Die Geschichte wiederholt sich. Wenn immer irgendwo Mehrwert geschaffen wird, sind diejenigen, welche versuchen, auf unlautere Art und Weise Profit daraus zu schlagen, nicht weit. Waren es im Mittelalter Raubritter und Wegelagerer, welche sich mit Adligen, Geistlichen und Händlern um Waren und Geld rauften, sind es heute hochorganisierte, zum Teil institutionell geförderte Hacker(banden) oder Individuen von Cyberkriminellen, welche mit staatlichen Behörden und Konzernen um digitale wie auch reelle Werte wetteifern.
Und so ist denn auch die Leier mit der Sicherheit eine Altbekannte: Wenn immer jemand den Schutz erhöht, sucht und findet früher oder später jemand ein Mittel, um die neuerlichen Hürden auszuhebeln. Es ist ein unaufhörliches, gegenseitiges Wettrüsten gegen die Zeit, wobei parallel dazu die Vielfalt und Komplexität heutiger ICT-Infrastrukturen fast exponentiell ansteigt. Das globale World Wide Web ist schon lange nicht mehr mit der «idyllischen Überschaubarkeit» einer englischen Grafschaft zu vergleichen.
Die Wertschöpfung im Internet boomt. Der jährliche Online-Handelsumsatz geht in die Milliarden. Fast jeder achte Euro wird gemäss dem Bundesverband E-Commerce und Versandhandel Deutschland bevh online ausgegeben. Die PWC-Studie «Total Retail 2016» zeigt, dass bereits 54% aller Konsumenten im Internet einkaufen; immer häufiger direkt über mobile Geräte. Ein Drittel sieht das Smartphone als ihr hauptsächliches Shopping-Tool der Zukunft: Entwicklungen mit weitreichenden Folgen, die für (Cyber)-Kriminelle wie auch für staatliche und kommerzielle Daten- und Informationssammler durchaus attraktiv und leider auch lukrativ sind.
Zweifaktor-Authentisierung
Multifaktor Authentisierung hat als Security Control den Weg in die meisten Unternehmen gefunden. Ein erfolgreicher Login erfordert nebst Username und Passwort (Wissen) noch einen zusätzlichen Faktor (Besitz). Doch diese Zugriffskontrollmechanismen sind in die Jahre gekommen. Die altbewährte Zwei-Faktor-Authentifizierung vermag in der Praxis nicht in jedem Fall zu gewährleisten, dass hinter getätigten Aktionen und Transaktionen auch wirklich der Identitätenbesitzer steht.
Hinzu kommen neue Geschäftsmodelle rund um digitale (Premium-)Inhalte, deren rechtlichen und regulatorischen Rahmenbedingungen üblicherweise nicht mit der vom Internet bereitgestellten, grenzenlosen globalen Verfügbarkeit einhergehen.
Was also tun? Das Sicherheitsdispositiv einfach weiter stereotypisch ausbauen? Notfalls auch zu Lasten der Usability?
Möge der vierte Faktor mit Dir sein…
Eine Möglichkeit, die Sicherheit ohne negativen Einfluss auf die Usability zu erhöhen, ist die Berücksichtigung der Umgebung bzw. Lokalität, in welcher sich der Nutzer gerade befindet, quasi als vierten Faktor bei der Authentisierung. Der Einbezug von Standortmerkmalen bzw. die sogenannte «IP Reputation» des Anwenders ist ein probates Mittel, um etablierte Zugriffskontrollmechanismen auf einen nächsten Level zu bringen. Die Grundidee dahinter ist alles andere als revolutionär: Bereits früher wurden Datenzugriffe basierend auf dem Netzwerk, in welchem man sich gerade befand, geregelt. War das Ausgangsnetzwerk vertrauenswürdig, wurde der Zugriff gewährt, ansonsten unterbunden. Nun wird das ganze Prinzip einfach auf das World Wide Web angewandt. Wo man früher Autorisierungsentscheide bloss anhand der IP (intern/extern) traff, stehen heute Informationen wie Land, Ortschaft, Spam-Source, BotNetz-Mitglied, DDoS-Angreifer etc. zur Verfügung. Die möglichen Auswertungskriterien sind heute ungleich grösser, die Möglichkeiten entsprechend vielfältiger. So ergeben sich in der Zugangskontrolle komplett neue Use Cases, welche sich mit dem Einbezug von IP Reputation Informationen umsetzen lassen.
