Es ist stets eine große Herausforderung, den Blick über die digitalen Identitäten Dritter zu behalten und deren Zugriff und Berechtigungen im eigenen Netzwerk zu verwalten, ohne das Tagesgeschäft zu stören. Ein Kommentar von Andrew Silberman, Product Marketing Director bei Omada.
Notwendig ist es aber, sich der Aufgabe zu stellen, denn wer nicht weiß, ob eine Identität überhaupt noch gebraucht wird und welche Zugriffsberechtigungen diese hat, der riskiert, dass dieses Verwaiste Konto zur Sicherheitslücke wird. Ebenso kann die Ansammlung von Berechtigungen bei einzelnen, aktiven Mitarbeiter-Konten zum Risiko werden. Handelt es sich um Fremd-Firmen, wie Partner, Zulieferer und dergleichen, ist es noch wichtiger, hier stets die Kontrolle zu haben, wer denn wie auf das Netzwerk zugreifen darf.
Diese Verwaltung der Drittanbietern wird noch schwieriger, wenn die Drittanbieter, mit denen man selbst Verträge abgeschlossen hat, wiederum Drittanbieter beschäftigen. Zusätzlich muss sichergestellt werden, dass die Identitäten von Drittanbietern vom ersten Tag an mit ausreichenden Zugriffsrechten ausgestattet sind, um produktiv arbeiten zu können, aber an dem Tag, an dem ihre Verträge enden, muss der Zugriff umgehend entfernt werden, um nicht gegen geltendes Recht zu verstoßen. Wegen dieser Vielfalt an Stolpersteinen helfen dezentralisierte Überwachungssysteme im Bereich des Identity and Access Management (IAM) nicht weiter, weil keine einheitliche Kontrolle herrscht. Besser ist eine zentralisiert arbeitende Sicherheitslösung nach dem Prinzip der Identity Governance and Administration (IGA), die Ordnung schafft und hält.
Außerdem kann man sich an vier Tipps halten, um die eigene Sicherheitslage zu verbessern:
1. Ordnung schaffen
Der erste Schritt bei jeder IAM-Initiative besteht darin, einen Überblick zu erhalten. Man muss herausfinden, welche Fremdfirmen oder Zeitarbeiter derzeit für das eigene Unternehmen tätig sind und was diese tun. Nach dieser Bestandsaufnahme kann der nächste Schritt die Ausfindigmachung sein, wer Zugriff auf welche Daten bekommen hat, insbesondere auf sensible Daten und die Beantwortung der damit verbundenen Frage, ob alle Zugriffsberechtigungen wirklich notwendig sind. Außerdem muss herausgefunden werden, wer wieviel Zugriff auf die Infrastruktur gewährt bekommt, auf personenbezogene Daten von Mitarbeitern und auf Cloud-Konsolen. Vierte Parteien sind ebenfalls ein Teil dieser Gleichung, und die Bestimmung, wer Zugang zur Infrastruktur und den Daten Ihrer Partner hat, wird ebenfalls dazu beitragen, ein festes Fundament zu legen.
2. Drittparteien gründlich beurteilen
Die Geschäfte von Drittanbietern laufen naturgemäß anders ab als die eigenen. Dazu gehören unterschiedliche Vorgehensweisen bei Geräteprüfungen, der Einspielung von Patches, oder Datenverarbeitung. Daher sollten IT- und Sicherheitskräfte sowohl interne als auch externe unabhängige Bewertungen und Fragebögen zu den Drittanbietern durchführen, mit denen Verträge bestehen. Dazu gehört die Prüfung und Verifizierung von deren Sicherheitsrichtlinien, Zertifizierungen und Compliance-Maßnahmen sowie der Art und Weise, wie diese für ihre eigene Sicherheit sorgen.
3. Eigene Sicherheitslage kennen
Sicherheit und Governance sind keine einmalige Angelegenheit. Drittparteien müssen kontinuierlich verwaltet und geprüft werden, um sicherzustellen, dass diese ihre Aufgaben effizient, effektiv und sicher erfüllen. Systeme zur Überwachung von Zugriffsanfragen, Anmeldungen und ausgeführten Aufgaben sind daher nicht nur für die Sicherheit, sondern auch für Audits und die Einhaltung von Vorschriften von entscheidender Bedeutung. Da die Sicherheit der Lieferkette und die Verwaltung von Drittanbietern zunehmend unter die Lupe genommen werden, ist davon auszugehen, dass dies bei den Prüfungsanforderungen von Aufsichts- und Compliance-Behörden mehr an Bedeutung gewinnen wird. Darüber hinaus kann es vorkommen, dass die Verträge von Drittanbietern verlängert werden, um entweder an einem Projekt weiterzuarbeiten oder ein neues zu übernehmen. Wenn jedoch der Zugriff im System so eingestellt ist, dass er nach 60 Tagen deaktiviert wird, kann der IT-Administrator vergessen, den Zugriff zu verlängern. Daher kann die Einrichtung einer Kontrolle zu bald auslaufenden Verträgen mit Drittparteien dazu beitragen, dass die Produktivität während Verlängerungen oder Übergängen nicht stockt.
4. Automatisierung der Zugriffsverwaltung
Die Verwaltung von externen Mitarbeitern kann zeitaufwändig sein, darum kommt an dieser Stelle die Automatisierung ins Spiel. Ein starkes IGA ermöglicht die selbstständige Bearbeitung von Aufgaben durch die Sicherheitslösung für den gesamten Lebens-Zyklus von digitalen Identitäten der Drittanbieter. Zunächst müssen Administratoren sicherstellen, dass Drittparteien vom ersten Tag an über die richtigen Zugriffsrechte verfügen, was als Provisioning bezeichnet wird. Drittparteien sind etwas heikel, da sie nicht einfach ohne sorgfältige Prüfung in den Verzeichnisdienst oder das HR-System aufgenommen werden können. In einigen Fällen könnten sie sonst als Vollzeitbeschäftigte eingestuft werden, was den Arbeitsvertrag ungewollt ändern und zu Diskussionen darüber führen würde, ob diesen Arbeitnehmern die Leistungen eines Vollzeitbeschäftigten gewährt werden sollten. Aus diesem Grund empfiehlt sich ein zentrales System, das neben den eigenen Mitarbeitern auch Dritte als eigene Kategorie erfasst, damit der Zugang entsprechend passend eingerichtet und effizient überwacht werden kann – ohne die Grenzen zwischen den verschiedenen Personen zu verwischen.
Ordentliches IAM sorgt für starke IT-Sicherheit
Die Möglichkeit, die Zugriffsrechte automatisch anpassen zu lassen, wenn sich die Rolle des Auftragnehmers ändert, kann viel Arbeit und Ärger ersparen. Ein modernes IGA stellt sicher, dass bei einem Rollenwechsel neue Zugriffsrechte gewährt und alte, nicht mehr benötigte Zugriffsrechte, entfernt werden – oder Identitäten komplett gelöscht werden, damit keine Verwaisten Konten entstehen, die niemand auf dem Schirm hat und daher attraktiv für Hacker sind. Freilich gibt es kein Patent-Rezept, das sich auf jede Organisation anwenden lässt, aber die viert genannten Tipps zusammen mit einem modernen IGA stellen eine solide Basis für alle Unternehmen, Einrichtungen und Behörden dar, um ihr IAM in Ordnung zu bringen.
https://omadaidentity.com/de/