Identity & Access Management

Strategien zur Risikominimierung

| Autor / Redakteur: Michael Neumayr / Peter Schmitz

Durch die Beschränkung von Zugriffsrechten unterbinden Unternehmen den risikobehafteten, breiten Zugriff auf Netzwerke und Systeme.
Durch die Beschränkung von Zugriffsrechten unterbinden Unternehmen den risikobehafteten, breiten Zugriff auf Netzwerke und Systeme. (Bild: Pixabay)

Die Mehrheit der derzeitigen Datenlecks haben einen gemeinsamen Angriffsvektor: Gestohlene Benutzernamen und Passwörter. Dieser Artikel soll aufzeigen, wie sich mit Identity & Access Management diverse Sicherheitslücken schließen sowie Regulierungen und Compliance umsetzen lassen.

Nach dem Verizon 2016 Data Breach Investigations Report lassen sich 63 Prozent der Datenverluste auf schwache, gestohlene oder Standardpasswörter zurückführen. Angreifer dringen mit simplen Taktiken in Unternehmen ein, sie nutzen einfach die schwächsten Punkte aus. Es ist daher erforderlich, dass Unternehmen ihre Verteidigungsmaßnahmen stärken. Ein guter Anfang sind bewährte Methoden zur Priorisierung einer Risikominimierungsstrategie, wobei erst die Lücken gestopft werden, die besonders oft zu Datenverlust führen. Anschließend können Unternehmen ausgefeiltere und umfassendere Kontrollmaßnahmen einführen.

IT-Infrastrukturen werden immer diverser und heterogener. Es existieren multiple Silos, die von Abteilungen, Applikationen, Betriebssystemen und anderen Charakteristiken definiert werden, anhand denen sie sich voneinander unterscheiden. Die Komplexität von Unternehmen lässt die Herausforderung noch anwachsen. Die Verwaltung von Mitarbeiteridentitäten wird immer komplizierter. In der Vergangenheit hat ein Anwender typischerweise an seinem Schreibtisch mit einem einzigen Computer gearbeitet und war per Kabel mit den Unternehmensapplikationen verbunden. In modernen Unternehmen sind Anwender mobil und nutzen zig Geräte, von denen einige nicht genehmigte oder nicht dokumentierte private Geräte sind. Die Ausbreitung von Virtualisierung und Cloud Services sorgt für zusätzliche Komplexität in der IT-Umgebung.

Außerdem muss die IT die zunehmend strengeren Auflagen der Unternehmensführung und regulatorische Anforderungen erfüllen, wie z.B. PCI und die im Mai 2018 kommende EU General Data Protection Regulation (GDPR). Compliance ist oft umständlich und eine wachsende Belastung für die Mehrzahl der Unternehmen. Die meisten größeren Compliance-Regulierungen erfordern von Unternehmen, dass diese Zugriffskontrolle, rollenbasierte Privilegien und Anwenderaktivitäten mit identifizierbaren Anwendern verbinden. In Umgebungen mit mehreren Plattformen ist die Umsetzung einer derartigen Zurechenbarkeit eine hochkomplexe Aufgabe – gerade wenn multiple Silos von Identitäten existieren. Richtlinien müssen auf allen Plattformen nicht nur konsistent und einheitlich angewandt, sondern auch durchgesetzt werden, um echten Schutz zu bieten.

Ohne eine Lösung für die Vereinheitlichung von Anwenderidentitäten haben Unternehmen zu viele Identitäten. Das erhöht identitätsbasierende Risiken wie Datenverlust, Datenlecks, Ausfallzeit von Applikationen, gescheiterte Audits und die Unfähigkeit, interne Sicherheitsprobleme zu erkennen und zu bereinigen, bevor sie eskalieren.