Risiko-basierte Authentisierung
Das Konzept der risiko-basierten Authentisierung ermöglicht eine stufenweise angepasste Zugriffskontrolle in Abhängigkeit vom Risiko des Clientumfeldes und von der Sensitivität der zur Verfügung gestellten Daten. IP Reputation Informationen, wie der geographische Standort oder auch die «Vertrauenswürdigkeit[1]» der Client-IP, unterstützen den Entscheid, welche Authentisierungsstärke und -Mittel gefordert werden. So können z. B. Behörden, Firmen oder e-Commerce-Betreiber jeglichen Zugriff auf ihre Online-Services aus dem Ausland unterbinden, oder den Zugriff von jenseits der Grenze zumindest nur mit zusätzlichen Authentisierungsfaktoren gewähren.
Risiko-basierte Autorisierung
Alternativ oder ergänzend kann die risiko-basierte Authentisierung auch mit risiko-basierter Autorisierung kombiniert werden. In dem Fall entscheiden die IP Reputation Informationen des Nutzers dynamisch über die Zugriffsrechte, und somit darüber, ob und welche Informationen zur Verfügung stehen oder bearbeitet werden können. Inhalte adaptieren sich folglich nicht nur anhand der Berechtigungen des Nutzers, sondern auch anhand des Risikos der Client Umgebung.
Der Verzicht auf eine «one policy fits it all»-Strategie bringt gleich zweierlei Vorteile mit sich. Einerseits ist die Sicherheit sensitiver Informationen im Falle eines hohen Risikos gewährleistet, indem Authentisierungsstärke und -Mittel erhöht und der Zugriff eingeschränkt wird. Gleichzeitig kann für die Mehrheit der ordentlichen Anwender – welche üblicherweise nicht über ein high-risk Profil verfügen – auf eine hoch komplizierte und sichere Authentisierung und die Einschränkung des Datenzugriffs verzichtet werden. Dies wiederum verbessert, bei anhaltend hohem Sicherheitslevel, die Usability markant. Kurz gesagt: Eine am risiko-angepasste Authentisierung und Autorisierung ist matchentscheidend für die optimale Balance zwischen Sicherheit und Usability.
Geolocation und der allgegenwärtige Premium-Content
Ein weiterer Klassiker für die Nutzung von IP Reputation ist die Verbreitung von Premium Content. Kommerzielle Anbieter wie Netflix, oder aber auch öffentlich-rechtliche Medienanstalten und Verlage, sind aus Copyright-Gründen meist verpflichtet, digitale Inhalte nur in den dafür lizenzierten Zielländern oder -regionen zugänglich zu machen. Ausgewertet wird dafür der geographische Standort des Anwenders. Dieser wird auch als «Geolocation» bezeichnet, und ist mitunter – da relativ einfach und verhältnismässig zuverlässig zu bestimmen – eines der gebräuchlichsten, wie auch etablierten, Kriterien im IP Reputation Kontext.
