Neue intelligente Identity-Management-Systeme verändern die Art und Weise, wie Organisationen Benutzer und Geräte authentifizieren – und sie machen Identität zum neuen Sicherheitsperimenter. [...]
Der Schutz von Daten und Ressourcen beginnt mit der Fähigkeit, die Personen und Geräte, die Zugriff auf Systeme anfordern, mit einem akzeptablen Maß an Sicherheit zu identifizieren. Traditionell wurde die Identität durch einen »geheimen Händedruck« (Benutzer-ID und Passwort) festgelegt, der die Person oder das Gerät durch ein Gateway den Zugriff auf zulässige Systeme erlaubt. Nachdem der Prozess durchlaufen ist, sind nur mehr wenige Sicherheitsvorkehrungen vorhanden, um die Identität weiter zu bestätigen.
Jetzt beginnen Unternehmen, eine breitere und komplexere Sicht auf die Identität zu legen, um Personen und Geräte zu authentifizieren und zu autorisieren: Es geht um eine kontextbasierte Identitätsbestätigung, die viel zuverlässiger ist als eine Benutzer-ID und Kennwort. »Wir brauchen eine Zugriffssteuerung in Echtzeit auf Basis von künstlicher Intelligenz und maschinellem Lernen«, sagt Andre Durand, CEO von Ping Identity.
Dieser Ansatz erfordert einen umfassenderen Blick auf andere Faktoren, die die Identität bestimmen, insbesondere Verhaltens- und Umwelteigenschaften: Wenn man möglichst viel über die Kunden, Mitarbeiter und Geräte, die mit dem Systemen verbunden sind, weiß, kann man für jede Entität ein einzigartiges Profil erstellen, das für einen Hacker nur schwer zu kopieren ist.
Die Veränderung der Art und Weise, wie Unternehmen Identitäten zur Authentifizierung und Autorisierung verwenden, führt auch zu strukturellen Veränderungen in der Organisation. Die Personen, die für die Identität verantwortlich sind, sind typischerweise nicht mit Security beschäftigt. Das ändert sich, da Sicherheit sich mehr auf Identität als ein Frontverteidigungskonzept konzentriert, was sich auf beide Gruppen tiefgreifend auswirkt.
»Sicherheit absorbiert Identität, aber Identität frisst Sicherheit«, sagt Durand. »Wenn Unternehmen Sicherheitsstrategien erstellen, die mit starker Authentifizierung beginnen, wird Identität zum neuen Perimeter.«
Warum sich das Identity Management ändert
Benutzer-IDs und Kennwörter können leicht gehackt oder gekauft werden. Aus diesem Grund verwenden die meisten Unternehmen zum Schutz hochwertiger Daten mindestens eine Zwei-Faktor-Authentifizierung (2FA). Aber auch diese ist nicht absolut sicher, da Token oder Smartphones kompromittiert oder gestohlen werden können.
Passwörter sind nicht nur unwirksam, sie nerven auch Menschen. Kundenzentrierte Unternehmen möchten die Interaktion mit Kunden möglichst reibungsfrei abwickeln. Organisationen wollen dasselbe für ihre Mitarbeiter. Passwörter erzeugen jedoch viel Reibung.
Der Trend zur Digitalisierung des Geschäfts erhöht auch die Nachfrage nach besserem Identitätsmanagement und starker Authentifizierung. »Die Digitalisierung lässt viele Customer Journeys entstehen, die es vorher nicht gab«, sagt Jatin Maniar, Vice President Marketing und Allianzen des Authentifizierungsanbieters Nok Nok Labs. »Diese Journeys zwingen die Entwickler oft zu Kompromissen zwischen Sicherheit und Komfort.«
Die Digitalisierung gehe Hand in Hand mit der steigenden Nutzung von Mobilgeräten, was wiederum intelligentere Identitätstechnologien wie Biometrie ermögliche, sagt Maniar. »Die gute Nachricht ist, dass die Verbraucher Biometrie gerne als Authentifizierungsmittel verwenden. Mit den offenen Authentifizierungs-FIDO-Standards waren wir noch nie näher an einer solide Grundlage für mehr Sicherheit in einer digitalen Welt als heute.«
Derick Townsend, Vice President Product Marketing bei Ping, ergänzt: »Der Grund, warum Identity für alle Sicherheitsteams immer wichtiger wird, ist die Tatsache, dass der traditionelle perimeterbasierte Sicherheitsansatz seit vielen Jahren zerbröckelt oder sich aufgelöst.« Ein weiterer Faktor ist die Verbreitung von Anwendungen außerhalb des Unternehmens.
Wie Identitätsmanagement Betrüger erkennen kann
Jedes Mal, wenn sich ein User auf einer Website oder einem Unternehmenssystem anmelden, generiert er unbewusst viele informationen. Diese können den Standort, die IP-Adresse des Geräts oder die Geschwindigkeit oder Frequenz inkludieren, mit der der User tippt. Wenn er ein mobiles Gerät verwendet, sind noch mehr Informationen verfügbar, z. B. wie stark auf den Bildschirm des Telefons getippt wird. In ähnlicher Weise liefert jedes Gerät typische Nutzungsmuster.
Durch das Sammeln und Analysieren dieser Informationen können einige Identitätsmanagementsysteme eindeutige Profile für jede Person und jedes Gerät erstellen. Sie können Sicherheitsschwellenwerte festlegen, um anzugeben, welche Vertrauensbereiche für den Zugriff akzeptabel sind. Damit kann der Zugriff mit einer wesentlich höheren Genauigkeit gewährt oder verweigert werden.
Die Idee, intelligentes Identitätsmanagement zu verwenden, um eine Echtzeitzugriffssteuerung und eine bessere Benutzerauthentifizierung zu erreichen, ist zwar einfach, aber die große Menge an Daten, die verarbeitet werden müssen, macht die Implementierung schwierig. »Wir wollen Daten, maschinelles Lernen und künstliche Intelligenz nutzen, um die Authentifizierung für Endbenutzer zu verbessern, wobei das ideale Szenario passwortlos ist«, sagt Durand.
Das Identitätsprofil einer Person kann auch normales Netzwerkverhalten enthalten. Wenn jemand den ersten Authentifizierungsprozess durchlaufen hat und dann etwas tut, das die Person normalerweise nicht tun würde, kann das Identitätsmanagementsystem die Aktivität markieren, eine weitere Authentifizierung anfordern oder die Aktivität stoppen.
Dies hilft Hacker aufzuspüren, die es schaffen, ins System zu gelangen, aber auch potenzielle Insider-Bedrohungen – zum Beispiel, wenn Mitarbeiter auf Dateien zugreifen, die sie für ihre Arbeit nicht benötigen. In ähnlicher Weise kann ein intelligentes Identitätssystem abnormales Verhalten von autorisierten Geräten erkennen, was dazu beitragen kann, DDoS-Angriffe (Distributed Denial of Service) zu stoppen oder zu minimieren.
*Michael Nadeau ist Redakteur von CSO.
Be the first to comment