Die Verbindung aus Big-Data-Analysen und Identitätsmanagement ermöglicht risikobasierte Identitätskontrollen in nahezu Echtzeit. Wir zeigen Beispiele.
Mit einem durchschnittlichen jährlichen Wachstum von knapp zehn Prozent (2012 bis 2017) sind Identity and Access Management (IAM)-Lösungen das am stärksten wachsende Marktsegment im deutschen Markt für IT-Security-Software, so die Marktforscher von IDC. Für dieses stetige Wachstum gibt es einen guten Grund: Der Bedarf nimmt deutlich zu.
Der deutsche Markt für IAM wächst. Foto: cio.de
Die Zahl digitaler Identitäten und die Menge und Komplexität der zu verwaltenden Berechtigungen für die Identitäten steigen enorm an. Gartner rechnet mit rund 26 Milliarden vernetzten Geräten bis 2020, jedes mit einer eigenen digitalen Identität, wobei diese Schätzung für das Internet of Things (IoT) mobile Endgeräte wie Smartphones oder Tablets noch nicht enthält.
Schon heute halten 62 Prozent der befragten Unternehmen ihr Identity and Access Management für komplex und schwierig zu administrieren, so die Ponemon-Studie "Managing Complexity in Identity & Access Management". Dieser Prozentsatz könnte in Zukunft noch höher ausfallen.
Die Vielzahl an Endgeräten, Cloud-Diensten, Online-Netzwerken, industriellen Sensoren und vernetzten Maschinen treibt die Menge an digitalen Identitäten und Privilegien derart in die Höhe, dass die klassischen Nutzeridentitäten beinahe zu einer Randgruppe werden. Die Marktforscher von Gartner sehen deutlichen Anpassungsbedarf bei IAM und anderen sicherheitsrelevanten Lösungen.
Glossar zu Big Data und Data Analytics -
Predictive Analytics das Treffen von Prognosen durch die Analyse von Daten. Im Gegensatz zur Analyse historischer Zusammenhängen und Erkenntnissen; auch durch die Analyse von Daten, die möglicherweise urächlich nicht miteinander in Zusammenhang stehen (Quelle: Bitkom)
Open Source quelloffene Werke, zum Beispiel Software bei der man den Quellcode erhält (Quelle: Bitkom)
Open Data Konzept zum Zugang zu hoheitlichen Daten zu jedermann, beispielsweise Auskunft über die bei einer Meldestelle gespeicherten Daten über einen Bürger und die Einrichtungen, an die die Daten übermittelt worden sind. (Quelle: Bitkom)
Metadaten Daten zur Beschreibung von Daten, unter anderem, um Datenmodelle zu entwickeln. (Quelle: Bitkom)
Mahout wörtlich: Elefantentreiber; hier: eine Apache-Komponente zum Aufbau von Bibliotheken für das Machine Learning MapReduce Verfahren zur Datenverwaltung und Indizierung (Quelle: Bitkom)
Machine Learning Oberbegriff für die künstliche Generierung von Wissen aus Erfahrung: Ein künstliches System lernt aus Beispielen und kann nach Beendigung der Lernphase verallgemeinern. Das System „erkennt“ Gesetzmäßigkeiten und kann somit auch unbekannte Daten beurteilen. (siehe Wikipedia). (Quelle: Bitkom)
Lustre Linux-basierendes Betriebssystem für den Betrieb von Cluster-Architekturen (Quelle: Bitkom)
Lambda-Architektur Eine konstruktiv nutzbare Vorlage für den Entwurf einer Big-Data-Anwendung. Die in der Architektur vorgesehene Modularisierung spiegelt typische Anforderungen an Big-Data-Anwendungen wider und systematisiert sie. (Quelle: Bitkom)
In-Memory Bei In-Memory werden die Daten nicht physisch auf Datenträger gespeichert und wieder ausgelesen, sondern im Arbeitsspeicher gehalten und dadurch mit sehr hoher Geschwindigkeit verarbeitet. (Quelle: Bitkom)
HANA Ursprünglich: High-Performance Analytical Appliance; ein von SAP entwickeltes Produkt zum Betrieb von Datenbanken im (sehr großen) Hauptspeicher eines Computersystems (Quelle: Bitkom)
