Identitätsmanagement für das IoT

Unabhängig davon, in welcher Branche sie tätig sind, geraten Unternehmen aus verschiedenen Gesichtspunkten unter Transformationsdruck: von störenden Wettbewerbern, die den Bedarf an agilen Diensten vorantreiben, bis hin zu regulatorischem Druck wie der neuen EU-Datenschutz-Grundverordnung (DSGVO) oder der Zahlungsrichtlinie 2 (Payment Service Directive 2, kurz PSD2). Zudem sind Nutzer heutzutage ebenfalls besser informiert und anspruchsvoller als je zuvor. Sie erwarten ein reibungsloses Registrierungs- und Anmeldeverfahren, verbunden mit einer personalisierten Erfahrung, die Sicherheit und Privatsphäre garantiert.

Angesichts dieses Wettbewerbsdrucks müssen Unternehmen sicherstellen, dass sie über die richtige Strategie für ein geräte- und personenbasiertes Identitäts- und Zugriffsmanagement verfügen. Diese muss es ihnen ermöglichen, sowohl das Nutzererlebnis zu verbessern als auch den richtigen Zugang zu den richtigen Personen zum richtigen Zeitpunkt.

Cybersecurity-Angriffe sind heute komplexer, zahlreicher und schwieriger zu erkennen und somit zu verhindern als je zuvor. Im Jahr 2015 zum Beispiel stieg die Zahl der Spear Phishing-Angriffe, die sowohl große als auch kleine Unternehmen betrafen, im Vergleich zum Vorjahr um 55 Prozent.

Durch die Aufnahme von IoT-geführten Programmen in Branchen wie der Automobilindustrie sowie dem Versicherungs- und Gesundheitswesen wird ein neuer potenzieller Angriffsvektor eingeführt. Der im letzten Jahr erfolgte Angriff auf den DNS-Infrastruktur-Anbieter Dyn machte das Schadensausmaß deutlich, zu dem ein IoT-betriebenes Botnetz im Stande ist. Dyn schätzte, dass etwa 100.000 bösartige Endgeräte an dem Angriff beteiligt waren, was ein weiteres deutliches Zeichen dafür war, dass die IoT-Sicherheit für jeden Gerätehersteller oder Service-Anbieter, der mit Geräten interagiert, ein zentrales Anliegen sein sollte.

Entstandene Kosten

Die tatsächlichen Auswirkungen von Cybersecurity-Angriffen sind schwer einzuschätzen. Nach den Untersuchungen einer 2016 von IBM und dem Ponemon Institut durchgeführten Studie („Cost of Data Breach“) stiegen die konsolidierten Gesamtkosten einer Datenpanne von 3,8 Millionen US-Dollar im Jahr 2014 auf 4 Millionen US-Dollar im Jahr 2015, wobei die durchschnittlichen Kosten für jeden verlorenen oder gestohlenen Datensatz mit sensiblen und vertraulichen Informationen von 154 US-Dollar auf 158 US-Dollar anstiegen.   

Wenn man bedenkt, dass im Symantec-Bericht 2016 festgestellt wurde, dass 2015 mehr als eine halbe Milliarde Identitätsdatensätze verloren gingen oder gestohlen wurden, sind die Gesamtkosten für Sicherheitsfehler enorm hoch. Die Zahlen für nicht gemeldete oder (bisher) unbekannte Fälle von Identitätsdiebstahl sind zudem hier nicht berücksichtigt.

Über diese konkreten Kosten hinaus ist der Imageschaden für Unternehmen oft beträchtlich. Dies sollte in den meisten Fällen ein ausreichender Anreiz für Unternehmen sein, sichere und datenschutzerhaltende Dienste auf eine Vielzahl von Geräten bereitzustellen.

Intelligent, einfach & sicher?

Initiativen im Bereich Informationssicherheit stehen immer wieder vor der alten Herausforderung, sichere Dienste für die Anmeldung und Zugriffsverwaltung bereitzustellen, ohne die Benutzerfreundlichkeit einzuschränken. Der Endanwender wünscht sich einen reibungslosen Ablauf der Dienste, sowohl im öffentlichen als auch im privaten Bereich.

Viele Nutzer sind jedoch tatsächlich nur einen Mausklick von einem Wechsel zu einem Wettbewerber entfernt. Dies bedeutet, dass Unternehmen nicht nur die Datensicherheit gewährleisten, sondern gleichzeitig auch das Nutzererlebnis verbessern müssen, ohne dabei als übermäßig schützend oder einschränkend empfunden zu werden.

Der moderne Anmeldeprozess muss dabei immer mehr eine Vielzahl von Faktoren umfassen. Die Tage, an denen ein einfacher Benutzername und Passwort für eine sichere Authentifizierung ausreichten, sind längst vorbei. Passwörter, die vom Endanwender ausgewählt werden, sind selten komplex genug, um Einzigartigkeit zu gewährleisten. Und viele Unternehmen kämpfen immer noch mit der sicheren Speicherung von Passwortdaten – oft mit veralteten Verschlüsselungsverfahren, die leicht rückgängig gemacht werden können. Beim Abspeichern von Passwörtern sollten moderne Ansätze wie Scrypt oder Bcrypt zum Einsatz kommen, die es Angreifern erschweren, durch Brute Force die zugrundeliegenden Passwortwerte zu erraten.

