>_AYSOLI SECURITY HUB
THREAT AREA

Customer Identity (CIAM)

Der Zugriff für Endkunden ist das Herzstück deiner digitalen Beziehung. Hier musst du den Spagat zwischen extrem hoher Sicherheit und einer reibungslosen User Experience (UX) meistern.

Die Herausforderung

Im Gegensatz zu internen Mitarbeitern kannst du Kunden nicht zur Nutzung bestimmter Geräte zwingen. Ein zu komplizierter Login-Prozess führt zu Kaufabbrüchen, ein zu schwacher zu massiven Vertrauensverlusten.

Deine Strategie

  • Intelligente Abwehr: Nutze adaptive MFA, Bot-Erkennung und CAPTCHAs, um Angreifer an der Edge zu blockieren.
  • Progressive Profiling: Sammle Daten erst dann, wenn sie wirklich benötigt werden (Privacy-First).
  • Prävention: Prüfe Passwörter gegen Listen bekannter Leaks, um Account Takeover proaktiv zu verhindern.

STRIDE-LM Design-Risiken

SpoofingS-CIAM-01

CIAM Account Takeover

Massenhafte Übernahme von Kundenkonten durch Credential Stuffing.

TamperingT-01

Data Tampering

Unbefugte Änderung von geteilten Daten oder Konfigurationen.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-API-01

Excessive Data Exposure

API gibt mehr Daten zurück als für den Client notwendig sind.

Denial of ServiceD-CIAM-01

CIAM Registration Flooding

Blockieren des Dienstes durch massenhafte Fake-Registrierungen.

Elevation of PrivilegeE-01

Privilege Escalation

Erlangung von Rechten, die über das vorgesehene Mass hinausgehen.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Reconnaissance
T1592

Gather Victim Digital Network Information

ATT&CK

Sammeln von Informationen über die Ziel-Infrastruktur.

Mitigiert durch
Consent & Privacy ManagementGrundschutzMittel
NIST: PR.PT-3
Progressive ProfilingErweiterter SchutzMittel
NIST: PR.PT-3
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Initial Access
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Breached Password DetectionGrundschutzNiedrig
NIST: PR.AC-1OWASP: A07:2021
Progressive ProfilingErweiterter SchutzMittel
NIST: PR.PT-3
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
T1566

Phishing

ATT&CK

Zustellung schädlicher Inhalte über elektronische Kommunikation.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Credential Access
T1110

Brute Force

ATT&CK

Versuche, durch systematisches Ausprobieren Zugriff auf Konten oder API-Keys zu erhalten.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Bot Management & Anti-ScrapingErweiterter SchutzMittel
CIS: 12.1OWASP: A04:2021
CAPTCHA / Proof-of-WorkGrundschutzNiedrig
CIS: 12.1OWASP: A04:2021
Breached Password DetectionGrundschutzNiedrig
NIST: PR.AC-1OWASP: A07:2021
Progressive ProfilingErweiterter SchutzMittel
NIST: PR.PT-3
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Secure Cookie AttributesGrundschutzNiedrig
NIST: PR.DS-1OWASP: A07:2021
T1557

Adversary-in-the-Middle

ATT&CK

Abfangen von Kommunikation zwischen zwei Parteien.

Mitigiert durch
Privileged Access Workstation (PAW)Erweiterter SchutzHoch
CIS: 6.4NIST: PR.AC-3
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Breached Password DetectionGrundschutzNiedrig
NIST: PR.AC-1OWASP: A07:2021
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
T1528

Steal Application Access Token

ATT&CK

Diebstahl von Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
Exfiltration
T1567

Exfiltration Over Web Service

ATT&CK

Abfluss von Daten über legitime Web-Schnittstellen.

Mitigiert durch
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Impact
T1499

Endpoint Denial of Service

ATT&CK

Gezielte Überlastung der API-Endpunkte.

Mitigiert durch
Bot Management & Anti-ScrapingErweiterter SchutzMittel
CIS: 12.1OWASP: A04:2021
CAPTCHA / Proof-of-WorkGrundschutzNiedrig
CIS: 12.1OWASP: A04:2021
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
Customer Identity (CIAM) | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub