Sicherheitsfragen können offen gestaltet sein und beziehen sich in der Regel auf persönliche Informationen über Ihre Familie oder aus der Vergangenheit.
Systemdefinierte Sicherheitsfragen
Systemdefinierte Sicherheitsfragen sind eher wie ein kleines Quiz. Der Fragesteller wählt dabei die Frage aus und kennt bereits die richtige Antwort.
Ihre Bank nutzt zum Beispiel möglicherweise systemdefinierte Fragen am Telefon, bevor ein Mitarbeiter mit Ihnen über Ihr Konto sprechen kann. Weil Ihre Bank bereits über eine Fülle an persönlichen und finanziellen Informationen verfügt, kann sie systemdefinierte Fragen leicht umsetzen.
Zum Beispiel ergeben Fragen wie „Was war Ihr letzter Kauf?“ oder „Wer ist sonst noch berechtigt, Geld von Ihrem Konto abzuheben?“ sehr gute Sicherheitsfragen. Denn sie sind leicht für Sie zu beantworten und sehr schwierig für andere zu erraten.
Der Schwerpunkt dieses Beitrags liegt jedoch auf den häufigeren nutzerdefinierten Sicherheitsfragen, ihren Schwachstellen und den Möglichkeiten, ihre Sicherheit zu verbessern.
Warum Sicherheitsfragen nicht sicher sind
Falls Sie schon einmal vom „Passwort-Problem“ gehört haben, werden Sie mit den Risiken von Sicherheitsfragen bereits vertraut sein. Kurz gesagt ist das Problem die Kombination aus schlechter Cyber-Hygiene und einer hohen Anfälligkeit für Hacking.
Nutzer neigen dazu, Passwörter zu wählen, die leicht zu merken sind, die aber dadurch auch letztlich sehr einfach zu hacken sind. Auch Sicherheitsantworten werden typischerweise in Eile ausgewählt und sollen vor allem leicht zu merken sein.
Zusammenfassend lässt sich sagen, dass Sicherheitsfragen genau wie Passwörter den Nutzern beim Schutz ihrer Privatsphäre eine zu hohe Verpflichtung aufbürden. Dabei sind Sicherheitsfragen in vielerlei Hinsicht noch anfälliger als Passwörter. Und das sind die Gründe:
Die Unternehmen wählen dieselben Sicherheitsfragen
Da dieselben persönlichen Fragen auch dieselben Antworten haben, bedeutet eine Wiederholung von Fragen über mehrere Websites hinweg, dass der Zugriff auf mehr als eine Website bzw. mehr als einen Account gleichzeitig ermöglicht wird, falls Ihre Antwort – etwa bei einem Datenleck – kompromittiert wird.
Die Antworten auf Sicherheitsfragen sind zu einfach zu hacken
Wie Sie vielleicht schon vermuten, ist die Grundannahme, dass nur Sie allein eine Sicherheitsfrage korrekt beantworten können, leider falsch. Für einen motivierten Eindringling oder Cyberkriminellen kann es kinderleicht sein, die Antwort zu finden, mit der sich Ihr Konto entsperren lässt.
Die Antworten auf Sicherheitsfragen lassen sich finden durch:
Herkömmliche Hacking-Techniken. Wie bei allen persönlichen Daten können Eindringlinge Social-Engineering-Angriffe wie Phishing nutzen, um unrechtmäßig an Ihre Daten oder an die Sicherheitsantworten selbst zu gelangen.
Raten. Durch das Spielen mit Wahrscheinlichkeiten oder Hinweise, die sich aus dem Kontext ergeben, können Antworten leicht zu erraten sein, insbesondere wenn diese aus einem begrenzten Pool aus möglichen Antworten zu wählen sind.
Detektivarbeit. Falls Ihre Antworten auf öffentlich zugänglichen Informationen beruhen, können Cyberkriminelle sie mit etwas Stalking aufspüren.
Die Familie. Ihre Lieben, falsche Freunde oder Ex-Partner kennen möglicherweise schon Ihre Antworten, weil sie Ihre Lebensgeschichte kennen.
