Aus dem Unterricht des CAS Digital Finance mit Peter Gassmann berichtet Mirco Stoffel:

Was sind wichtige Stellschrauben beim Design und der Implementation von digitalen Angeboten in Bezug auf Cybersecurity? Die Ausgangslage sollte allen klar sein: Jede Organisation, die das Internet in irgend einer Form nutzt, setzt sich bewusst den Risiken einer Cyber-Attacke aus. Das jüngste Ereignis aus der Schweiz, der Datenklau bei Swisscom, zeigt dies erneut deutlich auf.

Cybersecurity

Um Cyber-Criminal zu werden, benötigt es keine tiefgreifenden Kenntnisse mehr. Cyber-Crime (Crime as a Service) kann einfach als Service in der Form von Tools aus dem Internet bezogen werden. Dieser und weitere Trends, wie die wachsende Flut von Malware, unterstreichen dass es beim Thema Cybersecurity um weit mehr als den Schutz einer Website geht. Potentielle Angreifer gibt es viele. Von Skript-Kiddies, die maximal Ruhm und Ehre erlangen wollen, bis hin zu Cyber-Terroristen mit wirtschaftlichen, politischen oder religiös-extremistischem Hintergrund. Aktuelle IT Trends allen voran Internet-of-Things haben einen grossen Einfluss auf die Sicherheit, sie bieten den Hackern weitere Angriffsmöglichkeiten. Die Art der Bedrohungen können in einer Pyramide wie folgt dargestellt werden:

Wieviel Sicherheit braucht man, um sich vor den drohenden Gefahren aus dem Internet effizient schützen zu können? Diese Frage ist nicht einfach zu beantworten. Wo der Level an Sicherheit bei minimalen Kosten liegt, muss jedes Unternehmen für sich selbst beantworten. Um das Risiko einer Attacke jederzeit sehr gering zu halten, sind oft sehr kostspielige Massnahmen notwendig. Die nachfolgende IT Security Landkarte zeigt drei Dimensionen auf denen Massnahmen ergriffen werden können.

Nachfolgend werden die Themen Access Management und Digital Identities kurz beleuchtet.

Access Management

Beim Thema Access Management geht es um die Verwaltung von Zugriffen (Zugriffsrecht) auf Systeme und/oder Applikationen. Bekannte Begriffe zu diesem Thema sind Authentifizierung, Zugangsdaten (Credentials), Autorisierung oder auch der Begriff Single-Sign-On. Besitzt ein System oder eine Applikation einen Mechanismus zur Authentifizierung mit nur einem Faktor (Benutzername und Passwort), dann wird von einer schwachen Authentifizierung gesprochen. Verwenden jedoch Systeme zwei oder mehr Faktoren, wird von ‚Strong Authentication‘ gesprochen.

Digitale Identitäten

Eine Person besitzt oft mehrere digitale Identitäten, um verschiede Zugangsberechtigungen zu erhalten. Im Schnitt hat jede Person im Alter zwischen 31 und 40 Jahren etwa 36 digitale Identitäten, von denen im Durchschnitt maximal fünf pro Tag benutzt werden. Eine digitale Identität setzt sich vereinfacht aus den folgenden Merkmalen zusammen:

  • Identifikation /LoginID (Benutzername)
  • Passwort
  • Rolle/Berechtigung (User, Administrator, etc.)
  • Attribute (Firstname, Lastname, E-Mail, etc.)

Im Rahmen dieser Vorlesung wurden die folgenden Key take aways von digitalen Identitäten für Digital Finance definiert:

Mit Access Management und digitalen Identitäten wurden zwei wichtige Stellschrauben beim Design und der Implementation von digitalen Angeboten definiert. Eine weiteres wichtiges Merkmal ist der Onboarding Prozess. Mit einem schlechten Onbarding Prozess verliert man nämlich Kunden.