Risiko- und kontextbasierendes Zugriffsmanagement

Autorisierung als Teil der IAM-Strategie

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Im Idealfall kennt man bei der Authentifizierung zusätzlichen Kontext wie den Standort des Nutzers.
Im Idealfall kennt man bei der Authentifizierung zusätzlichen Kontext wie den Standort des Nutzers. (Bild: Archiv)

Eines der heißesten Themen auf der European Identity und Cloud Conference 2013 war das risiko- und kontextbasierende Zugriffsmanagement. Manche Hersteller sprechen auch von „adaptiver Authentifizierung“ – obwohl es mittlerweile um mehr geht, als die reine Identitätsprüfung.

Martin Kuppinger: „Risiko- und kontextbasierende Zugriffsmanagement ist ein zentrales Element jeder IAM-Strategie.“
Martin Kuppinger: „Risiko- und kontextbasierende Zugriffsmanagement ist ein zentrales Element jeder IAM-Strategie.“ (Bild: KuppingerCole)

Wenn wir vom Zugriffsmanagement (oder „access control“) sprechen, betrachten wir nicht nur die Authentifizierung, sondern auch die Autorisierung. Außerdem sind die bei der adaptiven Authentifizierung verwendeten Kontextfaktoren häufig etwas eingeschränkt, es geht vor allem um die Erkennung möglicher Betrugsfälle im Online-Banking und eCommerce.

Grundsätzlich geht es darum, von „schwarz/weiß“-Entscheidungen wegzukommen und den Kontext von Zugriffen und die damit verbundenen Risiken mit einzubeziehen. Der Standardfall beim Zugriffsmanagement ist heute, dass jemand, der einen Benutzernamen und das dazu passende Kennwort kennt, zugreifen darf.

Dabei spielt es keine Rolle, welches Gerät der Nutzer verwendet, wo er sich befindet, ob er über ein sicheres VPN oder ein öffentliches WLAN zugreift, ob sein Gerät die aktuelle Version der Anti-Malware enthält, ob die IP-Adresse noch im gleichen Land ist wie fünf Minuten zuvor (und nicht plötzlich in China), und so weiter. Alle diese Faktoren beeinflussen aber das Risiko.

Das risiko- und kontextbasierenden Zugriffsmanagement zielt darauf ab, bei der Entscheidung über die Authentifizierung und Autorisierung eine Balance zu wahren; nämlich die zwischen dem Risiko, das sich aus dem Kontext ergibt, und der Sensitivität der Systeme und Informationen, auf die zugegriffen wird.

Man betrachtet also die Balance zwischen dem Zugriffsrisiko und dem maximal akzeptablen Risiko für Systeme und Informationen. Dieses Gleichgewicht hängt vom Kontext ab. Es lässt sich verändern, indem beispielsweise zusätzliche Authentifizierungen oder die Verwendung einer sicheren Verbindung verlangt werden.

Alles im Gleichgewicht

Dabei wird aber eben nicht nur die Authentifizierung gesteuert, sondern auch die Autorisierung. Wenn sich die Balance verändert, kann man Benutzer oft dennoch authentifizieren. Sie dürfen aber nicht mehr auf alles zugreifen oder bestimmte Aktionen und Transaktionen nicht mehr ausführen.

So könnte man das Limit für die Genehmigung einer Bestellung bei weniger sicheren Zugriffsszenarien, beispielsweise von einem mobilen Endgerät aus, niedriger setzen als beim Zugriff vom Desktop-PC im Unternehmen aus. Erst wenn man die Autorisierung auch adaptiv gestaltet, in Abhängigkeit von Kontext und Risiken, macht das ganze Konzept wirklich Sinn.

Das Thema der Autorisierung hängt unmittelbar mit dem Dynamischen Autorisierungsmanagement zusammen. Anwendungen müssen dementsprechend dazu in der Lage sein, die Authentifizierung zur Laufzeit auf Basis zentral verwalteter Regeln durchzuführen – beispielsweise unter Nutzung des Standards XACML.

Der zweite Aspekt ist die Breite des Einsatzgebiets. Das risiko- und kontextbasierende Zugriffsmanagement ist nicht nur fürs Online-Banking oder eCommerce interessant und relevant. Es ist für alle Branchen und alle Unternehmen wichtig. Man kann damit eine wichtige und zentrale Schutzschicht („line of defense“) realisieren, mit der die kritischen und sensiblen Informationen und Systeme geschützt werden.

Ein entsprechend einheitlicher Ansatz, der Kontext und Risiken betrachtet, ist beispielsweise ein zentrales Element, um Zugriffe von mobilen Endgeräten aus steuern und kontrollieren zu können. Deshalb sollten Unternehmen heute analysieren, ob, wann und in welcher Form sie das risiko- und kontextbasierende Zugriffsmanagement umsetzen werden. Es ist ein zentrales Element jeder IAM-Strategie.

Über den Autor

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 40028140 / Zugangs- und Zutrittskontrolle)