Ständige Authentifizierung in der Cyber-Welt Sicherheit ist ein Kompromiss, ein Gleichgewicht zwischen Vertraulichkeit und Bequemlichkeit, zwischen Kontrolle und Effizienz. Es wäre sicherlich einfach, die Zugriffe auf ein IT-System zu beschränken, um die sensiblen Daten des Unternehmens zu schützen, aber es wäre unmöglich, daraus ein Tool an Produktivität und Wachstum zu machen, insbesondere zu einer Zeit, wo Offenheit und Zusammenarbeit als gesetzt angenommen werden. Gleichzeitig haben das strenge Beherrschen und die genaue Überwachung der sogenannten „Power User” eine enorme Wichtigkeit angesichts der neuen Fälle von Eindringen in Informationssysteme, deren Ursache Konten mit privilegiertem Zugriff waren. Außerdem wird ein steigender Anteil der Zugriffe auf IT-Systeme von Unternehmen heute von mobilen Terminals (Smartphones, Tablets) oder von nicht beherrschten PCs (Dienstleister, technische Partner oder Vertriebsmitarbeiter…) aus durchgeführt. Unter diesen Bedingungen impliziert das Zusammentreffen von Mobilität und Sicherheit, dass man zu zweit Probleme lösen muss, die man alleine nicht hätte [i]. Prinzipien und Grenzen der erstmaligen Authentifizierung Das Grundprinzip der Sicherung der Zugriffe auf IT-Systeme [ii] ist einerseits, die Identität der Personen oder Applikationen zu definieren, die auf die Ressourcen des Unternehmens zugreifen, und andererseits diese Identität aussagekräftigen Daten gegenüberzustellen, die es ermöglichen zu überprüfen, dass diese Identität legitim und gültig ist. Der erste Teil dieser Prämisse wird durch Lösungen zur Identitätsverwaltung (IAM) wie Systancia Identity (ehemals Avencis Hpliance) verwirklicht. Die zweite Phase wird durch die Kontrolle der persönlichen Login-Daten geleistet, die ein Benutzer beim Öffnen einer Session auf seinem PC eingibt, und dann durch den Zugriff auf sekundäre Ressourcen über eine zweite Authentifizierung, die im Allgemeinen anders ist als die erste. Der Benutzer verfügt also über verschiedene digitale Identitäten, die mit der Zeit variieren können, in Abhängigkeit von den Rollen, die er oder sie im Unternehmen einnimmt. Die Mechanismen der Authentifizierung, die heutzutage eingesetzt werden, können sehr verschieden sein, auch wenn Passwörter heute von der großen Mehrheit der Applikationen verwendet werden. Ihre Einfachheit, geringen Kosten zur Implementierung und Verbreitung und Annahme unter Benutzern haben Passwörter unumgänglich gemacht, trotz aller damit verbundenen Schwächen und Grenzen: Schwierigkeiten, sie zuverlässig zu machen, hohe Kosten für die Verwaltung von Vergessen und Verlust etc. Die Multi-Faktor-Authentifizierung verbessert das Sicherheitsniveau, da andere Elemente verwendet werden, um die Authentizität der Identität der Benutzer zu überprüfen: Die Authentifizierung auf Basis von Wissen: der Benutzer meldet sich mit einer Reihe an Antworten auf vom Benutzer vordefinierte oder ausgewählte Fragen an. Die Schwäche dieser Methode liegt darin, dass die Antworten oft durch in sozialen Netzwerken verbreiteten Informationen leicht zu erraten sind;Die Authentifizierung auf Basis von Dingen, die der Benutzer besitzt: Chipkarte, USB-Stick, Handy. Die größten Hürden bei genereller Verwendung eines solchen Authentifizierungstyps sind die Anschaffungskosten und die Notwendigkeit, über eine passende Umgebung zu verfügen (zum Beispiel ein Kartenlesegerät). Die Authentifizierung auf Basis dynamischer Passwörter (OTP, One Time Passwords), die an ein Handy gesendet werden, ist Bestandteil dieser Kategorie; dennoch liegen die Schwächen hier im unterliegenden Protokoll für den SMS-Versand (SS7), die dafür und sorgen, dass diese Lösung als nicht mehr sicher genug angesehen wird, um heute noch empfohlen zu werden;Die biometrische Authentifizierung kann verschiedene Formen wie Fingerabdruck, Sprach- oder Gesichts-/Iris-Erkennung annehmen. Diese Lösungen sind oft kostspielig, greifen ins Privatleben ein und sind grundsätzlich nicht anfechtbar, das heißt, beschädigte Minuzien können nicht widerrufen werden. Dennoch bleibt das Prinzip das gleiche, welcher Authentifizierungs-Mechanismus auch immer für die primäre oder sekundäre Authentifizierung eingesetzt wird, nämlich eine punktuelle und statische Überprüfung der Identität des Benutzers. Für einige sensible Aktionen oder Applikationen gibt es Mechanismen zur erneuten Authentifizierung, die vom Benutzer verlangen, seine Identität zu bestätigen (zweimaliges Eingeben des Passworts oder des PIN-Codes zum Beispiel), bevor diese Vorgänge ausgeführt werden. Auf jeden Fall zeigen die neuesten Informationen aus diesem Bereich, dass Identitätsmissbrauch, Passwortdiebstahl und sogar Umlenken von SMS ein neues Rekordhoch erreicht haben [iii]. Deswegen ist das Vertrauen, das man in diese Art an “klassischer” Authentifizierung setzen kann, von Natur aus begrenzt, trotz der punktuell durch aktuelle logische Zugangs-Kontrollsoftware erreichten Verbesserungen. Ständige Authentifizierung Es ist daher notwendig, die Kriterien neu zu evaluieren, die es erlauben, die Authentizität der Identität des Benutzers zu bestimmen, und dies unabhängig von seinem Standort oder seiner geografischen Lage (im Unternehmen, unterwegs, …). Außerdem erfordert die Vielfalt der Benutzertypen (intern, extern, temporär), die Heterogenität dieser Bevölkerung zu organisieren, um sich den Herausforderungen zu stellen, die die Implementierung effizienter und sicherer digitaler Dienste darstellt. Außerdem wären die Bemühungen, das Vertrauensniveau zu messen, das die IT-Sicherheitsverantwortlichen den Benutzern zugestehen, quasi vergebens, wenn die gesamten Zugriffe nicht innerhalb einer globalen Lösung zusammengefasst wären: für jeden Benutzer müssen die Zugriffe von einem beliebigen PC innerhalb des Unternehmens, einem nicht beherrschten PC außerhalb des physischen Umkreises oder von einem mobilen Terminal auf homogene und gleichförmige Art und Weise verfolgt und kontrolliert werden. Die Folge dieses Vorgehens ist, dass es ebenso unverzichtbar wird, neue Elemente zur Überprüfung und Kontrolle der Nutzer-Aktivitäten einzuführen, um das laufende Risikolevel besser einzuschätzen und nicht nur das Initial-Risiko bei erstmaliger Anmeldung. So kann ein Passwort prinzipiell gültig sein, aber die Umgebung und der Kontext, in dem das Passwort präsentiert wird, ausreichend Grund sein, ihm nicht zu vertrauen. Zu diesem Zweck kann die Verwendung der Verhaltens-Biometrie die Aktivität eines Benutzers dynamisch charakterisieren und wichtige Elemente zur Legitimität derjenigen Person liefern, die bestimmte Aktionen innerhalb des IT-Systems vornehmen will: durch Speichern und Klassifizieren verschiedener Datenquellen wird es möglich, dynamisch den Vertrauensgrad zu messen, den man einem Benutzer zugesteht, und als Folge daraus die auszuführenden Aktionen zu erlauben – mit in extremen Fällen teilweiser oder vollständiger Blockierung der Nutzer-Session. Die Sammlung von Informationen über das Tippverhalten auf der Tastatur, die Bewegungen des Mauszeigers und die Geschwindigkeit der Klicks sind ebenso potenzielle Informationen für diese Bewertung. Multi-Faktor-Authentifizierung Während es jedoch relativ einfach ist, die Informationsquellen zu katalogisieren, fehlt es noch an der Modellierung des Verhaltens der Benutzer und der Definition der Regeln für die Annahme oder Ablehnung einer Aktion entsprechend dem aktuellen Vertrauensniveau. Aber genau darin besteht der Kern des Problems, da diese Regeln von einer