:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ausweiskontrolle im Unternehmensnetz Automatische Identitäts- und Zugriffskontrolle im Netzwerk
Wissen Sie, wer Ihr Gast-WLAN nutzt und wer sich hinter Ihrer Firewall tummelt? Und kann Ihre IT-Infrastruktur infizierte Clients automatisch in Quarantäne schicken? Nein? Dann ist es Zeit für ein System zur Identitäts- und Zugriffskontrolle. Entsprechende Lösungen sind ohne großen Aufwand zu administrieren und schnell am Start. Was können die Lösungen noch?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Dass Unternehmensnetze nicht mehr an der Firewall enden, hat sich herumgesprochen: Cloud-Dienste, angebundene Partnernetzwerke oder mobile Endgeräte machen die Mauer durchlässig. Daher ist es umso wichtiger, Kontrolle darüber zu haben, welche Endgeräte und Anwender im internen Netzwerk eigentlich Zugriff auf welche Ressourcen haben und wie lange. Hier kommen Lösungen für die Identitäts- und Zugriffskontrolle (Englisch: Identity and Access Management, IAM) ins Spiel. Sie punkten in jeglichem Netzwerk. Egal, ob großes oder kleines Unternehmen oder Behörden: IAM-Lösungen sind in jedem Fall sinnvoll. Denn zumindest ein Wireless LAN hat heute jede Organisation.
Durch die Kontrolle der Zugriffe aufs WLAN kommen Systeme zum Identitätsmanagement (IDM) zumeist ins Unternehmen. Später bauen die Anwender den Funktionsumfang der Lösungen aus, weil sie sich an verschiedenen Stellen bezahlt machen. Dazu später mehr. Im drahtlosen Netz erfüllen IAM-Produkte die Funktion des Türstehers: Die Kenntnis des WLAN-Kennworts alleine reicht nicht für den Zutritt. Nur wenn Nutzername und Passwort des Anwenders korrekt sind, gibt der Wächter den Zugriff auf das Wireless LAN – und damit das Unternehmensnetzwerk – frei. Die Anmeldeinformationen stammen dabei aus dem Active Directory oder von einem vorhandenen LDAP-Server. Administratoren müssen die Anmeldedaten also nicht doppelt pflegen.
:quality(80)/images.vogel.de/vogelonline/bdb/651000/651078/original.jpg "Mit dem auf FreeRADIUS basierenden RADIUS-Server für Synology DiskStation Manager können auch KMUs eine bessere und sicherere WLAN-Zugangsverwaltung realisieren. (VBM)")
Security-Pakete für Synology DSM
RADIUS-Server im Synology NAS
Nicht jeder darf alles nach dem Login
Nach erfolgreicher Anmeldung übergibt das IDM-System den Client in die Hände des WLAN-Controllers oder des Netzwerkswitches. Und zwar mit den passenden Zugriffsrechten, so dass Mitarbeiter der Buchhaltung auch drahtlos nur auf die Ihnen zugewiesenen Serverfreigaben zugreifen können. Hierfür sorgen letztendlich der Controller beziehungsweise der Switch anhand der jeweiligen WLAN-SSID oder des VLANs.
Je nach Leistungsfähigkeit des IAM-Systems lassen sich zur Zutrittskontrolle beziehungsweise den nach dem Login gewährten Zugriffsrechten noch weitere Faktoren heranziehen: Kommt der Client per VPN von außen oder greift er über das lokale (W)LAN zu? Ist die Uhrzeit des Anmeldeversuchs außergewöhnlich? Erfolg der Zugriff aus dem Home Office, einer Filiale oder aus dem Hauptsitz des Unternehmens? All diese Angaben lassen sich in Regeln gießen, die dann den Zugriff bestimmen. So lässt sich zum Beispiel festlegen, dass Mitarbeiter, die außerhalb der Bürozeiten vom Heimarbeitsplatz aus auf das Netzwerk zugreifen, nur Zugang zu ihren E-Mails haben. Die Fileserver stehen nur bei Anmeldungen aus dem Büronetzwerk zur Verfügung.
Kontext ist König
Ebenso lassen sich die zum Login verwendeten Geräte erkennen: Vom Unternehmen ausgegebene und verwaltete Endgeräte erhalten vollen Zugriff auf Datenbanken, E-Mails oder File-Server, private Endgeräte der Mitarbeiter werden ins Gastnetz verwiesen und sind entsprechend den dafür geltenden Regeln eingeschränkt. IDM-Systeme lassen sich auch mit Firewalls koppeln. Meldet die Firewall beispielsweise auffälligen Netzwerkverkehr von einem Client, kann die Lösung für die Identitäts- und Zugriffskontrolle das Endgerät anhand des Kontexts in Quarantäne schieben. Bei WLANs kann der Kontext auch ortsbezogen sein. So können Mitarbeiter in Krankenhäusern beispielsweise nur von ihren Büros aus auf Patientendaten zugreifen. Nicht aber aus der Cafeteria oder dem Wartebereich.
Im Zusammenhang mit WLAN-Zugriffen empfehlen sich IAM-Lösungen, die eine eigene Nutzerverwaltung mitbringen. Denn nicht jeder Gast oder Partner, der nur für kurze Zeit Zugriff benötigt, muss auch im Active Directory angelegt werden. Ein WLAN-Controller, der Zugangsvoucher zur Anmeldung erzeugen kann, ist hier ebenfalls sehr nützlich.
Tipps zum Projektstart
Punkten können IDM-Systeme auch beim Strukturieren eines Netzwerks. Um zum Beispiel Mitarbeitern je nach Abteilung oder Stockwerk unterschiedliche Zugriffsrechte zu gewähren. Das lässt sich entweder auf die harte Tour mit sehr hohem Zeitaufwand durch die Vergabe fester IP-Adressen an jedem Endgerät regeln und das Einrichten von entsprechenden VLANs erreichen. Oder eben durch ein IDM-System. Eine sanfte Migration überwacht beispielsweise zu Beginn nur die Zugriffe der einzelnen Anwender. So stellen die Administratoren sicher, dass die Zugriffe entsprechend den festgelegten Regeln passieren. Erst wenn das feststeht, schaltet man die Authentifizierung der Anwender an. Vorteil gegenüber der IP-Adresslösung: Geprüft wird nicht nur die Hardware, sondern auch der Nutzer.
Typischerweise lassen sich Produkte zur Identitäts- und Zugriffskontrolle gut testen vor einem Produktivbetrieb: Hersteller bieten 90tägige-Testlizenzen und die Lösung selbst läuft in einer virtuellen Maschine auf VMware ESX, Microsoft Hyper-V oder KVM und kommt so ohne eigene Hardware aus. Idealerweise lassen sich Administratoren, die eine solche Lösung testen oder einführen wollen, dabei von einem Dienstleister unterstützen. Der Betrieb der fertig konfigurierten Lösung erfordert zwar nur minimale Pflege, die sich gut nebenher erledigen lässt. Neu im Active Directory angelegte Nutzer übernimmt das IDM-System beispielsweise automatisch. Einzelne Lösungen klinken sich dazu als Member Server ins Active Directory mit ein. Wichtig hierbei ist, dass die Nutzerkonten mit den passenden Zusatzinformationen wie Abteilung oder Stockwerk versehen wurden.
Die erstmalige Einführung verlangt aber nach mehr Zeit und Konzentration, als es das Tagesgeschäft erlauben dürfte. Denn bis die Reglements stehen und getestet sind, können einige Tage ins Land ziehen. Zumal verschiedene Spezialisten aus dem IT-Team – WLAN, Switche, Sicherheit – an einem Strang ziehen müssen zur Definition der Regeln und deren Implementation.
Einmal in Betrieb erleichtert eine solche Lösung den Administratoren den Alltag – und macht ihn nicht etwa komplizierter. Wer dennoch gar nichts mit der Pflege zu tun haben will, kann einen Managed Service-Anbieter mit ins Boot holen. Der kümmert sich dann beispielsweise auch um später aufkommende Wünsche wie der Installation eines Systems zum Erzeugen von Einmalpasswörtern (One Time Password, OTP). Die dienen zumeist zum Login per VPN und erhöhen den Zugriffschutz deutlich. Active Directory beherrscht jedoch keine solche Mehrfaktoranmeldung. Von daher wird die OTP-Software mit dem IDM gekoppelt und erhöht so den Zugriffsschutz.
Open Source oder kommerziell?
Lösungen für die Identitäts- und Zugriffskontrolle gibt es sowohl als Open-Source-Angebot, als auch von kommerziellen Anbietern wie Cisco oder Aruba (HP Enterprise). Grundsätzlich fällt auf, dass die kommerziellen Angebote einen größeren Funktionsumfang mitbringen. Zwar lassen sich diese Funktionen auch mit Open-Source-Software (OSS) abbilden. Dann müssen aber verschiedene Anwendungen kombiniert und getrennt voneinander verwaltet werden. Außerdem ist die Ersteinrichtung bei OSS zumeist etwas zeitaufwändiger, da es keine vorgefertigte Installation gibt. Das Anpassen an die eigenen Anforderungen erfordert dann Zeit. Gleichzeitig ist das aber auch ein Vorteil: Wer sich Anpassungen am Quelltext zutraut, kann sich die IDM-Lösung mit Open Source maßschneidern. Im kommerziellen Umfeld gibt es diese Chance nicht. Wenngleich die Anforderung einer solch detaillierten Anpassung sich in den meisten Unternehmen oder Behörden auch nicht ergeben dürfte.
Mehr Aufwand verlangen Open-Source-Angebote auch im Betrieb. Denn typischerweise müssen Sicherheits- oder Funktionsupdates von Hand installiert werden. Beziehungsweise müssen Administratoren sich selbst auf dem Laufenden halten, ob es ein Update gibt. Kommerzielle Lösungen haben in aller Regel automatische Updatemechanismen an Bord.
Letztendlich spielt es aber keine Rolle, ob sich eine kommerzielle oder eine quelloffene Lösung um die Identitäts- und Zugriffskontrolle kümmert: Das Sicherheitsniveau im kompletten Netzwerk steigt sofort in dem Moment, in dem die neue Schutzkomponente in Dienst tritt. Zumal dann, wenn sie mit einer Lösung zur Mehrfaktorauthentisierung kombiniert wird.
Über den Autor: Andreas Gulle ist Senior Systems Engineer im Systemhaus Netfox AG. Als zertifizierter Security-Spezialist kennt er sich mit Stärken und Schwächen von Identity Management Systemen bestens aus.
(ID:44815217)
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952426/original.jpg "Mit Azure Conditional Access lassen sich Benutzerkonten, Gruppen und die Anmeldungen an Azure absichern. (everythingpossible - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1916800/1916884/original.jpg "Mit diesen 10 Tipps wird die Verwendung von Microsoft Azure sicherer. (Connect world - stock.adobe.com)")