Archiv für den Monat: März 2018

IOT - IoT Szene

4 Schritte zum DSGVO-konformen Datenschutz

Schreibe einen Kommentar

Das IoT wird den Unternehmen unzählige Geschäftsmöglichkeiten eröffnen. Aber wenn sie ihre eigenen IoT-Lösungen komplett selbst entwickeln wollen, merken sie schnell, dass der sichere Datenaustausch mit einem Augenmerk auf die Privatsphäre schwierig ist: Spätestens am 25. Mai 2018 muss die DSGVO umgesetzt werden. Diese weitreichende Regulierung zwingt Unternehmen, die mit IoT-Geschäftsmodellen planen oder schon auf dem Markt sind,  verbraucherorientiert zu handeln. Denn wenn das Unternehmen persönliche Daten von EU-Bürgern speichert oder verarbeitet, gilt die DSGVO. 

Was sind die Ziele der DSGVO? Es ist vor allem der Datenschutz mit Wahlmöglichkeiten und Kontrolle für die Verbraucher. Diese können ihre grundlegenden Persönlichkeitsrechte besser ausüben und die Kontrolle über ihre personenbezogenen Daten wiedererlangen. Um es auf einen Nenner zu bringen: Unternehmen müssen vertrauenswürdige digitale Beziehungen aufbauen.

4 Schritte zur Umsetzung

Also was ist zu tun? Unternehmen können die folgenden Schritte beachten, um den IoT-Datenschutz zu garantieren und für die DSGVO bereit zu sein:

Schritt Nr. 1: Identifizieren Sie, wo sich die Chancen der digitalen Transformation mit den Risiken des Nutzervertrauens überschneiden

IoT kann alle interessanten Geschäftsmöglichkeiten vorantreiben, von vernetzter Kleidung und Sportausrüstung bis hin zu bahnbrechenden, intelligenten Gesundheitsgeräten. Aber wenn der Datenaustausch brach liegt, weil es unmöglich scheint, diesen sicher zu gewährleisten, kann es zu einem Vertrauensbruch zwischen dem Nutzer und dem Anbieter kommen. Eine Annäherung kann nur gelingen, wenn die richtigen Interessengruppen der privaten und unternehmerischen Seite zusammenarbeiten, um genau zu definieren, um welche sensiblen Daten es sich handelt.

Schritt Nr. 2: Persönliche Daten als gemeinsamen Wert begreifen

Unternehmen oder zumindest ihre Marketingabteilungen sind meistens sehr „besitzergreifend“, wenn es um persönliche Daten geht, die sie von Verbrauchern erfassen. Mit der DSGVO ist diese Vorgehensweise jedoch vorbei. Nur wenn das Unternehmen die persönlichen Daten der Nutzer als etwas sieht, an dem sie beide beteiligt sind – sowohl das Unternehmen als auch der Verbraucher – dann ist eine erfolgreiche, langanhaltende Beziehung möglich. 

Schritt Nr. 3: „Ausdrückliche Zustimmung“ gewähren

Die DSGVO definiert sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Eine davon ist Consent („Zustimmung“). Aber was bedeutet die „ausdrückliche Zustimmung“? Einerseits muss der Dateneigentümer über die erfassten Daten vollständig informiert werden und muss wissen, zu welchem Zweck die Daten genutzt werden und wer Zugriff darauf hat, bevor er seine Zustimmung erteilt. Andererseits muss der Anbieter explizit die Zustimmung für die Verwendung und Verarbeitung der Daten in Form eines „Opt-In“ des Endbenutzers einholen (im Gegensatz zu einem „Opt-Out“). In der heutigen stark konsumorientierten Gesellschaft ist der Endnutzer nun der ausdrückliche Verwalter seiner Autorisierungsentscheidungen. Die Regulierung legt die Entscheidungsfindung in die Hände des Endnutzers und ermöglicht es ihm, den Zugriff auf seine Daten proaktiv zu erteilen und vor allem zu widerrufen. Dies ist eine wichtige Grundlage des Consent-Managements der DSGVO.

