Security Management trifft Identity Management – Teil 2 Identitäten alleine reichen nicht für den Zugangsschutz

Autor / Redakteur: Johann Baumeister / Peter Schmitz

Identity Management und Security Management wachsen im Zuge der sich ändernden Bedrohungen und neuen Aufgaben immer mehr zusammen. Kern aller Zugriffsrechte ist dabei meist die Benutzer-Identität. An diese, mit einer Person verknüpften digitalen Identität werden dann die Zugriffsrechte gebunden. Das reicht aber für einen effektiven Zugriffsschutz längst nicht mehr aus. Wir zeigen Ihnen wie modernes Rechte- und Rollenmanagement aussehen kann.

Firmen zum Thema

Identity Management wird immer komplexer: Ein Benutzer kann viele Rollen haben, viele Benutzer können sich aber auch eine Rolle teilen.
Identity Management wird immer komplexer: Ein Benutzer kann viele Rollen haben, viele Benutzer können sich aber auch eine Rolle teilen.
( Archiv: Vogel Business Media )

Der Kern der Authentifizierung basiert heute meist auf der Benutzer-Identität. An diese Identität werden dann die Rechte gebunden. Der Begriff der Identität wurde in der Vergangenheit in der Regel an eine Person gebunden. Durch die Identität wurde dabei festgelegt, wer die Person ist. Dies greift allerdings zu kurz. Die Identität eines Benutzers alleine reicht nicht aus, um damit die Rechte zu verknüpfen.

Um zu entscheiden, was ein Benutzer darf und was seine Rechte sind, werden heute weitaus mehr Kriterien verlangt. Diese kann der Ort des Benutzers, die Zeit, die Menge der involvierten Daten, das Gerät, dessen Sicherheitslevel und jegliches sonstige Kriterium sein.

So wird man beispielsweise einem Mitarbeiter des Unternehmens, sofern er sich auf dem Unternehmensgelände befindet und während der regulären Arbeitszeit Zugang zu den Daten wünscht, diesen Zugriff dann gewähren, wenn just diese Daten zur Durchführung seiner ihm zugedachten Aufgaben benötigt werden.

Ein Benutzer hat viele Rollen

Erfolgt der Zugriff allerdings von einem Firmennotebook von außerhalb und über das Internet, so werden strengere Regeln gelten. Noch restriktiver wird der Zugriff geregelt werden müssen, wenn er beispielsweise von einem öffentlichen Rechner eines Internet-Cafés erfolgt. Wenn dies dann auch noch mitten in der Nacht passiert, so wird zur Gewährung des Zugriffs ein triftiger Grund dafür vorliegen müssen.

Auch die Menge der abgerufenen Daten wird, aus Gründen des Datenschutz und der Compliance, in Zukunft als Entscheidungskriterium für den Zugriff herangezogen werden müssen. Das Abrufen und Ändern eines Kundenstammsatzes mit persönlichen Daten und der Kontoverbindung gehört zum Tagesgeschäft eines Sachbearbeiters. Vielleicht müssen am Monatsende auch Auswertungen über bestimmte Sachgebiete oder Regionen durchgeführt werden.

Das Abrufen (und Kopieren) der gesamten Kundenstammdatei allerdings ist wohl eher als Indiz für einen Datendiebstahl zu werten, den es zu Unterbinden gilt. Diese wenigen Beispiele zeigen, dass die Identität eines Benutzers nicht mehr ausreichend ist, um daran die Rechte zu knüpfen. Diese Identität muss vielmehr mit weiteren Kriterien verknüpft werden. Ein Benutzer wird folglich unterschiedliche Rollen und Rechte erhalten, je nachdem in welchem Kontext er sich gerade befindet. Dies resultiert in einer 1:n-Beziehung zwischen dem Mitarbeiter und den Rollen oder Rechten.

Seite 2: Viele Benutzer teilen sich eine Rolle

Viele Benutzer teilen sich eine Rolle

Aber auch das Gegenteil ist heute anzutreffen. Die Zusammenfassung mehrerer Benutzer in einer Rolle. Beispielhaft dafür stehen die Mitarbeiter von Call-Centern. Falls es bei den Beschäftigten eines Call-Centers nicht darauf ankommt, welcher Mitarbeiter welche Aktion ausgeführt hat, so lassen sich auch universelle Arbeitsplätze und Accounts dafür einrichten. Für ein reines Auskunftssystem, mit nur lesendem Zugriff auf die Daten mag es unerheblich sein, welcher Mitarbeiter auf die Daten zugegriffen hat. Da hierbei mehrere Mitarbeiter in einer Rolle zusammengefasst sind, ergibt sich damit eine n:1-Beziehung zwischen dem Mitarbeiter und den Rollen oder Rechten.

Rollen und Rechte für die Benutzer durch das Intelligent Access Gateway

Eine praktische Umsetzung für die Mehrfachbeziehungen der Rollen und Rechte findet sich bereits heute im Intelligent Access Gateway (IAG). Das IAG ist ein Modul aus der Forefront-Reihe von Microsoft. Das Intelligent Application Gateway (IAG) ermöglicht einen gesicherten aber sehr fein abgestuften Zugang zum Unternehmensnetz.

Ähnlich einem SSL-VPN-Gateway erfolgt dabei der Zugriff auf das Unternehmensnetz über einen gesicherten Kanal. Hierzu werden Zugangsportale eingerichtet. In Abhängigkeit von den Ergebnissen der Authentifizierung und Autorisierung erhält dabei der Benutzer eine Rolle zugewiesen. Diese regelt dann den Zugang zu den Applikationen oder Daten.

Die Entscheidung über den Zugang wird durch mehrere Kriterien gebildet. Dies sind beispielsweise der Benutzername, der Ort an dem sich der Anwender befindet, das Netzwerk und auch Sicherheitseinstellungen des Gerätes. Dabei wird geprüft, welche Bedingungen der Client erfüllen muss, damit er Zugang erhält. Im Hintergrund das IAG arbeitet der ISA (Internet Security und Acceleration Server). Er sorgt für den Schutz des Gateways vor Angriffen.

Fazit

Ein Benutzer kann viele Rollen haben, viele Benutzer können sich allerdings auch eine Rolle teilen. Die einfache Zuordnung einer Rolle zu einem Benutzer genügt daher nicht für die Rechtevergabe. Desweiteren können Rechte auch an Rechnersysteme gebunden werden. Dieses neue Rollenverständnis verändert aber auch die Anforderungen an die Benutzerverwaltung und die Sicherheitstoolsets. Es verlangt eine weitaus flexiblere Zuweisung von Rechten an die der Benutzer und ihren Möglichkeiten. Eine Umsetzung dafür bietet Microsoft in seinem Intelligent Access Gateway.

(ID:2022367)