Passwörter sind längst nicht mehr genug: Continuous Adaptive Trust macht maximale Sicherheit flexibler – und verbessert die User Experience.
Vertrauen und Sicherheit sind das A und O für Erfolg im Online-Business. Das gilt besonders im Finanzbereich. Passwörter sind dabei ein wichtiges Element jeder IT-Sicherheitsinfrastruktur.
Doch ein Passwort allein ist längst nicht sicher genug. Die schlechte Nachricht: «Auch Multifaktor-Authentifizierung (MFA) reicht nicht mehr aus», erklärt Michael Doujak, Product Manager bei Airlock von Ergon Informatik. Denn moderne Hacker-Methoden greifen erst dann, wenn die MFA-Hürde erfolgreich überwunden ist.
Einmalige Zugriffsberechtigung reicht nicht mehr
Die risikobasierte Authentifizierung ist eine erste Antwort darauf. Anhand von Signalen wie IP-Adressbereich oder Zugriffsort beurteilt sie Authentifizierungs-Versuche. Das Problem: Auch die risikobasierte Authentifizierung greift nur während des Log-ins. Sie schützt nicht vor Attacken während einer laufenden Online-Session – also beispielsweise vor einer Man-in-the-Middle-Attacke, bei der sich Hacker unbemerkt in die Kommunikation zwischen Partnern einschleichen.
Hier kommt Continuous Adaptive Trust (CAT), wie das Research-Unternehmen Gartner das Prinzip nennt, ins Spiel: CAT analysiert das Risiko kontinuierlich während einer laufenden Session.
Vertrauensniveau permanent überprüfen
Die erste Authentifizierung im Log-in-Prozess ist vergleichbar mit der Fahrprüfung: Wer ein Auto lenkt, braucht einen Führerausweis. Menschen über 75 müssen sich alle zwei Jahre einer medizinischen Untersuchung unterziehen: Das ist quasi eine risikobasierte Authentifizierung.
Doch damit der Verkehr im Alltag sicher ist, braucht es kontinuierliche Massnahmen wie Geschwindigkeitskontrollen. Bei Online-Zugängen übernimmt CAT diese Rolle.
Ändert sich der Browser oder die IP-Adresse? Variieren Mausbewegungen oder Tastatureingaben? Ist das beim Log-in erteilte Vertrauen immer noch gerechtfertigt? Mithilfe von künstlicher Intelligenz und Risikosensoren wie Safety-Gateways sucht CAT nach Anomalien im User-Verhalten. Und zwar vom ersten Log-in bis zum Ende einer User-Session.
Sicherheit und User Experience im Einklang
Mehr Sicherheitsmassnahmen bedeuten oft weniger Benutzerfreundlichkeit. Komplizierte Registrierungsprozesse schrecken ab, ständige Authentifizierungen stören die User Journey. CAT bringt Benutzerfreundlichkeit und Sicherheit in Einklang.
Nur wenn eine User-Aktivität verdächtig erscheint, ist eine erneute Authentifizierung nötig. Ansonsten merken User nichts von der laufenden Überprüfung.
Mit CAT Angriffe vermeiden
Weil Hacker bei CAT gleichzeitig alle Risikosensoren täuschen müssten, lassen sich viele Angriffe verhindern. Besonders relevant ist das beim beliebten (und bequemen!) Single Sign-on: User authentisieren sich damit bei unterstützten Online-Zugängen einmal und greifen damit auf verschiedene Konten zu.
Ihre Identität und die entsprechenden Rechte sind dauerhaft bestätigt. CAT hingegen prüft immer wieder, ob das Vertrauen in die User noch angemessen ist. So ergänzt es auch das Zero-Trust-Modell perfekt: Hier kontrolliert jeder Service direkt an seinen Schnittstellen, ob ein Zugriff erlaubt ist.
Während Zero Trust mit vielen kleinen Trutzburgen einen Verteidigungswall schafft, sorgt CAT für kontinuierliche Kontrollen im Innern.
CAT als Wettbewerbsvorteil
In der technischen Umsetzung erfordert CAT die Integration verschiedener Komponenten. Es braucht Web-Applications und API-Protection (WAAP), um Risikosignale zu messen. Die Anpassung des Vertrauensniveaus realisiert ein Identitäts- und Zugriffsmanagement.
Da diese Komponenten selten vom selben Anbieter stammen, ist die Umsetzung aufwendiger. Wichtig ist darum ein Provider, der die Signale aller Teilsysteme zusammenführt und auswertet: ein Managed Security Service wie Ergons Airlock Secure Access Hub.
Paradigmenwechsel in der IT-Sicherheit
Vom Implementieren bis zum Anpassen von Policies erhalten Unternehmen damit auch Unterstützung bei der Einführung von CAT. Das Resultat kann sich sehen lassen: CAT wird zum Wettbewerbsvorteil. Gerade in der Finanzbranche. Kurzum: «Continuous Adaptive Trust ist ein Paradigmenwechsel in der IT-Sicherheit», sagt Marc Bütikofer, Head of Innovation Security Solutions bei Airlock.