Hadoop Open-Source-Version des MapReduce-Verfahrens, in verschiedenen Distributionen erhältlich. (Quelle: Bitkom)
Fraud Detection Erkennung von Betrugsversuchen durch die Analyse von Transaktionen und Verhaltensmustern (Quelle: Bitkom)
Eventual Consistency Eine Schnittmenge des CAP-Modells hinsichtlich der ereignisbezogenen Konsistenz von Modellen. (Quelle: Bitkom)
Data Science Datenkunde: die Kenntnis bzw. Anwendung neuer Verfahren zur Arbeit mit Daten und Informationen, z.B. Verwendung semantischer Verfahren oder die Erschließung neuer Datenquellen (Sensordaten) und die Erarbeitung von Mustern oder statistischen Verfahren zur Auswertung solcher Daten. (Quelle: Bitkom)
Data Mining Anwendung statistischer Methoden auf sehr große Datenmengen, bspw. Im Gegensatz zur manuellen Auswertung über Funktionen eines Tabellenkalkulationsprogrammes (Quelle: Bitkom)
Data Management Methoden und Verfahren zur Verwaltung von Daten, oft über Metadaten (Daten, die Daten beschreiben) (Quelle: Bitkom)
Customer Analytics Gewinnung von Erkenntnissen über das Kundenverhalten (überwiegend in Consumer-orientierten Unternehmen), beispielsweise mit dem Ziel der Entwicklung massenindividualisierter Produkte und Dienstleistungen (Quelle: Bitkom)
CEP Sammelbegriff für Methoden, Techniken und Werkzeuge, um Ereignisse zu verarbeiten, während sie passieren. CEP leitet aus Ereignissen höheres Wissen in Form von komplexen Ereignissen ab, d. h. Situationen, die sich nur als Kombination mehrerer Ereignisse erkennen lassen (vgl. Wikipedia). (Quelle: Bitkom)
Complex Event Processing (CEP) Complex Event Processing (CEP, Verarbeitung komplexer Ereignisse) ist ein Themenbereich der Informatik, der sich mit der Erkennung, Analyse, Gruppierung und Verarbeitung voneinander abhängiger Ereignisse beschäftigt. (Quelle: Bitkom)
CEPH ein Dateisystem, das gleichzeitig Objekte, Dateien und Datenblöcke verwalten kann (Quelle: Bitkom)
CAP-Theorem Laut dem CAP-Theorem kann ein verteiltes System zwei der folgenden Eigenschaften erfüllen, jedoch nicht alle drei: C = Consistency = Konsistenz, A = Availability = Verfügbarkeit, P = Partition Tolerance = Partitionstoleranz (siehe Wikipedia)
Business Intelligence Gewinnung von Erkenntnissen über Zusammenhänge zwischen Informationen aus polystrukturierten Daten aus unterschiedlichsten Quellen (Quelle: Bitkom)
Broker Makler/Buchmacher, hier: Rolle des Übermittlers von Daten zwischen Quelle und Anwender Business Analytics Ermittlung von Kennzahlen für Unternehmen, durch die Analyse größerer Datenmengen mit dem Ergebnis neuer Erkenntnisse aufgrund einer breiteren Datenbasis. (Quelle: Bitkom)
Big Data die Gewinnung neuer Informationen – die in kürzester Zeit sehr vielen Nutzern zur Verfügung stehen müssen – mittels enorm großer Datenbestände aus unterschiedlichsten Quellen, um dadurch schneller wettbewerbskritische Entscheidungen treffen zu können. (Quelle: Bitkom)
Analytics Appliance vorkonfigurierte oder paketierte Lösungen aus Hardware und Software für die Koordinierung von polystrukturierten Daten, die Ausführung von Analysen und die Präsentation der Erkenntnisse. (Quelle: Bitkom)
Analytics Analyse Gewinnung von Erkenntnissen durch komplexe Abfragen auf polsystrukturierte Daten, Datenbanken und Data-Warehouses mit spezifischen Abfragesprachen wie SQL oder Pig. (Quelle: Bitkom)
Wenn Unternehmen mit zunehmend großen Datenmengen umgehen müssen, kommen Big-Data-Lösungen ins Spiel. Das ist auch für IAM-Lösungen der Fall, die sich "Datenbergen" aus Identitätsinformationen, Identitätsverknüpfungen, Identitätsberechtigungen sowie individuellen Zugangsregelungen und Zugangskontrollen stellen müssen.
