Forcepoint will mit seiner kürzlich vorgestellten Converged Security Platform Sicherheit für Daten, Anwendungen und Geschäftsprozesse aus der Cloud heraus bereitstellen (LANline berichtete). Dazu analysiert Software laufend das Nutzerverhalten und erstellt einen dynamischen Risiko-Score. Ein interdisziplinäres Forschungslabor namens X-Labs soll nun helfen, das Benutzerverhalten noch besser zu verstehen und auswertbar zu machen.

Der US-amerikanische Security-Spezialist Forcepoint aus der texanischen Hauptstadt Austin sieht den Benutzer als Dreh- und Angelpunkt. „User-zentrische Security bedeutet, die IT-Sicherheit nicht nur von der Bedrohung her zu betrachten, sondern das Benutzerverhalten in den Mittelpunkt zu rücken“, erläutert Carsten Hoffmann, Manager Sales Engineering bei Forcepoint Deutschland. Denn, so Hoffmann: „Wenn ein Mitarbeiter im Unternehmen von seinem privaten Smartphone aus auf den geschäftlich benutzten Office-365-Account zugreift, sind alle Security-Investitionen der letzten 30 Jahre nutzlos.“

Dem begegnet man bei Forcepoint, indem man sämtliche Security-Tools in der Cloud bündeln, „as a Service“ (SecaaS) bereitstellen und kontinuierlich am Nutzerverhalten ausrichten will. Grundkonzept ist die laufende Überwachung der Endanwender in Kombination mit „risikoadaptiven“ Kontrollmechanismen: Die Cloud-basierte Software leitet Sicherheitsmaßnahmen – von der Aufforderung zur erneuten Authentifizierung bis zu Alarmen an das SOC-Team – ein, sobald das Verhalten eines Benutzers (genauer: Nutzerkontos) auffällig vom Normverhalten abweicht oder aber Verstöße gegen Richtlinien beinhaltet.

Die Verwendung des Scoring-Prinzips soll dabei verhindern, dass sich die Endanwender in ihrem Arbeitsalltag allzu schnell durch Sicherheitsmaßnahmen beeinträchtigt fühlen: „Das Ziel muss es sein, dem Nutzer für hohe Produktivität so viel Freiraum wie möglich zu geben und nur dann einzugreifen, wenn dies laut Risiko-Score erforderlich ist“, erläutert Hoffmann.

Der Score-Ermittlung dient das im Hause entwickelte „Adaptive Trust Profile“, eine Sammlung von Eigenschaften, Mustern und Schlussfolgerungen. Forcepoints Analysealgorithmen werten dazu gesammelte Daten von Sensoren aus, darunter Cloud-, Endpoint- und Drittanbieteranwendungen oder Services (einschließlich SaaS). Unter Nutzung künstlicher Intelligenz setze man die Ereignisse in ihren Kontext und errechne einen Risikowert auf Basis eines Verhaltenskatalogs, der „unzählige Szenarien“ beinhalte. Ein einfaches Beispiel: Der Risiko-Score steige, wenn ein bestimmter Account von einem anderen Ort als üblich oder einem bislang nicht genutzten Gerät auf Unternehmensdaten zugreift, oder wenn er Daten nutzen will, die nicht in seinen Aufgabenbereich fallen.

Vorbehalte gegen das laufende Monitoring von Mitarbeitern durch einen Cloud-Service lassen sich laut dem Forcepoint-Mann selbst im überwachungsskeptischen Deutschland ausräumen: „In deutschen Unternehmen sind durchaus auch Betriebsräte bereit, einer kontinuierlichen Überwachung des Benutzerverhaltens zuzustimmen – unter bestimmten Auflagen wie zum Beispiel einem Vier- oder Sechs-Augen-Prinzip bei der Auswertung personenbezogener Daten“, so Hoffmann. Denn auch auf Betriebsratsseite wisse man, dass es bei der Abwehr von IT-Angriffen und Industriespionage um das Wohl ihres Unternehmens geht. Was die Sicherheitslösung als auffälliges Verhalten eines Benutzers einstuft, sei schließlich häufig schlicht ein per Phishing gekaperter Benutzer-Account, den ein Angreifer missbraucht.

Deshalb sieht Hoffmann Einsatzmöglichkeiten nicht nur bei Konzernen, sondern bis weit in den Mittelstand hinein: „Der Einsatz von User Behavior Analytics hat weniger mit der Unternehmensgröße zu tun als mit der Risikolage des Unternehmens. Auch ein kleineres Unternehmen kann einem großen Risiko ausgesetzt sein. Man denke zum Beispiel an spezialisierte Trading-Agenturen im Rohstoffbereich oder die vielen ‚geheimen Weltmarktführer’ im deutschen Mittelstand.“

Für Sicherheits- und Abwehrmaßnahmen, die Forcepoint nicht mit eigenen Mitteln stemmen kann, bindet der Anbieter Lösungen von Partnern über offene APIs mit ein, zum Beispiel für Identity-Management oder Eskalationen per Service-Desk. Zu den Partnern zählen AWS, IBM Security, Microsoft und Citrix ebenso wie zum Beispiel Ping Identity.

Forcepoint erhebt den Anspruch, nicht einfach nur das Verhalten von Endpunkten zu überwachen, sondern das Mitarbeiterverhalten aus Security-Sicht zu bewerten. Um diesem Anspruch gerecht zu werden, hat der US-Anbieter nun ein Forschungslabor namens X-Labs eröffnet. Dort denke man über reine IT-Belange hinaus: „In unserem Research Lab arbeiten nicht nur IT-Fachleute, sondern auch Psychologen, Datenwissenschaftler und Verhaltensforscher“, betont Hoffmann.

Die Spezialisten der X-Labs sind laut Forcepoint über mehrere Länder verteilt. Teams gibt es nicht nur mit Sitz in Austin, Texas, sondern auch in weiteren US-Städten, zudem in Cork und Dublin (Irland), Reading (UK) und im finnischen Helsinki. Ziel sei es, verhaltensbasierte Sicherheitslösungen rund um das Thema „Mensch und Maschine“ zu entwickeln. Dazu greife man auf die Daten und Erkenntnisse aus dem gesamten Forcepoint-Produktportfolio zurück, um den „risikoadaptiven“ Schutz voranzutreiben.

Weitere Informationen finden sich unter www.forcepoint.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.