:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Identity & Access Management Strategien zur Risikominimierung
Die Mehrheit der derzeitigen Datenlecks haben einen gemeinsamen Angriffsvektor: Gestohlene Benutzernamen und Passwörter. Dieser Artikel soll aufzeigen, wie sich mit Identity & Access Management diverse Sicherheitslücken schließen sowie Regulierungen und Compliance umsetzen lassen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Nach dem Verizon 2016 Data Breach Investigations Report lassen sich 63 Prozent der Datenverluste auf schwache, gestohlene oder Standardpasswörter zurückführen. Angreifer dringen mit simplen Taktiken in Unternehmen ein, sie nutzen einfach die schwächsten Punkte aus. Es ist daher erforderlich, dass Unternehmen ihre Verteidigungsmaßnahmen stärken. Ein guter Anfang sind bewährte Methoden zur Priorisierung einer Risikominimierungsstrategie, wobei erst die Lücken gestopft werden, die besonders oft zu Datenverlust führen. Anschließend können Unternehmen ausgefeiltere und umfassendere Kontrollmaßnahmen einführen.
IT-Infrastrukturen werden immer diverser und heterogener. Es existieren multiple Silos, die von Abteilungen, Applikationen, Betriebssystemen und anderen Charakteristiken definiert werden, anhand denen sie sich voneinander unterscheiden. Die Komplexität von Unternehmen lässt die Herausforderung noch anwachsen. Die Verwaltung von Mitarbeiteridentitäten wird immer komplizierter. In der Vergangenheit hat ein Anwender typischerweise an seinem Schreibtisch mit einem einzigen Computer gearbeitet und war per Kabel mit den Unternehmensapplikationen verbunden. In modernen Unternehmen sind Anwender mobil und nutzen zig Geräte, von denen einige nicht genehmigte oder nicht dokumentierte private Geräte sind. Die Ausbreitung von Virtualisierung und Cloud Services sorgt für zusätzliche Komplexität in der IT-Umgebung.
Außerdem muss die IT die zunehmend strengeren Auflagen der Unternehmensführung und regulatorische Anforderungen erfüllen, wie z.B. PCI und die im Mai 2018 kommende EU General Data Protection Regulation (GDPR). Compliance ist oft umständlich und eine wachsende Belastung für die Mehrzahl der Unternehmen. Die meisten größeren Compliance-Regulierungen erfordern von Unternehmen, dass diese Zugriffskontrolle, rollenbasierte Privilegien und Anwenderaktivitäten mit identifizierbaren Anwendern verbinden. In Umgebungen mit mehreren Plattformen ist die Umsetzung einer derartigen Zurechenbarkeit eine hochkomplexe Aufgabe – gerade wenn multiple Silos von Identitäten existieren. Richtlinien müssen auf allen Plattformen nicht nur konsistent und einheitlich angewandt, sondern auch durchgesetzt werden, um echten Schutz zu bieten.
Ohne eine Lösung für die Vereinheitlichung von Anwenderidentitäten haben Unternehmen zu viele Identitäten. Das erhöht identitätsbasierende Risiken wie Datenverlust, Datenlecks, Ausfallzeit von Applikationen, gescheiterte Audits und die Unfähigkeit, interne Sicherheitsprobleme zu erkennen und zu bereinigen, bevor sie eskalieren.
Heutzutage sind Endanwender und privilegierte Anwender das Ziel von Angriffen. Oft richtet sich der erste Angriff auch gegen ein Netzwerk eines Drittanbieters, Service Providers oder Geschäftspartners, um dadurch Zugang zum Netzwerk einer damit verbundenen Organisation zu erlangen. Sind die Angreifer erst einmal im Netzwerk, bewegen sie sich lateral, bis sie einen privilegierten Anwender finden, dessen Zugang sie kompromittieren können. Damit verfügen sie über die notwendigen Zugangsberechtigungen, die sie brauchen, um vertrauliche Informationen und Firmendaten zu stehlen.
