Adyen ist ein weltweit agierender Zahlungsdienstleister, der Transaktionen für renommierte Marken wie Meta, Microsoft und eBay abwickelt. In der Welt der Zahlungsdienstleistungen, in der Sicherheit von entscheidender Bedeutung ist, ist der Einsatz einer Zero-Trust-Architektur elementar. Das Unternehmen sucht stets nach Möglichkeiten, dynamischen Bedrohungen einen Schritt voraus zu sein. Kürzlich hat sich das Team das ehrgeizige Ziel gesetzt, eine zu 100 % Phishing-resistente Authentifizierung im gesamten Unternehmen zu erreichen.
Dabei ging es für Adyen nicht nur um die Bereitstellung eines neuen Sicherheitstools, sondern auch darum, fast 5.000 Mitarbeitern einfachen und sicheren Zugriff auf Unternehmensdaten zu ermöglichen. Durch den Rollout von Okta FastPass und Identity Threat Protection konnte Adyen erreichen, dass für 99,6 % aller Zugriffsabläufe Phishing-resistente Authentifizierung verwendet wird. Außerdem wurde die Authentifizierung um 90 % beschleunigt. Zudem wehrte das Unternehmen einen potenziell schädlichen Phishing-Angriff ab, bei dem keine Accounts kompromittiert wurden. Insgesamt hat dies zu einer stärkeren Sicherheitslage, höherer Benutzerzufriedenheit und geringerem Betriebsaufwand geführt.
Mehr als herkömmliche Sicherheitsmaßnahmen
Obwohl Adyen starke Sicherheitskontrollen wie Adaptive MFA implementiert hatte, war dem Team bewusst, dass die Angriffsmethoden immer raffinierter werden. Leandro Dimitrio, Systems Engineer bei Adyen, sagt: „Wir haben uns frühzeitig dafür entschieden, FastPass auf möglichst sichere und skalierbare Weise zu implementieren.“ Das Team hatte verstanden, dass Adaptive MFA zwar verdächtige Anmeldungen erkennen konnte, schwächere Authentifizierungsfaktoren wie SMS oder einmalige Passcodes (OTP) jedoch weiterhin für Angriffe anfällig waren.
Neben den Benutzer-Logins erkannten die Mitarbeiter weitere Risiken. So mussten langlebige Sessions (z. B. in Gmail) abgesichert werden, und es musste verhindert werden, dass Benutzer oder potenzielle Angreifer solche Sessions von einem Firmen-Laptop auf ein nicht verwaltetes Gerät verschieben.
Um diese Herausforderungen zu bewältigen, benötigte Adyen eine Lösung, die die Erstauthentifizierung schützt, Benutzer-Sessions kontinuierlich auf Bedrohungen überwacht und Richtlinien während und nach dem Login durchsetzt.
Ein auf Phishing-Schutz ausgerichteter Ansatz
Die erste Maßnahme war die umfassende Bereitstellung von Okta FastPass. Zunächst entfernte das Team alle schwachen Authentifizierungsmethoden und wies die Benutzer in die Registrierung mit FIDO2 oder einem gerätegebundenen Passcode ein. Außerdem konnten schwächere Authentifikatoren wie SMS, Push-Benachrichtigungen oder OTPs nicht mehr als Rückfalllösung genutzt werden, sodass Angreifer Benutzer-Accounts nicht einfach durch Phishing kompromittieren können.
Die Richtlinie deckt ca. 5.000 Benutzer auf macOS-, Windows- und Mobilgeräten ab und bietet eine einfache, einheitliche und sichere Experience ab dem ersten Tag. Zudem ist sie vollständig in die Systeme zur Verwaltung von Mobilgeräten und Enterprise-Assets integriert. Der echte Game Changer ist jedoch die vollständig automatisierte Geräte-Provisionierung mit Okta Workflows.
KI-gestützte Erkennung und Abwehr von Identity-Bedrohungen
Die Schutzmaßnahmen von Adyen waren jedoch noch umfassender. Das Team implementierte Identity Threat Protection, um Identity-basierte Angriffe während und nach der Authentifizierung zu erkennen und zu stoppen.
Mit Identity Threat Protection wird das Session-Risiko kontinuierlich analysiert, sodass Anomalien im erwarteten Session-Verhalten sowie bekannte aktive Bedrohungen identifiziert werden. Wenn eine Bedrohung erkannt wird, kann Identity Threat Protection Echtzeitmaßnahmen wie zusätzliche MFA-Abfragen, Universal Logout oder benutzerdefinierte Aktionen über Okta Workflows ergreifen.
„Identity Threat Protection trägt zur Einhaltung der Geräte-Compliance während der Session bei“, erläutert Alexander Makarov, IAM Staff Engineer bei Adyen. „Die Lösung beendet auch ungewöhnliche Session-Aktivitäten und verhindert, dass Mitarbeiter – und potenzielle Angreifer – Sessions von verwalteten auf nicht verwaltete Geräte verschieben. Dies ist besonders wichtig, da wir in verschiedenen Ländern Banklizenzen besitzen und unsere Laptops stark abgesichert sind.“
Universal Logout ist für viele der geschäftskritischen Anwendungen von Adyen (z. B. Salesforce, Google Workspace, Slack und Zoom) aktiviert. Mit der Funktion lassen sich alle Okta-Benutzer-Sessions sofort beenden, sodass Identity-basierte Angriffe in diesen Anwendungen gestoppt werden. Die Richtlinien helfen Adyen, jederzeit starke Identity-Sicherheit für alle Benutzer zu gewährleisten.
„Um die Transparenz zu erhöhen und SOC-Reaktionen zu optimieren, werden alle Identity Threat Protection-Ereignisse in die SIEM-Lösung von Adyen gestreamt, was dem SOC-Team eine schnelle Triage und Untersuchung von Sicherheitsvorfällen ermöglicht“, so Makarow. „Dieses mehrstufige Modell verbessert die Transparenz, verkürzt die Reaktionszeit und passt unsere Threat-Response an moderne Angriffsmuster an.“
Darüber hinaus wünscht sich Adyen, dass mehr SaaS-Anbieter Universal Logout standardmäßig anbieten, damit alle Anwendungen des Unternehmens besseren und einheitlicheren Schutz erhalten.
Das Ergebnis: eine geschützte und produktivere Belegschaft
Durch die Kombination von Okta FastPass und Okta Identity Threat Protection konnte Adyen Folgendes erreichen:
- Null kompromittierte Accounts: Im Rahmen einer hochentwickelten Phishing-Kampagne, bei der die Okta-Login-Seite imitiert wurde, verzeichnete Adyen null kompromittierte Accounts. Da es keine ausnutzbare OTP-Option gab, konnten die Angreifer keine Anmeldedaten stehlen. Damit hat sich Adyens strenge Richtlinie zur FastPass-Authentifizierung in einem realen Szenario als wirksam bestätigt.
- Phishing-resistente Authentifizierung bei 99,6 % der Zugriffe: Durch die sofortige aktive Nutzung von FastPass sowie durch eine entsprechende Einweisung der Benutzer hat Adyen nahezu perfekten Phishing-Schutz für Mitarbeiterzugriffe erreicht. Dank einer schrittweisen Deaktivierung nicht verwendeter Authentifizierungsfaktoren wie Google Authenticator und SMS konnte binnen 100 Tagen eine Akzeptanzrate von 99 % erzielt werden.
- Eine um 90 % schnellere Authentifizierung: Obwohl Sicherheit oberste Priorität hatte, wurde auch die User Experience deutlich verbessert. Die Authentifizierungszeiten wurden von 30 Sekunden auf nur 3 Sekunden pro Anwendung gesenkt – eine Verbesserung um 90 %.
- Zeitersparnis und Produktivität: Die Automatisierung von Identity-Workflows – von der sicheren Provisionierung bis zum Offboarding – ersparte dem Engineering-Team 13 bis 15 Stunden pro Woche. Zudem hat dies eine Beschleunigung der Audit-Prozesse, einen verbesserten Gesamtdurchsatz des Benutzerlebenszyklus und höhere Zuverlässigkeit ermöglicht.
- Verbesserte Zufriedenheit der Benutzer: Der Net Promoter Score (NPS) für das neue System stieg auf 82 % – ein Beweis dafür, dass Sicherheit und Benutzerkomfort durchaus vereinbar sind.
* Alle Zahlen basieren auf den eigenen Daten des Kunden.
Makarov erläutert: „Die Kombination aus Okta Identity Threat Protection und Okta FastPass stellte sich als absolute Win-Win-Situation heraus. Unsere Benutzer lieben die mühelose, intuitive und passwortlose Experience, und wir haben unsere Sicherheitslage enorm verbessern.“
Adyens Erfolgsrezept für Zero Trust
Dies sind die vier wichtigsten Best Practices von Adyen, mit denen jedes Unternehmen diesen Erfolg nachahmen kann:
- Phishing-resistente Authentifizierung: Minimieren Sie das Risiko für Phishing-Angriffe über schwächere Authentifizierungsmethoden durch Phishing-resistente Authentifizierung für alle Benutzer.
- Richtlinienbasierte Geräteregistrierung: Automatisieren Sie die Geräteregistrierung auf Basis strenger Compliance- und Sicherheitsanforderungen.
- Kontinuierliche Prüfung der Gerätesicherheit: Setzen Sie kontinuierlich Device Assurance-Richtlinien durch, um zu erkennen, wenn Sessions von verwalteten auf nicht verwaltete Gerät verschoben werden.
- Kontinuierliche Risikoüberwachung: Überwachen Sie das Benutzer- und Session-Verhalten während und nach der Authentifizierung, um Bedrohungen wie Session Hijacking sofort zu erkennen, abzuwehren und zu beheben.
- Schulung und Sensibilisierung von Benutzern: Schulen Sie Ihre Benutzer, damit sie die neuen Workflows verstehen und Phishing-Versuche erkennen können.
Der Erfolg, den Adyen mit FastPass und Identity Threat Protection erreicht hat, zeigt eindrucksvoll, wie eine proaktive, mehrstufige Verteidigungsstrategie zu einer äußerst resilienten und effizienten Sicherheitslage führen kann. Mit dieser Strategie können Sie eine Lösung implementieren, die sowohl zu Ihrem Tech-Stack als auch zu Ihren Mitarbeitern passt. Unternehmen, die ebenso zukunftsorientiert sind wie Adyen, können auf dieser Grundlage sicher und zuverlässig skalieren – unabhängig vom Auftreten neuer Bedrohungen.
Wenn Sie mehr über Okta Identity Threat Protection erfahren möchten, besuchen Sie unseren Produkt-Hub oder vereinbaren Sie eine Demo.
Weitere Details zur Customer Story von Adyen erfahren Sie in diesem Video.
