Mit Single-Sign-on zum Identity-Management

11.10.2006
Autor(en): Richard Diez-Holz, Systemberater bei RDS Consulting.

Der "Deloitte Global Security Survey 2006", eine von Deloitte Touche Tohmatsu jährlich vorgenommene Befragung der 150 weltweit führenden Unternehmen im Finanzsektor, gibt an, dass 96 Prozent aller kontaktierten Chief Information Officers und Chief Information Security Officers die autorisierten Benutzer innerhalb der firmeneigenen IT-Infrastruktur als Sicherheitsrisiko ansehen.

Systeme für Identity- und Access-Management legen alle Informationen über Applikationen, Benutzer, digitale Identitäten sowie den gesamten Workflow im Lebenszyklus eines Benutzerkontos in einer Sicherheitsdatenbank ab. Dabei kann auf bereits bestehende Datenbanken wie etwa das Active Directory zugegriffen werden. Die Definition von Rollen bietet die Möglichkeit, einem realen Benutzer an zentraler Stelle einen genau definierten Satz digitaler Identitäten zuzuordnen, mit denen er sich an Anwendungen authentifizieren kann. Komplexe digitale Identitäten lassen sich automatisch erzeugen.

Dies ist keineswegs unbegründet, denn Firmennetze sind heute in der Regel technisch gut abgesichert und stützen sich auf erprobte Sicherheitsmechanismen, die nur mit großem Aufwand umgangen oder überwunden werden können. Daher suchen Hacker nach alternativen Methoden, unerlaubten Zugriff auf ihr Ziel zu erhalten. Das schwächste Glied in dieser Kette sind bekanntermaßen die eigenen Anwender. Sie sind sich oft weder über die möglichen Gefahren bewusst, noch sind sie auf dem neuesten Stand bezüglich aktueller Sicherheitsbedrohungen. Dennoch verfügen sie aber häufig über weit reichende Rechte für den Zugriff auf Informationen oder diese zu verändern. Identitätsdiebstahl ist daher eine sehr effektive Methode, in Netzwerke einzudringen, ohne technische Sicherheitsmechanismen überwinden zu müssen.

Die Techniken der Angreifer entwickeln sich dabei schneller als Sicherheitsbeauftragte die eigenen Mitarbeiter über neue Gefährdungen aufklären können. Aktuell verursachen Hacker durch so genanntes Spear-Phishing große Schäden. Das sind gezielte Angriffe auf einzelne Unternehmen oder Institutionen mit täuschend echt aussehenden E-Mails, zum Beispiel eines internen Administrators, der dazu auffordert das Passwort zu Wartungszwecken auf einer Website zurückzusetzen.

Unternehmen im Visier

Der Fokus dieses Angriffs liegt nicht mehr darauf, möglichst viele potentielle Opfer zu erreichen, sondern konzentriert sich auf ein Unternehmen oder eine Institution. Dafür steigt jedoch die Qualität des Angriffs erheblich. Die Global Security Survey 2006 nennt die nackten Zahlen: In den vergangenen zwölf Monaten verzeichneten 78 Prozent aller befragten Unternehmen Sicherheitsvorfälle, die auf externe Ursachen zurückzuführen sind. Phishing- und Social-Engineering-Angriffe konnten in 88 Prozent der Fälle als Ursachen nachgewiesen werden.