Dennoch sollte die Authentifizierung nicht mehr nur auf Benutzername und Passwort basieren, sondern sich auf eine Reihe verschiedener Datenpunkte konzentrieren. Der Anmeldevorgang sollte weitere risikorelevante Daten bzw. Parameter berücksichtigen, die verknüpft werden, wie zum Beispiel Tageszeit, Standort, das Gerät, von dem die Anfrage kommt, das letzte Mal, wann der Nutzer sein Passwort geändert oder sich erfolgreich angemeldet hat. Dieser kontextuelle Ansatz zur korrekten Identifizierung eines Benutzers hilft, die Anzahl der Komponenten zu erhöhen, die ein böswilliger Angreifer kompromittieren müsste, um Zugriff auf einen Service oder eine Anwendung zu erhalten.

Wenn ein High-Risk User identifiziert wird, sollten sekundäre Authentifizierungsmechanismen in Betracht gezogen werden. Vergleichsweise einfach in der Handhabung ist hier ein Einmal-Kennwort („Code“), welches an eine vorregistrierte Handynummer oder Email-Adresse geschickt wird – auf einem gesonderten Kommunikationsweg. Aber auch diese Methode ist anfällig für ein mögliches Abfangen. Mobile Push-Authentifizierung, gekoppelt mit lokaler Fingerabdruck-Biometrie oder lokaler PIN-Eingabe sind daher noch besser geeignet.

Sobald ein Nutzer authentifiziert ist, sollte die Sicherheitsüberprüfung allerdings nicht an dieser Stelle aufhören. Kontinuierliche Berechtigungskontrollen sollten weiterhin verwendet werden, um sicherzustellen, dass die laufende Session oder das Cookie nicht abgefangen und weitergeleitet wurden, indem die Sitzung an das Originalgerät gebunden oder Standortüberprüfungen durchgeführt werden.

Das Internet der Dinge sichern

Der Angriff auf Dyn machte deutlich, dass Organisationen eine klare Strategie für IoT und browserlose Geräte benötigen. Diese Geräte müssen sicher authentifiziert werden, um zuverlässig festzustellen, dass sie nicht gefälscht sind oder ihr Betriebssystem oder ihre Firmware manipuliert oder „gerooted“ wurden. 

Ein Gerät, insbesondere in der Consumer-Welt, sollte dann sicher mit einem physischen Benutzer „gepaart“ werden und nur die notwendigen Berechtigungen erhalten, die für den Zugriff auf Cloud-Services oder APIs im Namen des Eigentümers erforderlich sind. Es sollte auch eine klare und einfache Methode für den Besitzer eines Geräts geben, um bei Verlust, Diebstahl oder Weiterverkauf eines Geräts den Zugriff zu widerrufen.

Viele Unternehmen haben hier Nachholbedarf und müssten mindestens ihre Identitätsregistrierungs-, Authentifizierungs- und Autorisierungsdienste ausbauen, um die Integration von IoT-basierten Geräten zu erleichtern und die Geräteeinbindung, -paarung und -autorisierung mit abzudecken.

Das Paradoxon Personalisierung & Datenschutz

Daten- und Informationssicherheit mit Benutzerfreundlichkeit unter einen Hut zu bekommen, ist eine ernste Herausforderung und gleicht einem Paradoxon. Besonders unter dem Gesichtspunkt, dass der Schutz seiner Privatsphäre für Endanwender immer wichtiger wird. Sicherheit und Privatsphäre unterscheiden sich, aber sind untrennbar miteinander verbunden, da Endanwender sich eine stärkere Personalisierung wünschen, wenn es um die Interaktion mit Anwendungen und Dienstleistungen geht.

Um allerdings diese Personalisierung zu ermöglichen, benötigen die Dienstleister jedoch große Datenmengen. Die im Mai 2018 in Kraft tretende EU-Datenschutzverordnung zielt darauf ab, dem Endnutzer mehr Kontrolle über seine Daten zu geben, damit er genau zu weiß, wer aus welchem Grund Zugriff auf seine persönlichen Daten hat, mit der Möglichkeit, den Zugriff jederzeit zu widerrufen.

Die Datenschutz-Grundverordnung erfordert mehr als nur die Ernennung eines Datenschutzbeauftragten – die neue Datenschutzverordnung erfordert umfassende Identity & Access Management Dienstleistungen, um das Recht auf Löschung, Benachrichtigungsdienste bei Verstößen, transparente Zustimmungsmodelle und vieles mehr zu gewährleisten.

Sicherheit und Datenschutz müssen oberste Priorität haben

Unternehmen sehen sich zweifellos einer immer komplexeren Reihe von Herausforderungen gegenüber, die sich im Wettbewerb und in der Transformation befinden. Wenn Unternehmen in diesem Umfeld erfolgreich sein wollen, müssen sie sicherstellen, dass sie einen strategischen Ansatz verfolgen, um agile Anwendungen und moderne Dienste mit robuster Sicherheit, intelligenter Geräteintegration und einem umfassenden Schutz personenbezogener Daten sowie Datenschutz-Management zu kombinieren. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.