In der Cybersecurity gibt es keine „One-size-fits-all“-Lösungen. Gerade beim Identity- und Access-Management ist es oft so, dass die spezifischen Prozesse, Richtlinien und Verfahren für die sich ein Unternehmen entscheidet ebenso maßgeschneidert sind, wie die eingesetzten Software-Lösungen.
Projekte scheitern oft daran, dass Unternehmen den tatsächlichen Wert ihrer digitalen Informationen nicht richtig ein- und die Notwendigkeit für ein gut aufgesetztes Identity- und Access- Management unterschätzen. So kommt es gar nicht so selten vor, dass Lösungen ausgewählt werden, die unnötig komplex oder teuer sind im Verhältnis zu den Daten, die sie schützen und den Risiken, denen diese ausgesetzt sind.
Der folgende Beitrag versteht sich als leicht verständlicher Führer in Sachen unverzichtbarer IAM-Funktionen und vermittelt zusätzliche Einsichten in die zuweilen verwirrende Welt des Identity- und Access-Managements.
Identity Governance und Administration (IGA)
Identity Governance und Administration, kurz IGA, ist ein Überbegriff, der sämtliche IAM-Maßnahmen umfasst, die ein Unternehmen ergreifen kann Benutzer und deren Berechtigungen zu verwalten. Es muss sichergestellt und nachweisbar sein, dass der Nutzer die richtigen Zugriffsberechtigungen innehat, und dass die Berechtigungen korrekt sind. Richtig verstanden und umgesetzt bedeutet IGA, dass ein Unternehmen die Kontrolle über sämtliche Identitäten und die damit verbundenen Berechtigungen ausübt. Dazu zählt der Zugriff auf Anwendungen ebenso wie auf Daten und die Nutzung privilegierter Konten. Eine solide Governance senkt die Risiken und ermöglicht eine weit bessere Zugriffssteuerung. Egal, ob on-premises, in der Cloud oder in hybriden Umgebungen.
Benutzername und Passwort
Die simple Kombination aus Benutzernamen und Passwort ist erwiesenermaßen eine der unsichersten Methoden zur Authentifizierung. Nichtsdestotrotz halten viele Unternehmen an dieser Methode fest. Vor allem, weil sie bei stärkeren Authentifizierungsmethoden an die zusätzlichen Kosten denken oder wachsende Komplexität fürchten. Manche Unternehmen wiegen sich in dem Glauben, dass ihre Informationen für Cyberkriminelle nicht interessant sind. Die Erfahrung hat aber gezeigt, dass jede Datenschutzverletzung für einen Hacker wertvoll sein und ihm Zugriff auf die Netzwerke von Kunden oder Lieferanten für weitere kriminelle Aktivitäten verschaffen kann. Aus diesem Grund hat der Staat Kalifornien jüngst einen Gesetzesentwurf verabschiedet.
Er soll die Nutzung einfacher Anmeldeinformationen wie etwa die Kombination aus Benutzername und Passwort ab 2020 unter Strafe stellen. Die Richtlinie betrifft in erster Linie Fertigungsunternehmen. Diese sollen verpflichtet werden für ihre Produkte und Geräte einen sichereren Ansatz zu wählen als die oftmals gängigen Standardeinstellungen ab Werk. Das Gesetz schreibt vor, dass in Zukunft jedes internetfähige Gerät mit einem einzigartigen Passwort versehen sein soll oder aber der Nutzer bei Inbetriebnahme seine eigenen Log-in-Daten einstellen muss.
Active Directory (AD)
Active Directory ist die Plattform, die am häufigsten genutzt wird um Zugriffsberechtigungen zu vergeben und den Zugriff zu prüfen. Unternehmen sind über Active Directory in der Lage Zugriffsberechtigungen für eine große Zahl von Benutzern zuzuweisen und zu verwalten. Dazu werden die Nutzer im Active Directory in Gruppen aufgenommen. Jeder Gruppe werden spezifische Zugriffsberechtigungen zugewiesen, die sich auf die Mitglieder vererben. Active Directory ist auch für zahlreiche Anwendungen innerhalb des Netzwerks die maßgebliche Instanz für Authentisierung und Autorisierung. Dieser zentrale Ansatz erleichtert es – abgesehen von der Berechtigungsvergabe -grundlegende Einstellungen wie etwa Sicherheits-Updates vorzunehmen. Allerdings sind die im AD nativ vorhandenen Werkzeuge für Identity Governance und Administration wenig benutzerfreundlich und außerordentlich fehleranfällig. Es sind also zusätzliche Werkzeuge interessant, mit deren Hilfe sich die Administration leichter und sicherer gestalten lässt.
Self-Service bei der Passwortvergabe
Worunter die Mitarbeiter im Helpdesk vermutlich am meisten stöhnen sind die nie enden wollenden Anfragen der Benutzer ein Passwort zurückzusetzen oder den Zugriff auf ein versehentlich gesperrtes Konto wiederherzustellen. Der Trend zu verschärften Passwortrichtlinien und die Vorgaben, Anmeldeinformationen besser als zuvor zu schützen, haben das Problem eher vergrößert als gelöst. Allerdings gibt es inzwischen Tools, welche die Zahl der Helpdesk-Anrufe deutlich verringern. Nämlich sichere Self-Service-Portale, über die der Nutzer die Passwortvergabe umsetzen kann.
