Anzeige

Casino

Ob Roulette, Black Jack oder einarmige Banditen: In Casinos wartet das große Geld. Daher müssen sie sich umfassend vor Dieben und Betrügern schützen, ohne die anderen Gäste zu beeinträchtigen. Viele Sicherheitsstrategien lassen sich dabei in die virtuelle Welt übertragen.

Sowohl für Casinos als auch für Web-Anwendungen ist ein mehrschichtiger Ansatz besonders wichtig. In Las Vegas stehen Wachen an der Eingangstür, Kameras erfassen jeden Winkel und für den Zugang zum Kassenraum sind zum Beispiel spezielle Schlüssel, PIN-Eingaben und Smartcards nötig.

Unternehmen können von diesem Sicherheitsansatz für ihre Web-Anwendungen lernen. Zum Beispiel fungieren Web Application Firewalls (WAF) als eine Art Türwächter, die alle ein- und ausgehenden Daten kontrollieren. Monitoringsysteme überwachen – ähnlich wie Sicherheitskameras – das Verhalten von Anwendungen, um verdächtige Aktionen aufzudecken. Und für den Zugang zu sensiblen Bereichen wie besonders schützenswerte Informationen erfordert eine Multifaktor-Authentifizierung etwa die Eingabe von ID, Kennwort und Fingerabdruck.

Auch bei genauerem Blick gibt es erstaunlich viele Parallelen. So basiert der Sicherheitsansatz von Casinos auf unterschiedlichen Sensibilitätsbereichen, ähnlich wie eine Segmentierung mit unterschiedlichen Sicherheitsstufen. Unternehmen sollten daher ihre Web-Anwendungen mit einer ähnlichen Strategie wie Casinos absichern.

Allgemeine Bereiche 

Dort beginnt die Security mit den Türstehern als grundlegende Eingangskontrolle. Sie weisen bekannte Betrüger und offensichtliche Störenfriede ab. Alle anderen Gäste kommen erstmal ohne Ausweis herein, werden aber ständig durch Security-Personal und Sicherheitskameras auf verdächtiges Verhalten beobachtet.

Entsprechend erhalten auch bei Web-Anwendungen im ersten Schritt alle Nutzer Zugriff, die nicht bekannte Cyberkriminelle sind oder eine verdächtige IP-Adresse verwenden. Hierzu dient schon eine einfache Firewall mit aktuellen Deny-Listen. Doch grundsätzlich sind dann alle Nutzer auf ungewöhnliche Aktivitäten hin zu beobachten. Dazu sollten Unternehmen umfassende Monitoring-Systeme einsetzen, die bei seltsamen Anfragen oder Transaktionen Alarmmeldungen an das Security-Team ausgeben.

Vorsicht: Betrüger!

Die nächste Sicherheitsstufe im Casino bilden die „normalen“ Spieltische, an die sich jeder Gast setzen kann. Obwohl es hier meist um überschaubare Summen geht, kommen zusätzlich biometrische Identifizierungssysteme zum Einsatz. Damit lassen sich etwa Kartenzähler oder Banden erkennen, die sich über Zusammenarbeit bei Spielen wie Black Jack einen Vorteil verschaffen. 

In diesem Sinne wird der öffentliche Bereich eines Casinos wie mit einer modernen, intelligenten Firewall abgesichert. Diese bietet zusätzlich Schutz vor bekannten Angriffssignaturen und erkennt Anomalien. Damit lassen sich auch Betrüger erkennen, die bislang unbekannte Methoden verwenden.

Registrierte Gäste

Eine weitere Sicherheitsebene im Casino bilden die Etagen mit Gästezimmern sowie Spas oder Fitnessstudios. Für den Zugang sind hier eine Registrierung an der Rezeption sowie der Zimmerschlüssel – heute meist als Smartcard – nötig. 

Wer bei Web-Anwendungen nicht nur allgemeine Funktionen wie Suche oder Testmöglichkeiten nutzen will, muss sich ebenfalls registrieren und erhält ein Passwort. So lässt sich bei Missbrauch oder Zahlungsverweigerung der Nutzer identifizieren.

Stammkunden

Die meisten Casinos verfügen über exklusive Bereiche, die nur für Stammkunden oder VIPs zugänglich sind. Diese lassen sich zusätzlich mit biometrischen Merkmalen wie Fingerabdrucklesern oder Netzhautscannern absichern.

Auch bei Web-Anwendungen können spezielle Sicherheitsmaßnahmen für wiederkehrende Nutzer eingerichtet werden. Diese müssen sich zwar im ersten Schritt aufwendiger registrieren, etwa durch Eingabe einer Personalausweisnummer oder einen Video-Call. Dafür erhalten sie dann speziellen Zutritt auf hochpreisige Angebote oder können mit Hilfe einer Multifaktor-Authentifizierung auf einfachere Weise Produkte zu speziellen Konditionen bestellen.

Zutritt verboten

Für bestimmte Bereiche dürfen Gäste überhaupt keinen Zutritt erhalten. Dies gilt sowohl für die Personalräume als auch für die Kassen. Während der Personalbereich häufig nur durch abgeschlossene Türen und Hinweisschilder abgesichert ist, gilt für Kassen die Hochsicherheitsstufe.

Auch bei Web-Anwendungen kann es interne, durch Passwort geschützte Bereiche geben. Doch der Zugang zu Finanzdaten oder personenbezogenen Informationen ist mit strengsten Sicherheitsmaßnahmen zu schützen. So dürfen Externe hier keinerlei Zugriff erhalten. Und selbst interne Mitarbeitende sollten nur die Daten lesen und bearbeiten dürfen, für die es in ihrer Rolle absolut nötig ist – nach dem Prinzip Least Privilege.

Fazit

Eine Segmentierung mit verschiedenen Sicherheitsstufen ist heute für Web-Anwendungen ebenso nötig wie für Casinos und Banken. Denn legitime Kunden sollen die Dienste möglichst reibungslos nutzen können, während Diebe und Betrüger effektiv und lückenlos abgewehrt werden. Zudem lassen sich Kriminelle, die trotz aller Vorsichtsmaßnahmen eingedrungen sind, über Firewalls oder Sicherheitstüren auf den betroffenen Bereich eingrenzen, um den Schaden zu minimieren. 

Roman Borovits, Senior Systems Engineer
Roman Borovits
Senior Systems Engineer, F5 Networks
Roman Borovits ist als Sr. Systems Engineer für F5 Networks in der Region Deutschland, Österreich und Schweiz tätig und blickt im Bereich Netzwerk & Security auf fast 20 Jahre Berufserfahrung zurück. Sein universitärer Background liegt im Bereich Business Process Engineering & Management. Die Themenschwerpunkte bei F5 liegen im Bereich Cloud & Automatisierung. Dazu zählt die Integration von Layer 4-7 Services in hochautomatisierte Workflows, das Verständnis für moderne Toolchains sowie intensive Kenntnis über Private & Public Cloud Architekturen. Die Integration von Security Services für Webanwendungen und APIs, vor allem wenn diese über automatisierte Prozesse entstehen, sieht er als eine der großen Herausforderungen der gegenwärtigen IT, die sich mit immer kürzeren Release Zyklen konfrontiert sieht.

Artikel zu diesem Thema

Multi-Faktor-Authentifizierung
Aug 20, 2021

Passwortlose Multifaktor-Authentifizierung gibt Datendieben keine Chance

Credential Stuffing ist eine stark wachsende Bedrohung für die Datensicherheit. Dabei…
Webanwendungen
Apr 23, 2021

Schwachstellen moderner Webanwendungen im Griff behalten

Selbst erfolgreiche Veränderungen ziehen nicht selten eine gemischte Bilanz nach sich.…
Monitoring
Apr 08, 2021

Modular vs. All-in-One: Welche Monitoring-Lösung eignet sich am besten?

Je größer Netzwerke werden, desto wichtiger ist es, einen Überblick zu haben. Dazu setzen…

Weitere Artikel

Smartphone

Wie kann man die Sperrfunktion des Smartphones umgehen?

Komfort und Sicherheit verhalten sich in der IT oft ähnlich in ihrem Verhältnis zueinander wie Freiheit und Sicherheit. Das eine geht nur auf Kosten des anderen. Ein aktuelles Beispiel bietet die Apple Pay „Express Transit“-Funktionalität.
Digital Wallet

Das Datenschutz-Fiasko mit der ID Wallet-App

Spätestens im Zuge der Corona-Pandemie und den neuen Homeoffice-Regelungen ist klar geworden: Deutschland muss digitaler werden. Der Bund hat nun mit der ID Wallet-App einen kleinen Schritt in die Zukunft gewagt – und ist krachend gescheitert.
Mobile Security

Schlechte Integration macht Vorteile mobiler Technologien zunichte

Die neue globale Studie „A Defining Year: State of Mobility 2021 Report“ des IoT- und Mobile-Management-Experten SOTI zeigt: Die unzureichende Integration mobiler Technologien in die firmeneigene IT-Infrastruktur schwächt Unternehmen in einem offenbar…
Android

Die Risiken von Android-Apps: Wie sicher sind sie wirklich?

Haben Sie sich schonmal gefragt, was Android-Apps auf Ihrem Handy alles anstellen? mediaTest hat den Test gemacht und gewährt einen Einblick in die Datenbank: Die Sicherheitsexperten haben Hunderttausende Android-Appversionen datenschutztechnisch unter die…
mobile security

Mobile Security - was man über das “Mobilsein” wissen sollte

In einer Welt, in der das eigene Handy - so denkt man - nicht mehr aus den Augen gelassen wird, geht der Mensch oft davon aus, dass es auch entsprechend sicher ist: Immerhin hat niemand sonst Zugriff auf das Gerät.
Wahl-O-Mat

Wahl-O-Mat und WahlSwiper im Datenschutz-Test

Am 26. September ist Bundestagswahl. Doch fast jede zweite wahlberechtigte Person weiß noch nicht, wem sie seine Stimme geben soll. Für Unentschlossene stellen Wahlhilfe-Apps wie der Wahl-O-Mat oder der WahlSwiper eine echte Hilfe bei der Wahlentscheidung dar.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.