Schritt Nr. 4: Bauen Sie Vertrauen mit einem Identity & Access Management auf

Die IoT-Welt lernt vieles schneller als die die Web- und API-Bereiche: Sicherheits- und Datenschutzfunktionen hinzuzufügen gestaltet sich als viel schwieriger, wenn authentisierte Identitäten nicht überprüft werden können und so ihr Zugriff autorisiert werden kann. Die Infrastruktur des Identity & Access Managements ist das richtige Modell, um vertrauenswürdige digitale Beziehungen aufzubauen. Der Datenschutz umfasst die Verwaltung von Identitätsdaten und den Aufbau einer einheitlichen Sicht auf den Kunden über viele einzelne, intelligente Geräte und Anwendungen hinweg. Nutzer müssen die Möglichkeit haben, ihre persönlichen Daten zu korrigieren und zu entscheiden, ob und wie die Daten anderweitig verwendet werden dürfen oder diese auch endgültig zu löschen – zum Beispiel den Zugang zu Insulinpumpendaten oder sogar zu den Steuerungsfunktionen einer Pumpe an einen Arzt oder zu einer Pflegeperson.

Digitale Beziehungen schützen und nutzen 

Die DSGVO ist eine der modernsten Regelungen. Und das ist ein Glück für das Internet der Dinge mit seinen schnell wachsenden Technologie- und Geschäftsmöglichkeiten. Um sich auf die Datenschutz-Grundverordnung vorzubereiten, müssen Unternehmen mehr als Datenschutz gewährleisten, sondern vor allem Datentransparenz und Datenkontrolle umsetzen. Die Entscheidungen, die Unternehmen über die Daten ihrer Kunden treffen, reflektieren nicht nur die Maßnahmen des Datenschutzbeauftragten, sondern das gesamte Geschäftsmodell.  

IOT - IoT-Technologie

Netzwerke im IoT: Verfügbarkeit und Service sind wichtiger als die Bandbreite

Schreibe einen Kommentar

Geht es nach den Anbietern, wird der zukünftige Mobilfunkstandard 5G nicht weniger als die Welt revolutionieren. Für den Endkundenbereich mag das zu einem gewissen Grad sogar stimmen. Greifen Millionen von Smartphone-Besitzern auf Dienste wie YouTube, Netflix & Co. zu, kann mehr Bandbreite nicht schaden. Wenn 5G in einigen Jahren eingeführt wird, sollen die Übertragungsgeschwindigkeiten selbst gegenüber dem LTE-Advanced-Netz noch einmal um das Zehnfache schneller werden. Die maximalen Speeds werden dann bei bis zu 1.250 MB/s liegen. Ein Vergleich mit GSM ließe den Klassiker zwischen Hase und Igel wie ein faires Rennen aussehen.

Doch wie der Igel in der bekannten Fabel haben die vergleichsweise langsamen Mobilfunkstandards wie GSM durchaus gute Gewinnchancen, wenn es um die wichtigen Business-Bereiche Internet of Things und M2M-Kommunikation geht. Denn bei der Vernetzung von Maschinen, Geräten und Geschäftsbereichen ist die Bandbreite zumeist Nebensache. Um Basisdaten zwischen Sensoren, Geräten und Anlagen zu kommunizieren, reichen auch die Geschwindigkeiten ausgereifter und somit zuverlässiger Mobilfunkstandards aus. Diese haben zudem den Vorteil, dass sie flächendeckend verfügbar sind – und dass in nahezu allen Ecken der Landkarte. Nicht selten befinden sich Betriebe und Produktionsanlagen jenseits der Ballungsgebiete. Auch in der Landwirtschaft bietet sich der Einsatz von IoT- und M2M-Lösungen an. Im Bereich eHealth können moderne Lösungen dafür sorgen, dass selbst Patienten, die weit vom nächsten Krankenhaus oder Arzt entfernt leben, aus der Ferne per automatisierter Kommunikation überwacht und betreut  werden. Doch in allen Fällen stehen und fallen die Lösungen mit der Verlässlichkeit der jeweiligen Verbindung.