Die Zugangskontrolle muss individueller werden
Die Menge an Identitätsdaten macht einen Big-Data-Ansatz für IAM-Lösungen interessant, aber auch die erforderliche Reaktionsgeschwindigkeit, wenn eine IAM-Lösung entscheiden muss, wie die Zugangskontrolle erfolgen soll und ob der Zugang nun gewährt oder blockiert werden muss.
Die Berechtigungen, die eine digitale Identität haben soll, hängen nicht nur von der jeweiligen Identität ab, sondern auch von der aktuellen Bedrohungslage, dem aktuellen Risiko, das mit der Ausübung der Berechtigungen verbunden ist, und von dem Zusammenspiel der einzelnen Identitäten wie Nutzer und Geräte.
Betrugsversuche werden durch die Suche nach verdächtigem Verhalten digitaler Identitäten aufgespürt. Hierbei können Identitätsmanagement und Big-Data-Analysen zusammenwirken. Foto: IBM
So macht es zum Beispiel einen Unterschied, ob vertrauliche Daten auf einem bestimmten mobilen Endgerät in der Hotel-Lobby über WLAN abgerufen werden sollen, oder ob dies auf dem Arbeitsplatz-PC im deutlich besser geschützten Firmennetzwerk erfolgt.
Ein Identity and Access Management muss die Berechtigungen dynamisch an Identitäten vergeben und die Stärke der Zugangskontrolle möglichst in Echtzeit anpassen. Je nach Bedrohungslage sollte eine IAM-Lösung eine Mehr-Faktor-Authentifizierung verlangen. Die einfache Zugangskontrolle über Passworteingabe wird nur dann gewählt, wenn die Risikowerte gering sind.
Diese sogenannte kontextsensitive Sicherheit, die die zu ergreifenden Schutzmaßnahmen von aktuellen Risikoparametern abhängig macht, erfordert bei der steigenden Zahl an Identitäten und Parametern leistungsstarke, schnelle Analysemethoden. Hier bieten sich die Lösungen aus dem Bereich Big Data Security Analytics an.
Gefälschte Identitäten müssen schneller enttarnt werden
Big Data Security Analytics wird heute bereits zur Prüfung digitaler Identitäten eingesetzt und wird wie die kontextsensitive Sicherheit in Zukunft noch an Bedeutung gewinnen, wie Gartner bei den "Top 10 Technologies for Information Security in 2014" betont.
Ein wichtiger Anwendungsfall von Big Data Security Analytics bei der Identitätsprüfung ist die Suche nach Kennzeichen für Betrugsversuche und gefälschte Identitäten, wie dies zum Beispiel Ataway, FICO, Hortonworks, IBM und VISA erläutern. Dabei wird das aktuelle "Verhalten" einer Identität mit den bisher üblichen oder erlaubten Verhaltensmustern verglichen, auffällige Abweichungen sprechen für gefälschte oder gestohlene Identitäten.
Die massive Zunahme an vernetzten Systemen durch Internet of Things und mobile Endgeräte sorgt für ein starkes Wachstum bei den digitalen Identitäten. Identity and Access Management (IAM) Lösungen müssen sich dem stellen. Foto: Gartner
Zahlreiche Studien gehen davon aus, dass Identitätsdiebstahl und Betrugsversuche im Internet weiter deutlich steigen werden. Der Bedarf für Identitätskontrollen in nahezu Echtzeit wird entsprechend wachsen. Gartner erwartet für 2016, dass 25 Prozent der großen, global operierenden Unternehmen Big Data Analytics für mindestens ein Sicherheitsverfahren bzw. zur Betrugserkennung einsetzen werden. Bisher sind es erst acht Prozent.
Der Zugang zu Big Data muss besser abgesichert werden
Die Verknüpfung zwischen Identität and Access Management und Big Data Security Analytics ist keine Einbahnstraße. Big-Data-Analysen sind eine zunehmend wichtige Ergänzung für das Identitätsmanagement, aber auch umgekehrt werden Vorteile sichtbar.
Big-Data-Anwendungen werden insbesondere deshalb von Datenschützern kritisch gesehen, da die umfangreiche Menge an Daten missbräuchlich ausgewertet werden könnte und so den gläsernen Nutzer Realität werden lassen könnte.
Big Data Security Analytics kann die Risikobewertung für digitale Identitäten und damit die Zugangs- und Zugriffskontrolle optimieren. Foto: IBM
Um Big Data datenschutzgerecht nutzen zu können, gilt es, missbräuchliche Zugriffe zu verhindern. Die vielfältigen Datenkategorien und Analysemöglichkeiten machen ein feingliedriges Berechtigungsmanagement erforderlich, so dass genau unterschieden werden kann, wer wann welche Big-Data-Analyse machen darf oder nicht.
An dieser Stelle können leistungsstarke IAM-Lösungen die Sicherheit von Big-Data-Analysen erhöhen. Es zeigt sich, dass IAM und Big Data eine sinnvolle Partnerschaft eingehen können und sollten. Tatsächlich sind bereits entsprechende Lösungen auf dem Markt.
Big Data und IAM arbeiten Hand in Hand
Verschiedene Lösungen für Identity and Access Management haben bereits Funktionen für Big Data Security Analytics an Bord, andere verfügen zumindest über passende Schnittstellen.
Access Insight von Courion bewertet automatisch die Risiken, die mit Benutzeranmeldungen und -aktivitäten einhergehen, identifiziert Benutzerzugriffe, die gegen interne Richtlinien verstoßen, vergleicht die Aktivitätsmuster und damit das Verhalten von Identitäten mit definierten Modellen und liefert Informationen, wie die Zugangskontrolle in der aktuellen Situation für eine bestimmte Identität aussehen sollte.
Access Governance und Identity Management Software Suite von Avatier bündeln ebenfalls das Management von Identitäten und Zugriffen mit der Prüfung aktueller Risiken und Compliance-Vorgaben. Abhängig von den genutzten Zugängen, Privilegien und Systemen ermittelt die IAM-Lösung von Avatier mit dem integrierten "Risiko Radar" einen aktuellen Risikowert für jede verwaltete Identität.
Der Garancy Access Intelligence Manager von Beta Systems überprüft das Berechtigungs- und Identitätsmanagement anhand definierter Risikoparameter, identifiziert besonders riskante Zugänge und Privilegien und liefert Administratoren sowie Management eine Reihe von Risikoanalysen und Berichten, die sich kundenspezifisch anpassen lassen.
Lösungen wie Garancy Access Intelligence Manager von Beta Systems analysieren und bewerten Zugangsberechtigungen und warnen vor riskantem Nutzerverhalten. Foto: BETA Systems Software AGIntelligente Analysen bieten dem Management wichtige Einblicke in das Identitätsmanagement und die Einhaltung von Compliance-Vorgaben. Foto: BETA Systems Software AG
Weitere Lösungen am Markt
Ein Beispiel für Big Data Security Analytics mit Schnittstellen zu IAM-Systemen ist HP ArcSight IdentityView. Die Lösung unterstützt bereits im Standard mehrere IAM-Lösungen, untersucht und bewertet die Aktivitäten von digitalen Identitäten, um Anomalien festzustellen, warnt vor besonders riskanten Nutzeridentitäten, unterstützt forensische Untersuchungen im Fall von IT-Sicherheitsvorfällen und hält verschiedene Dashboards und Berichte bereit, damit das Management die Sicherheit des Identitätsmanagements bewerten kann.
Big-Data-Analysen für digitale Identitäten und die Beziehungen zwischen Identitäten unterstützt IBM mit InfoSphere Identity Insight. Diese Analysen helfen bei der Risikobewertung im Identitätsmanagement und bei der Aufdeckung möglicher Betrugsfälle oder Insider-Attacken. Die von IBM übernommene Lösung CrossIdeas dient ebenfalls der risikobasierten Zugangs- und Zugriffskontrolle und sucht unter anderem nach Verstößen bei der Aufgaben- und Rollentrennung (Segregation of Duty). Sicherheitsrelevante Informationen zur aktuellen Risikobewertung sind zum Beispiel über Schnittstellen zu IBM Security Intelligence - Lösungen verfügbar.
Der Identity Manager von NetIQ sieht definierte Schnittstellen nicht nur zu NetIQ Sentinel, sondern auch für zahlreiche weitere SIEM-Lösungen (Security Information and Event Management) Von Drittanbietern vor. Die Verbindung zwischen Big-Data-Analyse und Identitätsmanagement wird also bereits im Standard gezielt unterstützt.
