:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Federated Identity & Access Management Schutz vor unberechtigtem Zugriff
Wer darf in einem föderalen System auf welche Daten zugreifen? Mit dieser Fragestellung setzt sich die aktuelle Debatte um die Gesetzesvorlage zur Antiterrordatei auseinander. Darin heißt es: „Innerhalb der beteiligten Behörden erhalten ausschließlich hierzu ermächtigte Personen Zugriff auf die Antiterrordatei“. In Unternehmen stellt sich die Frage nach der Zugangsberechtigung genauso, und sie geht sogar noch einen Schritt weiter.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Im Unterschied zur Antiterrordatei geht es in der Wirtschaft nicht allein um Datenzugriffe, sondern um die Teilnahme an unternehmensübergreifenden Prozessen, unter anderem aus Produktion, Logistik und Entwicklung. Ein gutes Beispiel bilden die Lieferketten der Automobilindustrie. Hier sind viele Personen aus verschiedenen Unternehmen mit unterschiedlichen Aufgaben in einem gemeinsamen Prozess eingebunden.
Um ein für diese Anforderungen geeignetes Identity- und Access-Managementsystem zu implementieren, ist ein dreistufiger Prozess erforderlich.
Zum Ersten müssen Sie sicherstellen, dass nur berechtige Nutzer auf das System zugreifen können. Zweitens gilt es einen Prozess einzuführen, der für zugangsberechtigte Personen regelt, welche Informationen und Anwendungen sie bearbeiten dürfen. Beispielsweise werden einem Finanzanalysten alle relevanten Finanzdaten angezeigt, damit er einen Report erstellen kann. Allerdings wird er nicht berechtigt, Transaktionen durchzuführen oder die Daten zu verändern. Als Drittes müssen Sie für eine zentrale Kontrolle über das System sorgen.
Gestatten, Federation
Es ist also eine übergreifende Lösung notwendig, die ähnlich wie bei der Antiterrordatei den Zugriff interner und externer „ermächtigter“ Anwender auf Daten und Prozesse nach föderalen Prinzipien sicher und effektiv regelt. Dabei muss sie umfassende Kontrolle bieten, damit Unternehmen Compliance-Vorschriften wie den Sarbanes-Oxley Act (SOX) oder die europäische Datenschutzdirektive erfüllen können. Schließlich sollte die Lösung Unternehmensrichtlinien zur Verwaltung von Zugangsrechten umsetzen.
Eine solche Lösung wird als Federated Identity & Access Management (FIAM) bezeichnet. FIAM umfasst alle Prozesse, Vorgänge und Technologien, die es einem Unternehmen ermöglichen, Identitätsdaten über Unternehmensgrenzen hinweg bereit zu stellen und zu verwalten.
Vorteile einer Federation-Lösung
Im Vergleich zur Verwaltung von Zugangsrechten in jeder Applikation bietet ein föderatives Konzept wie FIAM deutliche Effizienz- und Kostenvorteile. Federation bedeutet, dass Identitäten (IDs) portabel sind und zwischen den Anwendungen ausgetauscht werden. Der Anwender kann mit einer Identität die unterschiedlichsten Anwendungen in unterschiedlichen Rollen nutzen. Dabei muss er sich nur noch an einer Stelle einloggen, erhält jedoch Zugriff auf alle verfügbaren Informationen, unabhängig davon, in welcher Anwendung diese liegen.
Dies ist besonders vorteilhaft, wenn Unternehmen die Informationen und Dienstleistungen über die eigenen Grenzen hinweg austauschen. Denn nur so können auch Partner, Kunden, Investoren und Zulieferer in die Arbeitsprozesse eingebunden werden und die Zusammenarbeit wird einfacher und effizienter. Scheidet der Anwender aus einem Unternehmen aus, können alle seine Rechte in einem einzigen administrativen Vorgang gelöscht werden, ohne dass einzelne Anwendungen angefasst werden müssen.
Folgende Absätze und die entsprechenden Grafiken in der Bildergalerie verdeutlichen den Unterschied zwischen den unterschiedlichen Identity-Management-Modellen.