großen Anzahl Faktoren abhängen, die potenziell voneinander abhängig sind. In der Tat können die Datenquellen für einen Benutzer, der von seinem mobilen Terminal auf eine Ressource zugreift, sehr umfangreich sein, zum Beispiel: biometrischer Zugriff (digitaler Fingerabdruck, Sprach- oder Gesichtserkennung, …);Orientierung und Position des Mobilgeräts (Beschleunigungsmesser, Kompass);genaue Geo-Koordination (GPS);IT-Umgebung (NFC, Bluetooth), Ton und Bild (Mikrofon, Kamera);Dynamik der Berührungen des Touchscreens;Tast- und Zoom-Bewegungen auf dem Display. Wenn es sich bei dem Mobiltelefon um ein professionelles Gerät handelt und die Privatsphäre gewährleistet ist, kann der Zugriff auf die Historie des Geräts (Position, Anrufe usw.) eine recht zuverlässige zusätzliche Informationsquelle darstellen. Beispiel für eine Tastatur-Eingabe-Heatmap Im Gegenzug liefert ein traditioneller PC sehr viel weniger Informationen, da die Mehrheit der vorigen Elemente abhängig von der Ausstattung des PC ist: Nur wenige PCs besitzen standardmäßig eine Kamera, einen Beschleunigungsmesser, Bluetooth, … Für diese Zugangspunkte sind die verfügbaren Daten daher begrenzter und die Charakterisierung des Verhaltens eines Benutzers besteht hauptsächlich aus: den Zeitpunkten der An- und Abmeldung;der Position des PC im Netzwerk (IP-Adresse);dem Tippverhalten auf der Tastatur;der Nutzung und den Bewegungen des Mauszeigers;den Zugriffsmethoden auf Applikation des PCs (durch Tastatur-Shortcuts, auf der Kommandozeile, über Icons…);den Netzwerk-Aktivitäten. Diese gesamten Elemente ermöglichen es, über eine ausreichend große Anzahl an Parametern zu verfügen, die, wenn sie vorhanden und zugänglich sind, sich in sechs grobe Kategorien unterteilen lassen: Was der Benutzer weiß: Passwort, PIN-Code, Fragen/Antworten,…Was der Benutzer ist: Fingerabdruck, Sprach- oder Gesichts-Erkennung,…Was der Benutzer besitzt: Chipkarte, Code-Generator zur einmaligen Verwendung, RFID-Karte,…Was der Benutzer macht und auf welche Weise: Dynamik der Dateneingabe, Zugriffskinematik, Netzwerk-Aktivitäten, Reihenfolge der Applikationsstarts,…Wo der Benutzer sich befindet: genaue oder grobe Geo-Koordinaten, Nähe zu bekannten Funkanlagen,…Wann die Aktionen des Benutzers durchgeführt werden: Zeitpunkt, Häufigkeit. Jede dieser Quellen kann allein betrachtet keine zuverlässige Quelle darstellen, aber die Gesamtheit dieser Daten bildet, auf passende Weise zusammengefasst, die digitale Unterschrift des Benutzers und bestimmt dynamisch dessen Risiko-Level und damit das Vertrauen, das ihm entgegengebracht wird, und somit letztlich die Aktionen, die er ausführen darf. Überdies können einige Daten temporär „außergewöhnlich” sein: Wenn der Benutzer z. B. einen sicheren SSH-Tunnel verwendet, um sich mit dem Unternehmen zu verbinden, kann seine IP-Adresse scheinbar weit von seinem tatsächlichen geografischen Standort entfernt sein (Geo-Velocity-Messung). Das sollte das Bewertungssystem nicht in die Irre führen. Automatisiertes Lernen für die ständige Authentifizierung Die ständige Authentifizierung eines Benutzers beruht also auf der Modellierung seines Verhaltens, welches auf den Spuren basiert, die er bei seinen Aktivitäten im IT-System hinterlässt. Dennoch machen die Komplexität und die Heterogenität der vorher genannten Datenquellen die vollständige Definition der gesamten Regeln schwierig, ja sogar unmöglich, mit denen das Ziel eines akzeptablen Vertrauens-Levels erreicht werden könnte. Außerdem sorgt der variable Kontext dafür, dass diese Regeln, sofern sie bereits existieren, die verschiedenen Zugriffsarten, die ein Benutzer zur Erfüllung seiner Aufgaben verwenden könnte, berücksichtigt müssen. Das gilt insbesondere für einen Administrator, der auf