fgnopporn - stock.adobe.com
Identitätsdaten: Betrugsbekämpfung und sichere Kundendaten
Es ist für Firmen eine Herausforderung, die Identitäten der Mitarbeiter und Kunden vor Missbrauch zu schützen. Es gilt Sicherheit und Kundenerfahrung unter einen Hut zu bringen.
Um sich den neuen Bedingungen anzupassen, haben viele Unternehmen in der Pandemie versucht, die Digitalisierung ihrer Geschäfts- und Wertschöpfungsprozesse weiter und vor allem schneller voranzutreiben und mussten gleichzeitig ihre Security-Maßnahmen anpassen, um mit der aktuellen Bedrohungslage Schritt halten zu können. Zudem erwarten Kunden eine qualitativ hochwertige Benutzererfahrung beim Datenzugriff und fordern Rechenschaft über den Schutz ihrer Privatsphäre. Denn angesichts der Datensammelwut der Dienstleister verlieren immer mehr Kunden das Vertrauen, sodass ein zuverlässiges Identitäts- und Zugriffsmanagement immer mehr an Bedeutung gewinnt.
Der Online-Handel boomt – und das nicht erst seit der Pandemie. Die Schattenseiten des Erfolgs: Händler rücken in den Fokus der Cyberkriminellen, die jede noch so kleine Lücke im System nutzen, um an sensible Kundendaten zu gelangen.
Die Identitäten der Mitarbeiter und Kunden vor unautorisiertem Zugriff und Missbrauch zu schützen, erweist sich zunehmend als Mammutaufgabe. Denn eines der größten Risiken für Unternehmen ist die Kompromittierung von Konten. Fake-Identitäten, Bonitäts- und Kreditkartenbetrug sind an der Tagesordnung. Dabei entwickeln sich die diversen Betrugsarten rasch weiter und die Anbieter tun sich schwer, mit einzelnen Abwehrstrategien Schritt zu halten und die Betrugsversuche zu erkennen.
Sichere Authentifizierung als Basis
Die Authentifizierung ist das entscheidende Element für die Sicherheit der Daten und die Betrugsbekämpfung. Darüber hinaus ist sie auch für die Einhaltung der Compliance-Anforderungen unverzichtbar. Doch das Identitätsmanagement kann noch mehr: Es ist eine Chance auf nachhaltige Kundenbindung und Vertrauen – und beeinflusst daher unmittelbar den Erfolg eines Unternehmens.
Um zu verhindern, dass sich Angreifer über das Aushebeln des Passwortschutzes und das Stehlen der Anmeldedaten einfach und schnell Zugang zum Netzwerk verschaffen, ist eine starke Authentifizierung alternativlos.
Auch die IDC-Studie Cybersecurity in Deutschland 2021 hält fest, dass Authentifizierungsprozesse sich in den vergangenen Jahren stark verändert haben und einfache Authentifizierung über eine Passwortabfrage oder zusätzliche Sicherheitsfragen keinen ausreichenden Schutz gegen moderne Angriffsmethoden wie Phishing oder Social Engineering bietet.
Das Fehlen von Multifaktor-Authentifizierung (MFA) schätzen laut der Umfrage 20 Prozent der Security-Verantwortlichen als Herausforderung beim Schutz und Management von Identitäten oder Zugriffen ein. Basis der Erhebung waren 200 Unternehmen in Deutschland mit mehr als 100 Mitarbeitern, die Fragen richteten sich an Entscheider im Bereich IT-Sicherheit.
Grundsätzlich setzt sich eine starke Authentifizierung aus folgenden Bausteinen zusammen: Single Sign-On (SSO), um die Anzahl der Passwörter auf eines zu reduzieren, Multifaktor-Authentifizierung (MFA), die neben dem Passwort eine zusätzliche Authentifizierungsmethode erfordert, und Risikosignalen, die im Hintergrund verwendet werden, um anomales Verhalten zu erkennen und anhand bestimmter Richtlinien den Zugang verweigern oder eine verstärkte Authentifizierung verlangen. Eine starke Authentifizierung ist auch die Voraussetzung für die Einführung der passwortlosen Authentifizierung, die für eine bessere Nutzererfahrung sorgt.
Keine Kompromisse bei der Sicherheit
Anbieter, die Millionen an Identitätsdaten ihrer Kunden speichern, stehen in der Pflicht, über adäquate Sicherheitsmaßnahmen Schwachstellen auszumerzen, um das Risiko von Datenverlust oder Unterbrechungen des Geschäftsbetriebs zu minimieren. Jedoch sollten solche Sicherheitsmaßnahmen die Kundenerfahrung nicht beeinträchtigen.