Eine Sicherheitsfrage ist wie eine Passwort-Eingabeaufforderung, bei der schon zahlreiche Tipps enthalten sind – es werden zu viele Informationen an potenzielle Hacker preisgegeben. Die Frage wird sehr wahrscheinlich bereits das Format offenlegen (alphabetisch oder numerisch) und kann sogar auf eine enge Auswahl an möglichen Antworten hindeuten.
Manche Sicherheitsfragen sind besser als andere
Wie oben beschrieben, erfüllen Sicherheitsfragen keinen angemessenen Sicherheitsstandard. Trotzdem sind einige Fragen besser als andere, und die Verwendung besserer Fragen kann die Risiken dieser Authentifizierungsmethode verringern.
Was Sicherheitsfragen mehr oder weniger sicher macht, hängt von den Antworten ab, die sie den Nutzern entlocken. Für sicherere Antworten gelten dabei in etwa dieselbe Leitlinie wie für starke Passwörter. Sie müssen einzigartig und schwer zu erraten sein.
Beispiele für schlechte Sicherheitsfragen
Eine schlechte Sicherheitsfrage ist entweder für den Nutzer zu schwer zu beantworten oder für einen Kriminellen zu leicht zu erraten.
Schlechte Sicherheitsfrage | Was macht sie so schlecht? |
---|---|
Wie lauter der Mädchenname Ihrer Mutter? | Zu häufig. Wie bei Passwörtern ist es eine schlechte Idee, dieselben Fragen und Antworten über mehrere Websites hinweg zu verwenden. Falls Ihre Frage und Antwort gehackt werden sollten, können damit gleich mehrere Konten entsperrt werden. |
Wann ist Ihr Geburtstag? | Nicht privat. Gauner finden solche Informationen mit ein wenig Recherche in sozialen Medien oder anderen Online-Aufzeichnungen. |
Wann ist Ihr Hochzeitstag? | Nicht anwendbar. Fragen sollten so breit wie möglich anwendbar sein, sodass jede(r) die Frage für seine Sicherheitszwecke nutzen kann. |
Was ist Ihre Lieblings-Eissorte? | Nicht konsistent. Geschmacksfragen können sich im Laufe der Zeit ändern, wodurch Nutzer Schwierigkeiten haben können, sich an ihre Antworten zu erinnern. |
Was ist Ihre Lieblingsfarbe? | Zu vorhersagbar. Klar: Die Liste möglicher Farbnamen ist unbegrenzt. Allerdings ist es wesentlich wahrscheinlicher, dass Nutzer „Blau“ wählen oder eine andere der sieben Regenbogenfarben und nicht unbedingt „Coquelicot“. |
Beispiele für bessere Sicherheitsfragen
Eine gute Frage weist all die Merkmale auf, die bei einer schlechten Sicherheitsfrage fehlen. Eine gute Sicherheitsfrage ist für Sie leicht, jedoch für einen Cyberkriminellen schwer zu beantworten.
Bessere Sicherheitsfrage | Warum ist sie besser? |
---|---|
Wie lautet der Name Ihres Lieblings-Vorgesetzten bei der Arbeit? | Einzigartig. Eine gute Frage muss originell sein, nicht die typische Standard-Sicherheitsfrage. |
Wer ist Ihr Lieblings-Filmbösewicht? | Privat oder anderweitig nicht aufzudecken. Es ist eher unwahrscheinlich, dass ein Nutzer diese Information dokumentiert oder veröffentlicht. |
Wie lautet der Mädchenname Ihrer Großmutter auf mütterlicher Seite? | Anwendbar. Universelle Anwendbarkeit ist eine Herausforderung und wird am besten durch mehrere Frageoptionen abgesichert. Die Fragen sollten jedoch so weit wie möglich auf die größtmögliche Anzahl von Menschen zutreffen. |
In welcher Straße haben Sie zu Beginn Ihrer Schulzeit gelebt? | Konstant. Fragen zur Geschichte des Nutzers sind unveränderlich. |
Wie lautete der Name Ihres Lieblings-Stofftiers aus der Kindheit? | Unvorhersagbar. Fragen sollten so viele verschiedene Antworten wie möglich zulassen. |
Eine gute Sicherheitsfrage ist ein Balanceakt: Gerade solche Fragen, die zu sicheren, einzigartigen und variablen Antworten führen, laufen auch Gefahr, dass sie sich schwerer merken lassen. Idealerweise sollten die Fragen – zusätzlich zu der genannten Leitlinie – zu einprägsamen und unkomplizierten Antworten führen.
