In den letzten Jahren hat insbesondere im Banken-Umfeld der Ansatz der risiko-basierenden Authentifizierung an Gewicht gewonnen. Das Ziel ist es, potenzielle Angriffe zu erkennen und eine Authentifizierung in diesen Fällen zu vermeiden. Typischerweise werden dabei Informationen von Lösungen für die Fraud Detection bei der Authentifizierung verwendet.
Ein anderer Trend ist die Konvergenz zwischen physischen und logischen Zugangskontrollsystemen, wie sie beispielsweise von Imprivata im Rahmen der Single Sign-On-Lösung vorangetrieben wird. Auch hier geht es um einen Kontext des Benutzers, in diesem Fall eben den Ort, an dem er sich befindet.
Wenn man dieses Thema weiter treibt, dann gibt es auf der Seite des Benutzers als Kontext aber auch die Identität, in der er agiert – also beispielsweise das Handeln als Privatperson oder Mitarbeiter. Es gibt das Gerät, das er nutzt und den Ort, an dem er dieses Gerät nutzt. Es gibt die Stärke der Authentifizierung und viele andere Faktoren.
Auf der anderen Seite stehen die Systeme, auf die zugegriffen wird. Innerhalb einer Anwendung kann es sehr unterschiedliche Dinge geben, die man tun darf – je nach Kontext. Dabei geht es um die Abwägung von Risiken. Wie groß dürfen geschäftliche Transaktionen von einem Mobiltelefon mit schwacher Authentifizierung sein, wie groß von einem internen Arbeitsplatzrechner mit Zwei-Faktor-Authentifizierung und zusätzlicher Verknüpfung der Authentifizierung mit dem physischen Zugangskontrollsystem?
Und wie kontrolliert man das? Wie stark muss man auch einbeziehen, in welchem Kontext Aktionen ausgeführt wurden?
Diese Fragestellungen führen zu dem Feld der kontext-basierenden Authentifizierung und Autorisierung, einem Thema, das im entsprechende Track der European Identity Conference 2008 unter der Leitung von Dave Kearns aus verschiedenen Blickwinkeln betrachtet wird.
Wir von KCP halten die Weiterentwicklung dieses Themas für ausgesprochen wichtig http://blogs.kuppingercole.de/kuppinger/. Der heute häufigste, relativ undifferenzierte Ansatz der Authentifizierung ohne Berücksichtigung des Kontexts oder allenfalls mit ergänzenden Maßnahmen für VPN-Zugriffe reicht nicht aus, um die wachsenden GRC-Anforderungen und die vielen ungelösten Probleme in diesem Bereich – der Fall der Societe Generale hat es gezeigt – ausreichend zu adressieren.
Wir sehen hier mehrere wichtige Bereiche der Weiterentwicklung:
- Authentifizierungssysteme, die in flexibler, modularer Weise unterschiedliche Informationen über den Kontext in ihre Entscheidungen einbeziehen können und bei einer Authentifizierung eine standardisierte Risikobewertung mitliefern.
- Anwendungen, die solche Informationen bei ihren Autorisierungsentscheidungen berücksichtigen.
- Ein benutzerorientiertes Identitätsmanagement, das es einfach ermöglicht, entsprechende Informationen über den Kontext flexibel mit zu liefern – also die Frage zu beantworten, in welchem Kontext der Benutzer sich selbst sieht.
- Auditing-Ansätze, die das mit berücksichtigen.
Für Unternehmen spielt dieses Thema sowohl im Bereich des eCommerce als auch des Schutzes von geistigem Eigentum und anderen sensitiven Informationen eine wichtige Rolle, aber auch für die Einhaltung von Compliance-Regularien, beispielsweise bezüglich des Zugriffs auf Finanzinformationen.
Wir sind davon überzeugt, dass man bei einer konsequenten Umsetzung der Konzepte mit einem überschaubaren Aufwand viele der Herausforderungen, die sich heute für die IT stellen, besser und einfacher wird lösen können. Mehr dazu auf der European Identity Conference.