Zwei der wichtigsten Lösungsbausteine der modernen IT-Security sind auf dem Weg, eine neue Art von Identitätssicherheit zu schaffen, die man mit Identity Analytics bezeichnen kann. Diese Kombination aus Big-Data-Analysen und Identity and Access Management ist eine zentrale Antwort auf die zunehmende Gefahr durch Identitätsdiebstahl sowie eine entscheidende Grundlage zur sicheren Nutzung des Internet of Things (IoT). Die folgende Tabelle fasst die Vorteile nochmals zusammen. (sh)
Identity Analytics
Vorteile für IAM
Vorteile für BDA
Unterstützung einer risikobasierten Zugangskontrolle·
Besserer Aufdeckung von Identitätsfälschung oder Identitätsdiebstahl
Schnellere Reaktionen bei der Identitätsprüfung, Zugangs- und Zugriffskontrolle
Individuelle Absicherung des Zugangs und Zugriffs auf Big Data nach Nutzer, Gruppen, Rollen und Einzelberechtigungen
Vielversprechender Anwendungsfall für teils noch ungenutzte Big-Data-Potenziale
Sieben Geschäftsmodelle für Big Data -
Sieben Geschäftsmodelle für Big Data Die von BCG identifizierten sieben Haupterfolgsmodelle beinhalten eine Mischung aus B2C- und B2B-Angeboten.
1. Build to Order: Produkte und Services werden für Kunden maßgeschneidert - zum Beispiel, indem aus Location-Daten verschiedener GPS-Geräte eine individualisierte Verkehrsanalyse für ein städtische Planungsabteilung entwickelt wird. Vorteile dieses Modells seien der besondere Wert der Leistungen und die gesteigerte Kundenzufriedenheit. Dafür müssen die Kunden aber längere Wartezeiten in Kauf nehmen; überdies lassen sich die speziellen Produkte und Leistungen nur schwer weiterverkaufen.
2. Service Bundle: Verschiedene Angebote werden miteinander verschmolzen. Energiehändler können beispielsweise die Gas- und Stromversorgung und die Energiesparberatung zu einem Service-Paket schnüren. Das kann laut BCG sehr profitabel sein, Konkurrenz aus dem Markt treiben und Cross-Selling-Möglichkeiten eröffnen. Hinterher ist es aber schwierig, die Verkaufspakete wieder aufzulösen. Und den Kunden muss nicht schmecken, dass sie den Wert der einzelnen Komponenten nicht mehr mühelos in Erfahrung bringen können.
3. Plug and Play: Hier gibt es das immer gleiche Produkt für alle Kunden. Banken können beispielsweise Berichte über das Ausgabenverhalten ihrer Kunden verkaufen, die auf Basis gesammelter und anonymisierter Daten erstellt werden. Derartige Angebote lassen sich leicht zusammenstellen. Die Gefahr: Die Kunden könnte Personalisierung vermissen - und eventuell zur Konkurrenz flüchten.
4. Pay per Use: Bezahlt wird nur, was auch gebraucht wird. BCG nennt als Beispiel ortsabhängige Skisportversicherungen. So lassen sich gute Margen realisieren; allerdings fehlen stabile Umsatzquellen - und die Akquisitionskosten können ausufern.
5. Commission: Dauerhaftere Beziehungen lassen sich auf andere Weise etablieren. Zum Beispiel, indem Banken Kreditkartentransaktionen analysieren und Lokalen und Geschäften gegen Gebühr Rabatte gewähren. Diese basieren dann auf den generierten Umsätzen. Das Problem laut BCG ist hier die mangelnde Berechenbarkeit der Geldflüsse.
6. Value Exchange: In diesem Modell bietet ein Dritter, der zwischen Unternehmen und Kunde steht, Rabatte oder zusätzliche Services an. So lassen sich die vom Marketing gewünschten Gruppen gezielt ins Visier nehmen. Langfristig kann es auch BCG-Sicht aber unerwünscht sein, bei diesen Geschäften einen weiteren Partner im Boot zu haben.
7. Subscription: Abonnementlösungen sind laut BCG zum Beispiel im Healthcare-Segment möglich. So kann Patienten ein anonymisierter Informationsdienst angeboten werden, über den medizinische Befunde ausgewertet werden. Diese Geschäfte sind einerseits von stabilen und damit berechenbaren Umsätzen gekennzeichnet, dafür sind andererseits die Margen entsprechend niedrig.