Der nächste Verstoß gegen unsere Datensicherheit kommt bestimmt – oder auch nicht!

Es vergeht kaum ein Tag, an dem die Presse nicht über einen eklatanten Angriff auf die Datensicherheit oder Cyber-Attacken berichten kann. Ein Ereignis jagt das nächste: Treffen kann es jeden. Jüngste Fälle wie der Hack von Lufthansa Meilen-Konten von Vielfliegern oder Bonuskarten-Benutzern haben das einmal mehr deutlich ins Bewusstsein gebracht.

Deutsche Unternehmen unterschätzen häufig die steigende Bedrohung durch organisierte Cyberverbrechen und durch Wirtschaftsspionage. Selbst die Risiken, die durch die eigenen Mitarbeiter entstehen können, sind zu wenig präsent. Datenverluste, der Wiederherstellungsaufwand, zusätzliche Arbeitszeit sowie Verdienst- und Umsatzausfälle ziehen Kosten in Milliardenhöhe nach sich. Allein den Schaden durch Wirtschaftsspionage in Deutschland beziffert der VDI auf ca. 100 Milliarden Euro jährlich. Wen wundert’s, dass die Datensicherheit generell angezweifelt wird, und der Verbraucher sich besorgt an seine letzten Kreditkartenkäufe erinnert.

Jeder Verstoß gegen die Datenidentität zieht stets einen Vertrauensverlust gegenüber der betroffenen Marke nach sich, ganz zu schweigen vom beschädigten Vertrauen des Kunden in das Unternehmen und in das System ganz allgemein. Beides ist extrem schwer kalkulierbar und kann schlimmstenfalls das wirtschaftliche Fortbestehen des Unternehmens gefährden, oder doch mindestens schwerwiegend beeinträchtigen. Unternehmen, die nach einem Vorfall zu spät reagieren, müssen unter Umständen mit empfindlichen Geldstrafen rechnen. Europäische Unternehmen stehen unter Zeitdruck, wenn es um eine von der EU für Ende 2015 geplante Einführung einer Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR) geht, wonach einheitliche Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen EU-weit gelten sollen.

Derartige Sicherheitsprobleme sind die logische Folge der allgegenwärtigen Vernetzung: Wenn alles verbunden ist, dann ist auch alles angreifbar. Trotzdem trifft es viele Unternehmen unerwartet. Plötzlich stellen sie fest, dass sie verwundbar sind, was ein Bewusstsein dafür schafft, wie wichtig Sicherheitsverfahren und -technologien für die Kunden, den Umsatz und den Markenwert sind.

Alle Unternehmen, gemeinnützigen oder anderen Organisationen, die personenbezogene Daten speichern, müssen die Sicherheit ihrer IT-Infrastruktur prüfen und folgende Fragen beantworten: Wie können wir Risiken vermeiden? Wie können wir sicherstellen, dass die richtigen Benutzer ausschließlich auf die von ihnen benötigten Daten zugreifen? Und was am wichtigsten ist: Wie können technische Weiterentwicklungen das Identitätsmanagement unterstützen, so dass wir weiterhin von der zunehmenden Vernetzung und dem Austausch von Personendaten profitieren können, ohne dem Risiko von Verstößen ausgesetzt zu sein?

Firewalls und Perimeterschutz sind im Prinzip irrelevant, veraltet, wenn so viele Systeme für eine große Anzahl von Benutzern von außerhalb des Unternehmens zugänglich sein müssen. Stattdessen liebäugeln viele Unternehmen mit einem Ansatz, den der vor kurzem als Chief Information Security Officer von Target eingestellte Brad Maiorino als „Reduzierung der Angriffsfläche“ bezeichnet.

Neben der Reduzierung der Anzahl von Verbindungspunkten machen Unternehmen die Anmeldung komplizierter. Von Benutzern festgelegte schwache Kennwörter sind die Achillesferse zahlreicher Systeme. Daher implementieren immer mehr Unternehmen Multifaktor-Authentifizierung, um nicht autorisierten Personen das Erraten von Kennwörtern oder die Anmeldung mit gestohlenen Zugangsdaten zu erschweren.

Dies ist bis zu einem gewissen Punkt sinnvoll – ist das Einloggen für Kunden und Geschäftspartner jedoch zu schwierig, besteht die Gefahr, diese an Mitbewerber zu verlieren. Statt restriktiver zu werden, ist es erforderlich, dass Unternehmen ihre Zugriffsverfahren verstärkt mit kontextueller Intelligenz ausstatten. Moderne Einmalanmeldung (Single Sign-On, SSO) muss über eine einfache Ja-/Nein-Entscheidung hinausgehen. Zugriffssysteme sollten bei jeder Transaktion den Kontext erfassen und sich entsprechend verhalten.

