ABAC statt RBAC: Willkommen in der (IoT-)Welt der kontextbezogenen Sicherheit

Aus einem scheinbar einfachen Application lassen sich weitaus mehr Eigenschaften ableiten, als es auf den ersten Blick scheint. Es gibt natürlich eine IP-Adresse. Hierdurch kann der eigene Standort bestimmt werden. Dabei handelt es sich um Geolokalisierung und es ist heutzutage eine ziemlich gängige Praxis, diese Daten abzurufen. Daraus lassen sich aber auch einige andere Attribute ableiten, wie etwa „innerhalb eines Firmengeländes“. Man kann auch etwas fortgeschritteneres Data Mining durchführen und ermitteln, ob der Standort für den Benutzer, der versucht, auf die Application zuzugreifen, typisch ist oder nicht.

Und das ist nur von einer IP-Adresse. Die Betriebssystem- und Geräteparameter können leicht ermittelt werden, indem die Header in der HTTP-Anforderung untersucht werden, die zum Zugriff auf die Application gesendet wird. Wenn es sich um einen Webbrowser handelt, ist ein noch spezifischeres Fingerprinting möglich und ein anschließender Vergleich mit früheren Kommunikationen ermöglicht es, festzustellen, ob „Jim“ tatsächlich derselbe „Jim“ ist, dem Sie in der Vergangenheit Zugriff gewährt haben.

All diese Informationen, also die extrahierten und abgeleiteten Variablen, bilden das, was die Application Delivery Controller (ADC)-Branche seit vielen Jahren als „Kontext“ bezeichnet. Dieser Kontext liefert die Grundlage für Sicherheitsentscheidungen, ermöglicht Innovationen bei der Bereitstellung und hilft bei der Anwendung von Beschleunigungstechniken, die das Application verbessern.

Daher war es keine Überraschung , diesen Artikel zu lesen, der das Ende von RBAC und die Einführung von ABAC (Attribute Based Access Control) verkündete .  Es basiert auf dem Kontext und wird nur mit einem viel cooleren Akronym beschrieben, das etwas besser über die Lippen geht (und viel formeller klingt).  Der Schwerpunkt des Artikels (lesen Sie ihn ruhig, ich bin hier, wenn Sie zurückkommen …) liegt auf der Beseitigung der Rolle als primäres Mittel zur Autorisierung und deren Ersetzung durch Attribute. Er befasst sich eher mit einem internen oder B2B-Zugriffskontrollmechanismus, das Konzept ist jedoch allgemein anwendbar. Es wird häufig in Lösungen zur Betrugsbekämpfung eingesetzt, beispielsweise im Banken- und Finanzsektor. Sie haben in der Vergangenheit wahrscheinlich schon einmal mit einer solchen App interagiert, wenn Sie sich für Bankgeschäfte oder zum Überprüfen Ihrer Aktienkurse angemeldet haben und die App Sie während des Vorgangs mit einer Ihrer Sicherheitsfragen belästigt hat – weil Sie sich von einem für Sie ungewöhnlichen Standort aus angemeldet haben oder ein neues Gerät bzw. einen anderen Browser verwendet haben.

Angesichts der Tatsache, dass ein erheblicher Prozentsatz der Kompromittierungen in den letzten 15 Jahren auf Probleme beim Application (hauptsächlich gestohlene Anmeldeinformationen) zurückzuführen war, was zu Betrug in Millionenhöhe und zum Verlust persönlicher Informationen führte, sind derartige Techniken für den Schutz von Unternehmens- und Privatdaten gleichermaßen von zunehmender Bedeutung. Laut dem Identity Fraud Report 2014 von Javelin Strategy & Research: Verstöße gegen Kreditkartendaten und unzureichende Passwortgewohnheiten der Verbraucher fördern beunruhigende Betrugstrends. 61 % der Verstöße sind im Allgemeinen auf gestohlene Zugangsdaten zurückzuführen. 

Und angesichts der zunehmenden Anzahl von „Dingen“, die weltweit mit Apps kommunizieren, ist die Notwendigkeit, „Dingen“ Zugriff auf Apps zu ermöglichen, existentiell.

Und das bedeutet traditionell eine Art Qualifikation. Anmeldeinformationen, die gestohlen und (missbraucht) werden können, um Chaos in internen Systemen, Netzwerken und Daten anzurichten.

Mir ist keine Organisation bekannt, die ernsthaft erwägt, alle möglicherweise erforderlichen „Dinge“ für den Zugriff auf eine Rolle zuzuweisen. Der hierfür erforderliche Umfang ist zwar möglich, jedoch nicht praktikabel. Darüber hinaus scheint die Zuweisung einer individuellen Identität zu jedem einzelnen „Ding“ eine unüberwindbare Herausforderung zu sein; mathematisch gesehen stellt dies eine Grenze* dar, die niemals erreicht werden kann. Tatsache ist jedoch, dass diese Dinge (und ihre Besitzer) Zugriff auf Apps benötigen, von denen sich zumindest einige in Ihrem Rechenzentrum selbst befinden könnten. Apps, die es aktivieren, steuern und darüber berichten.

Dies muss vor der Bereitstellung berücksichtigt werden. Vor der allgemeinen Verfügbarkeit. Bevor Millionen von Verbrauchern Ihr „Ding“ haben und versuchen, auf diese Apps zuzugreifen.

Überlegen Sie, wie Sie jetzt einen sicheren Zugriff gewährleisten können, bevor es zum Problem wird. Entwerfen Sie eine Lösung, die auf dem Kontext – auf Attributen – basiert , bevor Firmware- oder Software-Updates für zig Millionen Geräte erforderlich wären.

Der Hersteller einer Netzwerkschnittstelle (Ethernet, Bluetooth usw.) kann anhand der MAC-Adressen identifiziert werden . Dies ist eine äußerst wichtige Information bei der Fehlersuche in einem lokalen Netzwerk, insbesondere wenn der Techniker oder Bediener sie bei der Paketerfassung problemlos identifizieren kann. Es wird Möglichkeiten mit „Dingen“ geben, die dieselbe Art der attributbasierten Identifizierung bieten und die bei der Entwicklung und Implementierung eines ABAC-Systems hilfreich sein können. Keine MAC-Adressen, die außerhalb der lokalen Domäne nicht bestehen bleiben, sondern andere geräteidentifizierende Attribute, die in den Kommunikationsaustausch eingebettet und von den Zugriffs-Gatekeepern zur Bestimmung der Legitimität verwendet werden können.

Und angesichts der Menge der Dinge, die Sie identifizieren müssen, wenn Sie beim IoT mitspielen, werden Sie eines entwerfen und implementieren wollen.

Wenn Sie sich also intensiv mit dem IoT beschäftigen (und den Daten unseres demnächst erscheinenden Berichts „State of Application Delivery 2016“ zufolge tun dies ziemlich viele von Ihnen), ist es wirklich nicht zu früh, darüber nachzudenken, wie Sie den Zugriff sicher verwalten können. Nennen Sie es Kontext, nennen Sie es ABAC, nennen Sie es anders. Aber wie auch immer Sie es nennen, nennen Sie es nicht etwas, das Sie vergessen haben zu berücksichtigen – und danach zu handeln.

*Okay, ich gebe es zu. Mein Nebenfach im Grundstudium war tatsächlich Mathematik. Dort. Ich habe es gesagt.