:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Life Cycle-Prozesse für Berechtigungen So verärgern Sie Ihre Fachabteilungen nicht mit IAM
Unternehmen, die sich nicht mit der Qualität der Inhalte für IAM-Prozesse befassen, laufen Gefahr, die Akzeptanz der Anwender in ihren Fachabteilungen zu verlieren, bevor sie ihre mühevoll erarbeiteten neuen IAM-Prozesse im Unternehmen einführen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Heute möchte ich etwas Licht auf einen der kritischen organisatorischen Aspekte des Identity and Access Management (IAM) werfen. Das Thema, das ich hier diskutieren möchte, ist eine Voraussetzung für die meisten kritischen Access-Governance-Prozesse, einschließlich Antrags- und Genehmigungsverfahren, Periodische Überprüfung von Zugriffsberechtigungen (Re-Zertifizierung), Modellierung von Business Rollen sowie Audit und Revisionsprüfungen.
Betrachtung von IAM als IT-Thema
Einige Unternehmen betrachten IAM immer noch als ein technisches Thema für das IT-Team und geben sich nicht viel Mühe, die Sichtweise der fachlich orientierten Anwender einzunehmen. Die Einbeziehung von Interessengruppen aus den Fachabteilungen ist bei der Einrichtung von IAM-Programmen immer empfehlenswert - Aber das soll nicht der Fokus dieses Artikels sein. Stattdessen möchte ich über die sinnvolle Präsentation von Inhalten für diese Anwender sprechen, damit sie IAM-Aufgaben ausführen können.
Haben Sie schon einmal einen Manager eines weniger IT-nahen Fachbereiches gebeten, die Zugriffsrechte seines Teams zu überprüfen? Und ihm dazu den Auszug der Zugriffsrechte übergeben, den Sie aus Ihren IT-Systemen extrahiert haben?
Wenn Sie Glück hatten, wird er/sie Sie freundlicherweise um eine Erklärung der präsentierten Informationen bitten. In vielen Fällen habe ich jedoch erlebt, wie Manager die Arbeit auf dieser Grundlage abgelehnt haben - und dabei haben sie meine volle Unterstützung. Mit diesen Berichten erhielten die Führungskräfte einfach keine Informationen, mit denen sie arbeiten können.
Unzureichende inhaltliche Qualität der präsentierten Inhalte
Die inhaltliche Qualität der den Nutzern präsentierten Informationen ist - wie in allen IT-Projekten - entscheidend. Für IAM bedeutet dies, Zugriffsrechte in einer geeigneten Weise zu beschreiben, die ein weniger IT-affiner Anwender aus einer Fachabteilung verstehen kann.
Anstatt Informationen wie "Benutzer A71239 ist dem System SAP-P20 zugeordnet und hat die Berechtigungen XPA_PRD_Z120_JBS_CZUP, XBAC_PRD_ZXY_UASDIUX, ..." - und weitere 100s mit ähnlichen technischen Bezeichnungen – zu präsentieren, empfiehlt es sich, eine für fachliche Nutzer interpretierbare Beschreibung der durch die Zuordnung dieser Objekte gewährten Zugriffsrechte anzubieten. Aber welche Schritte sind dafür erforderlich?
:quality(80)/images.vogel.de/vogelonline/bdb/1595700/1595766/original.jpg "Unternehmen müssen zu den wichtigsten IAM-Prozessen über genaue Kennzahlen verfügen. Bei Geschäftsprozessen ist das längst üblich. (gemeinfrei)")
Ahnungslosigkeit beim IAM
Der Weg zu verlässlichen IAM-Kennzahlen
Dokumentation von Berechtigungsstrukturen
Bei der Einführung von Access Governance sind Unternehmen gut beraten, eine Dokumentation der Berechtigungsstrukturen („Access Control Structures) für jede ihrer Geschäftsanwendungen zu erstellen und zu pflegen. Wie oben beschrieben ist das Hauptziel dieser Übung, den Führungskräften der Fachabteilungen die erforderlichen Informationen zur Verfügung zu stellen, um die Zugriffsrechte zu verstehen, für deren Verwaltung sie verantwortlich sind. Weitere Interessengruppen für diese Inhalte sind das interne und externe Audit, das Team, das Business-Rollen für IAM verwaltet - und einfach jeder IT-Anwender in dem Unternehmen.
Um hier eine kleine Abgrenzung vorzunehmen - ich möchte in diesem Artikel nicht auf den Aufbau eines Business-Rollenmodells eingehen, sondern die Grundlage für das Verständnis technischer Zugriffsrechte aus der Perspektive von Fachanwendern schaffen.
Das Thema „Berechtigungsstrukturen“ befassen sich mit der Funktionalität und dem Inhalt für die Steuerung der Zugriff auf eine bestimmte Geschäftsanwendung. Andere in einem ähnlichen Zusammenhang verwendete Begriffe sind z.B. Berechtigungsmatrix, Zugriffskatalog, Rechtestrukturen. Die Bezeichnung ist natürlich unerheblich, aber es sollten erforderlichen Informationen enthalten sein, die fachlich orientierte Anwendung für die Interpretation der Zugriffsrechte benötigen.
