:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Identity- und Access-Management unter Kontrolle Wie Kontrollen IAM effizienter und sicherer machen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Identity- und Access-Management (IAM) ist eines der Schlüsselthemen, wenn es um unternehmensweite Cybersicherheit geht. Doch wie lässt sich nachhaltig Ordnung in die stetig wachsenden Berechtigungsstrukturen bringen? Die Antwort liegt nahe: Durchdachte, automatisierte und an das Unternehmen angepasste Kontrollen erlauben langfristig mehr Effizienz, Transparenz und Compliance im IAM.
Das IAM eines Unternehmens war schon immer fester und zentraler Bestandteil einer jeden Sicherheitsarchitektur. Schon lange bevor die Digitalisierung Unternehmen rund um den Globus verändert hat, haben sie Identitäten beim Zutritt zu ihrem Firmengelände geprüft. So konnten sie sicherstellen, dass nur Berechtigte Zugang zu den Ressourcen des Unternehmens erlangen. Ein Schutz, der heutzutage wichtiger denn je ist: Durch Angebote wie Public Clouds lösen sich Perimetermodelle zum Schutz der Unternehmensdaten auf. Immer mehr Menschen aber auch Geräte – Stichwort Internet of Things – von außerhalb greifen auf Assets im Unternehmen zu. Gleichzeitig steigt die Anzahl eingesetzter Anwendungen und somit die Anzahl der zu überwachenden Zugänge zu kritischen Ressourcen rasant an. Hinzu kommen agile Unternehmensstrukturen und der Einsatz externer Experten, beides Modelle, die eine schnelle Zuweisung oder Änderung von Zugriffsberechtigungen erfordern. Ohne ein IAM zu betreiben, kann ein Unternehmen die Sicherheit der eigenen wertvollen Daten gar nicht mehr sicherstellen.
Struktur, Kontrolle und Automatisierung sind essenziell, um bei diesem Umfang an Berechtigungen und der Geschwindigkeit der Veränderungen noch den Überblick zu behalten und nachhaltig für Sicherheit zu sorgen. Darum werden nicht selten IAM-Fachexperten eingekauft, die im Zuge von umfangreichen Projekten Ordnung in das Chaos bringen und den Unternehmen einen sauberen Neustart verschaffen. Moderne IAM-Software ermöglicht eine zentrale Verwaltung von Nutzern und Berechtigungen sowie das Anlegen automatisierter und kontextgebundener Berechtigungs-Zuweisungsregeln. Dennoch bleibt nach wie vor ein manueller Aufwand bestehen, um beispielsweise kritische Berechtigungen wie etwa Adminrechte zu vergeben und zu kontrollieren, Prozesse zu implementieren und aktuell zu halten und stetig auf Konformität mit regulatorischen Anforderungen zu achten.
Die Ziele Effizienz, Transparenz und Compliance stehen heute im Vordergrund von IAM-Systemen. Wie schon ein altes Sprichwort besagt, ist Kontrolle besser als Vertrauen – gerade im IAM und vor dem Hintergrund von Compliance-Prüfungen bekommt dieses Sprichwort wieder Gewicht. Die Implementierung von klaren Kontrollmechanismen stellt sicher, dass der erarbeitete geordnete Stand nach dem IAM-Projekt auch weiter bestehen bleiben kann.
Kontrollen richten sich nach Anforderungen des Unternehmens
Da das IAM in jedem Unternehmen anders aussieht und stets anderen Anforderungen gerecht zu werden hat, gibt es keinen de-facto Standard oder Best-Practice Katalog an Mechanismen, die Unternehmen umsetzen sollten. Im Allgemeinen sollten Kontrollen im „Three Line of Defense (LoD) Modell“ angesiedelt und automatisiert werden. Die Möglichkeit zur Automatisierung wird von vielen modernen IAM-Software-Systemen bereitgestellt und ermöglicht einen hohen Effizienzgrad. Das Loggen aller automatisch und manuell getätigter Prozesse stellt außerdem die Transparenz von Zuweisungen sicher. Nicht zuletzt bei der Prüfung schlägt diese Eigenschaft stark zugunsten der Effizienz zu Buche. Doch bevor Unternehmen Kontrollen automatisieren können, ist es essenziell, diese zunächst einmal zu definieren. So ist zum Beispiel festzulegen, welche Risiken Unternehmen durch welche Kontrollen mindern oder eliminieren können – wie etwa im Fall von Compliance- oder Sicherheitsrisiken. Wie genau sollen die Kontrollprozesse aussehen? Welcher Grad an Automatisierung ist angemessen? Wie häufig sollen die Kontrollen durchgeführt werden und anhand welcher Metriken kann die Güte dieser gemessen werden? Gerade letzteres spielt eine wichtige Rolle in der stetigen Weiterentwicklung und Verbesserung der Kontrollmaßnahmen.
