Identitätsmanagement: Zusatzschutz durch Nutzerprofile

Auch bei Banken und Sparkassen ist das Arbeiten mit Tablets, an verschiedenen Arbeitsplätzen und im Außendienst, inzwischen üblich. Die Institute stehen damit allerdings vor der Herausforderung sicherzustellen, dass die Person, die sich an einem Gerät einloggt, tatsächlich auch der autorisierte Mitarbeiter ist. Welche Sicherheitslösungen es dafür gibt beschreibt Michael Neumayr, Regional Sales Manager Zentraleuropa von Centrify im Interview.
Herr Neumayr, weshalb reicht das gute alte Passwort für die Authentifizierung der Mitarbeiter nicht mehr aus?
Neumayr: Die Fragen nach der Sicherheit von Passwörtern ist schnell beantwortet: Sie können gehackt oder gestohlen werden. Und gerade bei mobilen Geräten besteht die zusätzliche Gefahr, dass auch das Gerät selbst entwendet wird. Passwörter alleine reichen deshalb in manchen Situationen nicht mehr aus. Wir haben daher einen Service entwickelt, der gleichzeitig prüft, ob das Verhalten des Nutzers seinen Gewohnheiten entspricht und daran angepasst bei Bedarf zusätzliche Sicherheitsabfragen startet.
Wie funktioniert das?
Neumayr: Aus dem Identity-Management verfügen wir über Daten, die es uns erlauben, ein Nutzerprofil zu erstellen – um welche Uhrzeit arbeitet der Nutzer normalerweise mit dem Gerät, an welchem Ort oder in welcher Region ist er damit aktiv und welche Programme verwendet er für seine Arbeit. Entspricht das, was der Mitarbeiter tut, dem ermittelten Profil, reicht es beispielsweise, wenn der Mitarbeiter sich mit seinem Passwort einloggt. Gibt es Abweichungen, dann wird noch ein zweiter Faktor für die Identifizierung genutzt – beispielsweise eine zusätzliche TAN, die dem Mitarbeiter auf sein Firmenhandy geschickt wird.

Hat dann jeder IT-Mitarbeiter Zugriff auf das Nutzerprofil aller Kollegen? Wo bleibt da der Datenschutz?
Neumayr: Der Datenschutz bleibt intakt. Denn die IT hat im Normalfall nur Zugriff auf die aggregierten und anonymisierten Daten. Erst wenn es einen Verdacht auf Missbrauch oder Diebstahl gibt, kann eine dafür berechtigte Person Informationen über einzelne Nutzer abrufen. Dazu ist sie dann auch berechtigt, denn es geht ja darum, das Institut vor Angriffen zu schützen.