Roaming steigert die Verfügbarkeit

„Bei Mobilfunk-basierten M2M-Lösungen spielen Faktoren wie Netzabdeckung, Verfügbarkeit, Roaming und Service-Leistungen eine deutlich wichtigere Rolle als Top-Speeds“, sagt Peter Matthes, Geschäftsführer bei Siwaltec. „Die SIM-Karten, die wir einsetzen, unterstützen beispielsweise Roaming, sodass diese sich unabhängig vom Mobilfunknetz einsetzen lassen. So kommt es zu keinen Übertragungsproblemen, wenn ein bestimmtes Netz mal nicht erreichbar sein sollte“, erklärt Matthes. 

Indem die GSM-SIM-Karten permanent überwacht werden, handelt es zudem um eine äußerst sichere Lösung. „Gleichzeitig ist für unsere Plug-and-play-Lösungen kein aufwändiger Genehmigungsprozess mit Administratoren notwendig, und es gibt auch keinen Ärger mit Sicherheitszertifikaten“, so Matthes weiter. Dass eine weltweite Konnektivität, die unabhängig von Distanzen und firmeninternen IT-Infrastrukturen funktioniert, für IoT- und M2M-Lösungen wichtiger ist als punktueller Highspeed-Mobilfunk, liegt eigentlich auf der Hand.

Eine aktuelle IDC-Studie unter mehr als 500 Entscheidungsträgern zeigt, dass sich die Unternehmen bewusst sind, wie wichtig eine solide und verlässliche Technologieinfrastruktur ist. So gaben viele der Befragten an, dass die Ursache für Verzögerungen oder gar das Scheitern von Projekten häufig eine inadäquate Infrastruktur sei. Wieso dennoch weiterhin viele Unternehmen denken, der Weg zu wichtigen IoT- und M2M-Systemen führe über hohe mobile Bandbreiten, wurde von der Studie leider nicht untersucht.

IOT - IoT-Technologie

Industrielle Anomalieerkennung: Mehr Sicherheit durch Machine Learning?

Schreibe einen Kommentar

Künstliche Intelligenz wird aktuell als Heilsbringer für eine Vielzahl von Herausforderungen gehandelt. Seit einiger Zeit setzen auch IT-Sicherheitsdienstleister verstärkt auf das Konzept und versprechen damit mehr Cybersicherheit. Bislang fehlen jedoch handfeste Proof-of-Concepts. Vor allem im Bereich der industriellen Anomalieerkennung bleibt der Mensch auch in Zukunft der Entscheider.

Ein großes Problem bei der Diskussion ist die Vermischung der Begriffe. Immer wieder wird von Künstlicher Intelligenz oder „Artificial Intelligence“ (AI) geredet, wo eigentlich maschinelles Lernen oder „Machine Learning“ (ML) – nur als Teilaspekt von AI – gemeint ist.

Wie jedoch schon der Schweizer Netzwerksicherheits-Experte Raffael Marty im Januar auf Towards Data Science erläutert: „Bislang haben wir kein AI (oder, um präzise zu sein, AGI), also sollten wir uns auch nicht mit falschen Konzepten ablenken.“

Bleiben wir also bei dem eigentlich relevanten Begriff: „Maschinelles Lernen“. In gewissen Teilbereichen ist das maschinelle Lernen mittlerweile zu einer nicht zu unterschätzenden Hilfe geworden. Insbesondere für die Detektion von Malware und Spam unterstützen selbstlernende Algorithmen die Cybersicherheit in Unternehmen. Und IT-Sicherheitsdienstleister sehen in ML vor allem eine Unterstützung ihrer eigenen Mitarbeiter. Das amerikanische Forschungsunternehmen Cybersecurity Ventures geht für das Jahr 2021 von insgesamt 3,5 Millionen offenen Stellen im Bereich Cybersicherheit aus. Jedoch hat maschinelles Lernen gerade im Netzwerkmanagement klare Grenzen und nicht zu vermeidende Nachteile.

