IT-Sicherheit als Enabler neuer Dienstleistungen

Was meinen wir mit IT-Sicherheit als Enabler? Gemäss unserer Erfahrung manifestiert sich die Informationssicherheit in Projekten oft als Innovationshindernis. Security sollte jedoch vermehrt als Schritt zur Ermöglichung von neuen Businessideen und Dienstleistungen angesehen werden. So wurde zum Beispiel ein Online-Bezahlsystem wie PayPal nur möglich, weil das Betrugsproblem gelöst werden konnte; Dokumenten-Schutzsysteme ermöglichen elektronische Workflows, die früher nicht realisierbar waren; und adäquate Sicherheitslösungen schaffen eine Grundlage, um die vollen Vorteile von Cloud Computing zu nutzen.

Wir haben über die Zeit verschiedene Beispiele von technokratischer IT Security gesehen, wie etwa Authentifizierungsverfahren für E-Banking Systeme mit vernünftiger Security aber tiefer Benutzerfreundlichkeit.

Authentifizierungsverfahren für E-Banking müssen sich ständig neuen Herausforderungen stellen. mTAN ist ein gutes Beispiel einer bequemen und sicheren Authentifizierungslösung. Allerdings tauchen mit der steigenden Benutzung von Smartphones für mobiles Banking diese Geräte vermehrt im Fadenkreuz der Angreifer auf. Die Verwendung von mTAN in Kombination mit mobilen Business-Services ist keine gute Idee. Nicht zuletzt darum dauert die Suche nach Authentifizierungs-Mechanismen der nächsten Generation – unter Berücksichtigung des Tradeoffs zwischen Sicherheit und Benutzbarkeit –an. Die Acrea hat ihre eigenen Methoden zur Analyse und Begrenzung von Risiken in Bereichen wie der E-Banking Authentifizierung entwickelt. Damit ist sie in der Lage, solche Vorhaben zu unterstützen.

Security-Architekturen sind häufig gebaut wie eine Festung; sobald aber neue Internetdienste angeboten oder die B2B-Kommunikation zwischen Services ermöglicht werden soll, erweisen sich diese Architekturen oft als zu unflexibel.

Security-Architekturen müssen für die Zukunft gebaut werden. Dabei sollten aktuelle und zukünftige Trends - wie etwa die verschwindenden Grenzen zwischen Internet und Intranet, soziale Medien und das mobile Internet - mit einbezogen werden. Eine Möglichkeit besteht darin, dass Firmen ihre IT-Security-Architektur auf der Basis von Bausteinen definieren, welche im Laufe der Zeit hinzugefügt oder ersetzt werden können. Um zum Beispiel Optimierungen auf Business- oder Operations-Seite durch Outsourcing zu erreichen, muss die IT-Security-Architektur Bausteine für Datenanonymisierung, verteilte Entwicklung und Test-Infrastrukturen bereitstellen. Das Design und die Implementierung solcher Bausteine stellt eine grosse Herausforderung dar und verlangt nach einem hohen Grad an Expertise.

Acrea hat sehr viel Erfahrung in der Definition von Sicherheitsarchitekturen und der Entwicklung von modernen Bausteinen, so zum Beispiel in den Bereichen Usage Control und Online-Authentisierung. Wir können Ihnen zeigen, wie Hindernisse im Bereich der IT-Sicherheit überwunden werden können und wie Security als Enabler für neue Business-Dienstleitungen dienen kann.