Heutzutage sind Endanwender und privilegierte Anwender das Ziel von Angriffen. Oft richtet sich der erste Angriff auch gegen ein Netzwerk eines Drittanbieters, Service Providers oder Geschäftspartners, um dadurch Zugang zum Netzwerk einer damit verbundenen Organisation zu erlangen. Sind die Angreifer erst einmal im Netzwerk, bewegen sie sich lateral, bis sie einen privilegierten Anwender finden, dessen Zugang sie kompromittieren können. Damit verfügen sie über die notwendigen Zugangsberechtigungen, die sie brauchen, um vertrauliche Informationen und Firmendaten zu stehlen.

Unternehmen sollten sich zudem über die Größe der Angriffsfläche in ihren IT-Umgebungen sorgen und die Probleme erkennen, die aus Anwendern mit zu vielen Privilegien resultieren. Durch die Limitierung von lateralem Bewegungsspielraum und der Implementierung einer Least-Privilege-Lösung verhindern Unternehmen, dass Menschen mehr Zugriffsrechte haben als sie benötigen. Unglücklicherweise ist es sehr einfach, Anwendern viele Zugriffsberechtigungen zu geben – auch wenn diese gar nicht benötigt werden. Daher sollten Unternehmen die Provisionierung und De-Provisionierung von Privilegien automatisieren und Zugriffsberechtigungen auf Bedarfsbasis und für eine begrenzte Zeit vergeben.

Durch die Beschränkung von Zugriffsrechten unterbinden Unternehmen den risikobehafteten, breiten Zugriff auf Netzwerke und Systeme. Stattdessen stehen Anwendern nur Zugriffe auf spezifische Systeme, spezifische Kommandos und bestimmte Funktionen innerhalb der Systeme zur Verfügung. Wenn beispielsweise ein Administrator nur erhöhte Zugriffsrechte benötigt, um einen Webserver neu zu starten, dann sollte dieser Befehl das einzige privilegierte Kommando sein, das er ausführen kann. Wenn seine Zugangsdaten nun kompromittiert werden, ist der Schaden limitiert, der damit angerichtet werden kann. Das ist als Least-Privileged-Modell bekannt.

IT- und IT-Sicherheitsmanager erkennen zunehmend, dass es kostengünstiger und effektiver ist, diese Herausforderungen mit einer Lösung zu begegnen, die jeden Anwender einer einheitlichen Identität zuordnet, über alle Plattformen hinweg. Zugriffsrechte und Aktivitäten werden spezifischen Einzelpersonen zugeordnet, die alle eine einheitliche Identität haben. Damit stehen IT-Abteilungen die Kontrollmechanismen zur Verfügung, die sie benötigen, um Sicherheitsrisiken zu minimieren und die für Compliance erforderliche Visibilität zu erreichen. Außerdem können die IT-Abteilungen damit die Nutzungsumstände der Anwender erfassen. Der Ort, die Rolle des Anwenders, Muster des bisherigen Verhaltens und die Tageszeit erzeugen einen Kontext, der erklärt, warum ein Anwender Zugriff benötigt und ob die IT-Abteilung diesen zulässt oder ablehnt. Das wird auch als adaptive Authentifizierung bezeichnet.

Eine derartige einheitliche Sicherheitslösung sollte zudem heterogene Umgebungen unterstützen und alle Identity-Richtlinien vereinheitlichen – für die Authentifizierung, Autorisierung und Audits. Wichtig ist auch, dass sie zentralisiertes Identity Management mit einer ganzheitlichen Übersicht ermöglicht.

Eine gute Sicherheitslösung sollte darüber hinaus das Problem der Passwörter adressieren. Anwender haben oft zu viele Passwörter. Passwörter alleine sind zudem nicht ausreichend, um Daten zu schützen. Es sind zusätzliche Authentifizierungsfaktoren nötig, um die Identität eines Anwenders zu verifizieren. Die Einführung von Single Sign-On (SSO) erhöht die IT-Sicherheit und Kontrolle, ermöglicht Unternehmen die Verwaltung von Anwenderidentitäten und vereinfacht die Nutzererfahrung. Anwender müssen sich nur noch einen Benutzernamen und ein Passwort merken, um auf alle ihre Applikation zugreifen zu können, egal ob in der Cloud, im eigenen Rechenzentrum oder über mobile Endgeräte.