Jedes Netzwerk ist so individuell wie die störende Anomalie

Die große Herausforderung liegt in stark vernetzten Industrie-4.0-Umgebungen vor allem in der Detektion von Anomalien. Diese beschreiben jedes unerwünschte Verhalten und jede nicht planmäßige Kommunikation innerhalb eines Netzwerkes, die zu Störungen der Anlagenverfügbarkeit oder Produktion führen können. Die Grundbedingung für die Detektion solcher Anomalien ist demnach die Definition eines Normalzustandes ‒ und dafür bedarf es im Falle einer Lösung mit ML sehr vieler, sauberer Daten.

Lösungen auf Basis von ML sind letztlich nur so gut wie das Trainingsmaterial, auf dessen Basis sich der Algorithmus entwickelt. Für die gute Detektion klassischer Spam und Malware können Dienstleister auf sehr umfangreiche und ausdifferenzierte Datensätze zurückgreifen, um effektive Algorithmen zu trainieren. Bei Advanced Persistent Threats kommen die Algorithmen dennoch bereits an ihre Grenzen. Und für den Großteil aller anderen Anomalien ist es noch ein weiter Weg, wie auch Raffael Marty zu bedenken gibt: „In den meisten anderen Bereichen (Anomalieerkennung, Risikobewertung, Entity-Klassifikation, Datenexploration, direkte Angriffe aus dem Netzwerk; Anm. des Autors) fehlen uns entsprechend gute Trainingsdaten. Wir versuchen seit knapp zwei Jahrzehnten, Datensets zu erstellen, aber noch immer fehlt uns ein passendes. Das letzte Datenset, das wir für gut hielten, war MIT LARIAT. Das entpuppte sich letzten Endes aber doch als zu verzerrt (biased).«.

Die Individualität jedes einzelnen Steuerungsnetzes bzw. Prozesssteuerungssystems stellt ML vor einige Herausforderungen. Maschinelles Lernen lebt von statistisch relevanten Massen an Daten. Wo wenig Trainingsdaten bei hoher Individualisierung der Systeme vorherrschen, wird ML ineffizient. Das ist unabhängig davon, ob das maschinelle Lernen kontrolliert (supervised) oder unkontrolliert (unsupervised) erfolgt. Die initiale Lernphase wird nicht nur einiges an Zeit in Anspruch nehmen. Vor allem wird es schwierig, jemals mit Sicherheit sagen zu können: Das System kann jetzt fehlerfrei sowohl normale Kommunikation, also auch akzeptable Variationen aufgrund regulärer Produktionsanpassungen einordnen. Nicht umsonst benötigen Security Information and Event Management Systeme (SIEM) einen sehr langen Zeitraum (und hohe Investitionen), bis sie ein Unternehmen unterstützen können.

Denn sie wissen nicht, was sie tun

Begrenzte oder schlechte Daten bedeuten für die eigenständige Entwicklung des ML-Algorithmus jedoch eine sehr hohe Wahrscheinlichkeit von Fehlentscheidungen. „False-positive“- und „false-negative“-Meldungen sind Gang und Gäbe. Greift das System zudem aktiv in die Prozesse des Steuerungsnetzes ein (z. B. durch Blocken von Aktivitäten), können diese Meldungen zu Störungen, zur Unterbrechung der Echtzeitprozesse bis zu Produktionsausfällen führen. Für die betroffenen Unternehmen kommt es dadurch zu Auftragsverzögerungen, hohen Ausfallskosten und Verlusten.

