Adnovum will Security mit Behaviour Analytics etablieren

Perimeter-Sicherheit muss durch Verhaltensanalysen ergänzt werden, sagt Adnovum und erläutert, was dies bedeutet und was möglich ist.
 
Adnovum hat einen eigenen Security Hype Cycle. Dieser verortet Attacken-Typen, von den neuartigen Software-Supplier-Attacken bis hin zu "traditionellen" Botnets auf einer grafischen Kurve. "Identitätsdiebstahl" siedelt das Unternehmen aktuell auf dem Peak eines Hypes an. Nichtsdestotrotz werden Angriffe auf die digitale Identität früher oder später zu Hack-Standards werden, ist die Zürcher Software-Firma überzeugt.
 
In der Tat werden in diesen Tagen definierende Aspekte eines Menschen attackiert, der sich digital identifizieren will: die biometrische Authentisierungen. Fingerabdruck-Scans wurden schon geknackt, und möglicherweise Apples neue Face-ID auch.
 
Neue Bedrohung gleich neue Business-Chancen für die Security-Industrie, sagt sich Adnovum und lädt zu einem Hintergrundgespräch, wie man als Nevis-Anbieter die Sicherheit künftig gewährleisten will.
 
"Die Zeit der reinen Perimeter-Security ist vorbei", glaubt Tom Sprenger, Adnovum-CTO; wenn es um IAM-Lösungen geht sowieso. Klassische IAM-Konzepte mit Logins, Passwörtern, differenzierten Rollen und Rechten genügen nicht mehr. Auch Zweifaktor-Authentisierung beispielsweise mit einem SMS kann nicht mehr als sicher gelten: "Per SMS versandte Zugangscodes können abgegriffen werden, ebenso wie Username und Passwort im E-Banking via Browser", sagt Stephan Schweizer, CPO Nevis.
 
"Verhalten wird Teil der digitalen Identität"
Darum bietet Adnovum als neuestes Nevis-Modul auch Behaviour Analytics. "Der Kontext und das Verhalten des Nutzers werden Teil der digitalen Identität und definieren den Sicherheitsperimeter", sagt CTO Sprenger.
 
Es gibt inzwischen einen grossen Markt von unterschiedlichen Anbietern, ob on premise oder Cloudlösungen, manche werben mit forensischen Audits, andere mit psycholinguistischen Analysen, die dritten mit spezifischen Ransomware-Detection und -Prevention-Features. Adnovum verwendet in ihren Produkten unter anderem Keystroke- und Touchanalysis (Analyse der Tastatur- und Touchscreen-Bedienung) und arbeitet dafür mit der schwedischen Firma BehavioSec zusammen.
 
Diese setzt sich seit 2006 mit Verhaltensanalyse auseinander und es seien neun Jahre Entwicklung unter Leitung eines Mathematikers in die Lösung geflossen, so Stephan Schweizer.
 
"Unser Algorithmus kann einen User basierend darauf identifizieren, wie er selbst mit seinem Device interagiert", sagt BehavioSec selbst. Ein Demo-Video der Schweden wirbt damit, das System könne einen User mit einem Login nach zehn Interaktionen im E-Banking identifizieren.
 
Neben bekannten Faktoren wie Username und Passwort sowie Informationen wie Device, Browser, IP-Adresse oder typischen Zugriffszeiten, die ebenfalls Gegenstand der Verhaltensanalyse sein können, wird bei dieser Lösung das User-Verhalten auf dem Keyboard aufgezeichnet. Das kann zum Beispiel der Tipp-Rhythmus oder der ausgeübte Druck sein. Auch Wischbewegungen auf dem Smartphone werden registriert. Laut Hersteller in Real-Time und mit Machine Learning als Basis. Dabei werde nur das Verhalten aufgezeichnet, so Sprenger, und nicht, was der User schreibt oder tut.

Für den automatisierten Entscheid, ob ein User oder ein Hacker am Werk ist, kommt ein Risk-Score-Modell zur Anwendung. Für jeden Identifizierungs-Faktor wie Device, IP-Adresse und Tastatureingabe kann ein Score spezifisch festgelegt werden und schliesslich wird daraus ein Gesamt-Score errechnet.
 
"Die Aggregierung der Risk-Scores ist eine Funktionalität von Nevis, BehavioSec ist der erste externe Detection-Mechanismus, welcher integriert wurde. Mittelfristig werden wir auch die ACAA-Mechanismen – Adaptive, Context Aware Authentication – in Nevis integrieren. Damit stehen diese Mechanismen nicht nur während der Authentisierung zur Verfügung, sondern kontinuierlich, beispielsweise bei jeder Transaktion wie E-Banking Zahlungsauftrag oder einer Bestellung im E-Shop", erläutert Schweizer.
 
Die Berechnung des Risk Score kann je nach Unternehmen unterschiedlich konfiguriert werden: "Eine Firma, bei welcher Mitarbeiter häufig von Zürich nach London pendeln, wird dies bei geografischen Risiken berücksichtigen", so Schweizer. Löst die Kombination aus Scores Zweifel an der Identität eines Users aus, so kann ein weiterer Authentisierungsfaktor verlangt werden.
 
Für den Einsatz ihrer Lösung, so werben die Schweden, seien weder spezielle Sensoren, noch zusätzliche Hardware nötig.
 
Verhaltensanalyse ist für Schweizer Banken neu
Und wie ist das Security-Level einzuschätzen? Bei einer Lösung mit Analyse verschiedener Verhaltensaspekte sei das erreichbare Level sehr hoch, aber nicht perfekt, so das Fazit. Das Branchen-Credo "100-prozentige Sicherheit gibt es nicht" gelte nach wie vor, so Sprenger im Gespräch.
 
Ein Vorteil sei, man könne die Anzahl von False Positive bei Bank-Transaktionen reduzieren, sagt er. Diese seien aktuell zahlreich und mit IAM inklusive Behaviour Analytics sei entsprechend mit Kostenreduktionen zu rechnen.
 
Bei Schweizer Banken ist das Thema Verhaltensanalyse noch nicht weit verbreitet, so CTO Sprenger, aber man habe einen ersten Pilotkunden. Unabhängig von Adnovums Nevis nutzen die BehavioSec-Lösung in der Schweiz Temenos-Kunden, auch das Fintech-Startup Netguardians aus Yverdon-les-Bains ist eine Partnerschaft mit den Schweden eingegangen.
 
Soeben hat Adnovum den Zuschlag des Bundes erhalten, dass Nevis als IAM-Lösung eingesetzt werden wird. Ob damit Behavior Analytics beim Bundes Einzug hält, will Adnovum nicht kommentieren. Was sagt der Bund? "Aus Sicherheitsgründen kommunizieren wir nicht im Detail, welche Verfahren von welchen Herstellern wir einsetzen", antwortet Peter Fischer, Delegierter für die Informatiksteuerung des Bundes (ISB).
 
Adnovum will auch nicht sagen, ob man – ebenso wie bei der bisherigen SuisseID – beteiligt ist, wenn die neue E-ID von der privatwirtschaftlichen SwissSign weiterentwickelt wird und ob Behaviour Analytics auf der Wunschliste steht. (Marcel Gamma)