:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/59/60/5960c42975dff727adfac6a471bc7428/0114147994.jpeg "Obwohl 90 Prozent der Befragten glauben, dass ihre aktuellen Tools zur Erkennung von Bedrohungen effektiv sind, befürchten 97 Prozent, einen relevanten Sicherheitsvorfall zu verpassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit in hybriden IT-Landschaften Zugriff auf Unternehmensanwendungen einfacher und sicherer machen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Gegenwart und Zukunft der IT-Landschaften ist hybrid. Doch der Mix aus On-Premises und Cloud bringt Herausforderungen im Bereich der digitalen Sicherheit mit sich. IT-Security-Verantwortliche müssen dafür sorgen, dass Mitarbeiter einfach und gleichzeitig sicher auf alle notwendigen Applikationen zugreifen können – und sich nicht täglich in einem Dschungel aus verschiedenen Multi-Faktor-Authentifizierungen verlieren. Das Stichwort hierbei lautet: Identity and Access Management (IAM).
Hybrid ist heute die Norm. Die Studie „Hybrid Work 2022“ zeigt, dass bereits die Hälfte der befragten deutschen Unternehmen ein detailliertes Konzept für ein Hybrid-Work-Modell haben, das auf allen Ebenen und in allen Bereichen implementiert werden kann. Außerdem investieren 69 Prozent in weitere Möglichkeiten des hybriden Arbeitens. Diese Transformation verändert auch die Zugriffspolitik zu den firmeneigenen Systemlandschaften grundlegend – und wirft neue Security-Fragen auf.
Sicherheit und Zugriffskontrolle in der heutigen Cloud-Welt
Vor der „Cloudifizierung“ liefen alle Anwendungen, die Mitarbeiter für ihre Arbeit benötigten, im unternehmenseigenen Rechenzentrum. Sie waren damit nur innerhalb des Firmennetzwerks zugänglich. Heute ist das anders: Applikationen sind auf verschiedenen Webservern in der Cloud gehostet und Mitarbeiter können sie über ihren Webbrowser von überall aus anwählen, ohne sich vorher in das sichere Firmennetzwerk einzuloggen. Die letzte Entscheidung bei der Zugriffskontrolle hängt damit nicht mehr an einem Sicherheitsschlüssel oder Zertifikat, sondern nur noch an den Log-in-Daten des jeweiligen Mitarbeiters, an Benutzername und Passwort – die oftmals verhältnismäßig einfach zu knacken sind.
Diese Tatsache wird bei der Einführung einer Cloud-Applikation jedoch oft nicht beachtet. Funktionalität steht bei den meisten Firmen zunächst an erster Stelle. Zwar stellen SaaS-Anbieter auch eigene Schutzmechanismen wie Firewalls bereit. Doch diese unterscheiden nicht, ob etwa ein Zugriff aus einem vertrauenswürdigen Netzwerk heraus erfolgt – wie dem Firmennetzwerk – oder einem unsicheren öffentlichen Netz. Deshalb sollten Unternehmen selbst dazu in der Lage sein, zu überprüfen, ob ein Benutzer der ist, für den er sich ausgibt und ob er auf die angeforderte Anwendung zugreifen darf.
Kriminelle hacken lieber Identitäten als Applikationen
Cyberkriminelle wissen, dass es für sie einfacher und kostengünstiger ist, Identitäten zu stehlen, als in Applikationen einzubrechen. Denn Erstere sind oftmals mit schwachen Passwörtern und unzulänglichen Zugriffskontrollen versehen. Das Schlimmste am Identitätsdiebstahl ist, dass er oft erst spät erkannt wird. Kompromittierte Konten können wochen- oder sogar monatelang unbemerkt bleiben, während der Hacker auf sensible Informationen zugreift. Verschafft er sich so Zugang zu E-Mails, SharePoint-Dokumenten und anderen vertraulichen Informationen, ist dem Schaden, den er anrichten kann, beinahe keine Grenze gesetzt.
Zum Schutz der Identität setzen viele IT-Sicherheitsexperten auf die Multi-Faktor-Authentifizierung (MFA). Diese schafft eine zusätzliche Sicherheitsebene, indem sie die Identität des Benutzers genauestens überprüft. Sie verwendet mehrere Faktoren wie biometrische Daten, PINs oder Push-Benachrichtigungen, um zu verifizieren, dass der Zugreifende tatsächlich der ist, für den er sich ausgibt. Dadurch wird das Risiko von Identitätsdiebstahl und Phishing-Angriffen minimiert.
Warum Sicherheit manchmal ermüdend wird
Das stellt die IT-Teams allerdings vor eine weitere Herausforderung: Wenn jede Cloud-Applikation eine eigene MFA benötigt, um die Identität der Nutzer zu prüfen, kann das für den Mitarbeiter sehr viel Aufwand bedeuten. Früher war es einfacher: Ein VPN-Login am Morgen und man hatte Zugriff auf alle firmeninternen Daten und Anwendungen. Heute haben Firmen jedoch meist mehrere SaaS-Applikationen im Einsatz, die Mitarbeiter nicht über das Unternehmensnetzwerk, sondern direkt über das Internet anwählen. Wenn jede Einzelne mit eigenen Authentifizierungsfaktoren geschützt ist, müssen Mitarbeiter täglich mehrere MFA-Codes eingeben – und dazu unter Umständen auch noch verschiedene Apps auf ihrem Handy installieren, um die Codes zu generieren. Diese Vielzahl an MFA-Anfragen und -Systemen kann schnell zu Frustration und damit auch Unachtsamkeit führen.