Hinzu kommt ein entscheidender Faktor beim maschinellen Lernen: die Netzwerkbetreiber bleiben bei allen Aspekten im Dunkeln. Sie wissen weder, was in ihrem Steuerungsnetz passiert, noch wie die ML-basierte Lösung Entscheidungen darüber fällt, was im Netzwerk normale Kommunikation oder eine neue Anomalie ist.

Das Ziel eines effektiven Netzwerkmanagements ist jedoch die digitale Transparenz und kontinuierliche Sichtbarkeit aller Vorfälle im Steuerungsnetz. Hat eine Lösung mit maschinellem Lernen und der menschliche Trainer des Systems jedoch einmal „entschieden“, dass der Lernprozess abgeschlossen und ein Standard der Netzwerkkommunikation etabliert ist, funktioniert die Lösung im weiteren Betrieb als Black Box für den Netzwerkverantwortlichen. Denn das ist die Grundidee von ML: Die Maschine entscheidet und entwickelt sich mehr oder weniger selbstständig weiter, ohne die Menschen zu behelligen. Damit kann es jedoch auch passieren, dass sich die Maschine in die Unwissenheit hinein entwickelt ‒ und die Betreiber erfahren es erst, wenn es längst zu spät ist. Natürlich können die Verantwortlichen die Entscheidungsprozesse der Software auf Schritt und Tritt überprüfen.

Damit wird jedoch die Effektivität und der Kerngedanke des maschinellen Lernens ad absurdum geführt. Der Trade-Off eines Systems mit maschinellem Lernen ist damit die Transparenz. Diese ist jedoch Grundlage sowohl für das effiziente Management von Steuerungsnetzen, also auch der gesetzlichen und normativen Compliance mit z. B. dem IT-Sicherheitsgesetz oder dem IEC 62443. Denn diese fordern eine strikte und äußerst detaillierte Klarheit über die Teilnehmer und Vorgänge in industriellen Netzwerken, um die Verfügbarkeit der Ressourcen, Systemintegrität und eine rechtzeitige Reaktion auf Ereignisse sicherzustellen. Transparenz – die 100%ige Visualisierung aller Strukturen und Vorfälle – und Entscheidungshoheit und Echtzeit sind nach wie vor die entscheidenden Faktoren in industriellen Steuerungsnetzen.

Alternative zum maschinellen Lernen

Eine effektive industrielle Anomalieerkennung kann nicht auf die Menschen verzichten, denn sie bringen zwei entscheidende Faktoren mit: Kontext und Fachwissen.

Kontext: Anlagenbetreiber und Administratoren wissen um die Funktion und die Steuerung einer Anlage. Damit können sie auch einschätzen, welche Form der Kommunikation und Konnektivität für die Anlage sinnvoll und normal ist. Dieses Kontextwissen ist grundlegend für die Interpretation und die Risikobewertung von Anomaliemeldungen. Dieser Kontext kann z. B. auch durch entsprechende Filterfunktionen in einer industriellen Anomalieerkennung erreicht werden.

Fachwissen: Anlagenbetreiber und Administratoren bringen Expertise und spezifische Erfahrungswerte mit, die nicht über einen (einfachen) Algorithmus abgedeckt werden können. Netzwerkprobleme entstehen z.B. häufig durch eine Reihe verknüpfter Störungen, Konfigurationen und Zustände. Diese Komplexität bedarf dementsprechender Einzelfallbetrachtungen.

Um diese Faktoren optimal zu unterstützen, ist eine Monitoring-Lösung mit deterministischen Methoden deshalb effektiver als Machine-Learning-Algorithmen. Network-Condition-Monitoring-Werkzeuge wie eine industrielle Anomalieerkennung lernen dazu kontinuierlich unter menschlicher Kontrolle die Steuerungsnetzstruktur und darin auftretenden Anomalien. Die Überwachung des Lernzyklus wird – wie bei ML üblich – nie abgeschlossen. Entdeckt die Software einen Vorfall bzw. eine abweichende Kommunikation, meldet sie diese stattdessen dem Anlagenbetreiber mit einer Risikoeinschätzung. Die Entscheidung über die Anomalie verbleibt jedoch vollständig beim Betreiber. Dementsprechend wirkt die Anomalieerkennung passiv und rückwirkungsfrei, um Fehlentscheidungen seitens der Software zu vermeiden.

