2-5-2017  |  PROMOTION   Gedruckt am 29-05-2017 aus www.monitor.co.at/index.cfm/storyid/17238

Fachartikel - Eisenberg, Matrix42

Adaptive Access gehört die Zukunft

Warum sich der kontextbezogene Zugriff auf Systeme, Anwendungen und Daten durchsetzen wird.

Dirk Eisenberg, Vice President Research & Development bei Matrix42

Viele Unternehmen unterschätzen nach wie vor die Bedrohung durch Cyberkriminelle auch im Mobilbereich. An die Gefahr der Wirtschaftsspionage wird kaum ein Gedanke verschwendet. Und die Tatsache, dass fast jeder zweite Sicherheitsvorfall im Zusammenhang mit mobiler Technologie durch Anwender verursacht wird, ist erst recht noch nicht in den Köpfen der IT- und Unternehmensführung verankert. Herkömmliche Sicherheitsmaßnahmen greifen nicht mehr. Mit Adaptive Access setzt sich daher ein Konzept durch, das mehr Schutz für Systeme, Anwendungen und Daten bietet und auf das kein Unternehmen verzichten sollte.
 
Malware, Phishing und der sorglose Umgang der Anwender – das sind laut einer IDC-Studie vom Mai 2015 die größten Sicherheitsrisiken im Zusammenhang mit mobiler Technologie. Die befragten Unternehmen berichten im Durchschnitt von mehr als sechs Sicherheitsvorfällen in den vergangenen zwölf Monaten. Ca. 100 Milliarden Euro beträgt laut VDI der jährliche Schaden durch Wirtschaftsspionage in Deutschland. Die Gefahr ist real und mit ihr einher geht auch das Risiko von Kosten, von Imageproblemen und rechtlichen Konsequenzen bis hin zur Gefährdung bzw. Beeinträchtigung des wirtschaftlichen Bestandes eines betroffenen Unternehmens.  

Hohe Komplexität, hohe Risiken

In der modernen Arbeitswelt verfügen Mitarbeiter zumeist über mehrere mobile Endgeräte, mit denen sie jederzeit und von überall Zugriff auf Systeme, Anwendungen und Daten haben wollen, um ihre Arbeit möglichst flexibel und effizient erledigen zu können. Dieses Mehr an Produktivität bedeutet aber auch ein Mehr an Komplexität. Im Einsatz sind verschiedene Geräte mit unterschiedlichen Betriebssystemen und Browsern, mit denen eine Vielzahl von SaaS- und Web-Applikationen – zum Teil aus der Privatnutzung in die berufliche übernommen – genutzt werden. CYOD (Choose Your Own Device), BYOA (Bring Your Own App) sowie COPE (Corporate Payed Private Enabled) sind gelebter Alltag. Für die Zukunft ist mit einer Zunahme der Geräte und der Anwendungen zu rechnen. Genauso wie mit einer Zunahme der Risiken. Denn im Prinzip ist jedes mit dem Unternehmensnetzwerk verbundene, sich im Internet frei bewegende Gerät eine Gefahrenquelle für Fremdzugriffe, aber auch für die missbräuchliche Verwendung durch die Anwender, selbst wenn diese nicht in böser Absicht passiert. 

Alles hat seine Zeit und seinen Ort

Konkrete Beispiele für missbräuchlichen bzw. sorglosen Umgang mit dem Zugriff auf Netzwerke, Anwendungen und Daten gibt es viele. Daher sei zur Veranschaulichung hier nur eines exemplarisch angeführt: Ein Arzt hat im Krankenhaus, in dem er beschäftigt ist, Zugang zu den Gesundheitsdaten seiner Patienten. Greift er mit mobilem Endgerät von daheim aus zu oder noch schlimmer vom Wirtshaus nebenan, dann betritt er damit schon unsauberen Boden in Sachen Datenschutz. Auch, wenn er vielleicht nur am Abend und in bester Absicht ein wenig von seiner Arbeit erledigen will. Die Verantwortung, solch rechtlich als auch sicherheitstechnisch unsichere Zugriffe zu verhindern, liegt natürlich nicht beim Arzt, sondern bei den IT-Verantwortlichen seines Unternehmens. Und für diese ist die Gewährleistung der Sicherheit als auch des rechts- bzw. lizenzrechtskonformen Umgangs mit mobilen Geräten, Apps und Inhalten eine zunehmend große Herausforderung. Daher überrascht es nicht, dass 62 % der Unternehmen die Verbesserung der Mobile Security zu den drei wichtigsten Initiativen in den kommenden zwölf Monaten zählen.  