Zugangskontrolle ohne Federation (Abbildung 1)
Im einfachen Modell ohne Federation hat jeder Nutzer eine eigene ID für jede Anwendung oder für jedes System und die lokale Administration und der Helpdesk verwalten die Benutzer in den unterschiedlichen Systemen. In diesem Modell verzichtet man auf eine Integration, gleichzeitig erfordert das Modell einen hohen Verwaltungsaufwand und führt damit zu hohen Betriebskosten. Darüber hinaus bietet es potenzielle Sicherheitslücken.
Die Analysten von Gartner gehen davon aus, dass jeder Anwender im Schnitt 28 Benutzernamen und Passwörter benötigt. Um sich alle einzelnen Zugangskennungen zu merken, schreiben viele Anwender die Passwörter auf oder benutzen leicht durchschaubare Wörter wie Vor- und Nachnamen. Dieses Vorgehen öffnet jedoch schnell die Tür zum Missbrauch und führt durch die zwangsläufige Fehleranfälligkeit zu erhöhtem Serviceaufwand.
Einfache Federation (Abbildung 2)
Im einfachen Federation-Modell besitzt der Anwender ebenfalls eine eigene ID für jede Anwendung oder jedes System. Er braucht sich jedoch nur in einem System anzumelden, um dann zwischen allen freigegebenen Anwendungen im Verbund wechseln zu können (Single Sign-on).
Dieses Modell mindert jedoch nur unwesentlich den Aufwand des Administrators: Er muss weiterhin für jeden Nutzer festlegen, zwischen welchen Anwendungen im System der Anwender ohne weitere Anmeldung hin und her wechseln darf und auf welche Anwendungen er keinen Zugriff erhält.
Zentralisiertes Modell (Abbildung 3)
Im zentralisierten Modell agiert ein neutraler Dienstleister wie Covisint als zentraler ID-Verwalter. Dieser stellt eine Plattform bereit, über die Unternehmensinformationen, -anwendungen und -prozesse innerhalb des gesamten Geschäftspartner-Netzwerks genutzt werden können. Neben dem Nutzen auf der Anwender-Seite können Unternehmen, die einen Dienstleister nutzen, auch den Aufwand der Administratoren deutlich verringern.
Insbesondere bei der Einbindung externer Geschäftspartner muss der Administrator die Zugriffsanträge in der Regel nicht mehr selber bearbeiten. Der FIAM-Dienstleister steuert einen Freigabeprozess, der in erster Linie die Autoritäten des Handelspartners in die Pflicht nimmt. In diesem Modell sinkt der technische Aufwand, und die Prozesse zur Benutzerverwaltung werden sicherer und schneller. Der Dienstleister sorgt zum Beispiel dafür, dass die Zugriffrechte nach der abgestimmten Freigabe an die relevanten Systeme weitergegeben werden.
Unternehmen haben in diesem Modell auch den Vorteil, dass sie die Kosten genau kalkulieren können. Der Dienstleister stellt den gesamten ID- und Zugangs-Service zur Verfügung und berechnet dafür eine feste monatliche Gebühr, die geringer ist als der Aufwand für die eigene dezentrale ID-Verwaltung. Denn durch Auslagern dieser Prozesse profitieren die Unternehmen von den Skaleneffekten, die ein Dienstleister realisiert, der große ID- und Anwenderzahlen verwaltet. Bei Covisint beispielsweise nutzen mehr als 260.000 Anwender in über 30.000 Organisationen das FIAM-Modell.
Bei der Auslagerung an einen Dienstleister sind neben den technischen Aspekten auch juristische und prozessbezogene Voraussetzungen zu beachten. In Bezug auf die Ausgestaltung der Verträge mit Geschäftspartnern und die Freigabeprozesse dienen die großen Lieferantenportale der Automobilindustrie als Orientierungspunkt. Hier haben sich praxiserprobte Regelungen und stabile Prozesse zusammen mit einer föderativen, schlanken Administration in großen digitalen Gemeinschaften etabliert. Der neutrale Dienstleister hilft bei der Definition, implementiert, steuert und überwacht die Prozesse. Somit können Unternehmen ihre Verwaltungskosten reduzieren, während die Anwender vom Komfort profitieren.
David Miller ist Chief Security Officer bei Covisint.
Artikelfiles und Artikellinks
Link: Covisint-Homepage
(ID:2004786)
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/f8/d7f810045d218a1bf1d3567864a3a0be/0108707706.jpeg "Im Rahmen der Konferenz Oktane22 stellte Okta verschiedene Neuheiten vor. (Bild: Okta)")