In der Welt traditioneller Identity und Access Management-Lösungen (IAM) sind Zwei-Faktor-Authentifizierung, Single-Sign-On, Bereitstellung, Steuerung und Privileged Management nur einige der damit verbundenen marktüblichen Methoden.
Neueren Datums sind IT-Buzzwords wie „Analytics“ und im Gefolge „Identity Analytics“. Begriffe, die sich zunehmend in den Bereich IAM hinein verbreiten. Dabei ergeht es ihnen wie vielen neu aufkommenden Technologien und Begriffen, sie werden gerne missverstanden und missinterpretiert. Unternehmen sind also gut beraten, die Dinge mit etwas mehr Zeit und Abstand zu betrachten.
Insbesondere Identity Analytics, werfen die Frage auf, warum Unternehmen sie einsetzen sollten und in welchen Bereichen sie am meisten davon profitieren.
Mithilfe einer Analytik lassen sich Schlüsselinformationen, verborgen in riesigen Datenmengen, punktgenau herausfiltern. Indem sie Transparenz herstellen und Vergleiche heranziehen, sind solche Analytiken oftmals in der Lage zu prognostizieren, was als nächstes passieren wird. Was den Bereich des Identity und Access Managements anbelangt hat man sich dabei vornehmlich auf die Analyse des Benutzerverhaltens konzentriert. Beispielsweise darauf, welche Verhaltensmuster überhaupt auftreten und aus welchem Grund. Die Analyse sollte sich aber zusätzlich noch auf etwas anderes konzentrieren: auf Identity Analytics und darauf, die Risiken zu reduzieren, bevor schädliches Verhalten sich nachteilig auf Geschäfts- und Unternehmensprozesse auswirkt.
1) Analyse des Benutzerverhaltens (Die „One-Man-Show“)
Auch unter dem Namen User Behavior Analytics (UBA) bekannt, werden im Rahmen der Analyse Informationen und Daten zum Verhalten der jeweiligen Nutzer zusammengetragen. So ausgestattet sind UBA-Tools dann in der Lage ein von der definierten Norm abweichendes Verhalten oder eine von der Norm abweichende Nutzung der Daten zu erkennen. Daraus leitet die Software Empfehlungen ab, was zu tun ist.
In einigen Fällen weichen beispielsweise bestimmte aktuelle Aktivitäten eines Benutzers von seinem bisher üblichen Verhalten. Diese Abweichung zeigt praktisch sofort als Veränderung innerhalb des zugrunde liegenden Schemas. Und was noch wichtiger ist: die Abweichung von diesem vorab als normal definierten Verhaltensmuster ist möglicherweise ein Zeichen für eine Datenschutzverletzung.
Ein Beispiel aus der Praxis. Nehmen wir einen Angestellten aus dem Bereich Finanzen eines Unternehmens, der (berechtigterweise) auf sämtliche File Shares (Dateifreigaben) zugreifen kann, in denen Informationen zu Mergern und Akquisitionen (M&A) gespeichert sind. Im Verlauf der letzten neun Monate hat dieser Mitarbeiter durchschnittlich zwei Mal auf diese Seite zugegriffen und in diesem Zusammenhang durchschnittlich drei Dokumente heruntergeladen. In den letzten zwei Wochen allerdings hat dieser Benutzer die Seite aber jeden Abend nach 21 Uhr aufgerufen, und er hat damit begonnen, große Mengen von Daten herunterzuladen. Eine UBA-Lösung erkennt diese Abweichung und benachrichtigt die Zuständigen. Auch dann, wenn es sich um jemanden handelt, der zu Recht auf diese Daten zugreift. Die Geschäftsführung löst daraufhin etwa weitere Nachforschungen aus und involviert gegebenenfalls die IT-Sicherheitsabteilung. Das ist ein einfaches Beispiel wie die Analyse des Benutzerverhaltens dazu beiträgt Sicherheitslücken zu reduzieren. Um in unserer Analogie zu bleiben hat man mit dieser „One-Man-Show“ zwar einen bestimmten Intelligenz- und Verteidigungslevel zur Verfügung. Der ist aber noch lange keine Garantie für den langfristigen Erfolg, wenn man es mit Gegnern anderen Kalibers zu tun bekommt.
2) Identity Analytics (Das Komplettpaket)
Anders als lediglich das Verhalten eines Benutzers nachzuvollziehen und zu überwachen, bieten Identity Analytics einen umfassenden Ansatz. Sozusagen das Komplettpaket.