Keine komplizierten und keine Einzellösungen

Angesichts der Situation ist klar, dass die Ära des herkömmlichen Identity- und Access-Managements vorbei und die Epoche des Adaptive Access angebrochen ist. Viele Unternehmen haben zwar schon Zweifach- oder Multifaktor-Authentifizierungen eingeführt, aber das reicht nicht aus. Denn es geht nicht nur darum, die Identität des Anwenders zweifelsfrei sicherzustellen. Auch die Absicherung, dass zur richtigen Zeit, am richtigen Ort und auf die richtigen Systeme und Daten zugegriffen wird, ist notwendig. Richtig bedeutet in diesem Zusammenhang legitim - vom Unternehmen, der IT legitimiert. Und nicht zuletzt besteht die Herausforderung auch darin, den Anwendern trotz hoher Sicherheit die einfache Nutzung der Geräte, Netze, Anwendungen und Daten zu gewährleisten und Produktivitätseinbußen durch zu komplizierte Sicherheitslösungen zu verhindern. Einzellösungen jedenfalls bringen in diesem Zusammenhang nicht den gewünschten, nachhaltigen Erfolg und sie sind zudem unbeliebt. Umfassende Lösungen sind also gefragt.
 
Kontextbezogener Zugang zu Netzwerken, Anwendungen und Daten
Gartner hat bereits 2014 Adaptive Access Control als eine der 10 wichtigsten Security-Technologien hervorgehoben. Der Zugang kann damit kontextsensitiv kontrolliert werden. Überprüft werden mehrere Faktoren. Etwa auf welche Systeme, Anwendungen und Daten der Zugriff erfolgt und ob der zugreifende Anwender berechtigt ist, diesen auch vorzunehmen. Es wird kontrolliert, wo der Anwender sich zum Zeitpunkt des Zugriffs befindet und ob die zeitliche Komponente passt (wenn der Anwender z. B. normalerweise nur zu Bürozeiten Zugriff für die Erledigung seiner Aufgaben benötigt, wäre ein Zugriff in der Nacht verdächtig), ob das mobile Gerät ein vom Unternehmen verwaltetes, also Company-compliant und ob es frei von Schadsoftware ist, etc. Durch einen im Vorfeld genau definierten Kontext für jeden Anwender können Sicherheitssysteme so Abweichungen von der Norm rasch erkennen und reagieren – z. B., indem eine zusätzliche Authentifizierung gefordert oder auch der Zugriff verweigert wird. Das Adaptive Access Konzept, wie es etwa von Matrix42 mit MyWorkspace angeboten wird, wirkt nicht nur im Bereich von Apps, SaaS- und Web-Applikationen im Browser. Es gibt dem Unternehmen, respektive der IT, wieder die umfassende Hoheit über Geräte, Systeme, Anwendungen und Daten zurück. 

Kein Workspace Management ohne Adaptive Access

Diese Hoheit sollte die IT im Idealfall umfassend nutzen. Denn die mobilen Technologien sind Teil der gesamten IT-Landschaft eines Unternehmens bzw. Teil des gesamten Arbeitsplatzes bzw. Workspaces der Mitarbeiter. Die Sicherheit ist in allen Bereichen gefährdet, Kontrolle und Schutz in allen Bereichen notwendig. Daher ist ein Workspace Management ohne Adaptive Access unvollständig und nicht empfehlenswert. Denn, wie bereits gesagt: Die Gefahr ist real. Es stellt sich nicht die Frage, ob es das eigene Unternehmen treffen wird, sondern wann. Je umfassender der Schutz, desto geringer die negativen Auswirkungen.
 
Fachartikel von Dirk Eisenberg, Vice President Research & Development bei Matrix42