heterogenen PCs arbeiten muss. Im Gegenzug ist es dank kontrolliertem, automatisiertem Lernen (Machine Learning) möglich, einen Algorithmus zu trainieren, die stichhaltigen Modelle der gesamten gesammelten Daten zu extrahieren, und in Abhängigkeit des Kontexts das allgemeine Vertrauens-Level des Benutzers zu bestimmen, dessen Verhalten gerade überwacht wird. Das Training des Modells ermöglicht es, das Verhalten des Benutzers zu kartografieren, in Abhängigkeit vom Kontext der Arbeit und von seinen Gewohnheiten bei der Ausführung seiner für gewöhnlich anfallenden Aufgaben. Ausgehend von der Analyse der verfügbaren Spuren wird ein Fingerabdruck berechnet, der die digitale Identität der Person auf die gleiche Weise bestimmt, wie die DNA ein Individuum identifiziert, mit dem Unterschied, dass die biologische DNA sich nicht mit der Zeit verändert. Im Fall der ständigen Authentifizierung wird dieser Fingerabdruck wahrscheinlich variieren – entweder weil der Arbeits-Kontext sich weiterentwickelt (neue Versionen der Applikationen oder der Betriebssysteme), oder weil das Verhalten des Benutzers sich mit der Zeit verändert. Vorübergehende Gründe (Krankheit, Müdigkeit) verlängern die Reaktionszeit, während andere sie verkürzen, zum Beispiel wenn der Benutzer neue Shortcuts entdeckt, um auf bestimmte Funktionen zuzugreifen (z.B. Ctrl-Shift-Esc für den Task Manager unter Windows). In realen Situationen bestimmen die Sicherheitsverantwortlichen für jede Art der Nutzung, welche Grenzwerte gelten sollen, außerhalb derer das Risiko als ein Zeichen für ein anormales Verhalten gilt, und sie entscheiden über die geeigneten Aktionen, die auf automatische oder manuelle Weise angewendet werden: Es kann sich darum handeln, eine erneute Authentifizierung vom Benutzer zu erfordern, wenn das kalkulierte Risiko gering ist, oder radikalere Aktionen auszuführen, wie das Schließen der Session. Einigkeit macht stark Die Begrenzungen von Lösungen für erstmalige Authentifizierung sind heute gut bekannt. Ohne deren Vorteile in Frage zu stellen, kann sie durch ständige Authentifizierung per Analyse des Benutzer-Verhaltens an den Ein- und Ausgabegeräten des PCs ergänzt werden und die Grenzen überwinden, indem gleichzeitig die IT-Sicherheit und der Nutzerkomfort verbessert werden. Solange das Vertrauenslevel ausreichend ist, ist die Analyse der Aktivitäten lautlos und transparent: Der Benutzer wird in seiner Aufgabe nicht durch unangebrachte Unterbrechungen gestört, die mit der Überprüfung seiner Identität zusammenhängen. Im Gegenzug, wenn der Vertrauensindex aus welchem Grund auch immer sinkt, ermöglicht die ständige Authentifizierung, schneller und effizienter auf eine potenzielle Bedrohung zu reagieren, bevor sie konkret wird. Die operative Implementierung der ständigen Authentifizierung ist eine technische Herausforderung aufgrund der Heterogenität der Datenquellen, der Verschiedenheit der Parameter und der Seltenheit der Information. Deshalb sind integrierte Lösungen zur Zugriffsverwaltung wie Systancia Cleanroom von Systancia unersetzbare Tools, um das Thema Authentifizierung der Benutzer zu behandeln. Dies gilt insbesondere für die privilegierten Konten, da dies Plattformen sind, die in der Lage sind, alle Zugriffe auf Ressourcen des Unternehmens zusammenzuführen und zu zentralisieren und so alle Mittel zu liefern, die schwach ausgeprägten, aber grundlegenden Anzeichen für eine Bedrohung des Unternehmens zu entdecken. __________________________ [i] Das ist scheinbar auch die Definition der Ehe oder Lebenspartnerschaft… [ii] Die Verwaltung der Ermächtigungen, die Bestandteil der Identitätsverwaltung ist, wird hier nicht betrachtet. [iii] Nach letztem Stand (Dezember 2017): Aufdeckung von 1,4 Milliarden Login-Daten.