Rollenbasierte Provisionierung und Zugriffskontrolle
Die Mehrheit der Unternehmen mit mehr als 500 Mitarbeitern verwendet eine rollenbasierte Zugriffskontrolle (engl. RBAC). Dabei wird der Zugriff auf Systeme und Applikationen beispielsweise gemäß der Position, Funktion oder Projektzugehörigkeit eines Nutzers definiert und verwaltet. Diese Zugriffsberechtigungen werden dann in Gruppen und je nach Rollenkonzept wiederum in Rollen gebündelt. Je nach Reifegrad eines Unternehmens auf dem Weg zur IAG können diese Rollen dem Nutzer auch automatisiert zugewiesen und entzogen werden. Auslöser hierbei sind dann Informationen, die aus führenden Systemen, wie zum Beispiel aus der Personalverwaltung übernommen werden.
Multifaktor-Authentifizierung (MFA)
Multifaktor-Authentifizierung (MFA) hat sich inzwischen bei vielen Produkten im Consumer-Bereich wie etwa bei E-Mail, Mobiltelefonen und Bankkonten durchgesetzt. Ziel ist es, über die übliche Kombination aus Benutzername und Passwort hinaus, eine zusätzliche Sicherheitsebene einzuziehen. Inzwischen sorgen benutzerfreundliche Anwendungen dafür, dass mehr Sicherheit nicht auf Kosten der Produktivität geht. Smartphone-basierte Freigabe und Fingerabdruckerkennung sind nur zwei Beispiele wie Unternehmen effektiv eine zusätzliche Sicherheitsebene installieren können, ohne die Mitarbeiter einzuschränken. Aber nicht nur im Consumer-Bereich ist die MFA für Unternehmen ein wichtiger Bestandteil des Identity und Access Managements um den Zugriff sicherer zu gestalten.
Passwort-Management privilegierter Konten
So ziemlich alle Systeme arbeiten mit hochberechtigten Benutzerkonten für die Systemadministration, deren Login-Daten üblicherweise von mehreren Administratoren genutzt werden. Es ist enorm wichtig und auch aus Compliance Gründen unerlässlich, diese Anmeldedaten gesondert und zusätzlich abzusichern und in der IAM-Strategie zu berücksichtigen. Üblicherweise speichern Lösungen für die Passwortverwaltung administrativer Konten die Passwörter in einem gesicherten Bereich, wie einem virtuellen Safe. Herausgegeben werden sie nur auf Anfrage und einem bestimmten Genehmigungs-Workflow folgend. Nach jeder Nutzung und in regelmäßigen Intervallen werden die Passwörter automatisiert geändert. Dies gewährleistet, dass außerhalb der Nutzung niemandem das aktuelle Passwort eines Systems bekannt ist.
Session Management privilegierter Konten
In Kombination mit der sicheren Passwortverwaltung für privilegierte Konten bietet das Session Management zusätzliche Kontrolle. Stellt man sich das zu schützende System wie ein Haus vor, in dem sich die Wertgegenstände befinden, ist das Management privilegierter Passwörter der Verwalter der Schlüssel zur Eingangstür und das Session Management die im Haus an jeder Stelle angebrachten Kameras. Die einzelnen Arbeitssitzungen der Administratoren, der externen Anbieter und Hochrisiko-Nutzer werden gesteuert, überwacht und aufgezeichnet. Solche Aufzeichnungen sind für forensische Analysen der IT immens wichtig, denn sie gestatten es, Aktivitäten innerhalb eines Systems nachzuvollziehen und nach bestimmten Vorfällen zu durchsuchen.
Inzwischen üben regulatorische Stellen mehr Druck auf Unternehmen aus, Sitzungen aufzuzeichnen, die privilegierte Zugriffsberechtigungen erfordern. Damit rücken diese Lösungen immer mehr in den Fokus des Interesses. Kombiniert mit MFA und Passwort-Management für privilegierte Konten bringt das Session Management ein Unternehmen einen gewaltigen Schritt voran, IAM für privilegierte Konten aufzusetzen und diese abzusichern.
Privileged Behaviour Analytics
Die Analyse des Benutzerverhaltens bei der Verwendung privilegierter Konten ist ebenfalls ein hervorragendes Mittel, kriminelle Aktionen aufzudecken. Die Analyse des Benutzerverhaltens erkennt und filtert verdächtiges Verhalten und identifiziert sowohl Bedrohungen, die von innerhalb des Unternehmens kommen als auch externe Angriffe. Es wird ein Profil typischer Aktionen, Zugriffsorte, Zeiten und so weiter für die jeweiligen privilegierten Konten erstellt und ständig aktuell gehalten. Dies gestattet es, Anomalien automatisch zu erkennen und gemäß einem vorab definierten Risikoprofil zu bewerten. Firmen können so ihre Risiken priorisieren und dementsprechende Maßnahmen einleiten. Vereint man die Informationen aus der Analyse privilegierter Konten und anderen Quellen, etwa System- und Audit-Logs – errichtet man quasi eine Bastion rund um die Verwendung hochprivilegierter Konten und komplettiert das Privileged-Access- Management-Programm in den Unternehmen.
Ein Abflauen der Cyberbedrohungen ist nicht in Sicht. Eine Cybersecurity-Strategie, welche die verschiedenen Facetten des Identity- und Access-Managements zugrunde legt, ist essentiell um vorbereitet zu sein. Durch die Cloud ist die Identität die Netzwerkgrenze, nicht das Netzwerk selbst. Angreifer haben längst erkannt, dass es sehr viel einfacher ist, einzelne Benutzer ins Visier zu nehmen. Sie sind der Weg des geringsten Widerstands zum Kern eines Unternehmens. Identity- und Access-Management richtig verstanden und umgesetzt ist der Schlüssel nicht nur Angreifer von außen abzuwehren, sondern auch Gefahren von innen zu begrenzen.
Susanne Haase, Senior Solutions Architect bei One Identity
www.oneidentity.com/de-de