Best Practices für sichere(re) Sicherheitsfragen
Das Beste machen Sie aus Sicherheitsfragen, indem Sie die folgenden bewährten Verfahren umsetzen:
Bei der Erstellung von Fragen (für Unternehmen)
Sicherheitsfragen sind im Kontext einer zweiten Schutzebene keine schlechte Idee. Langfristig sollten Unternehmen zwar zu einem sichereren zweiten Authentifizierungsfaktor übergehen, doch in der Zwischenzeit sind Sicherheitsfragen immerhin besser als nichts.
Top-Tipp: Helfen Sie ihren Nutzern, eine gute Sicherheitsfragen-Hygiene zu praktizieren
Ihr Sicherheitsfragen-Protokoll muss es den Nutzern so einfach wie möglich machen, ein sicheres Verhalten an den Tag zu legen. Nutzen Sie die folgenden Maßnahmen, um Ihre Nutzer auf den richtigen Weg zu bringen:
Verwenden Sie mehrere Fragen und lassen Sie die Nutzer ihre eigene auswählen.
Erstellen Sie „bessere“ Fragen, die die oben beschriebenen Merkmale aufweisen.
Schränken Sie die Nutzer ein, sodass diese keine typischen zweifelhaften Anworten wie „123456“ wählen können.
Fordern Sie Ihre Nutzer auf, ihre Fragen und Antworten regelmäßig zu erneuern.
Und schließlich sollten Unternehmen im Sinne eines ganzheitlicheren Cybersicherheitsprogramms die sensiblen Daten ihrer Nutzer durch eine verschlüsselte Ende-zu-Ende-Speicherung schützen und so das Risiko von Datenlecks bei personenbezogenen Daten minimieren.
Bei der Beantwortung von Sicherheitsfragen (für Nutzer)
Mit Ihrem neuen Wissen können Sie nun, soweit Sie die Wahl haben, eine Alternative als zweiten Authentifizierungsfaktor wählen. Falls Sie jedoch keine Wahl haben, können Sie eine bessere Hygiene bei Ihren Sicherheitsfragen praktizieren, indem Sie sicherere Fragen wählen, die zu schwerer zu erratenden Antworten führen.
Top-Tipp: Benutzen Sie absichtlich falsche Informationen
Da Sicherheitsantworten ähnlich anfällig sind wie Passwörter, können sie auch auf ähnliche Weise gesichert werden.
Behandeln Sie Ihre Sicherheitsantworten wie Passwörter. Sorgen Sie dafür, dass sie einzigartig sind und aus zufälligen Reihen alphanumerischer Zeichen und Sonderzeichen bestehen, die mindestens zwanzig Zeichen lang sind. Bei einem eingeschränkten Antwortformat geben Sie bewusst eine „falsche“ Antwort an.
Doch auch wenn dies ein wichtiger Sicherheitsschritt ist, birgt diese Methode eine Gefahr bei der Nutzung: Es besteht das Risiko, dass Sie entweder die falsche Antwort bzw. Ihr „Passwort“ vergessen.
Um dies zu verhindern, können Sie Ihre Antwort auf die Frage in Ihrem Passwort-Manager speichern.
Sicherere Alternativen zu Sicherheitsfragen
IT-Experten entwickeln ständig neue und zuverlässigere Methoden zur Überprüfung der Identität von Personen, die die Authentifizierung vereinfachen und Cyberangriffe vereiteln sollen. Je nachdem, wie man zählt, lassen sich bis zu acht verschiedene Typen oder „Faktoren“ der Authentifizierung unterscheiden.
Bleiben wir im Moment bei den grundlegenden. Die wohl elementarste Art, Authentifizierungsfaktoren zu einzuteilen, ist folgende:
etwas, das Sie wissen
etwas, das Sie sind
etwas, das Sie besitzen
Passwörter und Sicherheitsfragen fallen in die Kategorie „etwas, das Sie wissen“. Hier sind einige der beliebtesten Alternativen zu diesem Authentifizierungstyp.
