Klassische Zugangskontrolle reicht im Online-Business nicht mehr aus. Erst Continuous Adaptive Trust schafft die Flexibilität, die Unternehmen heute benötigen: entweder, um die IT-Sicherheit zu erhöhen oder um die User Experience zu verbessern.

 

Vertrauen und Sicherheit sind das A und O für Erfolg im Online-Business. Das gilt besonders im Finanzbereich. Passwörter sind ein wichtiges Element jeder IT-Sicherheitsinfrastruktur. Doch ein Passwort allein ist längst nicht sicher genug. Die schlechte Nachricht: Auch Multifaktor-Authentifizierung (MFA) reicht nicht mehr aus. Denn moderne Hacker-Methoden greifen erst dann, wenn die MFA-Hürde erfolgreich überwunden ist.

 

Einmalige Zugriffsberechtigung reicht nicht mehr aus

Die risikobasierte Authentifizierung ist eine erste Antwort darauf. Anhand von Signalen wie IP-Adressbereich oder Zugriffsort beurteilt sie Authentifizierungsversuche. Das Problem: Auch die risikobasierte Authentifizierung greift nur während des Log-ins. Sie schützt nicht vor Attacken während einer laufenden Online-Session. Wie vor einer Man-in-the-Middle-Attacke, bei der sich Hacker unbemerkt in die Kommunikation zwischen Partnern einschleichen. Hier kommt Continuous Adaptive Trust (CAT), wie Gartner das Prinzip nennt, ins Spiel: CAT analysiert das Risiko kontinuierlich während einer laufenden Session.

 

Vertrauensniveau permanent überprüfen

Die erste Authentifizierung im Log-in-Prozess ist vergleichbar mit der Fahrprüfung: Wer ein Auto lenkt, braucht einen Führerausweis. Menschen über 75 Jahre müssen sich alle zwei Jahre einer medizinischen Untersuchung unterziehen: Das ist quasi eine risikobasierte Authentifizierung. Doch damit der Verkehr im Alltag sicher ist, braucht es kontinuierliche Massnahmen wie Geschwindigkeitskontrollen. Bei Online-Zugängen übernimmt CAT diese Rolle. Ändert sich der Browser oder die IP-Adresse? Variieren Mausbewegungen oder Tastatureingaben? Ist das beim Log-in erteilte Vertrauen immer noch gerechtfertigt? Mithilfe von künstlicher Intelligenz und Risikosensoren wie Safety-Gateways sucht CAT nach Anomalien im User-Verhalten. Und zwar vom ersten Log-in bis zum Ende einer User-Session.

 

Sicherheit und User Experience im Einklang

Mehr Sicherheitsmassnahmen bedeuten oft weniger Benutzerfreundlichkeit. Komplizierte Registrierungsprozesse schrecken ab, ständige Authentifizierungen stören die User Journey. CAT bringt Benutzerfreundlichkeit und Sicherheit in Einklang. Nur wenn eine User-Aktivität verdächtig erscheint, ist eine erneute Authentifizierung nötig. Ansonsten merken User nichts von der laufenden Überprüfung.

 

Mit CAT Angriffe vermeiden

Weil Hacker bei CAT gleichzeitig alle Risikosensoren täuschen müssten, lassen sich viele Angriffe verhindern. Besonders relevant ist das beim beliebten (und bequemen!) Single Sign-on: User authentisieren sich damit bei unterstützten Online-Zugängen einmal und greifen damit auf verschiedene Konten zu. Ihre Identität und die entsprechenden Rechte sind dauerhaft bestätigt. CAT hingegen prüft immer wieder, ob das Vertrauen in die User noch angemessen ist. So ergänzt es auch das Zero-Trust-Modell perfekt: Hier kontrolliert jeder Service direkt an seinen Schnittstellen, ob ein Zugriff erlaubt ist. Während Zero Trust mit vielen kleinen Trutzburgen einen Verteidigungswall schafft, sorgt CAT für kontinuierliche Kontrollen im Innern.

 

CAT als Wettbewerbsvorteil

In der technischen Umsetzung erfordert CAT die Integration verschiedener Komponenten. Es braucht Web Application und API-Protection (WAAP), um Risikosignale zu messen. Die Anpassung des Vertrauensniveaus realisiert ein Identitäts- und Zugriffsmanagement. Da diese Komponenten selten vom selben Anbieter stammen, ist die Umsetzung aufwendiger. Wichtig ist darum ein Provider, der die Signale aller Teilsysteme zusammenführt und auswertet: ein Managed Security Service wie Ergons Airlock Secure Access Hub. Vom Implementieren bis zum Anpassen von Policies erhalten Unternehmen damit auch Unterstützung bei der Einführung von CAT. Das Resultat kann sich sehen lassen: CAT wird zum Wettbewerbsvorteil. Gerade in der Finanzbranche.

Multifaktor-Authentifizierung allein genügt heute nicht mehr.

Michael Doujak, Product Manager, Airlock.

Continuous Adaptive Trust ist ein Paradigmenwechsel in der IT-Sicherheit.

Marc Bütikofer, Head of Innovation Security Solutions, Airlock.

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Wir informieren Sie

-Unsere Whitepaper-

Executive View: KuppingerCole - Airlock Secure Acces Hub für Applications und APIs

Dieser KuppingerCole Executive View Bericht gibt einen architektonischen und funktionalen Überblick über den Airlock Secure Access Hub, eine integrierte Plattform für sicheres Access Management - ein multicloud-natives Sicherheitstool für Webanwendungen, APIs und darüber hinaus.

Jetzt Formular ausfüllen und Executive View erhalten!

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern