Startseite > Security > IAM als Basis für Betrugserkennung

Interview mit Forgerock-CTO Lasse Andresen

IAM als Basis für Betrugserkennung

5. März 2015, 7:41 Uhr | LANline/Dr. Wilhelm Greiner

Kürzlich stellte IAM-Anbieter (Identity- und Access-Management) Forgerock eine um Social Sign-on- und Self-Service-Funktionen ergänztes Update seiner Identity Platform vor. LANline sprach mit dem CTO Lasse Andresen über Aspekte von Anwendernutzen bis Fraud Detection.

Der IAM-Anbieter Forgerock ist spezialisiert auf die übergreifende und erweiterbare Verwaltung von Identitäten, Zugriffs- und Nutzungsrechten. Anders als das Gros der IAM-Lösungen zielt Forgerock dabei nicht auf die unternehmensinterne Verwaltung von Identitäten und Rollen, sondern auf die Authentifizierung und Autorisierung im Umfeld von Consumer-Services.

„Wir sind fokussiert auf das kundenseitige Identity- und Access-Management, denn hier liegt der wirkliche Wert für die Unternehmen“, so Forgerock-CTO Lasse Andresen. Dies gelte besonders vor dem Hintergrund einer stark zunehmenden Digitalisierung von Geschäftsprozessen wie auch einer Verbreitung des E-Governments.

Forgerocks Plattform unterstützt laut Andresen über 25 Verfahren der Authentifizierung. Der Anbieter ist auch Mitglied der FIDO-Allianz, die sich für hersteller- und geräteübergreifene Authentifizierungsmechanismen einsetzt.

Im Zentrum der Diskussion sollte allerdings laut Forgerocks Cheftechniker weniger die Authentifizierung als vielmehr die Autorisierung stehen: „Die Authentifizierung gibt einem eine ,Ja/Nein’-Antwort: Bist du, wer du vorgibst zu sein, oder bist du es nicht? Die Autorisierung hingegen ist viel umfassender und komplexer, und zudem geht es hier auch um den Datenschutz.“

Andresen plädiert deshalb für einen Ansatz, den Forgerock UMA (User-Managed Access) nennt: Der Benutzer sollte per Self-Service nicht nur die Authentifizierung durchführen und die Rechte für die gewünschten Dienste erhalten, sondern zudem in der Lage sein, diesen Diensten oder Applikationen in unterschiedlicher Weise Zugriff auf seine personenbezogenen Daten zu gewähren.

Forgerock bietet dazu seine Identity Platform für die lokale Installation wie auch als SaaS-Lösung an. Die SaaS-Variante hostet der Hersteller allerdings nicht selbst, sondern liefert mit ihr die Basis zur Einrichtung individueller IAM-Mechanismen für Service-Provider wie Salesforce oder T-Systems.

Entsprechend skaliert die Plattform laut Andresen bis in den Bereich hunderter Millionen Kunden. So diene die Lösung zum Beispiel zum IAM der rund drei Millionen Kabel-Deutschland-Konsumenten. Der norwegischen Regierung wiederum diene eine Identity Platform als zentraler Zugangspunkt für über 300 behördliche Services, die laut Forgerock von fast allen Norwegern sowie rund 500.000 Unternehmen genutzt werden. An manchen Tagen logge sich über eine Million Endanwender ein, ohne dass es zu Ausfällen oder Performance-Einbußen komme.

Forgerocks Identity Platform ist laut CTO Lasse Andresen eine generische Lösung, die sich branchenübergreifend einsetzen und durch Anpassungen erweitern lässt. Durch ein Monitoring in Kombination mit einer Big-Data-Analyse der Identitätsdaten eigne sich die Lösung zum Beispiel zur Betrugserkennung. So hat Forgerock im Januar eine Kooperation mit Security-Intelligence-Spezialist Fireeye angekündigt, um deren Threat-Management-Lösung um IAM-Daten anzureichern – ein sehr sinnvoller Schritt, beinhalten doch zum Beispiel APTs (Advanced Persistent Threats) in aller Regel den Diebstahl von Login-Informationen und anschließenden Mißbrauch damit verbundener Zugriffsrechte.

