Viel ist die Rede von der identitätsbasierten Sicherheit. Sie gewinnt in einer Zeit, in der der Perimeter-Schutz an seine Grenzen gestoßen ist, immer mehr an Gewicht. Doch was sind Identitäten überhaupt und wo sind sie überall zu finden? An diesen Punkten bestehen oft noch Unklarheiten. Sicherheitsexperte CyberArk zeigt, worauf zu achten ist.
In der heutigen hybriden und Multi-Cloud-Welt ist jede Identität ein eigener, neue Perimeter. Physische und Netzwerk-Barrieren haben sich aufgelöst und alle Identitäten können einen möglichen Angriffspfad auf unternehmenskritische Ressourcen darstellen, vor allem wenn sie über privilegierte Rechte verfügen. Solche Rechte kann jede Identität besitzen, sei es ein Remote-Mitarbeiter und Drittanbieter oder auch eine Maschine, ein Gerät und eine Applikation.
Erschwerend kommt hinzu, dass die Zahl menschlicher und nicht-menschlicher Identitäten kontinuierlich steigt, da im Zuge der Digitalisierung immer mehr Interaktionen zwischen Menschen, Applikationen und Prozessen erfolgen. Die Konsequenz sind steigende Sicherheitsbedrohungen, die insbesondere von den unbekannten und nicht verwalteten Identitäten ausgehen.
Wie können Unternehmen diesen Gefahren begegnen? Zunächst müssen sie die menschlichen und nicht-menschlichen Identitäten mit privilegierten Zugriffsrechten kennen. Die menschlichen Identitäten betreffen in erster Linie Personen wie Administratoren oder Superuser, aber etwa auch Entwickler und DevOps-Ingenieure, die auf Source Code zugreifen müssen. Darüber hinaus finden sich privilegierte Rechte in Applikationen, Tools und Systemen. Dabei handelt es sich dann um die nicht-menschlichen Identitäten.
- Applikationen: Auf der Applikationsebene geht es um die Applikation-zu-Applikation-Verbindungen. Alle technischen Verknüpfungen zwischen Teilen einer Anwendungslandschaft erfordern einen privilegierten Zugang für den Datenzugriff, auch wenn es nur um Lese- und nicht um Änderungsrechte geht. Solche Verbindungen bestehen etwa zwischen Applikation und Datenbank, zwischen Applikation und Middleware-Produkten (und von dort wiederum zu weiteren Infrastrukturdiensten) oder auch direkt zwischen Anwendungen.
- Tools: Auf der Toolebene ist vor allem die zunehmende Nutzung von Cloud- und Automatisierungs-Services zu beachten. Dies betrifft etwa Lösungen wie Red Hat OpenShift, Jenkins, Puppet, Chef, Ansible oder auch RPA-Lösungen, die Zugang zu unternehmenskritischen Systemen benötigen. Relevant sind außerdem Tools, die über privilegierte Rechte bis hin zum Domain-Admin-Level verfügen: ein Beispiel hierfür sind Schwachstellen-Scanner. Nicht vergessen werden sollten auch Skripte, die weiterhin häufig zur Automation eingesetzt werden.
- Systeme: Auf der technologischen Systemebene sind die System-zu-System-Verbindungen zu berücksichtigen, vor allem die vielfach vorhandenen Service-Accounts. Windows etwa verfügt über eine große Anzahl solcher Accounts, um Services im richtigen Kontext zu starten und zu stoppen und um eine Automation auf einem granularen Level zuzulassen.
Welche konkreten Maßnahmen können Unternehmen nun zur Gefahrenabwehr ergreifen? In erster Linie sollten sie eine Identity-Security-Lösung nutzen. Zu deren Aufgaben gehört, eine Identität sicher zu authentifizieren, sie mit den richtigen Berechtigungen zu autorisieren und dieser Identität auf strukturierte Weise Zugang zu kritischen Ressourcen zu gewähren. Es geht dabei um die Etablierung eines Zero-Trust-Prinzips, das die Überprüfung jeder Identität – sei es Mensch oder Maschine – beinhaltet.
„Rein auf Perimeter-Schutz ausgerichtete Sicherheitsmaßnahmen reichen in der heutigen Zeit nicht mehr aus, um vertrauliche Systeme, Applikationen und Daten zu schützen“, betont Michael Kleist, Area Vice President DACH bei CyberArk. „Stattdessen sollte ein Unternehmen einen identitätsbasierten Sicherheitsansatz verfolgen, der alle User, Systeme, Applikationen und Prozesse berücksichtigt. Ein solches Sicherheitskonzept betrachtet die Identität als zentrale Verteidigungslinie eines Unternehmens – und zwar unabhängig davon, ob es sich um eine Person, eine Applikation oder eine Maschine handelt.“
www.cyberark.de