Nun auch von IDC: Sicherheitsanforderungen in der Digitalen Welt steigen schneller als Digital Universe

Kürzlich wurde die aktuelle IDC Studie „The Digital Universe in 2020“ veröffentlicht. Diese gehört zu einer Serie von Studien über die Entwicklung der digitalen Welt, die seit 2007 einmal pro Jahr erscheinen. Ich habe die Studien der letzten Jahre mit Interesse gelesen und der Schwerpunkt lag in dem Erfassen und der Verwalten der immensen Datenmengen, wobei im wesentlichen die technischen Herausforderungen und die Kostenaspekte diskutiert wurden. Auch in diesem Jahr werden hierzu sehr interessante Zahlen genannt: so schätzt IDC, dass die Kosten um ein Gigabyte digitale Informationen zu betreiben von $2.00 auf $0.20 bis 2020 sinken werden.

In der nun vorliegenden Studie, kommen zu den eher technischen Betrachtungen zwei wesentliche Aspekte hinzu, die wie ich meine, eng zusammengehören: Wert und Sicherheit. Die Fragestellung lautet, wie kann man einen Nutzen aus dem Digitalen Universum erwirtschaften, beziehungsweise wie kann man den Wert von den Daten beziffern? Und folgerichtig ergibt sich dann auch die Notwendigkeit, sich um den Schutz der Informationen Gedanken zu machen. Die Vergangenheit und die Gegenwart zeigen sehr deutlich: wo es Werte in der digitalen Welt gibt, gibt es auch massiven Missbrauch und Betrug. Die dunkle Seite der Macht geht mit sehr viel Sachverstand, mit innovativen Ansätzen, schier unbegrenzten Ressourcen und hoher Entschlossenheit sehr erfolgreich zu Werke.

Die gute Nachricht ist, dass laut IDC Stand heute nur ein verschwindend geringer Anteil des digitalen Universums mit analytischen Methoden nach Werthaltigkeit untersucht wird. Dies soll sich bis 2020 auf bis zu 33 Prozent steigern. Bis dahin müssen wir allerdings bei der Sicherheit auch noch nachlegen. Denn in der aktuellen Studie wird auch sehr schön dargelegt, dass der „schützenswerte“ Anteil des Digitalen Universums stärker wächst als der Anstieg der Datenmengen und dass bei dem Schutz der Daten heute noch erhebliche Defizite vorhanden sind.

Die Herausforderung aus Sicht von Sicherheit und auch Compliance besteht einmal in den geringen Kosten, die für das Betreiben der Datenmengen angenommen wird, aber auch in dem Verschwinden der bisher üblichen IT-Grenzen (Perimeter). Herkömmliche Sicherheitsansätze werden diese Anforderungen nicht erfüllen können. Hier brauchen wir moderne Methoden die darauf abzielen, den Nutzer eindeutig zu identifizieren, klar regeln können, wer auf welche Informationen zugreifen darf um schlussendlich möglichen Missbrauch zu erkennen. Wir bei RSA bieten mit unserem „Intelligence driven“ Security Ansatz einen ersten Schritt in diese Richtung, das ich kurz an dem Beispiel der Adaptiven Authentisierung erläutern möchte.

Bei dem Verfahren der Adaptiven Authentifizierung wird unbemerkt von dem Nutzer im Hintergrund eine Risikobewertung durchgeführt. Hierzu werden verschiedene Faktoren zusammengeführt: Zunächst wird aus dem zugreifenden Endgerät ein Fingerprint erfasst. Das sind bis zu 270 unterschiedliche charakteristische Informationen, wie etwa Software-Version, Patch level, Browser Informationen und Einstellungen. Somit ist das Endgerät sehr gut charakterisiert und wird als Faktor in einer Multi-Faktor Authentisierung angesehen. Neben den Geräteinformationen werden bei der Risikobewertung noch Standort und nutzertypische Informationen ermittelt. Schlussendlich werden diese zusammengefassten Informationen mit einer Datenbank abgeglichen, die Informationen zu den aktuellen Gefährdungssituationen und bekannten Fraud Aktivitäten beinhaltet. Als Ergebnis einer solchen Bewertung ergibt sich ein Risiko-Score, der als Entscheidungshilfe für das weitere Vorgehen dient: Zugang gewähren, Step-up Authentifizierung anfordern oder Zugang ablehnen. Dieses Verfahren wird im Bankenbereich schon lange eingesetzt und wird sich auch als Ergänzung zu den heutigen Authentifizierungsmethoden in allen Bereichen durchsetzen.

Dieses eben beschriebene Verfahren dient als Beispiel wie man ohne großen organisatorischen Aufwand und ohne den Nutzer einzuschränken eine starke Authentisierung durchsetzen kann. Weitere risikobasierte oder adaptive Methoden an denen heute gearbeitet wird, beschäftigen sich mit der Analyse des Nutzerverhaltens um nicht nur den Zugang zu überwachen, sondern auch Abweichungen des „normalen“ Verhalten zu erkennen, die auf unberechtigten Zugang zu den Daten schließen lassen.