Im Rahmen der Kooperation werden laut Forgerock-Angaben Daten der Identity Platform in Fireeyes Incident-Erkennungs- und Reaktions-Management-Plattform TAP integriert. Die Verbindung von Forgerocks Echtzeitinformationen über Endanwender und TAP soll es Unternehmen erlauben, frühzeitig Entscheidungen basierend auf Parametern wie Standort, IP-Adresse, Zeitpunkt, identifiziertem Gerät etc. zu treffen. Damit, so Forgerock, lasse sich ein umfassendes Bild eines Angriffs und der genutzten Methode ermitteln.

Um die Entwicklung Identity-Platform-basierter Speziallösungen voranzutreiben, unterhält Forgerock laut Lasse Andresen eine Community Site. Ein zugehöriges Resource Center befinde sich im Aufbau. Die Integration der Identity Platform in Drittlösung erfolge mittels REST-APIs.

Bei endanwenderorientierten Identity-Management-Lösungen, so Andresen, sind die zugehörigen Tools zur Anpassung der Datenschutzeinstellungen in aller Regel individuell entwickelt. Zur Vereinfachung solcher Settings soll der kürzlich verabschiedete Open-UMA-Standard dienen. Als standardisiertes Oauth-Add-on soll er die nächste Generation von Nutzerauthentifizierung mit gleichzeitiger Vorgabe von Privacy-Einstellungen ermöglichen.

Nützlich seien solche Angebote zum Beispiel im Gesundheitssektor oder in der Versicherungsbranche. Hier könnten sich Anbieter, die den Datenschutz ernst nehmen, vom Wettbewerb abheben. „Zustimmung (zu Vorgaben eines Anbeiters, d.Red.) werden für den Aufbau von Vertrauensbeziehungen eine riesige Rolle spielen“, ist sich Andresen sicher.

Forgerock bietet mit seiner Identity Platform eine Open-Source-basierte Lösung für die Verwaltung von Identitäten und Zugriffsrechten, von Forgerock selbst als IRM (Identity Relationship Management) bezeichnet. Die für Consumer-orientierte Unternehmen konzipierte und entsprechend hoch skalierbare Lösung besteht aus den Modulen Open AM (Access-Management), Open IDM (Identity-Management) und Open IG (Identity Gateway).

Der Baustein Open AM – aktuell in Version 12.0 – sorgt für die Verwaltung von Kundenzugriffen auf IT-Services. Open IDM ergänzt dies um Funktionen für das Identitäts-Management über verschiedene Kommunikationskanäle hinweg. Open IG schließlich dient laut Hersteller dem sicheren API-basierten Zugang zu externen IT-Ressourcen, Cloud- und Enterprise-Anwendungen sowie zu mobilen Apps.

Die neueste Version der Plattform, die der Anbieter im Dezember letzten Jahres vorstellte, erlaubt nun auch eine Anmeldung mit Login-Daten von sozialen Netzwerken wie Facebook oder Google Plus mittels Oauth 2.0. Bislang, so Andresen, mussten Site-Betreiber ein derartiges „Social Sign-on“ ihren Anwendungen und Web-Seiten aufwändig durch Individualprogrammierung hinzufügen. Open AM 12.0 biete nun einen Wizard, mit dem ein Administrator die benutzerfreundliche Registrierung via Facebook, Twitter und Co. in kürzester Zeit konfigurieren könne.

Dank neuer Self-Service-Funktionen in Open AM könne ein Administrator ohne Softwareanpassungen oder Programmierung ein IAM per Selbstbedienung einrichten. Dies sei kundenfreundlich, denn schließlich wünsche der Endanwender heute, die Kontrolle über sämtliche Aspekte seiner Online-Identität selbst in der Hand zu haben.

Ebenfalls neu sind ein Policy Editor in Open AM 12.0 für die einfachere Erstellung granularer Berechtigungen sowie Cloud-Connectoren in Open IDM 3.1 für SaaS-Angebote von Google, Salesforce und Microsoft (Office 365 und Azure). Mit Open IG 3.1 wiederum biete Forgerock nun Features für das Monitoring und Auditing zur Überwachung von Anwendungen wie auch APIs.

Das 2010 gegründete Unternehmen beschäftigt laut Lasse Andresen heute über 300 Mitarbeiter. Diese seien vorwiegend in den USA und Europa angesiedelt, die Entwicklung erfolge verteilt in Norwegen und den USA. Man unterhalte außerdem inzwischen auch Niederlassungen in Australien und Singapur.

Weitere Informationen finden sich unter www.forgerock.com.