Im Gegensatz zur ML-Lösung gewährleistet die deterministische Methode damit vollständige Transparenz und Kontrolle über jegliche Vorgänge in Steuerungsnetzen. Solch ein Monitoringwerkzeug liefert den Anlagenbetreibern und Netzwerkverantwortlichen Klarheit und unterstützt die Entscheidungsfindung optimalerweise mit allen relevanten Informationen wie z.B. den Rohdaten zu einer Anomalie und einer Risikobewertung auf Basis vorab definierter Impact Scores.

In einem Steuerungsnetz, das durch Komplexität und eine Vielzahl möglicher Störungsvektoren gekennzeichnet ist, behält der Betreiber mit Hilfe deterministischer Methoden somit vollständige Kontrolle und Entscheidungshoheit. Nicht zuletzt vermeidet er wiederholte Produktionsunterbrechungen aufgrund intransparenter Fehlentscheidungen durch das Blackbox-Verhalten der Machine-Learning-Software.

IOT - IoT-Security

User Behaviour Analytics als Beitrag zur IT-Sicherheit

Schreibe einen Kommentar

Die virtuellen Außengrenzen eines Unternehmens sind kaum mehr klar zu ziehen: Internet der Dinge, Austausch mit Kunden, Partnern oder Lieferanten und Cloud Services erweitern oder verwischen die Grenzen. Potenzielle Angreifer lauern überall. Wo befindet sich der angreifende Akteur? Für die Gefahren-Einschätzung ist es nicht mehr zentral, wo man sich befindet – im „Innern“ der IT-Infrastruktur oder noch außerhalb von Firewalls und anderen Schutzeinrichtungen.

Digitale Identität: Wer bin ich und wenn ja, wie viele?

Wer ist der User und wie verhält er sich? Ist er Mensch, Roboter, Server oder Smart Device? Die Identität und ihre Überprüfung – die Authentisierung – der Nutzer sind für die IT-Sicherheit zentraler denn je. Interaktionen finden elektronisch statt, nicht mehr wie einst am Bankschalter. Dafür brauchen wir die digitale Identität (s. Abbildung). Als Rückgrat des digitalen Lebens ist sie funktional – übergibt aber auch wertvolle Daten und Berechtigungen an mehr oder weniger vertrauenswürdige Akteure. Entsprechend häufig werden die digitalen Identitäten, von denen die meisten von uns eine unüberschaubare Anzahl besitzen, gestohlen und gehandelt. Sie verdienen bei der IT-Sicherheit also Aufmerksamkeit.

Usability versus Sicherheit

Der Identitätsdiebstahl ist nicht zu verhindern. Es gilt den Missbrauch zu begrenzen. Zum einen geschieht dies mit starker Authentisierung: mTAN, One-time Passwort Tokens oder neue Identitätskarten sind nützlich. Auch Methoden der adaptiven Security wie Continuous Authentication, Missbrauchserkennung und Alarmierung des rechtmäßigen Identitäts-Besitzers greifen. Diese Methoden reagieren auf sich verändernde Umgebungen und bieten so Sicherheitsvorteile. Gleichzeitig schränken sie die Nutzerfreundlichkeit ein und stoßen darum auf mangelnde Akzeptanz. Die aufkommende biometrische Authentisierung ist nutzerfreundlich und erscheint somit als ideale Lösung. Doch auch Fingerabdruck-Sensoren, Iris-Scanner und Gesichtserkennungs-Software lassen sich  knacken. Zudem machen sie hochsensible biometrische Daten elektronisch greifbar. Sie werden so kopierbar, besonders unangenehm für die Nutzer. Eine Alternative bietet die Analyse des Verhaltens. Gegenüber den statischen biometrischen Daten erfasst sie dynamischere Aspekte unserer Identität.