Unternehmen sollten sich zudem über die Größe der Angriffsfläche in ihren IT-Umgebungen sorgen und die Probleme erkennen, die aus Anwendern mit zu vielen Privilegien resultieren. Durch die Limitierung von lateralem Bewegungsspielraum und der Implementierung einer Least-Privilege-Lösung verhindern Unternehmen, dass Menschen mehr Zugriffsrechte haben als sie benötigen. Unglücklicherweise ist es sehr einfach, Anwendern viele Zugriffsberechtigungen zu geben – auch wenn diese gar nicht benötigt werden. Daher sollten Unternehmen die Provisionierung und De-Provisionierung von Privilegien automatisieren und Zugriffsberechtigungen auf Bedarfsbasis und für eine begrenzte Zeit vergeben.
Durch die Beschränkung von Zugriffsrechten unterbinden Unternehmen den risikobehafteten, breiten Zugriff auf Netzwerke und Systeme. Stattdessen stehen Anwendern nur Zugriffe auf spezifische Systeme, spezifische Kommandos und bestimmte Funktionen innerhalb der Systeme zur Verfügung. Wenn beispielsweise ein Administrator nur erhöhte Zugriffsrechte benötigt, um einen Webserver neu zu starten, dann sollte dieser Befehl das einzige privilegierte Kommando sein, das er ausführen kann. Wenn seine Zugangsdaten nun kompromittiert werden, ist der Schaden limitiert, der damit angerichtet werden kann. Das ist als Least-Privileged-Modell bekannt.
IT- und IT-Sicherheitsmanager erkennen zunehmend, dass es kostengünstiger und effektiver ist, diese Herausforderungen mit einer Lösung zu begegnen, die jeden Anwender einer einheitlichen Identität zuordnet, über alle Plattformen hinweg. Zugriffsrechte und Aktivitäten werden spezifischen Einzelpersonen zugeordnet, die alle eine einheitliche Identität haben. Damit stehen IT-Abteilungen die Kontrollmechanismen zur Verfügung, die sie benötigen, um Sicherheitsrisiken zu minimieren und die für Compliance erforderliche Visibilität zu erreichen. Außerdem können die IT-Abteilungen damit die Nutzungsumstände der Anwender erfassen. Der Ort, die Rolle des Anwenders, Muster des bisherigen Verhaltens und die Tageszeit erzeugen einen Kontext, der erklärt, warum ein Anwender Zugriff benötigt und ob die IT-Abteilung diesen zulässt oder ablehnt. Das wird auch als adaptive Authentifizierung bezeichnet.
Eine derartige einheitliche Sicherheitslösung sollte zudem heterogene Umgebungen unterstützen und alle Identity-Richtlinien vereinheitlichen – für die Authentifizierung, Autorisierung und Audits. Wichtig ist auch, dass sie zentralisiertes Identity Management mit einer ganzheitlichen Übersicht ermöglicht.
Eine gute Sicherheitslösung sollte darüber hinaus das Problem der Passwörter adressieren. Anwender haben oft zu viele Passwörter. Passwörter alleine sind zudem nicht ausreichend, um Daten zu schützen. Es sind zusätzliche Authentifizierungsfaktoren nötig, um die Identität eines Anwenders zu verifizieren. Die Einführung von Single Sign-On (SSO) erhöht die IT-Sicherheit und Kontrolle, ermöglicht Unternehmen die Verwaltung von Anwenderidentitäten und vereinfacht die Nutzererfahrung. Anwender müssen sich nur noch einen Benutzernamen und ein Passwort merken, um auf alle ihre Applikation zugreifen zu können, egal ob in der Cloud, im eigenen Rechenzentrum oder über mobile Endgeräte.
