Kontrolle über die Daten
Zudem wollen die Kunden die Kontrolle über ihre Daten behalten können, aus Sicht des Datenschutzes müssen sie es sogar. Wie eine NIFIS-Umfrage ergab, sehen 73 Prozent der Unternehmen in Deutschland den Kontrollverlust über ihre Daten als eine der Hauptgefahren für die deutsche Wirtschaft beim Cloud Computing. Das ist für den einzelnen Nutzer nicht anders.
Initiativen wie Kantara arbeiten daran, dass Nutzer die Zugriffe auf ihre Daten selbst verwalten können. Anwender können dann nicht nur Berechtigungen an den Daten Dritter beantragen, sondern auch die Rechte an den eigenen Daten vergeben oder verwehren. Die Spezifikationen für User-Managed Access (UMA) haben kürzlich den Status 1.0 erreicht und bieten Anwendern die Möglichkeit, eigene Richtlinien für Zugriffe auf ihre Nutzerdaten aufzustellen und durchzusetzen.
Foto: OpenUMA
User-Managed IAM hilft dem Datenschutz, steigert das Vertrauen der Nutzer und gibt dadurch dem Online-Geschäft Rückenwind. Gleichzeitig hilft die aktive Teilnahme des Nutzers mittels Self-Service-Funktionen bei der Reduzierung der Helpdesk-Aufwände. Trotzdem sollte das neue Identity and Access Management nicht nur nutzerzentriert sind.
Risikoanalysen unterstützen
Eine weitere, starke Strömung bei IAM-Lösungen kann mit Identity Intelligence, Access Intelligence oder auch Risk-based IAM umschrieben werden. Sicherheitsforscher und Analysten warnen seit langem, dass die Verwaltung von Identitäten, Zugängen und Zugriffen deutlich gewissenhafter betrieben werden muss. Wie es zum Beispiel Forrester Research bezeichnet, sind schlecht organisierte Zugriffsrechte zu sehen wie eine bevorstehende Datenpanne, sprich: Fehler im IAM rächen sich früher oder später durch das Auftreten von Datenpannen und IT-Sicherheitsvorfällen.
Bei einem Risk-based IAM werden grundsätzlich die Risiken betrachtet, die von einer Identität, einem Zugang oder einer Berechtigung ausgehen. Als mögliche Risikofaktoren gelten zum Beispiel der aktuelle Standort von Nutzer und Gerät, die verwendete IP-Adresse, der Sicherheitsstatus des Gerätes, der Status der Sicherheitssoftware, die Geschäftsrelevanz und Kritikalität der angefragten Anwendung und der Schutzbedarf der jeweiligen Daten.
Risikoeinschätzung
Die entsprechende Risikobewertung hilft dem Unternehmen, die Freigabe angefragter Zugänge, Anwendungen und Berechtigungen nicht nur auf Basis vorab definierter, statischer Richtlinien zu erteilen oder zu versagen. Vielmehr erhält der Administrator oder die freigebende Stelle eine aktuelle Entscheidungsgrundlage: die Risikoeinschätzung.
- Die eigene digitale Identität schützen
Der Security-Software-Hersteller ESET hat einige Empfehlungen zusammengestellt, wie Anwender ihre Daten auch in der digitalisierten Welt schützen. - Auf Warnsignale achten
Identitätsdiebe ändern regelmäßig private Adressen, sodass Briefe den Empfänger nicht mehr erreichen. Erhält man beispielsweise keine Briefe mehr von der eigenen Bank, kann dies ein erstes Anzeichen für Identitätsdiebstahl sein. Um solchem Missbrauch zu entgehen sei jedem angeraten, die eigene Bank zu kontaktieren, wenn erwartete Briefsendungen nicht zum sonst üblichen Zeitpunkt ankommen. Außerdem hilft es, auch unerwartete Post von unbekannten Finanzinstituten immerhin zu überfliegen, anstatt sie direkt als unerwünschte Werbung abzutun. Wenn von einem Darlehensgeber oder Kreditkartenunternehmen ein Umschlag im Briefkasten liegt, sollte dieser in jedem Fall durchgelesen werden, um sicherzustellen, dass keine fremde Person ein Darlehen auf fremden Namen aufgenommen hat. - Bonität regelmäßig prüfen
Bei Kreditauskunfteien wie der Schufa in Deutschland oder KSV1870 in Österreich kann sich jeder über die eigene Bonität informieren und herausfinden, ob Kreditkarten oder Darlehen unter dem eigenen Namen laufen, die gänzlich unbekannt sind. Eine solche Bonitätsauskunft ist einmal im Jahr kostenfrei und sollte für jedermann ein absolutes Muss sein. - Wichtige Briefe immer persönlich versenden
Kreditkarten-Anträge oder Steuererklärungen enthalten wertvolle Informationen, die auch ein Cyberkrimineller wertschätzt. Denn diese Daten genügen ihm, die Identität des Opfers zu kopieren und für seine eigenen Zwecke zu missbrauchen. Briefe, die solche sensiblen Informationen enthalten, dürfen folglich niemals unbedacht an andere Personen weitergegeben werden. - Onlinebanking: regelmäßig Passwort ändern
Das Passwort zum Onlinebanking-Account gehört zu den wichtigsten Sicherheiten, die jeder Bankkunde hat. Wahrscheinlich ist das vielen Nutzern bewusst und dennoch gibt es mit Sicherheit einige, die dasselbe Passwort benutzen wie schon vor ein paar Jahren. Für all jene, auf die dies zutrifft: Passwort umgehend ändern. Manche Seiten fordern regelmäßig dazu auf, das Passwort zu ändern. Nutzer reagieren darauf häufig, indem sie einfach ein Sonderzeichen oder eine Ziffer an das bestehende Passwort anhängen. Das ist jedoch keine zu empfehlende Vorgehensweise. Denn sollte ein Passwort irgendwann einmal kompromittiert werden, ist das das erste, was ein Passwort-Knacker ausprobieren wird. - Bei Anrufen gilt keine Auskunftspflicht
Identitätsbetrüger verlassen sich häufig darauf, dass Leute Informationen aus eigenem Antrieb preisgeben – zum Beispiel bei Anrufen oder indem sie auf gefälschte E-Mails von ihrer Bank oder einem anderen Institut antworten. So arbeiten Banken aber nicht. Wenn ein Telefonat merkwürdig erscheint, ist es jedermanns gutes Recht, einfach aufzulegen. - Auch zuhause persönliche Informationen schützen
Wer fremde Leute wie Vertreter oder Reinigungskräfte in die eigenen vier Wände lässt, sollte in jedem Fall sicherstellen, dass Dokumente wie Steuererklärungen, Kreditkarteninformationen und Ausweise nicht offen herumliegen. Im Falle eines Einbruchs ist es von höchster Wichtigkeit zu prüfen, ob sich jemand der Identität bemächtigt hat. - Vorsicht bei Facebook-Tests
Links in sozialen Netzwerken sind generell mit Vorsicht zu genießen. Insbesondere die beliebten Facebook-Tests sollte man niemals unreflektiert anklicken. Denn manche dieser Tests sind nicht nur langweilig, sondern auch gefährlich.
Ein Risk-based IAM kann aber noch mehr: Berechtigungen werden nicht dauerhaft vergeben, sondern dynamisch und zeitlich begrenzt. Ändert sich die Risikobewertung für eine bestehende Berechtigung, kann diese auch nachträglich entzogen werden. Die sogenannte Rezertifizierung der Berechtigungen, also die regelmäßige Kontrolle der erteilten Privilegien, wird dadurch deutlich unterstützt.
Identitäten und Berechtigungen müssen immer in ihrem aktuellen Kontext gesehen werden, also jeweils in Verbindung mit der bestehenden Sicherheits- und Risikolage überprüft werden. Dabei ist der Kontext zum einen nutzerabhängig, zum anderen transaktionsabhängig. Eine IAM-Lösung sollte also berücksichtigen, welcher Nutzer was genau womit wann und wo machen möchte.
IAM wird zur Echtzeitlösung
Die hohe Dynamik im IAM bedingt es, dass die Freigabe von Zugängen und Berechtigungen sehr schnell erfolgen muss. Kein Nutzer will und kann längere Zeit warten, bis die gewünschten Zugangs- und Zugriffsrechte erteilt oder die entsprechende Anfrage zumindest beantwortet ist. Dabei können je nach Anwendungsszenario schon zehn Sekunden eine längere Zeit sein.
Möglich werden so schnelle Reaktionen durch die automatische Freigabe und Überprüfung durch das IAM-System. Die Rechtevergabe erfolgt dadurch in kurzer Zeit, aber auch nur für kurze Zeit. Entscheidend ist, dass insbesondere solche Zugänge und Privilegien nur für kurze Dauer vergeben werden, die mit höheren Risiken versehen sind. Welche Risiken aktuell besonders hoch sind, beantwortet die Risikoanalyse-Funktion der IAM-Lösung in nahezu Echtzeit.