Suchen

eBook zu „Risk and Access Management“ Zugriffskontrolle muss intelligenter werden

| Autor / Redakteur: Oliver Schonschek* / Stephan Augsten

Unnötige Berechtigungen, unsichere Benutzerzugänge und zunehmende Insider-Attacken zeigen auf, dass das Access Management in vielen Unternehmen modernisiert werden muss. Neben einer Ausweitung zum Beispiel auf Clouds muss dabei auch die aktuelle Bedrohungslage berücksichtigt werden.

Identifikation, Bewertung und Minderung von Risiken sollten im kompletten Zyklus des Zugriffsmanagements stattfinden.
Identifikation, Bewertung und Minderung von Risiken sollten im kompletten Zyklus des Zugriffsmanagements stattfinden.
(Bild: Nmedia - Fotolia.com)

IT-Trends wirken sich grundsätzlich auf das Identity- und Access-Management aus. So wollen Zugriffsrechte für Cloud-Dienste ebenso geregelt sein wie die Berechtigungen in Social-Business-Plattformen und bei Big-Data-Analysen; als ob die klassische Zugangs- und Zugriffskontrolle durch die Vielzahl der Nutzer, Geräte, Anwendungen, Rollen und Aufgaben nicht schon kompliziert genug wäre

Neben den neuen Zugriffsmöglichkeiten müssen aber auch die zunehmend komplexen Bedrohungen berücksichtigt werden. Datendiebe versuchen in den meisten Fällen digitale Identitäten zu stehlen und deren Berechtigungen zu missbrauchen. Selbst die tatsächlich berechtigten Nutzer können zur Bedrohung werden.

Sicherheitsprogosen gehen von einer steigenden Gefahr durch Innentäter, durch sogenannte Insider-Attacken aus. Das Access Management muss sich somit für neue Technologien und gegen fortschrittliche Attacken rüsten.

Risikoanalysen helfen bei der Priorisierung der Access Control

Das Access Management kann deutlich verbessert werden, wenn die Zugriffsrichtlinien nicht statisch definiert werden, sondern sich dynamisch anpassen lassen. Welche Zugriffe für welchen Nutzer oder welche Rolle erlaubt sein sollten, hängt letztlich immer von dem damit verbundenen Risiko für die Daten zusammen.

Es ist deshalb sinnvoll, dass Access Management zu einem Risk-based Access Management oder auch Risk and Access Management auszubauen. Die Identifikation, Bewertung und Minderung der Risiken sollte dabei im kompletten Zyklus des Zugriffsmanagements stattfinden. Dieser beginnt mit der Anfrage für neue oder geänderte Berechtigungen und zieht sich über die Genehmigung bis hin zur Überwachung und Analyse der Zugriffsrechte.

Grundsätzlich sollte geprüft werden, ob die jeweiligen Richtlinien die aktuelle Bedrohungslage berücksichtigen. Entweder verfügt die Access-Management-Lösung selbst über Funktionen für solche Sicherheits- und Risikoanalysen oder es werden über Schnittstellen Informationen aus Security-Intelligence- oder SIEM-Lösungen (Security Information and Event Management) genutzt.

Privilegierte Zugänge brauchen ein besonderes Augenmerk

Von großer Bedeutung ist die risikobasierte Zugriffskontrolle bei Nutzern und Rollen mit hohen Privilegien, zum Beispiel Administratoren. Gerade Benutzerkonten mit hohen Berechtigungen sind bevorzugte Angriffsziele der Datendiebe, geben sie doch im Erfolgsfall den Weg frei für umfangreiche „Beutezüge“ in den Datenbeständen.

Administratoren als mögliche Innentäter sind außerdem eine nicht zu unterschätzende Gefahr. Hier soll es aber nicht um einen Generalverdacht gehen. Vielmehr werden gehört es oft zu den Compliance-Auflagen, dass die Administratortätigkeit mittels Privileged Access Monitoring umfassend überwacht wird. Manipulationssichere Protokolle der privilegierten Zugriffe sollten ebenso vorhanden sein wie eine geschützte Umgebung, in der die digitalen Schlüssel der Administratoren sicher aufbewahrt werden können.

Das neue eBook „Risk and Access Management“ beleuchtet die Hintergründe für eine risikobasierte Zugriffskontrolle und speziell für die Kontrolle der Administratortätigkeit und gibt Tipps zur Umsetzung eines modernen Access Managements, das neue Technologien ebenso berücksichtigt wie aktuelle Bedrohungen.

* Oliver Schonschek, Dipl.-Phys., ist IT-Fachjournalist und IT-Analyst. Sein Fokus liegt auf Sicherheit und Datenschutz in IT-Bereichen wie Cloud Computing, Mobile Enterprise, Big Data und Social Enterprise.

(ID:43230678)