Dazu gehören zunächst Informationen zur Definition des fachlichen Rahmens der Geschäftsanwendung:
- Name der Anwendung
- Geschäftszweck der Anwendung
- Fachlicher Eigentümer der Anwendung
- Technischer Eigentümer der Anwendung
Als nächstes müssen wir verstehen, wie diese Anwendung die Zugriffssteuerung technisch durchsetzt - wir nennen dies als technisches Zugriffssteuerungsmodell („Access Control Model“), das sich anspricht:
- Verzeichnisdienste, Datenbanken und andere verwendete Repositories
- Funktionen für die Zugriffskontrolle
- Beschreibung aller Parameter, die von der Anwendung ausgewertet wurden, um über die Zulässigkeit eines Zugriffs zu entscheiden.
:quality(80)/images.vogel.de/vogelonline/bdb/1546400/1546417/original.jpg "Im Vergleich zur Fertigungsindustrie hat die recht junge IT-Industrie noch viele Möglichkeiten der Optimierung. Sie kann dabei von den bewährten Methoden der klassischen Produktionsplanungsverfahren profitieren. (Archivist, Nataliya Hora - stock.adobe.com)")
Lernen von der Industrie
Produktivität im Identity- und Access-Management steigern
Nachdem wir nun dokumentiert haben, wie die technische Zugriffssteuerung für die Anwendung funktioniert, wird ein Katalog erstellt, der sich mit jedem einzelnen Objekt befasst, das wir für die Zugriffskontrolle verwenden. Dies kann Sammelrollen in einem SAP-System, eine Reihe von Active Directory- oder LDAP-Gruppen, RACF-Berechtigungen, Legacy-Parameter in einer Eigenentwicklung oder eine Kombination von Objekten über mehrere technische Plattformen hinweg umfassen, die eben für eine bestimmte Geschäftsanwendung verwendet werden. Für jedes Objekt müssen einige Schlüsselinformationen gepflegt werden:
- Für Fachbereiche verständliche Bezeichnung des Objekts
- Für Fachbereiche verständliche Beschreibung der damit erteilten Zugriffsrechte
- Technischer Name des Objekts, wie es im entsprechenden Verzeichnis referenziert wird
- Technisches Verzeichnis, in dem hinlegt ist
- Fachlicher Eigentümer des Objekts („business owner“, häufig auch als "data owner" bezeichnet)
- Technischer Eigentümer des Objekts
- Erforderlicher Genehmiger für den Beantragungsprozess
- Auf Objektebene anzuwendende Zuordnungsregeln (z.B. Aufgabentrennung)
Ein guter Ansatz: Definierte Life Cycle-Prozesse für Berechtigungsstrukturen
Diese Aufgabe darf nicht zu einem einmaligen Unterfangen werden, sondern muss sich zu einem regelmäßigen Prozess entwickeln. Ein guter Ansatz ist es, Life Cycle-Prozesse zu definieren, um Berechtigungsstrukturen für Fachanwendungen zu erstellen, zu pflegen, letztendlich zurückzubauen und diese in Change-Management-Prozesse einzubetten. Als wichtigste Aspekte sollten dabei beachtet werden:
- Die Festlegung Verantwortung für die Pflege der Berechtigungsstrukturen
- Der Genehmigungsablauf für Änderungen, einschließlich fachlicher, technischer und redaktioneller Freigaben.
- Die Prozedur zur Veröffentlichung des geänderten Zugriffskatalogs zur Verwendung in IAM-Prozessen (z.B. Antrags- und Genehmigungsverfahren, periodische Überprüfung von Zugriffsberechtigungen, Business-Rollenmanagement). Dazu gehört auch der Import der Inhalte in den Katalog von Identity Governance & Administration-Systemen.
Je nach Ausgangssituation in einem Unternehmen kann die Erstellung und Pflege von Berechtigungsstrukturen und die Einführung von definierten Lebenszyklusprozessen eine umfangreiche und langwierige Aufgabe sein. Aber ich versichere, dass es die Mühe wert ist.
Über den Autor: Daniel Wirth (CISSP, CISM, CRISC) ist Senior Managing Consultant Identity and Access Management bei IBM.
(ID:46066315)
:quality(80)/p7i.vogel.de/wcms/d5/ac/d5ac877a7836d2727894499ce8e1ac5a/0106753174.jpeg "Mit dem richtigen Secrets Management können Unternehmen ihre DevOps-Prozesse entscheidend absichern, ohne unflexibel zu werden. (Bild: kieferpix - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/bb/b7bb47aac3a3180c9f64967396b2fb2e/0106805990.jpeg "Identity & Access Management (IAM) ist ein Treiber der Digitalisierung der Industrie und kommt immer öfter auch als cloudbasierte Lösung. (Bild: DIgilife - stock.adobe.com)")