User Behaviour Analytics

Nutzerverhalten als Security-Komponente

Die Analyse des Nutzerverhaltens – User Behavior Analytics – kennen wir vom Online-Shopping. Die Besucherwege in E-Shops werden getrackt und die Resultate zum Up- und Cross-Selling oder für personalisierte Werbung verwendet. Erkenntnisse aus dem Nutzerverhalten erhöhen neu aber auch die Sicherheit und gleichzeitig die Usability von Online-Applikationen

Die virtuellen Aussengrenzen eines Unternehmens sind kaum mehr klar zu ziehen: Internet der Dinge, Austausch mit Kunden, Partnern oder Lieferanten und Cloud Services erweitern oder verwischen die Grenzen. Potenzielle Angreifer lauern überall. Wo befindet sich der angreifende Akteur? Für die Gefahren-Einschätzung ist es nicht mehr zentral, wo man sich befindet – im „Innern“ der IT-Infrastruktur oder noch ausserhalb von Firewalls und anderen Schutzeinrichtungen.

 
Digitale Identität: Wer bin ich und wenn ja, wie viele?

Wer ist der User und wie verhält er sich? Ist er Mensch, Roboter, Server oder Smart Device? Die Identität und ihre Überprüfung – die Authentisierung – der Nutzer sind für die IT-Sicherheit zentraler denn je. Interaktionen finden elektronisch statt, nicht mehr wie einst am Bankschalter. Dafür brauchen wir die digitale Identität (s. Abbildung). Als Rückgrat des digitalen Lebens ist sie funktional – übergibt aber auch wertvolle Daten und Berechtigungen an mehr oder weniger vertrauenswürdige Akteure. Entsprechend häufig werden die digitalen Identitäten, von denen die meisten von uns eine unüberschaubare Anzahl besitzen, gestohlen und gehandelt. Sie verdienen bei der IT-Sicherheit also Aufmerksamkeit.

 
Usability versus Sicherheit

Der Identitätsdiebstahl ist nicht zu verhindern. Es gilt den Missbrauch zu begrenzen. Zum einen geschieht dies mit starker Authentisierung: mTAN, One-time Passwort Tokens oder neue Identitätskarten sind nützlich. Auch Methoden der adaptiven Security wie Continuous Authentication, Missbrauchserkennung und Alarmierung des rechtmässigen Identitäts-Besitzers greifen. Diese Methoden reagieren auf sich verändernde Umgebungen und bieten so Sicherheitsvorteile. Gleichzeitig schränken sie die Nutzerfreundlichkeit ein und stossen darum auf mangelnde Akzeptanz. Die aufkommende biometrische Authentisierung ist nutzerfreundlich und erscheint somit als ideale Lösung. Doch auch Fingerabdruck-Sensoren, Iris-Scanner und Gesichtserkennungs-Software lassen sich  knacken. Zudem machen sie hochsensible biometrische Daten elektronisch greifbar. Sie werden so kopierbar, besonders unangenehm für die Nutzer. Eine Alternative bietet die Analyse des Verhaltens. Gegenüber den statischen biometrischen Daten erfasst sie dynamischere Aspekte unserer Identität.

Verhaltensaspekte als Teil der digitalen Identität<br/>
Verhaltensaspekte als Teil der digitalen Identität

Zeig mir wie du tippst und ich weiss wer du bist
Bereits gängig sind «Behavioral Analytics» rund um Ort (Geolokation), Gerät und Zeit: Erfolgt das Login auf einem bekannten Gerät, zu gewohnter Tages- oder Wochenzeit? Gibt es zwei Logins fast zeitgleich in New York und Zürich – es kann sich kaum um denselben Benutzer handeln. Auch die Eingabe am Gerät und der Umgang mit demselben lässt sich aufzeichnen und analysieren: Wie tippt der Nutzer auf der Tastatur oder dem Screen? Adler- oder Zehnfinger-Technik? Wie breit sind die Fingerkuppen, wie stark der Druck? Wie wird das Smartphone bewegt? Erfolgen die Mausklicks in gewohnter Kombination, Geschwindigkeit und Reihenfolge (Clickstream)? Auch das Navigationsverhalten in einer Anwendung gibt Aufschluss: Welche Inhalte und Aktionen wählt der Benutzer und wann? Schaut er sich im E-Banking stets zuerst die Kursentwicklung seiner Anlagen an? Steuert er für seine Transaktionen direkt die Zahlungs-Applikation an?
 
Angepasst auf Risiko-Abwägung und Gewohnheiten
Verhaltens-Analyse-Software errechnet aufgrund von Anomalien laufend einen Risk Score. Er bemisst und benennt das Risiko einer falschen Identität. Um den Nutzer kennenzulernen und Risk-Werte zu berechnen, braucht die Software eine Trainings-Phase. Die einzelnen Verhaltens-Aspekte sind dabei individuell einstellbar. Bei der Geolokation können auf einzelne Länder risikospezifische Tags zugewiesen werden. Verhaltensaspekte lassen sich unterschiedlich gewichten und an verschiedenen Toleranzwerten (Thresholds) messen. Dabei berücksichtigt man die Risiko-Abwägung durch den Applikations-Anbieter und den Benutzer und auch dessen Anforderungen oder Gewohnheiten. Für einen Geschäftsreisenden und Vielflieger ist eine geringere Gewichtung oder höhere Toleranz bezüglich Geolokation sinnvoll.
 
Mehraufwände und Ärger vermeiden
Ein erhöhter Risk Score kann situativ das verlangte Sicherheitslevel heben und zusätzlichen Massnahmen auslösen. Will der User beispielsweise höhere Geldsummen an einen ungewohnten Empfänger auslösen, ergeben sich automatisch zusätzliche Authentisierungs-Schritte. Die Massnahmen können bis zum Session-Stopp oder zur Benachrichtigung des rechtmässigen Benutzers reichen, was wiederum Kosten impliziert. Die Vermeidung von „False-Positives“, falscher Verdachtsfälle, wird zur wichtigen Aufgabe des System zur Verhaltensanalyse und seinen Konfigurationsmöglichkeiten.
 
Praxisanwendungen: Schnelle, sichere Zugänge
User Behavior Analytics finden im E- und Mobile-Banking bereits breit Anwendung. Analysiert werden die Aspekte Geolokation, Gerät und Zeit sowie das Tippverhalten. Der Benutzer wird dabei auch nach dem Login kontinuierlich beobachtet. Auch Kundenportale ermöglichen heute bereits passwortloses Einloggen gestützt auf die Verhaltensanalyse. Erst höherwertige Transaktionen lösen zusätzliche Authentisierungs-Faktoren aus. In beiden Fällen soll die Security bei konstanter Usability erhöht werden. Und Schliesslich wird User-Behavior -Analytics auch bei der Identifikation von rechtmässigen Mobilgerät-Besitzern verwendet. Die Vielzahl von Sensoren und Parametern dieser Devices unterstützen diese Anwendungen.

Die Analyse des Benutzerverhaltens wird bereits vielfältig eingesetzt, das Potenzial ist riesig. Spezielle Aufmerksamkeit verdient die Anwendung für die digitale Identität, ist doch diese wegen ihrer Funktion als Backbone des digitalen Lebens besonders wertvoll und sensibel. Für den Benutzer selbst, aber auch für die Anbieter von Websites, Plattformen oder Applikationen – sie wollen den Benutzer als Kunden gewinnen, behalten und darum schützen.

Kontakt - weitere Informationen:

NEVIS Marketing

Telefon:       +41 44 272 6111

E-Mail:         info@nevis-security.ch