Echtes SSO ermöglicht Anwendern, sich in mehrere Applikationen ihres Unternehmens einzuloggen, wobei sie ihr Passwort nur bei der ersten Authentifizierung eingeben. Zudem stellt es die Funktion zur Verfügung, konsistente und zentralisierte Richtlinien zur Authentifizierung über die ganze Organisation hinweg zu erzwingen. Damit werden die Anwender nahtlos bei allen Applikationen authentifiziert, für die sie Zugriffsrechte haben. Die Implementierung von SSO verbessert die Nutzererfahrung und hilft der IT, die so genannte Schatten-IT unter Kontrolle zu halten.

Die Einführung von Identity Assurance reduziert Risiken mittels Multifaktor-Authentifizierung (MFA) sowie Konsolidierung für Identitäten und bietet SSO für SaaS-Applikationen, IaaS-Systeme und die traditionelle On-Premise-Infrastruktur.

Viele der heutigen Angriffe mit dem höchsten Schaden profitieren immer noch von kompromittierten Zugangsdaten. Wenn es sich bei diesen Zugangsdaten um die eines privilegierten IT-Administrators handelt, sind alle Firmendaten, inklusive Kundendaten, in Gefahr. MFA für alle Anwendergruppen und Ressourcen reduziert derartige Risiken. Wenn zusätzliche Informationen oder Faktoren wie ein Einmalcode, ein Fingerabdruck oder eine Smart Card neben dem Passwort erforderlich sind, reichen ein gestohlener Benutzername und sein Passwort nicht aus, um Zugriff zu bekommen.

MFA kann auch adaptiv genutzt werden und berücksichtigt die unterschiedliche Qualität von Zugriffen auf VPNs, Cloud- und On-Premise-Apps, Server- und Workstation-Betriebssystemen und von mobilen Endgeräten aus. Damit ist es Nebensache, ob ein Administrator oder ein Endanwender sich anmeldet und eine Erhöhung seiner Privilegien verlangt oder ob ein IT-Administrator das Passwort für einen Shared Account abfragt. Anwender müssen sich nur dann per MFA authentifizieren, wenn es erforderlich ist, und genießen sonst nahtloses SSO.

Durch sicheren Remote-Punkt-zu-Punkt-Zugriff auf Apps und Ressourcen ohne einen VPN, die Integration von Genehmigungs-Workflows und automatische Provisionierung bzw. De-Provisionierung lässt sich das Risiko eines Datenverlusts weiter senken.

Wenn alle genannten Aspekte adressiert werden, erreichen Unternehmen einen Überblick über ihre Gefährdungslage. Zudem können sie blinde Flecken und Lücken in ihrer Server-Umgebung identifizieren, wie den Mangel an Visibilität bei lokalen Administrator-Accounts auf Windows. Sie stellen auch konsistentes Management von Richtlinien und die Durchsetzung davon für Authentifizierung, Autorisierung und Audits über das gesamte Unternehmen hinweg sicher.

Mit der richtigen Lösung im Einsatz vereinfachen Unternehmen das Management von Identitäten, weisen nahtlose Compliance nach, etablieren Passwortrichtlinien, einen Nachweis von Policies für privilegierte Anwender und Visibilität von Zugriffskontrollen. Die Qualität einer solchen Lösung liegt darin, dass Visibilität, Monitoring und Durchsetzung von einer einzigen zentralisierten Managementfunktion übernommen wird, die von der IT kontrolliert wird.

Über den Autor

Michael Neumayr ist bei Centrify verantwortlich für die Region Zentral- (DACH) und Osteuropa. Seit dem Jahr 2000 ist er im IT-Sicherheitssegment tätig, die letzten fünf Jahre mit dem Schwerpunkt Identity- und Access Management.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44600582 / Single Sign-on)