Independent Competence Platform
for Integrated Security in Switzerland.

01.06.2022
by: Adrian Humbel - Director Schweiz & Österreich bei ForgeRock

Wie KI digitale Identitäten revolutioniert: Von personalisierten Benutzererfahrungen über automatisiertes Risk Management hin zu vielschichtigen Compliance-Anforderungen

Bild Adrian Humbel

Wo stehen wir in der Entwicklung der Künstlichen Intelligenz (KI) und wie wirkt sich dies auf digitale Identitäten aus?
In den vergangenen Jahren hat KI eine rasante Entwicklung genommen. Diese wird, gerade im Bereich des maschinellen Lernens (ML), durch massive Fortschritte sowohl bei den Algorithmen, als auch bei der zur Verfügung stehenden Rechenleistung und Netzwerkbandbreite vorangetrieben.

Davon profitiert zunehmend auch der Bereich der Digitalen Identitäten und des Identitätsmanagements. KI unterstützt die verantwortliche IT, bei Mitarbeitenden, Kunden oder Partner, Risiken zu identifizieren, Berechtigungen gezielter zu vergeben und die Anmeldung von Nutzern systematischer zu überprüfen. Indem man zielgenau erkennt, wo es sich um legitime Anmeldeversuche der Nutzer handelt und wo vielleicht eine missbräuchliche Nutzung vorliegt, verbessern sich gleichzeitig die Registrierungs- und Anmeldeprozesse von Kunden.

Die missbräuchliche Nutzung ist ein wichtiger Punkt. Es geht aber nicht nur um böswillige Akteure, die versuchen, sich Zugriff zu Daten und Dokumenten zu verschaffen, oder?
Genau. Es muss nicht gleich um missbräuchliche Nutzung gehen. Manchmal ist es einfach ein Problem, die schiere Menge an Berechtigungen als Organisation im Blick zu behalten. Denn inzwischen gehen Mitarbeitende ja mit sehr vielen verschiedenen Anwendungen um und wechseln auch regelmäßig ihr Aufgabengebiet innerhalb einer Organisation. Oder das Unternehmen nutzt Freelancer für einen begrenzten Zeitraum und muss sicherstellen, dass die erforderlichen Zugänge vorhanden sind und dann wieder entzogen werden. Die traditionelle rollenbasierte Zugriffskontrolle bzw. Role-Based Access Control (RBAC) beruht weitestgehend auf manuellem Role Mining und Modeling, welches periodisch wiederum manuell überprüft und angepasst werden muss. RBAC kann mit den enormen Mengen an Daten und Identitäten, mit denen Unternehmen heute konfrontiert sind, kaum mehr mithalten. Im Gegenteil: RBAC kann zu überhöhten Zugriffsrechten, verwaisten Konten und einer schleichenden Ausweitung von Berechtigungen führen. Jeder unberechtigte Zugriffspunkt ist eine Schwachstelle, die das Unternehmen für Berechtigungsfehler sowie Compliance-Risiken anfällig macht und schlimmstenfalls hohe Bußgelder nach sich ziehen kann.

Um diese Herausforderungen angemessen zu adressieren, können Unternehmen mittlerweile auf moderne Software-Tools zurückgreifen, die meist auf ML-Algorithmen basieren. ML-Algorithmen haben den Vorteil, dass diese jederzeit auch für Auditing-Zwecke nachvollziehbar sind. Dadurch lässt sich das bislang manuelle Rollenmanagement im Rahmen traditioneller RBAC-Systeme automatisieren und um intelligente Funktionen erweitern. Decision Support oder Automation wird ermöglicht. Dabei werden Identitätsdaten wie Attribute, Berechtigungen und Rollen mittels ML unternehmensweit erfasst, analysiert und modelliert. So lässt sich eine dynamische Übersicht über alle Berechtigungen innerhalb eines Unternehmens erstellen. Anhand der Übersicht wird dann für jede Person die richtige Berechtigungsstufe zum jeweiligen Zeitpunkt ermittelt. Aktualisiert wird die Übersicht, sobald es Veränderungen im Unternehmen gibt oder Mitarbeitende ihre Teams und Rollen wechseln. So entsteht Transparenz über Datenzugriffe im gesamten Konzern. Die unternehmensweit erfassten Daten dienen als Grundlage für die Erteilung und Kontrolle rollenbasierter Zugriffsrechte, sodass sich Access Management dadurch deutlich effizienter und präziser gestalten lässt.

Sie haben die rollenbasierte Zugriffskontrolle angesprochen. Was genau ist das Problem mit der älteren RBAC-Technologie, die noch nicht durch KI unterstützt wird?
Viele global agierende Unternehmen nutzen RBAC mit der Erwartung, dass es ihre Sicherheitsrisiken reduziert und gleichzeitig die betriebliche Effizienz und Compliance  verbessert. Die traditionelle RBAC-Technologie beruht jedoch auf einer manuellen Methodik zur Gestaltung der Rollen- und Berechtigungskonzepten. Die Schwäche dieser Methodik liegt in der schwerfälligen Verwaltung, der Abhängigkeit von manuellen Eingaben und der mangelnden Anpassungsfähigkeit an die durch die Digitalisierung noch zusätzlich verstärkte Dynamik in den Unternehmen. Mit RBAC-Tools fällt es Unternehmen schwer, festzustellen, ob die Zugriffsrechte, die die Benutzer haben, auch wirklich die richtigen sind und – was noch wichtiger ist – warum sie diese haben. Weiterhin integrieren diese Tools wenige Datenquellen, wie z. B. das Active Directory oder das Personalverwaltungssystem des Unternehmens. Die mangelnde Integration verhindert einen transparenten Überblick über die Zugriffsrechte. Infolgedessen entstehen viele kleine, über das Unternehmen verteilte Identitätssilos.