Der Kontext beinhaltet verschiedene Faktoren, wie zum Beispiel: Auf welche Systeme muss ein bestimmter Benutzer zugreifen, um seine legitimen Aufgaben zu erfüllen? Wann benötigt dieser Benutzer Zugriff? Wo befindet sich dieser Benutzer? Mittels genau definiertem Kontext für jeden Benutzer können Sicherheitssysteme Abweichungen von der Norm zuverlässig erkennen und auf diese reagieren. Bei Anmeldungen von einem neuen Gerät oder aus einem anderen Land sollte beispielsweise eine zusätzliche Authentifizierung erforderlich sein.

Kontextuelle Intelligenz – Datenzugriffe wann und für wen sie sinnvoll sind

Kontextuelle Intelligenz dieser Art hätte Target schützen können. Warum sollte ein Anbieter von Klimaanlagen Zugriff auf POS-Systeme benötigen? Warum sollte er sich mitten in der Nacht anmelden, wenn Wartungsarbeiten normalerweise zu Geschäftszeiten durchgeführt werden? Und warum hat er sich von einem entfernten Standort angemeldet, wenn er dies für gewöhnlich von einer seiner Niederlassungen oder einem Target-Standort tut? Jeder dieser kontextbezogenen Hinweise hätte die Alarmglocken zum Läuten bringen und den Verstoß unter Umständen verhindern können.

Das steigende Ausmaß und die wachsende Zahl von Verstößen zeigen, dass die Ära des herkömmlichen Identitäts- und Zugriffsmanagements (Identity and Access Management, IAM) vorüber ist. IAM war intern ausgerichtet und entwickelt worden, um Tausende von Mitarbeitern auf ihren Unternehmens-Laptops zu unterstützen. Es ist nicht für die sichere Interaktion mit potenziell mehreren Millionen externen Benutzern geeignet, die sich jederzeit von überall über verschiedene Mobilgeräte, Tablets, Web-Browser und das Internet der Dinge anmelden. In der digitalen Welt von heute gewinnt die Möglichkeit zur Verwaltung einer Vielzahl externer Benutzer zunehmend an Bedeutung.

Umstellung auf modernes IAM ist in vollem Gang

Daher hat die Branche als Ganzes begonnen, auf modernere IAM-Lösungen umzustellen. Oft wird dies auch als IRM (Identity Relationship Management) bezeichnet. Dabei erhalten Benutzer eine digitale Identität, mit der Unternehmen interagieren können, um auf diese Weise nahtlose sowie sichere Dienste anwendungs-, geräte- und gegenstandsübergreifend für diese Kunden bereitstellen zu können. IRM unterstützt mehrere Geräte pro Benutzer, reagiert auf Kontext und ist für Millionen von Benutzern skalierbar. Es verbindet Geräte, darunter Laptops, Telefone, Touchpads und sogar Autos, sowie neue mobile und soziale Apps mit einer zentralen Sicherheitsplattform, die Identitätssynchronisierung und SSO zu jeder Zeit, an jedem Ort ermöglicht.

Höhere Transparenz durch IRM

IRM gibt Unternehmen ein dynamisches, erprobtes Sicherheitssystem an die Hand, das praktisch alles übertrifft, was es bislang gab. Da IRM ein viel höheres Maß an Transparenz mit Blick darauf gewährleistet, wer wann von welchen Geräten auf welche Systeme zugreift, bietet es weit mehr als nur sicherheitsbezogene Vorteile. Diese neuen Daten helfen Unternehmen dabei, ihre Kunden zu verstehen und nicht nur zu schützen. Sie eröffnen neue Einnahmemöglichkeiten mit Blick auf Cross-Selling, Up-Selling und die Erbringung personalisierter Dienstleistungen für Kunden. Die leistungsstarke Kombination aus höchster, adaptiver Sicherheit und personalisierter Kundenerfahrung machen IRM zu einer Technologie, die alle Unternehmen schleunigst einer näheren Betrachtung unterziehen sollten, und zwar bevor der nächste schwere Verstoß Schlagzeilen macht, auf jeden Fall jedoch, bevor es sie selbst trifft.

Autor: Daniel Raskin (im Bild), Vice President of Marketing, ForgeRock. Raskin besitzt über 15 Jahre Erfahrung in der IT-Industrie. Bevor er sich ForgeRock als Vice President of Marketing anschloss, war er als Chief Identity Strategist für Sun Microsystems tätig. Zudem hatte er Führungspositionen bei McGraw-Hill, NComputing, Barnes & Noble und Agari inne. Er besitzt einen Master-Abschluss in internationalem Management von der Thunderbird School of Global Management und einen Master-Abschluss in Verlagswesen von der Pace University. ForgeRock, Anbieter von Identity Management Lösungen, bietet eine Open Identity Plattform, die den Kunde in den Mittelpunkt der digitalen Welt – egal, ob er per Laptop, Mobiltelefon, Tablet, Connected Car, medizinischem Wearable, Connected Home Gerät oder anhand der neuesten internetfähigen Innovation mit ihr verbunden ist.