Kundenidentitäten schützen – Identitätsklau bremst Firmenwachstum
Identitätsklau ist eine der meist ausgeführten Straftaten von Kriminellen im Internet. Nicht nur Einzelpersonen sind davon betroffen, sondern häufig auch Unternehmen. Für diese kann ein solcher Überfall verheerende Folgen haben. Besonders wenn es um die Identität der Kunden geht.
Ob mit Fingerabdruck, per Gesichtserkennung oder ganz klassisch mit einer Kombination aus Benutzername und Passwort: mit der Anzahl der Möglichkeiten, sich online bei Programmen, Apps oder auf unterschiedlichen Konten anzumelden wächst auch das Risiko des Identitätsdiebstahls durch Cyberkriminelle. Und das Schlimme daran ist, dass mit jeder neuen Login-Möglichkeit für den Kunden automatisch auch das Bedrohungspotenzial steigt. Denn Hacker lernen schnell dazu und Nutzerkonten sind begehrt.
Credential Stuffing Angriffe nehmen zu
Wie sehr, dazu hat der Identitätsanbieter Okta kürzlich recht interessante Zahlen veröffentlicht. Demnach gab es in den ersten 90 Tagen des Jahres 2022 nahezu zehn Milliarden Anmeldeversuche mit bereits gehackten Anmeldedaten ahnungsloser Online-Nutzer. Das entspricht rund 34 Prozent des gesamten weltweiten Datenverkehrs für Authentifizierungen. Dabei müssen sich die Cyberkriminellen noch nicht einmal groß anstrengen. Sie nutzen einfach die Trägheit der Nutzer aus, die sich mit einem einzigen Kennwort für verschiedene Online-Dienste registrieren. Das sogenannte Credential Stuffing beginnt mit dem Diebstahl von Benutzername und Passwort, um diese dann mithilfe automatisierter Tools für den Zugriff auf weitere Konten des Nutzers anzuwenden. Dabei geht es meist um die Manipulation durch Bots, die für rund 23 Prozent der Versuche, ein neues Konto einzurichten, verantwortlich sind. Die Motivation dabei: Lukrative Geschäfte durch den Weiterverkauf von Prämienpunkten oder ganzen Konten. Aber auch vor weitaus sicheren Authentifizierungs-Methoden machen die Kriminellen laut Okta Report kaum noch Halt. In der ersten Hälfte des Jahres 2022 gab es auf der unternehmenseigenen Plattform mit fast 113 Millionen Incidents mehr Versuche zur Umgehung der Multi-Faktor-Authentifizierung (MFA) als je zuvor.
Der Schutz der Kundenidentitäten ist für Start-ups erfolgskritisch
Unter dieser Entwicklung leiden besonders junge Unternehmen mit digitalem Fokus, die auf ein schnelles Wachstum angewiesen sind, aber nicht das nötige Kapital und Wissen dafür haben, eine ausgefeilte Strategie für den Bereich Customer- and Identity Access Management mit eigenen Bordmitteln zu bestreiten. „Mit einer soliden IAM-Infrastruktur allein ist es nicht getan,“ bekennt Nitesh Gaikwad, globaler CISO des Fintech-Unternehmens Raisin. „Wenn wir uns aus eigener Kraft ernsthaft mit dem ganzheitlichen Schutz unserer Kundenidentitäten beschäftigen würden, bräuchten wir definitiv mehr Ressourcen, die regelmäßige Patches und Test vornehmen, sowie immer neue Sicherheits-Features gegen aufkommende Bedrohungen entwickeln. Das können wir uns nicht leisten,“ so der Sicherheits-Chef, auf dessen Online-Plattform sich weltweit aktuell rund 40 Millionen Kunden tummeln.
Und genau hier wird das eigentliche Dilemma deutlich. Denn einerseits muss sein Unternehmen unter anderem über eine gute Customer Experience möglichst schnell wachsen und dabei skalieren und andererseits permanent ein Höchstmaß an Sicherheit garantieren. Das alles vor dem Hintergrund einer beunruhigenden Bedrohungssituation ganz speziell für Finanzdienstleistungen. Im „State of Secure Identity Report“ von Okta ist die Rede von 3,9 Prozent Zuwachs bei betrügerischen Anmeldeversuchen im Vergleich zum Vorjahr.
Eigenentwicklungen führen in die Sackgasse
Bevor also das Management digitaler Kundenidentitäten zum echten Bremsklotz wird, sollten sich Security-Verantwortliche in den Unternehmen überlegen, ab welchem Zeitpunkt es sinnvoll ist, die Umsetzung einer wasserdichten CIAM-Strategie nebst Risiko Auslagerung an einen spezialisierten Dienstleister zu übergeben. Denn eines ist klar: Sobald die eigene IAM-Anwendungslandschaft wächst, und das Identitätsmanagement in Eigenleistung ausgebaut werden soll, schießen die Kosten in die Höhe. Grund dafür sind meist vorhandene Kundendaten, die – aus der Historie gewachsen – in unterschiedlichen Systemen verwaltet werden, und eine Vielzahl an neuen Funktionen und Konfigurationen, die entwickelt und andauernd angepasst werden müssen. An diesem Punkt realisieren die meisten IT- und Security-Verantwortlichen, dass sie sich in eine Lage manövriert haben, die extrem langsam macht. Das können sich weder Start-ups noch größere Firmen erlauben. Sobald die interne Entwicklungsleistung also komplex, kostenintensiv und damit fehleranfällig wird, sollten Security-Verantwortliche sich professionelle Hilfe holen. Damit kann gewährleistet werden, dass Deployment-Zeiten sinken, Entwicklungskosten dramatisch reduziert werden und daneben vor allem Skalierbarkeit und Flexibilität für eine verbesserte Customer Experience gewährleistet werden.
„Branchenunabhängig nehmen die identitätsbasierte Risiken zu. Damit muss CIAM Top Priorität auf der Agenda der CISOs haben, ob wachstumsstarkes Start-up oder Konzern, “ so Sven Kniest Vice President Central and Eastern Europe von Okta.
Quelle Titelbild: pixabay/BiljaST