Viele Lösungen am Markt versprechen eine vollständige Automatisierung von Zugriffsanfragen und Zertifizierungen. Doch die Realität sieht anders aus: Da die internen Sicherheits- und Risikoteams wegen mangelhaften RBAC-Konzepten oder jährlichen Zertifizierungskampagnen überlastet sind, müssen sie letztendlich manuell Zugriffsanfragen genehmigen oder Zertifizierungen absegnen. Der Versuch, eine große Anzahl von Anfragen manuell zu bearbeiten, führt jedoch zu Fehlern und überhöhten Zugriffsrechten. Ein Recht wird meistens “dringend” angefragt, dann aber vom Benutzer bei Nichtgebrauch selten wieder gelöscht. Damit ist der ursprüngliche Zweck der rollenbasierten Zugriffskontrolle kaum mehr erfüllt.

Welche Tools können aus Ihrer Sicht hier Abhilfe schaffen?
Ich bin der Meinung, dass KI-basierte Automatisierung die einzige Möglichkeit ist, um Konzepte wie Least Privilege als Teil eines größeren Identity Governance-Programms durchzusetzen. In Kombination mit identitätsbasiertem Zugriffsmanagement können Unternehmen fundierte Entscheidungen treffen, die Sicherheit erhöhen und Kunden eine nahtlose Benutzererfahrung bieten.

Konkret bietet ForgeRock mit der Autonomous Identity-Lösung vollständige Transparenz über sämtliche Datenzugriffe im gesamten Unternehmen. Autonomous Identity betrachtet bestehende Rollen- oder Berechtigungszuweisungen aus einem anderen Blickwinkel als die konventionellen RBAC-Systeme. Die Lösung betrachtet zunächst die gesamte Identitätslandschaft. Diese unternehmensweiten Daten dienen als Grundlage für die Verwaltung von Zugriffen. Die Daten werden anschließend mittels maschinellem Lernen analysiert, um eine dynamische Übersicht über die Berechtigungen innerhalb des Unternehmens zu erstellen.

Autonomous Identity ermöglicht dadurch eine lückenlose Kontrolle des Zugriffs im Unternehmen. Das Ergebnis ist eine effizientere und genauere Zugriffsverwaltung. Für alle Personen, die Zugriffsrechte verwalten, ist dieses Tool ein echter Meilenstein. Anstatt Zugriffsanfragen blind zu genehmigen, können Unternehmen mit der Lösung anhand eines ‚Confidence Scores‘ die korrekten Zugriffsrechte jedes Mitarbeitenden ermitteln. Darüber hinaus liefert das Tool eine Begründung für den Confidence Score und gibt an, warum eine Person Zugriff auf ein Tool, eine App oder eine Plattform haben sollte oder eben warum nicht. Autonomous Identity dient somit als ‚Single Source of Truth‘, die den Prüfungsprozess beschleunigt und vereinfacht. Dank der KI-gestützten RBAC ist eine kontinuierliche Compliance möglich und System-Ausreißer lassen sich leichter identifizieren.

Außerdem hat ForgeRock erst kürzlich eine neue Lösung namens Autonomous Access vorgestellt. Diese nutzt KI, um identitätsbasierte Cyberangriffe und Betrug zu verhindern. Für jeden Login-Versuch werden mithilfe von Autonomous Access ganz flexibel maßgeschneiderte Zugriffswege auf Grundlage des jeweiligen Risikoniveaus entworfen. Bekannte Benutzer mit einem niedrigen Risikowert können sich beispielsweise mit vereinfachten Optionen wie der passwortlosen Authentifizierung einloggen. Benutzer, die ein unregelmäßiges Verhalten zeigen, weil sie sich zum Beispiel an einem für sie ungewöhnlichen Standort aufhalten oder ein bisher unbekanntes Gerät verwenden, müssen zusätzliche Authentifizierungsschritte im System durchlaufen. Anmeldeversuche mit einem hohen Risikowert können dann entweder komplett blockiert werden oder durchlaufen alternative Zugriffswege, in denen die Nutzer genauer durchleuchtet werden. Durch die neue Lösung können Verantwortliche etwaige Angriffe schneller erkennen und verhindern. Zudem können sie den Kundenzugang so verbessern, dass sich berechtigte Nutzer in der Onlinewelt noch müheloser bewegen können. Dank Autonomous Access ist ForgeRock zur branchenweit ersten umfassenden Plattform avanciert, die KI in den gesamten Identitätslebenszyklus integriert.
Weitere Informationen: forgerock.com


mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security Competences

Calendar Security Suisse

No events found.

Security-Finder Schweiz: Newsletter