Biometrische Authentifizierung
Die biometrische Authentifizierung nutzt Ihre individuellen körperlichen Eigenschaften, um Sie zu identifizieren, also „etwas, das Sie sind“. Fingerabdruck und Gesichtserkennung sind die beiden gängigsten biometrischen Kennzeichen.
Der Vorteil einer biometrischen Authentifizierung ist der, dass diese für Sie individuell gilt, nur schwer zu stehlen ist und jederzeit „bei Ihnen“ ist. Sie sollten sich jedoch auch der Risiken bewusst sein, die aus der Verknüpfung Ihrer unveränderlichen körperlichen Merkmale mit Ihrem Account-Zugriff resultieren.
Passwortlose Authentifizierungsmethoden
Die passwortlose Authentifizierung ist in letzter Zeit dank der Anstrengungen der FIDO (Fast Identity Online) Allianz, einer weltweiten Koalition, der auch NordPass angehört, in aller Munde. Diese Organisation arbeitet daran, die Abhängigkeit der Welt von Passwörtern zu verringern.
Passwortlose Authentifizierung ist eine breite Authentifizierungskategorie, die sich durch das definiert, was sie nicht ist. Vor dem Hintergrund der Anfälligkeiten der Authentifizierungstypen der Kategorie „etwas, das Sie wissen“ – beispielsweise Passwörter oder Sicherheitsfragen – beruht passwortlose Authentifizierung auf einer Kombination aus anderen Faktoren, wobei die Benutzerfreundlichkeit im Vordergrund steht.
Eine standardmäßige passwortlose Authentifizierungsmethode beinhaltet immer „etwas, das Sie besitzen“, beispielsweise einen physikalischen Token. Yubikey ist nur ein Beispiel.
Multi-Faktor-Authentifizierung
In dem Bewusstsein, dass kein einzelner Authentifizierungstyp vollkommen sicher ist, nutzt die Multi-Faktor-Authentifizierung mehrere Faktoren, um Ihre Identität zu bestätigen. Die Nutzung von mehreren Faktoren gleichzeitig ist in etwa wie ein Schweizer-Käse-Ansatz an die Cybersicherheit. Auch wenn jede Authentifizierungsmethode für sich unvollkommen sein mag, werden die Methoden doch wesentlich robuster, wenn sie gemeinsam eingesetzt werden.
Die Multi-Faktor-Authentifizierung ist eine bewährte Cybersicherheits-Praxis und steht auch weiterhin ganz oben auf der Liste der Cybersicherheits-Empfehlungen für allgemeine Leitlinien und die Einhaltung gesetzlicher Bestimmungen.
Die Stärke dieser Methode beruht vor allem auf ihrer Vielfältigkeit. Werden mehrere Authentifizierungsmethoden wie Passwörter oder Sicherheitsfragen kombiniert, jedoch nicht variiert, so wird dies als Zwei-Faktor-Authentifizierung bezeichnet.
Um eine Multi-Faktor-Authentifizierung zu erstellen, fügen Sie „etwas, das Sie besitzen“ oder „etwas, das Sie sind“ zur Authentifizierung eines Passworts oder einer Sicherheitsfrage hinzu.
Fazit
Sicherheitsfragen sind anfällig für Betrug, wodurch sie kein perfekter Authentifizierungsfaktor sind. Da sie sich jedoch recht leicht umsetzen lassen und die Unternehmen zunehmend unter Druck stehen, Ihre Cybersicherheit zu erhöhen, ist es nicht sehr wahrscheinlich, dass Sicherheitsfragen in absehbarer Zeit verschwinden werden. Und, um dies klar zu sagen, es ist besser, sie als zweiten Faktor hinzuzufügen, als gar keinen zweiten Faktor zu nutzen.
Nutzer können die häufigsten Schwachstellen bei Sicherheitsfragen ausschalten, indem sie diese im Wesentlichen wie Passwörter behandeln und die (absichtlich falschen) Antworten in einem Passwort-Manager speichern.
In ähnlicher Weise können Unternehmen – die sich nach wie vor in Richtung sichererer Authentifizierungsmethoden bewegen müssen – ein sicheres Verhalten ihrer Nutzer fördern, indem sie den Best Practices folgen und bei der Datensicherheit gebührende Sorgfalt walten lassen.