Animation user experience

Continuous Adaptive Trust

Keine Kompromisse zwischen Benutzerkomfort und Sicherheit

Risk-based Authentication: Benutzerfreundlich, aber unsicher?

Bereits mit dem Eingeben und Zurücksetzen von Passwörtern verbringen wir im Schnitt fast 11 Stunden im Jahr 1). Und nun kommt oft noch ein weiterer Authentisierungsfaktor wie ein Einmalpasswort (OTP) hinzu. Das verbessert zwar die Sicherheit und hilft, Kontoübernahmen zu verhindern. Auf der anderen Seite sorgt der zusätzliche Schritt für neue Komplexität. Die risikobasierte Authentifizierung (RBA) versucht hier Abhilfe zu schaffen, indem die Häufigkeit und Stärke des Logins soweit wie möglich reduziert wird. Das kann aber zu gefährlichen Kompromissen führen, weil die Risikobeurteilung nur einmalig beim Login erfolgt und damit das Nutzerverhalten nach der Authentifizierung nicht berücksichtigt wird.

Mit Man-in-the-Middle-Angriffen wird die Zwei-Faktor-Authentisierung (2FA) immer häufiger umgangen 2). Die Hacker schleichen sich unbemerkt in die Kommunikation zwischen Nutzer und Anbieter ein. Dabei täuschen sie beiden Seiten vor, das jeweilige Gegenüber zu sein. So kann die 2FA unterlaufen werden. Wenn der Benutzer den Irrtum bemerkt, ist der Schaden meist schon angerichtet. Moderne Anmeldeverfahren wie FIDO2 verhindern diese Angriffe, werden aber noch nicht grossflächig unterstützt. 

Authentifizierung ist kein Freifahrtschein

Damit die Sicherheit nicht unter der Benutzerfreundlichkeit leidet, muss die Risikoanalyse kontinuierlich erfolgen. Das Benutzerverhalten wird bereits analysiert, noch bevor die Identität überprüft worden ist. Und auch nach der Authentifizierung werden weiterhin alle verfügbaren Risikosensoren ausgewertet. Ist da vielleicht ein Bot im Spiel? Dann kann ein zusätzlicher Sicherheitsfaktor oder das Lösen eines Captchas verlangt werden. Im Verdachtsfall wird der Benutzer ausgeloggt oder sogar sein Konto blockiert. Denn eine erfolgreiche Anmeldung darf kein Freifahrtschein sein!

Tiefe Eintrittshürde dank mehrerer Sicherheitsstufen

Nicht alle Daten und Anwendungen haben die gleichen Sicherheitsbedürfnisse. Selbst innerhalb einer Applikation kann es unterschiedlich kritische Bereiche und Funktionen geben. Durch eine Einteilung in mehrere Sicherheitsstufen wird zu jedem Zeitpunkt genau so viel Sicherheit garantiert wie notwendig. Der Zugriff auf heikle Bereiche erfolgt nur selten oder nicht gleich zu Beginn. Damit kann eine starke Authentisierung hinausgezögert werden oder ganz entfallen. So bleibt die Eintrittshürde tief und die Nutzer verschwenden weniger Zeit mit Sicherheitseingaben.

Komfort und Sicherheit

mit Continuous Adaptive Trust

Continuous Adaptive Trust bedeutet mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen. Dank einer kontinuierlichen Risikoanalyse kann die Sicherheit vermehrt im Hintergrund bleiben.

Risikosensoren und Vertrauenslieferanten

Eine kontinuierliche Risikobeurteilung bedingt einen Strom an Risiko- und Vertrauenssignalen aus verschiedenen Quellen:

  • Benutzeridentität: Ist der Benutzer noch anonym? Wurde er bereits schwach oder stark authentifiziert? Wurde seine Identität z.B. per Ausweisprüfung verifiziert?
  • Zugriffs-Kontext: Erfolgt der Zugriff von einem bekannten Gerät? Zu einem üblichen Zeitpunkt? Wo befindet sich der Benutzer? Ist das Gerät auf dem neusten Softwarestand? Oder ist es gar mit Malware infiziert? Damit kompromittierte Systeme auch serverseitig keinen Schaden anrichten, sollte ihr Zugriff früh unterbunden werden.
  • Reputationsanalyse: Unerwünschte Clients von verdächtigen IP-Adressen, Botnetzen oder TOR-Adressen werden schnell erkannt und blockiert. Airlock verlässt sich hier auf den BrightCloud® Threat Intelligence Service von Webroot®.
  • Anomalieerkennung: Verdächtiges Nutzerverhalten wird mittels Machine Learning erkannt. Airlock Anomaly Shield kann so zum Beispiel automatisierte Angriffswerkzeuge, Schwachstellen-Scanner oder Bots blockieren.

Durch die hohe Benutzerfreundlichkeit mit der neuen zentralen Sicherheitsinfrastruktur haben wir für unsere Kunden eine eindeutige Raiffeisen-Identität geschaffen. Kundennähe und Vertrauenswürdigkeit haben bei unserer E-Banking-Lösung oberste Priorität. Mit der Airlock Suite konnten wir diese hohen Anforderungen erfüllen.

Stevan Dronjak, Team Lead Web Application Security Raiffeisen Schweiz

Referenz-Story lesen

Zusammenarbeit von IAM und WAAP

Die kontinuierliche Risikoanalyse ist nur durch die ständige Kontrolle des Datenflusses möglich. Eine WAAP-Lösung wie Airlock Gateway ist deshalb die ideale Komponente, um die verschiedenen Risikosensoren zu orchestrieren. Je nach Risikosignal wird das Vertrauensniveau unterschiedlich stark abgesenkt. Das IAM ist auf der anderen Seite ein idealer Vertrauenslieferant. sorgt für die Einhaltung der minimalen Sicherheitsstufe, die vom Risikoappetit der jeweiligen Anwendung oder Funktion abhängt. Wenn das aktuelle Vertrauensniveau unter dieser Schwelle liegt, fordert das IAM einen Vertrauensbeweis vom Benutzer ein: Das kann z.B. eine Anmeldung sein oder die Eingabe eines zusätzlichen Authentisierungsfaktors. 

Minimales Risiko bei maximaler Benutzerfreundlichkeit

Für ein Maximum an Sicherheit und Benutzerfreundlichkeit arbeiten IAM und WAAP Gateway zusammen. Das ist das Erfolgsrezept von Airlock Secure Access Hub: Airlock IAM und Airlock Gateway sorgen gemeinsam dafür, dass das Vertrauensniveau immer über der benötigten Sicherheitsschwelle liegt. Die Kommunikation zwischen Gateway und IAM erfolgt via Airlock Control API.

Gartner nennt diese Prinzip Continuous Adaptive Trust (CAT) 3).

MFA can reduce identity-related risks, but a naïve focus on counting authentication factors can diminish efficacy and add user friction. IAM-focused security and risk management leaders should move analytics to the fore to enable continuous adaptive trust and thus optimize risk mitigation and UX.

Dank CAT können die Sicherheitsmechanismen tendenziell im Hintergrund bleiben, das heisst der Benutzerkomfort wird nicht beeinträchtigt. Dies schafft Vertrauen, denn die Benutzer und Kunden werden nicht durch mühsame Sicherheitsmassnahmen belästigt und fühlen sich gleichzeitig sicherer.

 

Bereit für ausgezeichnete IT-Sicherheit?

Kontaktieren Sie uns jetzt.
Ergon Informatik AG+41 44 268 87 00

Wir informieren Sie

-Unsere Whitepaper-

Executive View: KuppingerCole - Airlock Secure Acces Hub für Applications und APIs

Dieser KuppingerCole Executive View Bericht gibt einen architektonischen und funktionalen Überblick über den Airlock Secure Access Hub, eine integrierte Plattform für sicheres Access Management - ein multicloud-natives Sicherheitstool für Webanwendungen, APIs und darüber hinaus.

Jetzt Formular ausfüllen und Executive View erhalten!

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern