Thought Leadership
Ob Roulette, Black Jack oder einarmige Banditen: In Casinos wartet das große Geld. Daher müssen sie sich umfassend vor Dieben und Betrügern schützen, ohne die anderen Gäste zu beeinträchtigen. Viele Sicherheitsstrategien lassen sich dabei in die virtuelle Welt übertragen.
Sowohl für Casinos als auch für Web-Anwendungen ist ein mehrschichtiger Ansatz besonders wichtig. In Las Vegas stehen Wachen an der Eingangstür, Kameras erfassen jeden Winkel und für den Zugang zum Kassenraum sind zum Beispiel spezielle Schlüssel, PIN-Eingaben und Smartcards nötig.
Unternehmen können von diesem Sicherheitsansatz für ihre Web-Anwendungen lernen. Zum Beispiel fungieren Web Application Firewalls (WAF) als eine Art Türwächter, die alle ein- und ausgehenden Daten kontrollieren. Monitoringsysteme überwachen – ähnlich wie Sicherheitskameras – das Verhalten von Anwendungen, um verdächtige Aktionen aufzudecken. Und für den Zugang zu sensiblen Bereichen wie besonders schützenswerte Informationen erfordert eine Multifaktor-Authentifizierung etwa die Eingabe von ID, Kennwort und Fingerabdruck.
Auch bei genauerem Blick gibt es erstaunlich viele Parallelen. So basiert der Sicherheitsansatz von Casinos auf unterschiedlichen Sensibilitätsbereichen, ähnlich wie eine Segmentierung mit unterschiedlichen Sicherheitsstufen. Unternehmen sollten daher ihre Web-Anwendungen mit einer ähnlichen Strategie wie Casinos absichern.
Allgemeine Bereiche
Dort beginnt die Security mit den Türstehern als grundlegende Eingangskontrolle. Sie weisen bekannte Betrüger und offensichtliche Störenfriede ab. Alle anderen Gäste kommen erstmal ohne Ausweis herein, werden aber ständig durch Security-Personal und Sicherheitskameras auf verdächtiges Verhalten beobachtet.
Entsprechend erhalten auch bei Web-Anwendungen im ersten Schritt alle Nutzer Zugriff, die nicht bekannte Cyberkriminelle sind oder eine verdächtige IP-Adresse verwenden. Hierzu dient schon eine einfache Firewall mit aktuellen Deny-Listen. Doch grundsätzlich sind dann alle Nutzer auf ungewöhnliche Aktivitäten hin zu beobachten. Dazu sollten Unternehmen umfassende Monitoring-Systeme einsetzen, die bei seltsamen Anfragen oder Transaktionen Alarmmeldungen an das Security-Team ausgeben.
Vorsicht: Betrüger!
Die nächste Sicherheitsstufe im Casino bilden die „normalen“ Spieltische, an die sich jeder Gast setzen kann. Obwohl es hier meist um überschaubare Summen geht, kommen zusätzlich biometrische Identifizierungssysteme zum Einsatz. Damit lassen sich etwa Kartenzähler oder Banden erkennen, die sich über Zusammenarbeit bei Spielen wie Black Jack einen Vorteil verschaffen.
In diesem Sinne wird der öffentliche Bereich eines Casinos wie mit einer modernen, intelligenten Firewall abgesichert. Diese bietet zusätzlich Schutz vor bekannten Angriffssignaturen und erkennt Anomalien. Damit lassen sich auch Betrüger erkennen, die bislang unbekannte Methoden verwenden.
Registrierte Gäste
Eine weitere Sicherheitsebene im Casino bilden die Etagen mit Gästezimmern sowie Spas oder Fitnessstudios. Für den Zugang sind hier eine Registrierung an der Rezeption sowie der Zimmerschlüssel – heute meist als Smartcard – nötig.
Wer bei Web-Anwendungen nicht nur allgemeine Funktionen wie Suche oder Testmöglichkeiten nutzen will, muss sich ebenfalls registrieren und erhält ein Passwort. So lässt sich bei Missbrauch oder Zahlungsverweigerung der Nutzer identifizieren.
Stammkunden
Die meisten Casinos verfügen über exklusive Bereiche, die nur für Stammkunden oder VIPs zugänglich sind. Diese lassen sich zusätzlich mit biometrischen Merkmalen wie Fingerabdrucklesern oder Netzhautscannern absichern.
Auch bei Web-Anwendungen können spezielle Sicherheitsmaßnahmen für wiederkehrende Nutzer eingerichtet werden. Diese müssen sich zwar im ersten Schritt aufwendiger registrieren, etwa durch Eingabe einer Personalausweisnummer oder einen Video-Call. Dafür erhalten sie dann speziellen Zutritt auf hochpreisige Angebote oder können mit Hilfe einer Multifaktor-Authentifizierung auf einfachere Weise Produkte zu speziellen Konditionen bestellen.
Zutritt verboten
Für bestimmte Bereiche dürfen Gäste überhaupt keinen Zutritt erhalten. Dies gilt sowohl für die Personalräume als auch für die Kassen. Während der Personalbereich häufig nur durch abgeschlossene Türen und Hinweisschilder abgesichert ist, gilt für Kassen die Hochsicherheitsstufe.
Auch bei Web-Anwendungen kann es interne, durch Passwort geschützte Bereiche geben. Doch der Zugang zu Finanzdaten oder personenbezogenen Informationen ist mit strengsten Sicherheitsmaßnahmen zu schützen. So dürfen Externe hier keinerlei Zugriff erhalten. Und selbst interne Mitarbeitende sollten nur die Daten lesen und bearbeiten dürfen, für die es in ihrer Rolle absolut nötig ist – nach dem Prinzip Least Privilege.
Fazit
Eine Segmentierung mit verschiedenen Sicherheitsstufen ist heute für Web-Anwendungen ebenso nötig wie für Casinos und Banken. Denn legitime Kunden sollen die Dienste möglichst reibungslos nutzen können, während Diebe und Betrüger effektiv und lückenlos abgewehrt werden. Zudem lassen sich Kriminelle, die trotz aller Vorsichtsmaßnahmen eingedrungen sind, über Firewalls oder Sicherheitstüren auf den betroffenen Bereich eingrenzen, um den Schaden zu minimieren.
