IT-Sicherheit einfach halten

bei

 / 6. December. 2019

Schnelle und sichere Adaption digitaler Geschäftsmodelle durch die Verknüpfung von Web Application Firewall, Customer Identity & Access Management und API-Security.

Folgt man den OWASP Top 10-Listen [1] , wandeln sich die Bedrohungen und Schwachstellen auf der Applikationsebene von Jahr zu Jahr. Darum ist ein umfassender Schutz von Webapplikationen und neu auch von APIs eine kritische Aufgabe, um den Ausfall von Services, den Datenverlust und einen Reputationsschaden gegenüber Kunden und Partnern zu vermeiden. Eine gesamtheitliche Betrachtung der Anwendungssicherheit ist allerdings aufgrund der aktuellen Bedrohungslage mehr als angebracht. Vor allem Banken müssen sich und ihre Kunden schützen. „Die Pain Points unserer Kunden bestehen aus unterschiedlichen Herausforderungen, wie Prozesse zu digitalisieren und Kosten zu reduzieren – alles mit möglichst wenigen menschlichen Eingriffen. Selbstverständlich geht es auch darum, Daten und Identitäten zu schützen“, berichtet Roman Hugelshofer, Managing Director bei Airlock.

Darüber hinaus müssen Finanzunternehmen mit der neuen, europäischen Zahlungsrichtlinie, Payment Service Directive 2 (PSD2) [2] eine Zwei-Faktor-Authentifizierung im Zahlungsverkehr mit Kunden vorhalten müssen. Eine umfassende Request-Content-Analyse über alle Applikationen und APIs hinweg, erfordert eine starke Authentisierung. Nur mit User-Self-Services aber besteht die Möglichkeit, diese Abfrage benutzerfreundlich und kosteneffizient zu gestalten.

Eine Lösung, die beides gewährleistet, ist der Secure Access Hub mit den drei Bestandteilen cIAM (Customer Identity and Access Management), WAF (Web Application Firewall) und API Gateway (Application Programming Interface Gateway). So wird eine umfassende Request-Content-Analyse über alle Applikationen und APIs hinweg durchgeführt, und das mit starker Authentisierung, die durch umfangreiche User-Self-Services benutzerfreundlich und kosteneffizient gestaltet werden kann. Sie unterstützt Unternehmen dabei, Compliance- und Security-Anforderungen zu erfüllen, eine schnelle Time-to-Market zu erreichen und das bei niedriger Total-Cost-of-Ownership (TCO). Stärken einer vorgelagerten Lösung sollten besonders in der Integration und Flexibilität liegen. Sie müssen darüber hinaus auch Bot Detection, erweiterte API-Gateway-Funktionen und verbesserte Cloud-Unterstützung mit Support für Microsoft Azure und andere Cloud Plattformen anbieten. Hinzu kommen Security Level für Logging, um die Integration von Blacklist-Regeln zu vereinfachen.

Für die Cloud-Sicherheit wird das Gesamtpaket vor ein Gateway geschaltet. „Der gesamte Datenverkehr, der über das Gateway läuft, landet zuerst bei unserer Lösung,“ erklärt Thomas Kohl, Senior Business Development Manager bei Ergon Informatik. „Dort wird er zunächst auf potentielle Gefahren überprüft. Für viele cloud-basierte Anwendungen, wie Office 365, SAP oder Salesforce, haben wir ein großes Regelwerk verfasst, mit dessen Hilfe die Anfragen zuverlässig gefiltert werden. Der vorgeschaltete Secure Access Hub bietet mit dem integrierten cIAM umfangreiche Möglichkeiten, damit nur identifizierte und authentifizierte User auf die Cloud-Anwendungen und -Daten zugreifen können. Erst nach erfolgreicher Prüfung werden diese an das Gateway weitergeleitet.“

Banken können sich zudem die Umsetzung der PSD2 wesentlich erleichtern, denn eine sichere und gesetzeskonforme Anpassung an die PSD2 wird durch eine Kombination der drei Sicherheitskomponenten gewährleistet. Ohne eine Umsetzung der PSD2 dürfen sie bargeldlose Zahlungswege nicht mehr anbieten, sonst riskieren sie Strafen und Bußgelder. Viele Unternehmen stellen sich daher die Frage, wie sie die neue Verordnung einfach, effizient, schnell, sicher und vor allem zuverlässig umsetzen können – egal ob Cloud, On-Premise oder Hybrid. Manuell lässt sich der Prozess nur schwer bewältigen und birgt immer die Gefahr, etwas zu vergessen, oder eine einzelne Applikation nicht anzubinden. Konkrete Ausprägungen, wie NextGenPSD2 [3] der Berlin Group oder STET [4], sollten in einer Sicherheitslösung ebenfalls integriert sein. Dadurch werden auch künftige Spezialisierungen und Anpassungen reibungslos ausgerollt. Das spart Zeit, reduziert die Kosten, beschleunigt die Time-to-Market für neue Services, schließt Fehler aus und hilft den Unternehmen, die Herausforderungen der neuen PSD2-Anforderungen wirtschaftlich umzusetzen – umfangreich abgesichert.

Quellen und Referenzen:

[1] https://www.airlock.com/fileadmin/content/07_Airlock-PDFs/OWASP_Top_10-API-2019-de.pdf

[2] https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2/psd2-775434

[3] https://www.berlin-group.org/

[4] https://www.stet.eu/en/compliance/

 

Dr. Jakob Jung begleitet die Informationstechnologie als Journalist seit 20 Jahren mit dem Schwerpunkt Unternehmens-IT. Zu seinen Stationen gehören Redaktionstätigkeiten bei Computer Reseller News, Informationweek, ChannelBiz und TechTarget.