Die IT-Abteilung hat die Möglichkeit, eine solche Entwicklung zu vermeiden. Wenn sie auf ein IAM-System setzt, das alle MFA-Systeme vereint und eine nahtlose und vereinfachte Nutzererfahrung einschließlich Single Sign-On bietet.
IAM: Zentraler Baustein für die IT-Sicherheit in der hybriden Welt
Eine vom Unternehmen implementierte Identitäts- und Zugriffsverwaltung ermöglicht es, Nutzern eindeutige Identitäten zuzuweisen und zu definieren, welche Rechte sie haben. IAM ist damit eine zentrale Technologie, um die firmeninterne IT-Sicherheitsstrategie in einer hybriden Umgebung wirksam umzusetzen. Denn sie verifiziert, dass ausschließlich authentifizierte Personen Zugang zu Daten haben – unabhängig von der Art der Applikation oder des Endgeräts. Einmal eingerichtet, verwaltet IAM die Zugriffsrechte automatisch, ohne dass Mitarbeiter sich noch einmal einloggen müssen.
Das macht das Identitätsmanagement zu einem wichtigen Verbündeten von Compliance und Datensicherheit. Mit ihm lässt sich detailliert überwachen und dokumentieren, wer auf sensible Daten zugegriffen und sie geändert hat. Für interne Audits, externe Prüfungen oder den Abschluss einer Cyberversicherung ein Muss. Um IAM nutzbringend einzusetzen und die Vorteile voll auszuschöpfen, brauchen Unternehmen jedoch eine dedizierte IAM-Strategie, die sowohl die Technologie als auch die Geschäftsprozesse umfassen.
Komplexe Strukturen erfordern Expertise
Die Einführung eines Identitätsmanagements kann eine komplexe und schwierige Aufgabe sein, besonders dann, wenn es nicht von Anfang an geplant wurde. Viele Firmen gehen das Thema erst nachgelagert an – ihr Hauptaugenmerk liegt meist zunächst auf der Einführung von Cloud-Applikationen und nicht auf der Absicherung des Zugriffs auf diese. Kommt dann noch MFA für jede Applikation hinzu, wird das Thema schnell ungemein komplex.
Durch ein gutes IAM-System kann man jedoch die Komplexität reduzieren und die Verwaltung der Zugänge zentralisieren. Das macht das Management von Identitäten wieder möglich – eine essenzielle Security-Voraussetzung. Durch das IAM lässt sich die erforderliche Sicherheit dynamisch anpassen. Das erhöht die Usability signifikant und führt zu einer deutlich höheren Benutzerakzeptanz. Daher sollte man sich frühzeitig mit der Einführung beschäftigen. Ist ein IAM implementiert, lassen sich Applikationen in der Regel ohne großen Aufwand einbinden. Das spart bei der Einführung viel zusätzlichen Aufwand und für den User ist der Zugang dann nahezu transparent.
Es ist sinnvoll, sich dabei von einem Dienstleister unterstützen zu lassen, der täglich mit IAM-Systemen arbeitet und in deren Implementierung und Betrieb erfahren ist. Er weiß, wie SaaS-Applikationen zu integrieren und Identitäten anzulegen oder zu sperren sind. So kann der Admin sich auf andere Aufgaben konzentrieren, während der Dienstleister den komplexeren Teil der IAM-Policy aufsetzt, umsetzt und kontinuierlich im Hintergrund betreibt.
Fazit: IAM jetzt angehen
Hybride IT-Landschaften sind heute unternehmerische Realität. IT-Sicherheitsverantwortliche müssen dafür sorgen, dass Mitarbeiter einfach und sicher auf alle notwendigen Applikationen zugreifen können. IAM ist hierfür ein zentraler Baustein. Mit ihm lassen sich Sicherheitskonzepte umsetzen, die eine sinnvolle Balance zwischen Usability und Security herstellen. Dazu muss das Identitätsmanagement effektiv in die IT-Landschaft eingepasst werden. Insbesondere wenn Unternehmen schon viele verschiedene Cloud-Applikationen nutzen, kann das komplex und herausfordernd sein. Spezialisierte Dienstleister geben hier wertvolle Hilfestellung – und schieben Hackern so einen weiteren Riegel vor.
Über den Autor: Dipl.-Ing. Wolfgang Kurz gründete die Indevis GmbH noch während seines Studiums der Elektrotechnik in München. Er ist ausgewiesener Experte im Bereich Infrastruktur und Rechenzentrum und verantwortete bis 2019 den technischen Bereich bei Indevis, insbesondere die Entwicklung sowie den Betrieb der Indevis Managed Security Services. Seit 2019 liegt sein Hauptfokus als Geschäftsführer auf der strategischen Ausrichtung des Unternehmens.
(ID:49680065)
:quality(80)/images.vogel.de/vogelonline/bdb/1953800/1953898/original.jpg "Salesforce will bis Mai kommenden Jahres alle Kunden zur Multi-Faktor-Authentifizierung verpflichten. (gemeinfrei, geralt / Pixabay)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947176/original.jpg "Mit Azure AD Identity Protection bietet Microsoft Unternehmen eine Lösung um Angriffsversuche auf Benutzerkonten im Azure Active Directory zu erkennen. (Amgun - stock.adobe.com)")