Ständige Authentifizierung in der Cyber-Welt

Sicherheit ist ein Kompromiss, ein Gleichgewicht zwischen Vertraulichkeit und Bequemlichkeit, zwischen Kontrolle und Effizienz. Es wäre sicherlich einfach, die Zugriffe auf ein IT-System zu beschränken, um die sensiblen Daten des Unternehmens zu schützen, aber es wäre unmöglich, daraus ein Tool an Produktivität und Wachstum zu machen, insbesondere zu einer Zeit, wo Offenheit und Zusammenarbeit als gesetzt angenommen werden. Gleichzeitig haben das strenge Beherrschen und die genaue Überwachung der sogenannten “Power User” eine enorme Wichtigkeit angesichts der neuen Fälle von Eindringen in Informationssysteme, deren Ursache Konten mit privilegiertem Zugriff waren.

Außerdem wird ein steigender Anteil der Zugriffe auf IT-Systeme von Unternehmen heute von mobilen Terminals (Smartphones, Tablets) aus durchgeführt oder von nicht beherrschten PCs (Dienstleister, technische Partner oder Vertriebsmitarbeiter…). Unter diesen Bedingungen impliziert das Zusammentreffen von Mobilität und Sicherheit, dass man zu zweit Probleme lösen muss, die man alleine nicht hätte [i].

Prinzipien und Grenzen der erstmaligen Authentifizierung

Das Grundprinzip der Sicherung der Zugriffe auf IT-Systeme [ii] ist einerseits, die Identität der Personen oder Applikationen zu definieren, die auf die Ressourcen des Unternehmens zugreifen, und andererseits diese Identität mit aussagekräftigen Daten gegenüberzustellen, die es ermöglichen zu überprüfen, dass diese Identität legitim und gültig ist. Der erste Teil dieser Prämisse wird durch Lösungen zur Identitätsverwaltung (#IAM) wie Avencis Hpliance verwirklicht. Was die zweite Phase betrifft, wird diese durch die Kontrolle der persönlichen Login-Daten geleistet, die ein Benutzer beim Öffnen einer Session auf seinem PC eingibt, und dann durch den Zugriff auf sekundäre Ressourcen, was eine zweite Authentifizierung erfordert, die im Allgemeinen anders ist als die erste. Der Benutzer verfügt also über verschiedene digitale Identitäten, die mit der Zeit variieren können, in Abhängigkeit der Rollen, die er oder sie im Unternehmen einnimmt. 

Die Mechanismen der Authentifizierung, die heutzutage eingesetzt werden, können sehr verschieden sein, auch wenn das Passwort die heute von der großen Mehrheit der Applikationen verwendete Methode ist. In der Tat haben seine Einfachheit, seine geringen Kosten zur Implementierung und dass es zur Gewohnheit der Benutzer geworden ist, das Passwort unumgänglich gemacht, trotz seiner Schwächen und Grenzen: Schwierigkeiten, es robust zu machen, hausgemachte Risiken der Aufdeckung oder des Teilens, exzessive Kosten der Verwaltung von Vergessen und Verlust etc. Die Multi-Faktor-Authentifizierung verbessert das Sicherheitsniveau, da andere Elemente verwendet werden, um die Echtheit der Identität der Benutzer zu überprüfen:

Die Authentifizierung auf Basis von Wissen: der Benutzer meldet sich mit einer Reihe an Antworten auf vom Benutzer vordefinierte oder ausgewählte Fragen an. Die Schwäche dieser Methode liegt darin, dass die Antworten leicht zu erraten sind, oft aufgrund der vom Nutzer in sozialen Netzwerken verbreiteten Informationen;

Die Authentifizierung auf Basis von Dingen, die der Benutzer besitzt: Chipkarte, USB-Stick, Handy. Die größten Hürden bei genereller Verwendung eines solchen Authentifizierungstyps sind die Anschaffungskosten und die Notwendigkeit, über eine passende Umgebung zu verfügen (zum Beispiel Kartenlesegerät). Die Authentifizierung auf Basis dynamischer Passwörter (OTP, One Time Passwords), die an ein Handy gesendet werden, ist Bestandteil dieser Kategorie; dennoch liegen die Schwächen hier im unterliegenden Protokoll für den SMS-Versand (SS7) und sorgen dafür, dass diese Lösung als nicht mehr sicher genug angesehen wird, um heute noch empfohlen zu werden; 

Die biometrische Authentifizierung kann verschiedene Formen wie Fingerabdruck, Sprach- oder Gesichts-/Iris-Erkennung annehmen. Diese Lösungen sind oft kostspielig, greifen ins Privatleben ein und sind grundsätzlich nicht abstreitbar, das heißt, beschädigte Minuzien können nicht widerrufen werden. 