Ein Beispiel solcher Kontrollen stellt etwa die Automatisierung des 4-Augen Prinzips dar. Laut dem 4-Augen Prinzip erfolgt die Genehmigung bestimmter Berechtigungen nämlich nicht nur durch eine, sondern durch mindestens zwei Personen. Solche Freigabeprozesse können in vielen modernen IAM-Tools eingepflegt werden. Doch was passiert, wenn der Erst- und Zweitgenehmiger ein und dieselbe Person sind? Angenommen, bei dem Erstgenehmiger handelt es sich um den Vorgesetzten des Antragstellenden, beim Zweitgenehmiger um den Anwendungsverantwortlichen – in der Praxis könnte es sich hier um dieselbe Person handeln. Eine implementierte Kontrolle gleicht entsprechende Sachverhalte ab und würde in einem solchen Fall eine Warnung vermerken oder direkt einen weiteren Genehmiger einreihen.
Eine weitere nützliche Kontrolle ist das regelmäßige Überprüfen von Identitäts-Duplikaten. So kann es durch Anlage- oder Prozessfehler dazu kommen, dass ein Mitarbeiter mehrere digitale Identitäten hat. Das würde ihm etwa erlauben, Funktionstrennungsvorschriften zu umgehen, indem er mit der einen Identität bestimmte Rollen erlangt, die mit Rollen seiner zweiten Identität nicht vereint werden dürfen. Systemseitig würde das zunächst allerdings nicht auffallen. Eine regelmäßige Überprüfung der Identitäten kann solche Situationen aufdecken. Weitere Kontrollen wären Prüfungen auf inaktive Accounts aber auch Plausibilitätschecks auf Anwendungsebene: Wurde bei der Rezertifizierung beispielsweise relativ gesehen deutlich weniger Berechtigungen von einer bestimmten Anwendung entzogen oder erteilt als bei anderen? Viele solcher Kontrollen sind denkbar, um Compliance- und Sicherheitsrisiken zu minimieren, und die optimalen Maßnahmen sind bei jedem Unternehmen von viele Faktoren wie Risikolage und regulatorischen Anforderungen abhängig.
Der Ausbau von Kontrollmechanismen hat Priorität
Gut implementierte und regelmäßig evaluierte Kontrollen legen eine solide Grundlage für Effizienz, Transparenz und Compliance im IAM dar. Sie mindern Compliance- und Sicherheitsrisiken, legen Sollbruchstellen in Prozessen offen, erlauben eine Verfolgung aller Berechtigungsvorgänge und reduzieren den Aufwand zur Erhaltung eines sauberen und sicheren IAMs. Die Implementierung und der Ausbau von Kontrollen sollten sich somit auf der Agenda eines jeden IAM-Verantwortlichen wiederfinden.
Über den Autor: Hans-Peter Fischer ist Partner im Bereich Security Consulting der KPMG. Er berät Unternehmen zu IT Risiko Management und Cyber Security – von der Strategie über die Maßnahmendefinition bis zur Implementierung. Schwerpunkte seiner Tätigkeiten sind Aufbau und Optimierung von Information Security Management Systems (ISMS) und Security Incident and Event Management (SIEM) bei großen Unternehmen und Konzernen.
(ID:47536081)
:quality(80)/p7i.vogel.de/wcms/98/1d/981de771a525a8f44b1b752531caed81/0111098213.jpeg "Einer Studie zufolge sind 56 Prozent der befragten Unternehmen bereits einer Insider-Attacke zum Opfer gefallen. Dabei legen die Mitarbeitenden zumeist keinerlei kriminelle Absichten an den Tag, sondern werden Opfer von Social Engineering. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")