"Starke Authentisierung": Schonfrist definitiv vorbei

Wenn Vertreter der IT-Security-Branche vermehrt Sicherheit anmahnen, könnte man das als Laie unter Umständen noch im Bereich Eigeninteresse ansiedeln. Doch wenn sich die Meldungen in den Medien über die Sicherheit im Internet - insbesondere beim E-Banking und bei E-Shops - häufen, das öffentlich Bewusstsein erwacht und sich sogar die Rechtsprechung vermehrt dem Thema annimmt, weiß man: Jetzt geht's ans Eingemachte.

Die Kadenz der Meldungen und das Ausmaß der Bedrohung haben allein schon in den letzen Monaten spürbar zugenommen. Metaphern bieten sich geradezu an. Manche behaupten, das Internet als Kontakt-, Informations- und Shoppingparadies bekomme immer mehr den Charakter eines Dschungels. Im Gegensatz zu real existierenden Urwäldern, wo Raubtiere immer mehr unter Druck geraten, haben reißende Tiere in der freien Internet-Wildbahn ganz offensichtlich ihre "ökologischen Nischen" gefunden. Es wimmelt von Phishing-Hyänen und Malware-Schlangen.

Oder man bemüht das Vokabular der Kriegskunst. Auf Angriff folgt Verteidigung. Und auf eine erfolgreiche Verteidigung folgt ein neuer, andersartiger Angriff. Diese auch auf dem "Internet-Schlachtfeld" zu beobachtende Dynamik, erinnert an einen Begriff aus dem kalten Krieg, den wir eigentlich alle gerne nur noch in Werken zur Zeitgeschichte lesen würden: das Wettrüsten.

Doch wohlgemerkt: Es geht nicht um Panikmache, sondern einfach darum, den Tatsachen ins Auge zu schauen und praxisorientierte Vorbeuge- und Abwehrmaßnahmen zu entwickeln. Denn es gibt wirksame Instrumente. Entsprechendes Gewicht erhält der vielschichtige Bereich "Identity and Access Management" (IAM). Die grundlegende Mission des IAM ist, einen kontrollierten Zugriff auf Informationsressourcen und Anwendungen zu ermöglichen.

Wahrnehmung in Österreich verstärkt

IAM bzw. Identity Management wird ebenfalls in einer eben erschienenen, vom Austrian Security Forum (ASF) initiierten Studie zum IT-Security-Markt Österreich als eines der drei wichtigsten Themen der Zukunft aufgeführt. Als Initiative mit Breitenwirkung darf auch die "Internetoffensive Österreich" nicht ungenannt bleiben, insbesondere der Arbeitskreis "Sicherheit und Konsumentenschutz".

Ohne Zweifel werden die Ausgaben für IT-Sicherheit im Allgemeinen und für Maßnahmen gegen Phishing, d.h. E-Mail-Security und Malware im Speziellen in den nächsten Jahren signifikant zunehmen. Allein für 2009 rechnet die erwähnte Studie mit einem Wachstum des IT-Security Marktvolumens in Österreich von 16%.

Die springende Frage für die Entscheider: In welche Technologien bzw. Lösungen soll investiert werden? Oder anders gefragt: Welche Systeme genügen, und wohin geht die Entwicklung?

Online-Banking stark gefordert

Es gibt wohl kaum eine Branche, in der diese brennenden Fragen intensiver diskutiert werden als im Finanzbereich, besonders beim Online-Banking. Der Druck kommt von allen Seiten: Berichte über Identitätsdiebstahl (Phishing) oder kriminelle Umleitung von Überweisungen (z. B. mittels Trojaner) verunsichern generell die Kundschaft und fügen betroffenen Banken erheblichen Imageschaden zu - ganz zu schweigen von konkreten rechtlichen Forderungen (vermutlich ist die Dunkelziffer bei den Schadenssummen hoch). Ferner müssen Banken unter dem Stichwort "Compliance" immer mehr und immer strengeren nationalen, europäischen und internationalen Normen genügen.

Da sich das Online-Banking in der Bevölkerung zur gängigen Praxis entwickelt hat, sind die Banken gefordert, Lösungen anzubieten, die sich breit anwenden lassen. Auch hier geht es ums Abwägen - wie eigentlich immer in der IT-Security. Die Systeme haben einfach einsetzbar und bezahlbar zu sein und ein angemessenes Maß an Sicherheit zu bieten. Es können also keine Maximallösungen sein, die zu teuer sind oder die Geschäftsprozesse bzw. den Kundenkomfort behindern. Integraler Bestandteil aller Lösungen ist der Themenkomplex "Authentisierung" oder "starke Authentisierung".