Continuous Adaptive Trust bringt nötige FlexibilitätZugriffskontrolle als Start der Security-Reise
27. Juni 2023Klassische Zugangskontrolle reicht im Online-Business nicht mehr aus. Erst das Continuous Adaptive Trust (CAT)-Konzept schafft die Flexibilität, die Unternehmen heute benötigen: entweder, um die IT-Sicherheit zu erhöhen oder um die User Experience zu verbessern.
Vertrauen und Sicherheit sind das A und O für Erfolg im Online-Business. Das gilt besonders im Finanzbereich. Passwörter sind ein wichtiges Element jeder IT-Sicherheitsinfrastruktur. Doch ein Passwort allein ist längst nicht sicher genug.
Die schlechte Nachricht: Auch Multifaktor-Authentifizierung (MFA) reicht nicht mehr aus. Denn moderne Hacker-Methoden greifen erst dann, wenn die MFA-Hürde erfolgreich überwunden ist.
Einmalige Zugriffsberechtigung ist zu wenig
Die risikobasierte Authentifizierung ist eine erste Antwort darauf. Anhand von Signalen wie IP-Adressbereich oder Zugriffsort beurteilt sie Authentifizierungsversuche. Das Problem: Auch die risikobasierte Authentifizierung greift nur während des Log-ins. Sie schützt nicht vor Attacken während einer laufenden Online-Session.
Wie vor einer Man-in-the-Middle-Attacke, bei der sich Hacker unbemerkt in die Kommunikation zwischen Partnern einschleichen. Hier kommt CAT, wie Gartner das Prinzip nennt, ins Spiel, es analysiert das Risiko kontinuierlich während einer laufenden Session.
Kontinuierliche Überprüfung des Vertrauensniveaus
Die erste Authentifizierung im Log-in-Prozess ist vergleichbar mit der Fahrprüfung: Wer ein Auto lenkt, braucht einen Führerausweis. Menschen über 75 Jahre müssen sich alle zwei Jahre einer medizinischen Untersuchung unterziehen: Das ist eine risikobasierte Authentifizierung. Doch damit der Verkehr im Alltag sicher ist, braucht es kontinuierliche Maßnahmen wie Geschwindigkeitskontrollen.
Bei Online-Zugängen übernimmt CAT diese Rolle. Ändert sich der Browser oder die IP-Adresse? Variieren Mausbewegungen oder Tastatureingaben? Ist das beim Log-in erteilte Vertrauen immer noch gerechtfertigt? Mithilfe von künstlicher Intelligenz und Risikosensoren wie Safety-Gateways sucht CAT nach Anomalien im User-Verhalten. Und zwar vom ersten Log-in bis zum Ende einer User-Session.
Sicherheit und User Experience im Einklang
Mehr Sicherheitsmaßnahmen bedeuten oft weniger Benutzerfreundlichkeit. Komplizierte Registrierungsprozesse schrecken ab, ständige Authentifizierungen stören die User Journey. CAT bringt Benutzerfreundlichkeit und Sicherheit in Einklang.
Nur wenn eine User-Aktivität verdächtig erscheint, ist eine erneute Authentifizierung nötig. Ansonsten merken User nichts von der laufenden Überprüfung.
Cyber-Angriffe abwehren
Cyber-Kriminelle müssen bei CAT gleichzeitig alle Risikosensoren täuschen, deshalb lassen sich viele Angriffe verhindern. Besonders relevant ist das beim beliebten (und bequemen!) Single Sign-on: User authentisieren sich damit bei unterstützten Online-Zugängen einmal und greifen damit auf verschiedene Konten zu. Ihre Identität und die entsprechenden Rechte sind dauerhaft bestätigt.
CAT hingegen prüft immer wieder, ob das Vertrauen in die User noch angemessen ist. So ergänzt es auch das Zero-Trust-Modell perfekt: Hier kontrolliert jeder Service direkt an seinen Schnittstellen, ob ein Zugriff erlaubt ist. Während Zero Trust mit vielen kleinen Trutzburgen einen Verteidigungswall schafft, sorgt CAT für kontinuierliche Kontrollen im Innern.
In der technischen Umsetzung erfordert CAT die Integration verschiedener Komponenten. Es braucht Web-Applications und API-Protection (WAAP), um Risikosignale zu messen. Die Anpassung des Vertrauensniveaus realisiert ein Identitäts- und Zugriffsmanagement. Da diese Komponenten selten vom selben Anbieter stammen, ist die Umsetzung aufwendiger.
Wichtig ist darum ein Provider, der die Signale aller Teilsysteme zusammenführt und auswertet: ein Managed Security Service wie den Airlock Secure Access Hub. Vom Implementieren bis zum Anpassen von Policies erhalten Unternehmen damit auch Unterstützung bei der Einführung von CAT.
Michael Doujak ist Product Manager und Marc Bütikofer Head of Innovation Security Solutions bei Airlock.