Dennoch bleibt das Prinzip das gleiche, welcher Authentifizierungs-Mechanismus auch immer für die primäre oder sekundäre Authentifizierung eingesetzt wird, nämlich eine punktuelle und statische Überprüfung der Identität des Benutzers. Für einige sensible Aktionen oder Applikationen gibt es Mechanismen zur erneuten Authentifizierung, die vom Benutzer verlangen, seine Identität zu bestätigen (zweimaliges Eingeben des Passworts oder des PIN-Codes zum Beispiel), bevor diese Vorgänge ausgeführt werden. Auf jeden Fall zeigen die neuesten Informationen aus diesem Bereich, dass Identitätsmissbrauch, Passwortdiebstahl und sogar Umlenken von SMS ein neues Rekordhoch erreicht haben [iii]. Deswegen ist das Vertrauen, das man in diese Art an “klassischer” Authentifizierung setzen kann, von Natur aus begrenzt, trotz der punktuell durch aktuelle logische Zugangs-Kontrollsoftware erreichten Verbesserungen. 

Ständige Authentifizierung

Es ist daher notwendig, die Kriterien neu zu evaluieren, die es erlauben, die Authentizität der Identität des Benutzers zu bestimmen, und dies unabhängig von seinem Standort oder seiner geografischen Lage (im Unternehmen, unterwegs, …). Außerdem erfordert die Vielfalt der Benutzertypen (intern, extern, temporär), die Heterogenität dieser Bevölkerung zu organisieren, um sich den Herausforderungen zu stellen, die die Implementierung effizienter und sicherer digitaler Dienste darstellt. 

Außerdem wären die Bemühungen, das Vertrauensniveau zu messen, das die IT-Sicherheitsverantwortlichen den Benutzern zugestehen, quasi vergebens, wenn die gesamten Zugriffe nicht innerhalb einer globalen Lösung zusammengefasst wären: für jeden Benutzer müssen die Zugriffe von einem beliebigen PC innerhalb des Unternehmens, einem nicht beherrschten PC außerhalb des physischen Umkreises oder von einem mobilen Terminal auf homogene und gleichförmige Art und Weise verfolgt und kontrolliert werden.

Die Folge dieses Vorgehens ist, dass es ebenso unverzichtbar wird, neue Elemente zur Überprüfung und Kontrolle der Nutzer-Aktivitäten einzuführen, um das laufende Risikolevel besser einzuschätzen und nicht nur das Initial-Risiko bei erstmaliger Anmeldung. In der Tat kann ein Passwort prinzipiell gültig sein, aber in der Umgebung und in dem Kontext, in dem das Passwort präsentiert wird, ausreichend Grund sein, ihm nicht zu vertrauen. Zu diesem Zweck kann die Verwendung der Verhaltens-Biometrie die Aktivität eines Benutzers dynamisch charakterisieren und wichtige Elemente zur Legitimität derjenigen Person liefern, die bestimmte Aktionen innerhalb des IT-Systems vornehmen will: durch Speichern und Klassifizieren verschiedener Datenquellen wird es möglich, dynamisch den Vertrauensgrad zu messen, den man einem Benutzer zugesteht und als Folge daraus die auszuführenden Aktionen zu erlauben mit in extremen Fällen teilweiser oder vollständiger Blockierung der Nutzer-Session. Die Sammlung an Informationen über das Tippverhalten auf der Tastatur, die Bewegungen des Mauszeigers und die Geschwindigkeit der Klicks sind ebenso potenzielle Informationen für diese Bewertung. 