Echtes SSO ermöglicht Anwendern, sich in mehrere Applikationen ihres Unternehmens einzuloggen, wobei sie ihr Passwort nur bei der ersten Authentifizierung eingeben. Zudem stellt es die Funktion zur Verfügung, konsistente und zentralisierte Richtlinien zur Authentifizierung über die ganze Organisation hinweg zu erzwingen. Damit werden die Anwender nahtlos bei allen Applikationen authentifiziert, für die sie Zugriffsrechte haben. Die Implementierung von SSO verbessert die Nutzererfahrung und hilft der IT, die so genannte Schatten-IT unter Kontrolle zu halten.
Die Einführung von Identity Assurance reduziert Risiken mittels Multifaktor-Authentifizierung (MFA) sowie Konsolidierung für Identitäten und bietet SSO für SaaS-Applikationen, IaaS-Systeme und die traditionelle On-Premise-Infrastruktur.
Viele der heutigen Angriffe mit dem höchsten Schaden profitieren immer noch von kompromittierten Zugangsdaten. Wenn es sich bei diesen Zugangsdaten um die eines privilegierten IT-Administrators handelt, sind alle Firmendaten, inklusive Kundendaten, in Gefahr. MFA für alle Anwendergruppen und Ressourcen reduziert derartige Risiken. Wenn zusätzliche Informationen oder Faktoren wie ein Einmalcode, ein Fingerabdruck oder eine Smart Card neben dem Passwort erforderlich sind, reichen ein gestohlener Benutzername und sein Passwort nicht aus, um Zugriff zu bekommen.
MFA kann auch adaptiv genutzt werden und berücksichtigt die unterschiedliche Qualität von Zugriffen auf VPNs, Cloud- und On-Premise-Apps, Server- und Workstation-Betriebssystemen und von mobilen Endgeräten aus. Damit ist es Nebensache, ob ein Administrator oder ein Endanwender sich anmeldet und eine Erhöhung seiner Privilegien verlangt oder ob ein IT-Administrator das Passwort für einen Shared Account abfragt. Anwender müssen sich nur dann per MFA authentifizieren, wenn es erforderlich ist, und genießen sonst nahtloses SSO.
Durch sicheren Remote-Punkt-zu-Punkt-Zugriff auf Apps und Ressourcen ohne einen VPN, die Integration von Genehmigungs-Workflows und automatische Provisionierung bzw. De-Provisionierung lässt sich das Risiko eines Datenverlusts weiter senken.
Wenn alle genannten Aspekte adressiert werden, erreichen Unternehmen einen Überblick über ihre Gefährdungslage. Zudem können sie blinde Flecken und Lücken in ihrer Server-Umgebung identifizieren, wie den Mangel an Visibilität bei lokalen Administrator-Accounts auf Windows. Sie stellen auch konsistentes Management von Richtlinien und die Durchsetzung davon für Authentifizierung, Autorisierung und Audits über das gesamte Unternehmen hinweg sicher.
Mit der richtigen Lösung im Einsatz vereinfachen Unternehmen das Management von Identitäten, weisen nahtlose Compliance nach, etablieren Passwortrichtlinien, einen Nachweis von Policies für privilegierte Anwender und Visibilität von Zugriffskontrollen. Die Qualität einer solchen Lösung liegt darin, dass Visibilität, Monitoring und Durchsetzung von einer einzigen zentralisierten Managementfunktion übernommen wird, die von der IT kontrolliert wird.
Über den Autor
Michael Neumayr ist bei Centrify verantwortlich für die Region Zentral- (DACH) und Osteuropa. Seit dem Jahr 2000 ist er im IT-Sicherheitssegment tätig, die letzten fünf Jahre mit dem Schwerpunkt Identity- und Access Management.
(ID:44600582)
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/cb/d6cb86ff67651b8683ade77a1e3a72bb/0107266293.jpeg "Vertrauen braucht Sicherheit und Sicherheit darf nicht als notwendiges Übel wahrgenommen werden. (Bild: BillionPhotos.com - stock.adobe.com)")