Verhaltensaspekte als Teil der digitalen Identität. (Bildquelle: AdNovum, eve/Fotolia)

 

Zeig mir wie du tippst und ich weiß wer du bist

Bereits gängig sind „Behavioral Analytics“ rund um Ort (Geolokation), Gerät und Zeit: Erfolgt das Login auf einem bekannten Gerät, zu gewohnter Tages- oder Wochenzeit? Gibt es zwei Logins fast zeitgleich in New York und Zürich – es kann sich kaum um denselben Benutzer handeln. Auch die Eingabe am Gerät und der Umgang mit demselben lässt sich aufzeichnen und analysieren: Wie tippt der Nutzer auf der Tastatur oder dem Screen? Adler- oder Zehnfinger-Technik? Wie breit sind die Fingerkuppen, wie stark der Druck? Wie wird das Smartphone bewegt? Erfolgen die Mausklicks in gewohnter Kombination, Geschwindigkeit und Reihenfolge (Clickstream)? Auch das Navigationsverhalten in einer Anwendung gibt Aufschluss: Welche Inhalte und Aktionen wählt der Benutzer und wann? Schaut er sich im E-Banking stets zuerst die Kursentwicklung seiner Anlagen an? Steuert er für seine Transaktionen direkt die Zahlungs-Applikation an?

Angepasst auf Risiko-Abwägung und Gewohnheiten

Verhaltens-Analyse-Software errechnet aufgrund von Anomalien laufend einen Risk Score. Er bemisst und benennt das Risiko einer falschen Identität. Um den Nutzer kennenzulernen und Risk-Werte zu berechnen, braucht die Software eine Trainings-Phase. Die einzelnen Verhaltens-Aspekte sind dabei individuell einstellbar. Bei der Geolokation können auf einzelne Länder risikospezifische Tags zugewiesen werden. Verhaltensaspekte lassen sich unterschiedlich gewichten und an verschiedenen Toleranzwerten (Thresholds) messen. Dabei berücksichtigt man die Risiko-Abwägung durch den Applikations-Anbieter und den Benutzer und auch dessen Anforderungen oder Gewohnheiten. Für einen Geschäftsreisenden und Vielflieger ist eine geringere Gewichtung oder höhere Toleranz bezüglich Geolokation sinnvoll.

Mehraufwände und Ärger vermeiden

Ein erhöhter Risk Score kann situativ das verlangte Sicherheitslevel heben und zusätzlichen Maßnahmen auslösen. Will der User beispielsweise höhere Geldsummen an einen ungewohnten Empfänger auslösen, ergeben sich automatisch zusätzliche Authentisierungs-Schritte. Die Maßnahmen können bis zum Session-Stopp oder zur Benachrichtigung des rechtmäßigen Benutzers reichen, was wiederum Kosten impliziert. Die Vermeidung von „False-Positives“, falscher Verdachtsfälle, wird zur wichtigen Aufgabe des System zur Verhaltensanalyse und seinen Konfigurationsmöglichkeiten.

Praxisanwendungen: Schnelle, sichere Zugänge

User Behavior Analytics finden im E- und Mobile-Banking bereits breit Anwendung. Analysiert werden die Aspekte Geolokation, Gerät und Zeit sowie das Tippverhalten. Der Benutzer wird dabei auch nach dem Login kontinuierlich beobachtet. Auch Kundenportale ermöglichen heute bereits passwortloses Einloggen gestützt auf die Verhaltensanalyse. Erst höherwertige Transaktionen lösen zusätzliche Authentisierungs-Faktoren aus. In beiden Fällen soll die Security bei konstanter Usability erhöht werden. Und schließlich wird User-Behavior-Analytics auch bei der Identifikation von rechtmäßigen Mobilgerät-Besitzern verwendet. Die Vielzahl von Sensoren und Parametern dieser Devices unterstützen diese Anwendungen.

