Zur Zukunft des Identitätsmanagements: Identity Threat Detection and Response und dezentrales Identitätsmanagement

In den meisten Unternehmen werden Identitätsdaten nach wie vor zentral gespeichert, verwaltet und verarbeitet. Dieser Ansatz führt in aller Regel zu drei Problemen. Die zentrale Lagerung erhöht das Angriffsrisiko und Schadenspotential der Daten – und schränkt die Bereitwilligkeit ihrer Besitzer ein, Unternehmen, um Online-Betrug vorzubeugen, höherwertige Identitätsdaten zur Verfügung zu stellen. Seit kurzem stehen Unternehmen nun zwei neue Ansätze zur Verfügung, mit denen sich alle drei Problemfelder erfolgreich eindämmen lassen. Die Rede ist von Identity Threat Detection and Response- und dezentralen Identitätsmanagementlösungen.

Nach wie vor konzentriert sich ein Großteil der Angriffe von Cyberkriminellen auf die in den Systemen ihrer Opfer gespeicherten, verwalteten und verarbeiteten digitalen Identitäten. In aller Regel lagern die Identitätsdaten von Mitarbeitern, Partnern, Zulieferern und Kunden zentral in den Systemen eines Unternehmens oder seines Identity Providers. Das ist ein echtes Problem. Denn mit der Anzahl der an einem Ort lagernden Daten steigt für Cyberkriminelle auch die Lukrativität – und damit Attraktivität – eines Angriffs auf diesen Speicherplatz. Ist ein Cyberangriff auf einen solchen Ort erfolgreich, werden meist tausende und abertausende digitale Identitäten auf einmal eingesehen, gestohlen, kompromittiert und in der Folge für eine Reihe weiterer Angriffe nutzbar gemacht. 80 Prozent aller Sicherheitsverletzungen, so der kürzlich erschienene 2023 Data Breach Investigations Report von Verizon, lassen sich auf kompromittierte Anmeldedaten zurückführen.

Risiko Konto-Kompromittierung

Haben sich die Angreifer erst einmal in den Besitz der Identitätsdaten gebracht, können sie sich unbemerkt in die IT-Systeme und Online-Plattformen von Unternehmen einwählen und dort umsehen, Daten einsehen, manipulieren oder entwenden oder auch im Namen eines kompromittierten Nutzers die Autorisierung – zum Beispiel zu einem Einkauf – erteilen. Zu den Haupteinfallstoren der Cyberkriminellen zählen Registrierungsformulare, Anmeldeformulare, Formulare zur Kontowiederherstellung und zur Passwortrücksetzung. Häufig erfolgen die Angriffe in Wellen, werden, um die Erfolgschancen eines Angriffs zu erhöhen, Bots eingesetzt, mit denen sich Großteile des Angriffsprozesses automatisieren lassen.

Zentrale Identitäten schützen – Identity Threat Detection and Response (ITDR)

Eine Möglichkeit, das Risiko des Missbrauchs von Nutzerdaten zu minimieren, besteht in der Absicherung der IT-Systeme mit einer Identity Threat Detection and Response (ITDR)-Lösung. ITDR ermöglicht die Identifizierung und Minimierung von und adäquate Reaktion auf identitätsbasierte Bedrohungslagen, wie kompromittierte Nutzerkonten, kompromittierte Passwörter, kompromittierte Daten und anderweitige betrügerische Aktivitäten. Hierzu werden potenzielle Angriffsvektoren überwacht, analysiert und ausgewertet, Risikobewertungen erstellt und Unternehmen Hinweise geliefert, wie sie identitätsbasierte Angriffe besser blockieren und ihre Authentifizierungsprozesse nutzerfreundlicher gestalten können. Netzwerk-, Geräte- und Verhaltenssignale werden kontinuierlich überwacht und analysiert, jeder nicht-menschliche Versuch – also Bot-Versuch – sich anzumelden, ein Nutzerkonto neu zu registrieren oder zu ändern, frühzeitig erkannt und gemeldet. Ermöglicht wird dies durch Machine Learning-Verfahren. Nutzer- und Entitätsverhaltensweisen werden in Echtzeit überwacht und analysiert. Das vom ‚normalen‘ Verhalten eines Nutzers oder einer Entität abweichende Verhalten wird dann als ‚anormal‘ klassifiziert und entsprechende Schritte eingeleitet. Bots, Emulatoren, Brute Force-Angriffe, Credential Stuffing, Gerätemanipulationen, Passwort-Spraying und viele andere Ansätze, mit denen Cyberkriminelle bestehende Konten kompromittieren oder neue Konten anlegen, um Betrug zu begehen, können so erfolgreich abgewehrt werden. Haben Angreifer sich in den Besitz von Zugangsdaten gebracht, können sie dann mit ihnen nicht mehr allzuviel anfangen. Sie werden entdeckt und blockiert, bevor sie im System ihr Unwesen treiben und Schaden anrichten können.

