:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ahnungslosigkeit beim IAM Der Weg zu verlässlichen IAM-Kennzahlen
Im Bereich von IT-Sicherheit und Identity- und Access-Management (IAM) sind aussagekräftige Kennzahlen in vielen Fällen absolute Mangelware. Einen nachvollziehbaren Grund für das Fehlen gibt es nicht, schließlich setzen Unternehmen bei Geschäftsprozessen schon lange auf vergleichbare Kennzahlen. Es wird Zeit, dass die IT-Security hier nachzieht.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Neulich im Flieger auf dem Heimflug aus dem Ausland: Nach pünktlichem Boarding konnte der Flieger nicht abheben. Eine gewohnte Situation: Mal wieder war mehr Gepäck an Bord als Passagiere. Alles musste ausgeladen und erneut geprüft werden. Das Resultat: eine volle Stunde Verspätung.
Die Anzahl der gemeldeten Gepäckstücke versus Anzahl der Passagiere sind einfache, abzählbare Kenngrößen, um die Sicherheit im Flugverkehr zu gewährleisten. Im Bereich von IT-Sicherheit und Identity- & Access-Management (IAM) sind solch prägnante Kennzahlen leider nach wie vor in vielen Fällen absolute Mangelware. Einen nachvollziehbaren Grund für das Fehlen gibt es nicht.
Kennzahlen und IT-Sicherheit
Im IAM werden Mitarbeitern, Kunden oder Dingen digitale Identitäten zugewiesen. Diesen digitalen Identitäten sollen passgenaue Zugriffsrechte auf Anwendungen haben. So einfach dies klingt, die Komplexität ergibt sich in der Umsetzung aufgrund der Anzahl der betroffenen Stakeholder und Geschäftsprozesse – zumeist alle Identitäten, alle Geschäftsprozesse und damit alle Anwendungen, Systeme, Berechtigungen und deren jeweilige Lebenszyklus- und Statusübergänge.
Cyber-Sicherheit ist nach einer aktuellen globalen CEO-Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC kein Thema für ein Drittel der deutschen CEOs . Nur so kann ich mir erklären, dass es in Kundenprojekten oft Herausforderungen beim Abfragen sehr einfacher Kennzahlen gibt. Die Anzahl der Mitarbeiter im Vergleich zur Anzahl der digitalen Identitäten und deren zugeordneten Kennungen führen vielfach zu gravierenden Unstimmigkeiten. Häufig sind intern keine Vorgaben vorhanden, die ein regelmäßiges IT-Sicherheitsreporting und damit die Ermittlung dieser Kennzahlen einfordern. Besonders knifflig wird es, wenn es um die Auskunft geht, wer die IT- und Fachverantwortlichkeit für eine Anwendung hat. So wie jedes Gepäckstück einem Passagier zugeordnet wird, sollte jede Anwendung dedizierte verantwortliche Ansprechpartner haben. Ebenso sollten auch Zugänge (Accounts) insbesondere auch privilegierte Zugänge (z.B. Administrator-Accounts) nicht unbeaufsichtigt sein, sondern Verantwortlichen zugeordnet sein. Sollten diese Personen das Unternehmen verlassen oder ihre Zuständigkeit ändern, ist es notwendig, diese Information nachzuführen. Sollte, hätte, könnte: Als Beraterin muss ich immer wieder feststellen, dass dies in der Realität häufig nicht der Fall ist.
Mangelhafte Reife in den Kern- und Unterstützungsprozessen
Die wichtigsten Kernprozesse im IAM sind der Ende-zu-Ende Lebenszyklus der digitalen Identitäten, der Lebenszyklus der Kennungen und Berechtigungen sowie der Lebenszyklus der zugeordneten Berechtigungsbestell- und -genehmigungsverfahren. Ähnlich einer Zulieferkette in Industriebetrieben leben diese Prozesse von der Zulieferung der richtigen Daten im richtigen Format zur richtigen Zeit. Falsche oder fehlende Inhalte in der „Datenlieferkette“ können zu Störungen im Ablauf, unproduktiven Wartezeiten und schlimmstenfalls zur Reduzierung der IT-Sicherheit führen. Beispiele sind fehlendes Austrittsdatum für die zeitnahe Deaktivierung von Benutzerkennungen und –zugriffen oder falsche Informationen der Organisationszuordnung, die ggf. Systemberechtigungen beeinflusst.
Neben den Kernprozessen sind auch Unterstützungsprozesse mit zu betrachten. So liefern die Personalprozesse die Rohdaten der internen und externen Mitarbeiter für das IAM. Das Client-Management sorgt dafür, dass diese dann auch ein System zur Verfügung haben und das Anwendungsmanagement dafür, dass die richtigen Anwendungen installiert und zugriffsbereit sind. Eine mangelhafte Reife in Form schlecht integrierter oder digitalisierter Prozesse wirkt sich negativ auf die Performanz des IAM aus und kann zu einer mäßigen Reife der IT-Sicherheit führen.
Reifegrad-Assessment als Ausgangspunkt der Digitalisierung
Wir empfehlen ein mehrdimensionales Reifegrad-Assessment als Ausgangspunkt der Digitalisierung von IAM. Die betrachteten Dimensionen sind u.a. die IAM-Kern- und Unterstützungsprozesse, die IAM-Governance, das heißt Rollen- und Verantwortlichkeiten, Vorgaben, und die zugehörige IT-Architektur und IT-Systemlandschaft. Die Reife wird klassisch in fünf Stufen gemessen, wobei die erste Stufe jede Organisation automatisch hat. In der zweiten Stufe erfolgt das IAM ad hoc, ab der dritten Stufe sind Prozeduren vorhanden, allerdings hängen diese vom Verständnis der beteiligten Mitarbeiter ab. Ab der dritten Stufe sind Standards etabliert, welche ab der Reifegradstufe vier regelmäßig gemessen und basierend darauf Verbesserungen angestrebt werden. Ab der fünften Stufe erfolgt die kontinuierlichen Optimierung. In unseren Projekten ergeben unsere Reifegradevaluationen im Durchschnitt meist Ausprägungen unterhalb der dritten Stufe.
Ausbalancierte Maßnahmenpläne und Wirksamkeitsmessung
Mit Hilfe solcher Reifegrad-Assessments können Umsetzungspläne zur Erhöhung des Reifegrads etabliert werden. Wobei es wichtig ist abzuwägen, in welchen der betrachteten Dimensionen welche Reife von der Organisation erzielt werden soll und faktisch kann. Eine Erhöhung des Reifegrads in allen Dimensionen ist meist nicht zielführend und führt zu unübersichtlichen Programmen. Daher sollte man sich auf die für die jeweilige Organisation relevanten Dimensionen zuerst fokussieren. So wurde bei einer untersuchten Organisation festgelegt, dass der Integrationsgrad der Tools entlang der „Datenlieferkette“ vom derzeitigen Reifegrad 2 auf 4 erhöht werden soll. Dazu wurden verschiedene Phasen definiert, wie Evaluation der Fähigkeiten der bisherigen Tools, Identifizierung von technischen Integrationsschritten, bis hin zur Programmierung von automatischen Schnittstellen, die festgelegte Prozesskennzahlen unmittelbar berücksichtigen und ermitteln und dem Management als regelmäßige Reports zur Verfügung stellen.
Zurück zu meinem Flug: Da gab es dann noch Glück im Unglück und der Anschlussflug wurde erreicht. Zwar ohne Gepäck, aber immerhin. Die Koffer wurden nachgeliefert. Auch dies betrifft eine Kennzahl – die der Kundenzufriedenheit. 76 Prozent der Unternehmen halten laut der oben zitierten PwC-Studie ihr Unternehmen für widerstandsfähig gegenüber Cyberattacken und 93 Prozent der Befragten sagen, dass Daten über die Risiken, denen das Unternehmen ausgesetzt ist, kritisch für deren Entscheidungen sind. Dennoch erhalten lediglich 22 Prozent der Umfrageteilnehmer dazu vollständige Daten. Eine kontinuierliche Verbesserung des Reifegrads, wie hier im Artikel dargestellt, kann Abhilfe schaffen.
Über die Autorin: Dr. Silvia Knittl ist Expertin für Identity- & Access-Management bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC.
(ID:46049435)
:quality(80)/p7i.vogel.de/wcms/59/e1/59e150603eb4eb7ef8b5faf129377d5e/0114073000.jpeg "Wer wann über welches Gerät und von wo aus Zugriff auf Unternehmensressourcen hat, ist heute wichtiger denn je. Diese Steuerung übernehmen in der Regel IAM-Lösungen, die aber meist extrem komplex sind. Einfacher in allen Punkten sind hochintegrierten IAM-Lösungen. (Bild: © blacksalmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")