Um diesem Anspruch gerecht werden zu können, braucht es einen identitätszentrierten Ansatz. Zero Trust ist ein Konzept, das weniger auf der Perimeter-Sicherheit von Netzwerken basiert, sondern die Benutzeridentität und die sicheren Prozesse und Technologien in den Fokus stellt. Der erste Schritt hin zu Zero Trust ist also die „richtige“ Identität, da man nur dem vertrauen kann, was man auch identifizieren kann. Da schwache Zugangsdaten einer der Hauptgründe für Datenpannen sind, sollte die Authentifizierung von Zugriffen bestenfalls passwortlos erfolgen.
Single Sign-On und Multi-Faktor-Authentifizierung sind zentrale Funktionen, um das Schutzniveau zu heben. Hinzu kommt eine Risikobewertung auf Basis von Parametern, wie Standort oder Gerät. Je nach ermitteltem Risiko können weitere Authentifizierungsfaktoren, wie biometrische Merkmale oder Tokens, zum Einsatz kommen. Um ein Identity- und Access-Management (IAM) aufzubauen, müssen Anbieter zunächst festlegen, wer worauf zugreifen darf. Das Access-Management definiert, ob und wann Passwörter, weitere Faktoren oder Single Sign-On zum Einsatz kommen.
„Auf kurze Sicht ist die Multifaktor-Authentifizierung die einfachste und wichtigste Maßnahme, die Unternehmen zum Schutz ihrer Mitarbeiter und Kunden ergreifen können.“
Nicole Reichle, Ping Identity
Sicherheit versus Kundenerfahrung?
Nicht selten sind Kunden unzufrieden mit den Zugangs- und Authentifizierungsmethoden ihrer Anbieter. Benötigen die Nutzer verschiedene Anmeldedaten für ein und die gleiche Marke, kann dies die Kundenerfahrung beeinträchtigen, hohe Abbruchsraten erzeugen und zu riskantem Verhalten, wie der Wiederverwendung von Passwörtern, führen.
Ein reibungsloser Registrierungs- und Anmeldevorgang ist daher wichtig, um weder Kunden Sicherheitsrisiken auszusetzen noch selbst empfindliche Umsatzverluste in Kauf nehmen zu müssen. Die Multifaktor-Authentifizierung kann Kunden zwar schützen, jedoch unter Umständen die Kundenerfahrung beeinträchtigen.
Um das richtige Gleichgewicht zu finden, ist eine Personalisierung der Sicherheitsfunktionen nötig, das heißt eine Definition von Schwellenwerten mit spezifischen MFA-Anforderungen. So könnte bei risikoarmen Situationen und Transaktionen der Fokus auf der Benutzererfahrung liegen, indem es an den Kunden ist, die Modalität und Häufigkeit einer MFA-Anfrage einzustellen.
Viele Anbieter setzen daher heute schon auf CIAM-Plattformen (Customer-IAM), die Identitäts- und Profildaten sicher und zuverlässig speichern. Mit Funktionen wie Single Sign-On, Zugriffskontrolle, Multifaktor-Authentifizierung, fein abgestimmter Data Governance und einheitlichen Kundenprofilen ermöglichen CIAM-Lösungen eine optimale Sicherheit und Skalierbarkeit und zahlen so auf die Kundenloyalität ein.
Um die Kundenerfahrung und Sicherheit unter einen Hut zu bringen, sollte die CIAM-Lösung mehrere sichere Zweitfaktoren unterstützen, den Kunden erlauben, zwischen einer und mehreren bevorzugten MFA-Methoden zu wählen und den Sicherheits- und Risikomanagement-Teams ermöglichen, MFA-Anforderungen zentral zu definieren.
Fazit
Auf kurze Sicht ist die Multifaktor-Authentifizierung die einfachste und wichtigste Maßnahme, die Unternehmen zum Schutz ihrer Mitarbeiter und Kunden ergreifen können. Längerfristig ist es ratsam, auf Passwörter zu verzichten, um die schwächste Stelle in der Cybersicherheitskette – den menschlichen Faktor – auszuhebeln. Eine wichtige Rolle spielt auch die Einführung starker Autorisierungsrichtlinien, um den Zugriff für Angreifer, die sich über eine Schwachstelle Zutritt zum Netzwerk verschafft haben, zu begrenzen. Zusätzlich sollten Unternehmen dezentrale und persönliche Identitätsmechanismen implementieren, um Vertrauen bei den Kunden aufzubauen und deren Privatsphäre zu gewährleisten.
Über den Autor:
Nicole Reichle ist Senior Account Executive bei Ping Identity.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