Angriffe erkennen dank IP Reputation
Wie effizient der Einsatz von Standortinformation beim weltweiten Zugriff auf geschützte Inhalte ist, zeigt sich nur schon anhand vielfältigen vorhandenen Umgehungslösungen. Das TOR Netzwerk, anonymisierende VPN- und Proxy-Services, wie auch die Verwendung weltweit verteilter Cloud-Infrastruktur Rechenzentren, sind des Angreifers Antwort auf Geolocation-basierte Zugriffsbeschränkungen. Doch wer die Verfechter eines uneingeschränkten Informationsflusses im Internet hier voreilig als Sieger wähnt, täuscht sich. Denn IP Reputation ist nicht nur Mittel zum Zweck bei der risiko-basierten Authentisierung und/oder -Autorisierung, sondern wartet mit einer zweiten Verteidigungslinie zur Angriffsvereitelung auf. Genauso wie die Information, wo eine IP Adresse sich geographisch befindet, kann IP Reputation auch Aufschluss darüber geben, ob diese mutmasslich Teil des TOR Netzwerks, eines Cloud-Datacenters oder eines anonymisierenden VPN- oder Proxy-Services ist. Und natürlich lassen sich diese Informationen wiederum als zusätzlichen Layer beim Zugriffsentscheid nutzen.
Und zum Schluss noch ein fünfter Faktor
Last but not least kann man über IP Reputation erlangte Informationen in die Analyse von User-spezifischen Verhaltensmustern einfliessen lassen. Diese können dann im Rahmen von Online-Aktivitäten und -Transaktionen wiederum als fünfter Faktor ausgewertet werden (Verhalten), um Identitäts-Diebstahl und -Missbrauch zu detektieren. Alternativ können die Datenprofile natürlich auch – Security atypisch – im Kontext «Know your customers» für Marketing-Zwecke ausgewertet werden.
Lesen Sie auch: FIDO 2.0 – die passwortfreie Authentsierung
Fazit: Die goldene Mitte bringt’s
Bleibt die Frage, wo und wie der Einsatz von IP Reputation Informationen am besten zu implementieren ist. Eine Möglichkeit besteht darin, entsprechende Logik dediziert in jede Applikation einzubauen. Dies gibt den Applikationen zwar die grösstmögliche Flexibilität, verursacht aber auch Aufwände, welche potentiell mit jeder weiteren Applikation proportional zunehmen. Von der Kostenseite her betrachtet ist dies kaum attraktiv. Ebenfalls muss eine gewisse Eigenkontrolle über die Applikationen gegeben sein. Eingekaufte Drittapplikationen hingegen erschweren den applikationsübergreifenden Einsatz, und verhindern somit oft die Sicherstellung einer vereinheitlichten, geschäftsweiten Zugangspolicy.
Eine weitere Alternative ist der Einsatz von IP Reputation auf der klassischen Perimeter-Firewall. Dies bringt den Vorteil, dass Zugangsbeschränkungen zentral auf einer Infrastrukturkomponente definiert und angewandt werden können. Im Gegenzug büsst man damit aber einen Grossteil der Flexibilität und meist auch Granularität ein, da der Aktionsradius von handelsübliche Port-Firewalls normalerweise auf die mittleren OSI-Protokollebenen beschränkt ist. Gerade für die risikobasierte Authentisierung und Autorisierung ist aber eine fein abgestufte Anwendbarkeit auf Applikationsebene unabdingbar.
Bleibt als dritte Option die Nutzung von IP Reputation für die Zugangskontrolle auf der Web Application Firewall. Dies entspricht dem goldenen Mittelweg zwischen klassischer Firewall und applikationsspezifischer Integration. IP Reputation Information kann hier in fast beliebiger Granularität – und wenn nötig in Kombination mit den klassischen Schutzmechanismen der Web Application Firewall – eingebracht werden. Dies vermeidet nicht nur unflexible «schwarz-weiss» Entscheidungen und unnötige «false positives», sondern bietet auch jede Menge Spielraum für Nutzer- und Applikations-spezifische Ausnahmen. Ganz zu schweigen von den vielfältigen Möglichkeiten eines zentralen Reporting, welches quasi nebenbei Angriffe und Nutzerverhalten zusätzlich in einem geographischen Kontext serviert.
[1] ist die IP z. B. als Quelle von (DDoS-)Angriffen, Spam-Source oder Teil eines Botnetzes bekannt
Marcial Rion ist seit 2004 als Senior Solution Architect bei United Security Providers tätig und arbeitet im mehrköpfigen Web Access Management Team.