Die letzte Meile der Sicherheit: Der Benutzer

Wenn wir bei Netzwerken von der „letzten Meile“ sprechen, meinen wir normalerweise den Abschnitt des Internets, auf dem Daten zwischen dem Netzwerk des Anbieters und dem Netzwerk des Benutzers übertragen werden. Früher war das für die meisten Verbraucher eine einzelne Maschine. Heute handelt es sich um eine Kombination aus Router und Zugriffspunkt, die letztlich ein weiteres Netzwerk darstellt.

Der Grund hierfür liegt im Allgemeinen darin, dass wir (als Anbieter von Lösungen zur Leistungsoptimierung) über diesen Teil der Pipeline keine wirkliche Kontrolle hatten. Alles, was wir zur Beschleunigung der App-Bereitstellung tun konnten, hatten wir zu diesem Zeitpunkt bereits getan. Denn an den Geräten, die die letzte Meile zwischen Anbieter und Benutzer bilden, konnten wir nicht wirklich herumbasteln.

Dies trifft im Wesentlichen auch heute noch zu, obwohl es für uns sicherlich immer noch Möglichkeiten gibt, in die höheren Schichten des Netzwerks (Schichten 4 – 7) einzugreifen, um die Leistung auch ohne diese Kontrolle zu verbessern. Doch wenn es um Sicherheit geht, ist die „letzte Meile“ ein echtes Problem, insbesondere für Unternehmen, deren Hauptnutzer Privatkunden sind.

Denn die letzte Meile in Sachen Sicherheit ist der Benutzer, genauer gesagt das Gerät des Benutzers, der PC oder dieses „Ding“, das seiner Mutter-App im Himmel (auch bekannt als Cloud) Bericht erstattet. Da es bei vielen Interaktionen zwischen Verbrauchern und Anbietern um Geld geht, ist ein hohes Maß an Sensibilität hinsichtlich der Sicherheit dieser Transaktionen erforderlich.

Diese und ähnliche Leistungsprobleme der Vergangenheit sind äußerst schwer zu bewältigen, wenn man „die letzte Meile“ nicht beherrscht.

Das könnte erklären, warum 30 % der Teilnehmer der diesjährigen Umfrage „State of Application Delivery“ angaben, ein „Endpunktschutz vor Betrug“ sei wichtig für die Einführung von Cloud Computing in ihrem Unternehmen.

Bedenken Sie, dass dieselben Befragten heute Anwendungen über das gesamte Kommunikationsspektrum hinweg sichern: vom Client über die von ihm gestellten Anfragen bis hin zu den zurückgegebenen Antworten. Zwar scheinen sich die Organisationen je nach Anwendung zu unterscheiden, doch gibt es eine beträchtliche Anzahl von Organisationen, die immer (oder das haben sie uns zumindest gesagt) Schutz vor allen drei potenziellen Bedrohungsvektoren ermöglichen.

Angesichts der zunehmenden Menge an Malware und des anhaltenden Erfolgs von Phishing-Versuchen überrascht es nicht, dass sich viele einen Betrugsschutz auf dem Client (Endpunkt) für die Cloud wünschen. Es wäre nur überraschend, wenn dies nicht auch für Apps vor Ort gelten würde.

Beim Betrugsschutz geht es darum, Sicherheit für die „letzte Meile“ – den Benutzer – in einer Anwendungswelt zu ermöglichen, in der die Kontrolle über Geräte, Dinge und Apps in den Händen des Benutzers nicht immer möglich ist. Moderner Schutz vor Betrug wird oft als reines Problem der Finanzbranche angesehen. Tatsächlich werden jedoch nur 25 % der realen Schadsoftware von Antivirenprogrammen erkannt. Und obwohl diese Malware wie der Honigdachs auf Finanzdaten abzielt, mit denen Endbenutzer interagieren, ist es ihr egal, ob dabei zufällig Unternehmensanmeldeinformationen abgegriffen werden. Und wenn sie erst einmal auf dem freien Markt sind, können Sie sicher sein, dass es jemanden gibt, der dafür bezahlt.

Der Sicherheitsbereich verändert sich. Die Cloud, die Aufgliederung von Anwendungen in Mikrodienste und APIs sowie die Bereitstellung nativer mobiler Anwendungen haben zu einer drastischen Abkehr von der traditionellen Festungsmauer hin zu einem mobileren Ansatz nach dem Motto „Wagenburg“ zum Schutz von Apps geführt. Die „App“ stellt nun den Perimeter dar, wir müssen jedoch bei unseren Bemühungen wachsam sein, um sicherzustellen, dass keine Komponente der „App“ ausgelassen wird. Dies bedeutet manchmal, dass ein Perimeter um den Client herum erweitert werden muss, wenn auch nur vorübergehend.

Der Schutz vor Internetbetrug ist nicht mehr nur auf Bankgeschäfte beschränkt. Unternehmen, denen die allgemeine Stärke ihrer Sicherheitslage und ihr Engagement für den „immer“-Schutz ihrer Kunden wichtig sind, müssen den modernen Schutz vor Betrug dahingehend bewerten, wie dieser dazu beitragen kann, zu verhindern, dass Schadsoftware, Viren und andere Stealth-Angriffe Unternehmensanmeldeinformationen entwenden.