Multi-Faktor-Authentifizierung

Nichtsdestotrotz, wenn es sehr einfach ist, die Informationsquellen zu katalogisieren, bleibt doch das Verhalten des Benutzers zu modellieren und die Regeln zur Annahme oder Ablehnung einer Aktion in Abhängigkeit des üblichen Vertrauens-Levels zu definieren. Aber genau darin besteht der Kern des Problems, da diese Regeln von einer großen Anzahl Faktoren abhängen, die potenziell voneinander abhängig sind. In der Tat können die Datenquellen für einen Benutzer, der von seinem mobilen Terminal auf eine Ressource zugreift, reichhaltig sein, zum Beispiel: 

● biometrischer Zugriff (digitaler Fingerabdruck, Sprach- oder Gesichtserkennung, usw.); 

● Orientierung und Position des Mobilgeräts (Beschleunigungsmesser, Kompass); 

● genaue Geo-Koordination (GPS);

● IT-Umgebung (NFC, Bluetooth), Ton und Bild (Mikrofon, Kamera); 

● Dynamik der Berührungen des Touchscreens;

● Bewegungen des Wischens und Zoomens auf dem Display.

Zusätzlich, wenn das Mobilgerät ein Firmen-Gerät ist und wenn die Privatsphäre respektiert wird, kann der Zugriff auf die History der Peripherie-Geräte (Position, Anrufe…) eine zusätzliche, recht vertrauenswürdige Informationsquelle darstellen. 

Beispiel einer Folientastatur für thermische Eingabe

Im Gegenzug liefert ein traditioneller PC sehr viel weniger Informationen, da die Mehrheit der vorigen Elemente abhängig von der Ausstattung des PC ist: tatsächlich besitzen wenige PCs standardmäßig eine Kamera, einen Beschleunigungsmesser, Bluetooth. Für diese Zugangspunkte sind die verfügbaren Daten daher begrenzter und die Charakterisierung des Verhaltens eines Benutzers besteht hauptsächlich aus: 

● den Zeitpunkten der An- und Abmeldung;

● der Position des PC im Netzwerk (IP-Adresse);

● dem Tippverhalten auf der Tastatur;

● der Nutzung und den Bewegungen des Mauszeigers;

● den Zugriffsmethoden auf Applikation des PCs (durch Tastatur-Shortcuts, auf der Kommandozeile, über Icons…);

● den Netzwerk-Aktivitäten.

Diese gesamten Elemente ermöglichen es, über eine ausreichend große Anzahl an Parametern zu verfügen, die, wenn sie vorhanden und zugänglich sind, sich in sechs grobe Kategorien unterteilen lassen:

● Was der Benutzer weiß: Passwort, PIN-Code, Fragen/Antworten… 

● Was der Benutzer ist: Fingerabdruck, Sprach- oder Gesichts-Erkennung…

● Was der Benutzer besitzt: Chipkarte, Code-Generator zur einmaligen Verwendung, RFID-Karte… 

● Was der Benutzer macht und auf welche Weise: Dynamik der Dateneingabe, Zugriffskinematik, Netzwerk-Aktivitäten, Reihenfolge der Applikationsstarts… 

● Wo der Benutzer sich befindet: genaue oder grobe Geo-Koordinaten, Nähe zu bekannten Funkanlagen…

● Wann die Aktionen des Benutzers durchgeführt werden: Zeitpunkt, Häufigkeit. 

Jede dieser Quellen kann allein betrachtet keine zuverlässige Quelle darstellen, aber die Gesamtheit dieser Daten bildet, auf passende Weise zusammengefasst, die digitale Unterschrift des Benutzers und bestimmt dynamisch dessen Risiko-Level und damit das Vertrauen, das ihm entgegengebracht wird, und somit letztlich die Aktionen, die er ausführen darf. Überdies können einige Daten temporär “außergewöhnlich” sein: zum Beispiel wenn der Benutzer einen sicheren Tunnel verwendet, um sich an seinem Unternehmen anzumelden, kann seine IP-Adresse als sehr entfernt von seiner tatsächlichen Position erscheinen (Messung der Geo-Geschwindigkeit) und sollte das System nicht zu Fehlern verleiten. 

Automatisiertes Lernen im Dienste der ständigen Authentifizierung 

Die ständige Authentifizierung eines Benutzers beruht also auf der Modellierung seines Verhaltens, welches auf den Spuren basiert, die er bei seinen Aktivitäten im IT-System hinterlässt. Dennoch machen die Komplexität und die Heterogenität der vorher genannten Datenquellen die vollständige Definition der gesamten Regeln schwierig, ja sogar unmöglich, mit denen das Ziel eines akzeptablen Vertrauens-Levels erreicht werden könnte. Außerdem sorgt der variable Kontext dafür, dass diese Regeln, falls sie existieren, die verschiedenen Zugriffsarten, die ein Benutzer zur Erfüllung seiner Aufgaben verwenden könnte, berücksichtigt werden müssen, insbesondere für einen Administrator, der auf heterogenen PCs arbeiten muss. Im Gegenzug ist es dank kontrolliertem, automatisiertem Lernen (Machine Learning) möglich, einen Algorithmus zu trainieren, die stichhaltigen Modelle der gesamten gesammelten Daten zu extrahieren, und in Abhängigkeit des Kontexts das allgemeine Vertrauens-Level des Benutzers zu bestimmen, dessen Verhalten gerade überwacht wird. 

Das Training des Modells ermöglicht es, das Verhalten des Benutzers zu kartografieren, in Abhängigkeit vom Kontext der Arbeit und von seinen Gewohnheiten bei der Ausführung seiner für gewöhnlich anfallenden Aufgaben. Ausgehend von der Analyse der verfügbaren Spuren wird ein Fingerabdruck berechnet, der die digitale Identität der Person auf die gleiche Weise bestimmt, wie die DNA ein Individuum identifiziert, mit dem Unterschied, dass die biologische DNA sich nicht mit der Zeit verändert. Im Fall der ständigen Authentifizierung wird dieser Fingerabdruck wahrscheinlich variieren, entweder weil der Arbeits-Kontext sich weiterentwickelt (neue Versionen der Applikationen oder der Betriebssysteme), oder weil das Verhalten des Benutzers sich mit der Zeit verändert. Konjunkturelle Gründe (Krankheit, Müdigkeit) verlängern die Reaktionszeit, während andere sie verkürzen, zum Beispiel wenn der Benutzer neue Shortcuts entdeckt, um auf bestimmte Funktionen zuzugreifen (Strg-Shift-Esc für den Task Manager unter Windows). 

In echten Situationen bestimmen die Sicherheitsverantwortlichen für jede Art der Nutzung, welche Grenzwerte gelten sollen, oberhalb derer das Risiko als symptomatisch für ein anormales Verhalten gilt, und sie entscheiden über die geeigneten Aktionen, die auf automatische oder manuelle Weise angewendet werden: es kann sich darum handeln, eine erneute Authentifizierung vom Benutzer zu erfordern, wenn das kalkulierte Risiko gering ist, oder radikalere Aktionen auszuführen wie das Schließen der Session in anderen Fällen. 

Einigkeit macht stark

Die Begrenzungen von Lösungen für erstmalige Authentifizierung sind heute gut bekannt. Ohne deren Vorteile in Frage zu stellen, kann sie durch ständige Authentifizierung per Analyse des Benutzer-Verhaltens an den Ein- und Ausgabegeräten des PCs ergänzt werden und die Grenzen überwinden, indem gleichzeitig die IT-Sicherheit und der Komfort für die Nutzer verbessert werden. Tatsächlich, solange das Vertrauenslevel ausreichend ist, ist die Analyse der Aktivitäten lautlos und transparent: der Benutzer wird in seiner Aufgabe nicht durch unangebrachte Unterbrechungen gestört, die mit der Überprüfung seiner Identität zusammenhängen. Im Gegenzug, wenn der Vertrauensindex sinkt, aus welchem Grund auch immer, ermöglicht die ständige Authentifizierung, schneller und effizienter auf eine potenzielle Bedrohung zu reagieren, bevor sie konkret wird.

Die operative Implementierung der ständigen Authentifizierung ist eine technische Herausforderung aufgrund der Heterogenität der Datenquellen, der Verschiedenheit der Parameter und der Seltenheit der Information. Deshalb sind integrierte Lösungen zur Zugriffsverwaltung wie IPDiva Safe von Systancia unersetzbare Tools, um das Thema Authentifizierung der Benutzer zu behandeln, insbesondere für die privilegierten Konten, da dies Plattformen sind, die in der Lage sind, alle Zugriffe auf Ressourcen des Unternehmens zusammenzuführen und zu zentralisieren und so alle Mittel zu liefern, die schwach ausgeprägten, aber grundlegenden Anzeichen für eine Bedrohung des Unternehmens zu entdecken.

Autor: Frédéric Pierre – Wissenschaftlicher Direktor 

[i] Das ist scheinbar auch die Definition der Ehe oder Lebenspartnerschaft… 

[ii] Die Verwaltung der Ermächtigungen, die Bestandteil der Identitätsverwaltung ist, wird hier nicht betrachtet. 

[iii] Nach letztem Stand (Dezember 2017): Aufdeckung von 1,4 Milliarden Login-Daten.