Suchen

Identitäts- und Zugriffs-Management Schritt für Schritt - Teil 1 Robustes Identity Management schützt das Geschäft

Autor / Redakteur: Kurt Denk, Senior Customer Solutions Architect, CA Deutschland GmbH / Peter Schmitz

Mitarbeiterfluktuation, Versetzung, Firmenübernahmen oder -umstrukturierung machen es IT-Security-Verantwortlichen in Unternehmen schwer, den Überblick über wechselnde Benutzerkreise und deren Zugangsberichtigungen zu behalten. Das Management der Benutzeridentitäten, Konten und Zugriffsrechte zählt aber zu den wichtigsten Aufgaben im IT-Management. Überlegungen zum Lebenszyklus und Wirkungskreis eines Nutzers werden zum Dreh- und Angelpunkt einer modernen Sicherheitskonzeption,

Firmen zum Thema

Identity- und Access-Management Systeme erfordern hohen Planungsaufwand, belohnen dies aber mit der effizienteren Bearbeitung von Standard-Aufgaben und höherer Sicherheit.
Identity- und Access-Management Systeme erfordern hohen Planungsaufwand, belohnen dies aber mit der effizienteren Bearbeitung von Standard-Aufgaben und höherer Sicherheit.
( Archiv: Vogel Business Media )

Selbst vor „Schmutz“ machen hochkriminelle Hacker in Europa nicht halt! Mit Hilfe einer Phishing-Mail sammelten sie Zugangsdaten zahlreicher Firmen zum Emissonshandel und verkauften die gestohlenen Verschmutzungsrechte. Dieser Vorgang belegt einmal mehr die Verletzlichkeit unserer (Geschäfts)-Welt. Beinahe schon in Vergessenheit geraten ist der Fall der Baring Bank, die durch ein mangelhaftes Risiko-Management erst einen Riesenverlust verkraften musste und in Folge ihre Unabhängigkeit verlor. Aber auch ohne externe Risiken sehen sich die mit Sicherheitsfragen betrauten Verantwortlichen tagtäglich neu gefordert. Mitarbeiterfluktuation, Versetzung, Firmenübernahmen oder -umstrukturierung machen es ihnen schwer, den Überblick über wechselnde Benutzerkreise und deren Zugangsberichtigungen zu behalten.

Das Management der Benutzeridentitäten, Konten und Zugriffsrechte zählt deshalb zu den wichtigsten Aufgaben im IT-Management. Überlegungen zum Lebenszyklus und Wirkungskreis eines Nutzers werden zum Dreh- und Angelpunkt einer modernen Sicherheitskonzeption, wie sie CA Identity Lifecycle Management umsetzen hilft. Zusätzlich fällt auf das Identitäts- und Zugriffs-Management (IAM - Identity and Access Management) eine wichtige Aufgabe im Zusammenhang mit der Einhaltung gesetzlicher Vorschriften (Stichwort: Compliance) zu. Und zu guter Letzt wollen Arbeits- und Kostenaufwand in Verbindung mit der effizienten Verwaltung von Benutzern und der Überprüfung des Zugriffs „verschlankt“ werden.

Bildergalerie

Seite 2: Das Zusammenspiel von Identität, Rolle, Ressourcenzugriff und Sicherheitsdomäne

Das Zusammenspiel von Identität, Rolle, Ressourcenzugriff und Sicherheitsdomäne

Die grundlegende Idee hinter dem IAM ist denkbar einfach. Es werden Definition und Prozess der Berechtigungszuweisung – also das I – von der Umsetzung der Berechtigung, also vom A, getrennt. Als Verbindungskitt dient die Gruppenzugehörigkeit beziehungsweise das Rollenkonzept. Je nach Gruppe oder Rolle ist der Nutzer für bestimmte Anwendungen oder Dienste autorisiert. Der Zugriff auf die eigentliche Anwendung, beispielsweise ein Datenbanksystem oder Content Management System, erfolgt über eine fest eingerichtete Nutzeridentität.

Mit dem Rollenkonzept ist die Erfahrung verknüpft, dass auf der Mitarbeiterseite häufiger Wechsel stattfinden, als dass sich Tätigkeiten in einer Organisation wandeln. Die Identität des Nutzers ist dabei mit der beruflichen Aufgaben (Rolle) abgestimmt. Jeder Rolle sind wiederum Rechte und Systeme als Attribute zugeordnet, die letztlich auf Benutzerkonten verwalteter Systeme verweisen. Eine hierarchische Staffelung und das Zusammenfassen von Gruppen und Rollen zu (Stellen-)Profilen erlauben die differenzierte Zuordnung. Zusätzlich können sich abhängig von der betrieblichen Tätigkeit eines Mitarbeiters direkte Zugriffsrechte (Benutzerkonten oder ACL – Access-Control-Listen) für ausgewählte Ressourcen dem individuellen Rollen-Profil zugeordnet werden.

Die anfallenden Administrationsarbeiten bei einer Neueinstellung lassen sich beispielsweise direkt vom System der Personalabteilung initiieren. Einen neuen stellvertretenden Abteilungsleiter werden ausgewählte Rollen bezüglich Einkaufsberechtigung, Mitarbeiterbeurteilung etc. zugeordnet. Der erforderliche Workflow wird automatisch erzeugt, die Genehmigungsanforderungen werden verschickt. Nach Bestätigung folgen die Updates der Zugriffsberechtigungen für die notwendigen Anwendungen und Systeme. Ergänzend lässt sich für physische Gegenstände wie Telefon, PC, Kreditkarte, Firmenausweis oder Schreibtisch ein Auftrag an den Beschaffungs-Manager generieren. Falls ein Mitarbeiter das Unternehmen verlässt, kann seine Identität bzw. Gruppen- und Rollenzugehörigkeit einfach annulliert werden.

Seite 3: Authentifizierungs- und Autorisierungsstrategien in verteilten IT-Infrastrukturen

Authentifizierungs- und Autorisierungsstrategien in verteilten IT-Infrastrukturen

Das Entwerfen der zugehörigen Authentifizierungs- und Autorisierungsstrategie zählt in verteilten IT-Infrastrukturen allerdings zu den anspruchsvollsten Tätigkeiten, die im IT-Management anfallen. Dies gilt umso mehr, da der reinen Lehre in der Praxis nicht immer gefolgt werden kann. Der Zuschnitt der Sicherheitsdomänen lässt sich noch verhältnismäßig einfach bewältigen. Im Groben werden drei Sicherheits-Hauptdomänen öffentliches Internet, DMZ (Firewall-Konfiguration für LANs) und Firmennetz als logische und organisatorisch zusammengehörige Bereiche betrachtet, die durch Firewalls, Filtersysteme u.ä. getrennt sind. Innerhalb des Firmennetzes werden wiederum IT-Ressourcen in unterschiedliche Sicherheitsdomänen zusammengefasst. Der Zugriff auf die Daten oder Services einer Sicherheitsdomäne verlangt eine Autorisierung, die in der Regel über Benutzerkonten bzw. Zugriffslisten gesteuert wird. Zur Anmeldung am Benutzerkonto muss der Benutzer authentifiziert werden.

Die Autorisierung und Authentifizierung soll nun innerhalb des IAM das Rollenkonzept übernehmen. Mit ihnen ist wie oben beschrieben die Erwartung verbunden, dass die Anzahl der Rollen deutlich geringer ausfällt als die Anzahl der Nutzer und Zugriffsrechte. Die jeweilige Rollenbildung hat folglich einen maßgeblichen Einfluss auf die zum Teil widersprüchlichen Ziele Effizienz und Sicherheit/Compliance. Überspitzt ausgedrückt wäre es aus Effizienzgründen das Einfachste, jedem Benutzer alles zu erlauben, während aus Compliance-Sicht die rollenbasierende Aufgabentrennung gar nicht fein genug erfolgen kann. Die tägliche Praxis wird an dieser Stelle manchen Kompromiss, aber auch die eine oder andere Vorbereitungsarbeit notwendig machen. Einer IAM-Lösung darf es deshalb nicht allein um die Provisionierung von Identitäten und Rollen gehen. Sie muss gleichzeitig Werkzeuge zur Rollenbildung („Role Mining“) aus der existierenden Infrastruktur als auch zur Analyse und Auflösung von Interessenkonflikten (Segregation of Duties, SoD) bieten. Und ebenso muss sie eine Rechte-Separation und Server-Härtung im Zugriffs-Management unterstützen, um über ein differenziertes Management von „Superuser“-Berechtigungen eine größere Sicherheit zu realisieren.

Der Lohn dieser konzeptionellen Arbeiten und Überlegungen: Es wird die Grundlage für ein hocheffizientes automatisiertes Management für die Rollenmodellierung und Benutzer-Provisionierung, für den Genehmigungs-Workflow sowie die Zertifizierung von Zugriffsberechtigungen gelegt. Benutzer sind ohne Zeitverzug produktiv und Administratoren können sich auf ihre Hauptaufgaben konzentrieren, statt sich mit banalen, arbeitsintensiven Tätigkeiten aufzuhalten. Gleichzeitig mindern sich Sicherheits- und Compliance-Risiken, da Benutzer keine Zugriffsrechte erhalten, die im Widerspruch zueinander stehen. Zur Erinnerung sei an dieser Stelle noch einmal der Hinweis auf die Barings Bank erlaubt. Nick Leeson leitete seinerzeit nicht nur den Handel mit Finanzderivaten in Singapur, er war zugleich für die Back-Office-Funktionen verantwortlich, wo die Trades kontrolliert wurden.

Über den Autor

Kurt Denk ist Senior Customer Solutions Architect bei der CA Deutschland GmbH.

Teil 2 der Serie erscheint in Kürze und befasst sich mit den technischen Möglichkeiten (und Grenzen) rollenbasierter Autorisierungsverfahren im Kontext von Organisationsstrukturen.

(ID:2043457)