:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/8f/0f8f5b211d133aa3ef2ae32b274d1296/0129055352v2.jpeg "Model-Confusion-Angriffe können dazu führen, dass Entwickler unwissentlich schadhafte KI-Modelle installieren, was ernsthafte Sicherheitsrisiken zur Folge hat und die Integrität legitimer KI-Anwendungen gefährdet. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/48/a2/48a249f144445ea4b60d3e7a0032234f/0129122718v1.jpeg "Angreifer probierten wiederholt Schadsoftware auf einem Domain Controller zu platzieren, bis das EDR-System das Muster schließlich als harmlos einstufte. Fünf Stunden später begann die Verschlüsselung. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/9e/109e520d85957b9dd127a5725c28af41/0129123492v2.jpeg "Seit Mitte Januar 2026 konnte eine neue Welle automatisierter Angriffe auf Fortinet FortiGate-Geräte beobachtet werden. (Bild: © Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/f0/e9f01c33573649afdf8f5141269171f2/0128948431v1.jpeg "Chinesische Unternehmen wie Huawei und ZTE stehen vor dem Ausschluss aus kritischen Infrastrukturen der Europäischen Union. Chinesische Technologie soll künftig per EU-Regulierung aus Telekommunikationsnetzen und Solarenergiesystemen verbannt werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Ein Benutzer ist nicht immer gleich zu bewerten
Die Risiko-Orientierung spielt bei der Authentifizierung und Autorisierung in einem zunehmend komplexeren Umfeld eine immer wichtigere Rolle. Benutzerzugriffe sind von ihrem Risiko her eben nicht immer gleich zu bewerten:
- Wenn der gleiche Benutzer sich lokal an seinem Arbeitsplatzrechner innerhalb des Firmengebäudes mit Benutzername und Kennwort authentifiziert, ist das Risiko ein anderes als beim Zugriff vom iPad über ein offenes WLAN.
- Wenn ein Kunde sich mit seiner eID-Karte wie dem neuen Personalausweis anmeldet, ist das Risiko ein anderes als bei der Authentifizierung über Facebook.
Die Authentifizierungsverfahren selbst, der Standort, das verwendete Gerät, die Aktualität der Anti-Malware-Lösungen auf dem Gerät und andere Faktoren bestimmen, wie vertrauenswürdig eine Authentifizierung ist. Heute und zukünftig sollte also vom Kontext abhängig gemacht werden, ob jemand authentifiziert wird und für was er autorisiert wird.
Entscheidungsfindung auf verschiedenen Ebenen
Bei der Authentifizierung geht es zunächst um die Entscheidung, ob ein Zugriff überhaupt zugelassen werden soll. Im Rahmen der Autorisierung wird dann geklärt, was gemacht werden darf. So könnte man beispielsweise die Genehmigung von Bestellungen in einem ERP-System einschränken, aber Zugriffe auf weniger kritische Informationen weiterhin zulassen, auch wenn der Kontext ein höheres Risiko indiziert.
Solche kontext- und risiko-basierenden Verfahren für die Authentifizierung sind insbesondere im Banken-Umfeld, aber teilweise auch im eCommerce, schon seit längerem zu finden. Hier werden auch Informationen aus Fraud-Management-Systemen mit einbezogen. Sie können aber natürlich in allen Branchen genutzt werden.
Derartige Systeme ermöglichen es, eine Risiko-Bewertung abhängig vom Kontext vorzunehmen und damit eine differenzierte Authentifizierungsentscheidung und, in der Folge, auch differenzierte Autorisierungsentscheidungen zu treffen. Bei der Authentifizierung können beispielsweise auch ergänzende Authentifizierungsinformationen verlangt werden, wenn das Risiko als zu hoch erscheint.
Verschiedene Login-Mechanismen unterstützten
Risiko- und kontextbasierende Authentifizierungslösungen sollten idealerweise die „versatile“ Authentifizierung unterstützen – ein Begriff, der für die Fähigkeit steht, unterschiedliche Authentifizierungsmechanismen flexibel nutzen zu können und diese auch kombinieren zu können. Damit lassen sich dann unterschiedliche Verfahren für die mehr oder weniger starke Authentifizierung verwenden.
Richtig gemacht, kann dann ein Benutzer sowohl mit einem „social login“ als auch mit einer starken Zwei-Faktor-Authentifizierung zugreifen, wobei sich die Risikobewertung natürlich unterscheidet. Wenn eine Authentifizierung nicht für die gewünschte Aktivität ausreicht, kann eine „step-up“ Authentifizierung genutzt werden, also eine zusätzliche Authentifizierungsinformation angefordert werden.
Mit der Authentifizierung ist es allerdings noch nicht getan. Auch die Autorisierung sollte den Kontext mit einbeziehen. Das ist noch eine Herausforderung, da die meisten Autorisierungskonzepte auf statisch definierten Berechtigungsinformationen wie den ACLs (Access Control Lists, Zugriffskontrolllisten) basieren.
IT-Trends wie Cloud und BYOD mit einbeziehen
Hier muss der Schritt hin zu dynamischem Autorisierungsmanagement gemacht werden, also Verfahren, die beispielsweise auf dem Standard XACML (Extensible Access Control Markup Language) basieren und von meist als Policy Server oder Entitlement Server bezeichneten Produkten unterstützt werden. Diese Lösungen können zur Laufzeit unter Einbezug unterschiedlichster Informationen wie dem Kontext und den definierten Rollen eine Autorisierungsentscheidung treffen.
Statt also in viele Systeme Berechtigungen zu schreiben, diese aufwändig zu pflegen und trotzdem nur grobe Entscheidungen ohne Einbezug des Kontexts treffen zu können, werden zur Laufzeit zentrale Autorisierungssysteme gefragt, die basierend auf aktuellen Informationen und Regeln eine Entscheidung treffen. Das ist mit Blick auf das Management von Sicherheit und Risiken sinnvoll – und es funktioniert auch technisch.
Ein wesentlicher Vorteil dieser Lösungen, die auch verteilt arbeiten können, ist dabei, dass Herausforderungen für die Informationssicherheit wie das Cloud Computing, das Mobile Computing, das Social Computing und das Extended Enterprise damit adressiert werden. Risiko- und kontextbasierende Authentifizierung und Autorisierung ist ein, wenn nicht sogar der Kernbaustein für die Informationssicherheit der Zukunft.
Mehr dazu können Sie von Dienstag bis Freitag, 14. bis 17. Mai 2013, auf der EIC 2013 (European Identity and Cloud Conference) in München erfahren.
Über den Autor
Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.
(ID:39131830)
:quality(80)/p7i.vogel.de/wcms/a3/b0/a3b0754c88406cb433faaff959451fba/0123842415v2.jpeg "Access Management, zu Deutsch Zugriffsmanagement, ist Kerndisziplin des Identity and Access Management (IAM) und behandelt die Verwaltung und Kontrolle der Zugriffsberechtigungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a6/9c/a69c8f85791876250ede82e229bf8a0a/0122914415v2.jpeg "Conditional Access ist eine Methode zur Zugriffskontrolle mit bedingtem Zugriff der User auf Anwendungen und Daten. (Bild: gemeinfrei)")