Die Analyse des Benutzerverhaltens wird bereits vielfältig eingesetzt, das Potenzial ist riesig. Spezielle Aufmerksamkeit verdient die Anwendung für die digitale Identität, ist doch diese wegen ihrer Funktion als Backbone des digitalen Lebens besonders wertvoll und sensibel. Für den Benutzer selbst, aber auch für die Anbieter von Websites, Plattformen oder Applikationen – sie wollen den Benutzer als Kunden gewinnen, behalten und darum schützen.

DCI - Toms Admin Blog

Verwalten der Administrator-Überwachungsprotokollierung

Schreibe einen Kommentar

Cmdlets, die Administratoren direkt in der Exchange Management Shell ausführen überwacht die Protokollierung automatisch. Darüber hinaus werden auch Aktionen protokolliert, die Administratoren im Exchange Admin Center durchführen.Wenn die Überwachungsprotokollierung aktiviert ist, erstellt Exchange standardmäßig immer einen Protokolleintrag, wenn ein Cmdlet ausgeführt wird. 

Exchange protokolliert viele Änderungen in der Ereignisanzeige des Servers, allerdings sehen Sie hier meistens nicht welcher Benutzer oder Administrator die Änderung vorgenommen hat.

Sie sehen aber welche Änderungen durchgeführt wurden und wann die Änderung stattgefunden haben. Aus diesem Grund ist eine regelmäßige Kontrolle der Ereignisanzeige auf Exchange-Servern ebenfalls notwendig um Änderungen nachzuvollziehen. Um Änderungen in der Ereignisanzeige anzuzeigen, gehen Sie folgendermaßen vor:

  1. Geben Sie im Suchfeld des Startmenüs  »eventvwr«ein und starten Sie die Ereignisanzeige.
  2. Navigieren Sie zu „Anwendungs- und Dienstprotokolle/MSExchange Management“.
  3. Im rechten Bereich sehen Sie alle durchgeführten Änderungen, allerdings nicht wer die Änderung durchgeführt hat.
DCI - Toms Admin Blog

Data Loss Prevention in Exchange 2016

Schreibe einen Kommentar

Verhinderung von Datenverlust ist ein Premium-Feature, für das eine Enterprise-Clientzugriffslizenz (Client Access License, CAL) erforderlich ist. Diese müssen Sie für Postfächer erwerben, welche diese Funktion nutzen wollen.

Mit den neuen Funktionen zur Verhinderung von Datenverlust können Sie verschiedene Kategorien vertraulicher Informationen festlegen. Beispiel dafür sind wichtige interne Daten wie Personalausweis- oder Kreditkartennummern. Sie können selbst Richtlinien und Transportregeln erstellen oder die vordefinierten DLP-Richtlinienvorlagen verwenden um zu verhindern, dass Anwender wichtige Informationen versenden. 

Sie müssen keine eigenen Regeln erstellen, sondern können vorgefertigte Regeln verwenden. Dazu bietet Exchange Vorlagen auf deren Basis Sie die Einrichtung starten. 

Sie können alle standardmäßig installierten DLP-Vorlagen anpassen oder ohne Änderung in Ihrer Organisation einsetzen. DLP-Richtlinienvorlagen verwenden vor allem Transportregeln (siehe Kapitel 4), die Bedingungen und Aktionen enthalten. Am schnellsten erstellen Sie eine DLP-Richtlinie im Exchange Admin Center:

Navigieren Sie im Exchange Admin Center zu „Verwaltung der Compliance/Verhinderung von Datenverlust“, und klicken Sie auf „Hinzufügen“. Wählen Sie anschließend  die gewünschte Vorlage aus, auf deren Basis die DLP-Richtlinie erstellt werden soll.