Identity Analytics analysieren und verstehen die Berechtigungen, die ein bestimmter Benutzer haben sollte, verglichen mit denen, die er aktuell tatsächlich hat. Einfach nur zu wissen (und zu verstehen) welche Berechtigungen ein Nutzer hat, genügt nicht. Diese Informationen liefert im Übrigen praktisch jedes IAM-Produkt. Der eigentliche Wert liegt in der analytischen Komponente. Sie liefert das Verständnis zu den Berechtigungen, die ein Nutzer innehat, und zwar in einem bestimmten Bezugssystem. Etwa wie sich die vergebenen Berechtigungen zum gesamten Unternehmen verhalten oder wie zu denen der Kolleginnen und Kollegen. Und sogar zwischen verschiedenen Unternehmen und Organisationen. Die Leistungsstärke dieses Ansatzes bringt eine Menge an Erkenntniszugewinn. So lassen sich auf Basis dieser Relationen bestimmte Trends vorhersehen oder ein potenziell eintretendes (unerwünschtes) Verhaltensmuster identifizieren. Dazu liefern die Analysen Empfehlungen dazu, welche korrigierenden Maßnahmen man am besten einleiten sollte.
Auch hier wieder ein Beispiel aus der Praxis. Stellen wir uns einen Mitarbeiter vor, der bislang in der IT-Abteilung tätig war und der zukünftig als Pre-Sales Engineer tätig sein möchte. Wenn die Vertriebsabteilung traditionelle IAM-Tools nutzt um beispielweise Listen zu erstellen á la „wer hat auf die Pre-Sales Sharepoint-Seite Zugriff?“ dann würde dieser Benutzer richtigerweise auf dieser Liste erscheinen. Was mit dieser Methode allerdings nicht unmittelbar ersichtlich ist: Dass genau dieser Benutzer damit einer der Nutzer mit den weitreichendsten Berechtigungen im ganzen Unternehmen wäre.
Denn was die Liste nicht zeigt ist, dass der betreffende Mitarbeiter alle Berechtigungen aus seiner Zeit in der IT-Abteilung quasi mitgenommen hat. Sie wurden schlicht und ergreifend nicht mit dem Verlassen der Abteilung zurückgenommen. Der Benutzer wurde also niemals von den Rechten, die er während seiner Tätigkeit in der IT-Abteilung innehatte deprovisioniert. Die weitreichenden Zugriffsberechtigungen sind erhalten geblieben, was potenzielle Sicherheitsrisiken deutlich erhöht.
Im Gegensatz zu einer reinen Analyse des Benutzerverhaltens und der entsprechenden Berechtigungsvergabe würde man mithilfe von Identity Analytics sehr schnell auf solche Anomalien aufmerksam werden. Und zwar in dem man diesen Benutzer (und seine Zugriffsberechtigungen) mit denen anderer Kollegen und Kolleginnen aus dem Pre-Sales vergleicht. Mit diesen Informationen wären die Sicherheitsverantwortlichen einer Firma sehr viel besser gerüstet, Risiken an der richtigen Stelle in den Griff zu bekommen. Zum Beispiel indem man unserem angehenden Pre-Sales Engineer die für diese Position notwendigen Berechtigungen erteilt und die IT-Abteilungs-bezogenen entziehen.
Identity Analytics sind zusätzlich in der Lage Berechtigungsvergaben zwischen verschiedenen Unternehmen und hinsichtlich bestimmter Kriterien zu vergleichen. Legt man beispielsweise eine Bank mit 3.000 Benutzern zugrunde ermitteln Identity Analytics-Tools, dass genau diese Bank, verglichen mit anderen Geldinstituten dieser Größe und am selben Ort, zwei Mal so viele Angestellte mit zu weit gefassten Zugriffsrechten beschäftigt als die anderen Banken. Ein Sicherheitsrisiko, das jeder vermutlich so schnell möglich eliminieren wollen würde.
Fazit
Identity Analytics sind also so etwas wie die logische Erweiterung der in einem Unternehmen eingesetzten IAM-Lösungen. Der Vorteil liegt ganz eindeutig im präventiven Bereich was das Benutzerverhalten angeht. Gleichzeitig tragen Identity Analytics aber auch dazu bei die grundsätzliche Angriffsfläche zu vermindern. Jedes einigermaßen sicherheitsbewusste Unternehmen braucht klug agierende IAM-Lösungen in beiden Bereichen, der Analyse des Benutzerverhaltens und der eigentlichen Identity Analytics.
Susanne Haase ist Senior Solution Architect IAM EMEA beim Spezialisten für Identitäts- und Zugriffsmanagement One Identity.