Risiko – Identitätsbetrug

Häufig bestehen die digitalen Identitäten, die von Unternehmen gespeichert werden, aus nicht-verifizierten Daten. Nutzer geben sie einfach ein. Name, Anschrift, Alter, oder auch Telefonnummer, werden vom Unternehmen ungeprüft übernommen. Cyberkriminelle lädt diese Vorgehensweise zum Identitätsbetrug ein. Sie geben falsche oder kompromittierte Daten ein und unberechtigt Bestellungen auf. Jährlich entstehen Unternehmen so erhebliche Schäden – weltweit. Um das Risiko solcher Betrugsfälle zu minimieren, verlangten viele Unternehmen von ihren Kunden mittlerweile verifizierbare Identitätsdaten, die durch eine verifizierende Drittpartei, wie eine Behörde oder eine Bildungseinrichtung, bestätigt werden können. Beispielsweise nach der Kopie eines Führerscheins oder eines Ausweises. Viele Nutzer sehen darin ein Problem – bislang. Denn gesammelt, gespeichert und verarbeitet werden diese Daten – derzeit noch – zentral in den Systemen eines Identity-Providers oder Unternehmens. Nach der Anmeldung haben die Kunden auf sie in aller Regel keine direkte Einwirkungsmöglichkeit mehr. Zur Aktualisierung ihrer digitalen Identität müssen sie mit der Identitätsquelle ihres Identitäts- oder Service-Anbieters kooperieren, wenn es um Datensicherheit und Datenschutz geht, diesen sogar vollumfänglich vertrauen. Viele schrecken dann, aus Angst vor einem Kontrollverlust über ihre verifizierte digitale Identität, davor zurück, die Dienste des Unternehmens in Anspruch zu nehmen.

Dezentrales Identitätsmanagement

Hier kommt der neue Ansatz der dezentralen Identität ins Spiel. Bei einer dezentralen Identitätsmanagementlösung erfolgt die Speicherung und Verwaltung der verifizierten Identitätsdaten in einer verschlüsselten digitalen Wallet auf dem Smartphone des Nutzers. Hier kann er von einer verifizierenden Dritt-Partei, zum Beispiel einer Behörde oder einer Universität, eine digitale Bestätigung der bei ihr zu seiner Person lagernden Daten anfordern. Diese sendet die verifizierten Daten dann an die Wallet des anfragenden Nutzers und zusätzlich das Zertifikat zur Verifizierung sowie eine Referenz (ohne die aktuellen Daten) zur Prüfung der Gültigkeit in ein für das Unternehmen von außen zugängliches Register. Will der Nutzer nun auf den Service des Unternehmens zugreifen, stellt er eine Anfrage, worauf das Unternehmen alle zur Erbringung dieser speziellen Leistung relevanten Identitätsattribute abfragt. Im Fall einer Automobilanmietung zum Beispiel Alter und Führerschein. Auf Basis der in der Wallet vorhandenen verifizierten Identitätsdaten werden dann dezentrale Identifikatoren als Beweis zusammengestellt und digital signiert an das Unternehmen verschickt. Deren Echtheit kann das Unternehmen sich dann anhand des zuvor von der verifizierenden Drittpartei angelegten Registereintrags bestätigen lassen. Anschließend erhält der Nutzer vom Unternehmen ein Credential, das er in der Wallet und der Anbieter in seiner Identitätsquelle – ohne Personenbezug – abspeichert. Ab sofort wählt sich der Nutzer dann über das Credential beim Unternehmen ein – ohne dass dieser hierzu in irgendeiner Form personenbezogene oder personenbeziehbare Daten in seinen Systemen abspeichern muss. Die volle Kontrolle über die verifizierten Identitätsdaten liegt allein beim Nutzer und seiner Wallet. Er allein entscheidet, welche der dort lagernden Informationen er weitergeben möchte, kann sogar ein Ablaufdatum einfügen, oder seine Zustimmung zum Credential in Echtzeit wieder zurückziehen. Und da die Daten dezentral bei ihrem jeweiligen Besitzer lagern, wird ein Angriff für Cyberkriminelle weniger lukrativ. Sie müssen mindestens eben so viel Arbeit, Zeit und Geld wie bei einem Angriff auf eine zentral gelagerte Identität investieren. Ihre Beuteaussichten fallen jedoch deutlich bescheidener aus.

Fazit

Viele Unternehmen setzen nach wie vor auf eine zentrale Speicherung der bei ihnen lagernden digitalen Identitäten. Ein lukratives Angriffsziel für Cyberkriminelle. Nutzerdaten effektiver als bislang vor Diebstahl und Kompromittierungen abzusichern ist deshalb nötig und richtig – und mittlerweile auch möglich. Mittels IDTR lassen sich kompromittierte Nutzerkonten frühzeitig erkennen, mit einem dezentralen Identitätsmanagement das Risiko eines Angriffs auf Nutzerkonten drastisch reduzieren und die Qualität der Nutzeridentitätsdaten deutlich erhöhen. Weniger Identitätsdiebstahl, weniger Betrugsversuche, hierin liegt die Zukunft des Identitätsmanagements.

Autor: Mehmet Yaliman (Senior Solutions Architect, Ping Identity)