Der Kontext zählt

Für den Fall, dass über Single-Sign-on (SSO) der Netzeingangsschutz automatisch mit der Zugriffskontrolle gekoppelt werden soll, empfiehlt Redecker, mindestens auf Tokens zurückzugreifen. "Mit Überwindung einer zu niedrigen Authentisierungshürde bei SSO würden ansonsten dem Angreifer alle Applikationen offenstehen, für die der rechtmäßige Benutzer vom Administrator autorisiert wurde", warnt er. Zugriffssicherheit ist weder über die bloße Nutzung von Authentisierungsprotokollen wie Remote Authentication Dial-in User Service (Radius) oder Terminal Access Controller Access Control System (Tacacs+) noch allein über eine hohe Authentisierungsstärke erreichbar. Der Schutz der Autorisierung der Applikationen entscheidet letztlich über die Zugriffssicherheit. Sie kann - ob ohne oder mit SSO - nicht nur klassisch über Login/Passwort, sondern auch über Zertifikat oder biometrische Daten geschaffen werden. Allerdings zieht eine vollständige Integration von Authentisierung und Autorisierung für den Anwender, beispielsweise in Form einer Public-Key-Infrastruktur (PKI), erhebliche Anschaffungs- und Integrationskosten nach sich. Sie sollten der erhöhten Sicherheit gegenübergestellt werden.

Nachteile netzlastiger Strategien

"Die Zeit ist reif, die IT-Sicherheit nicht länger Bottom-up, sondern Top-down von den Geschäftsprozessen aus anzugehen", sagt Erwin Schöndlinger, Geschäftsführer von Evidian Deutschland. Er wendet sich damit gegen netzlastige IT-Sicherheitsstrategien. Auch die Kopplung der Authentisierung und weiterer Security-Mechanismen mit Netzsystemen wie Routern und Switches und so genanntes Policy-Management hätten sich für die Anwender als "nicht zielführend" erwiesen. "Solche Strategien haben in den Unternehmen zu einem teuren, löchrigen Flickenteppich meist nicht interoperabler Teilsysteme geführt", kritisiert der Geschäftsführer. Komplett und von zentraler Stelle ließe sich die Zugriffskontrolle nur überwachen, verwalten und steuern, wenn Identity- und Access-Management (IAM) zum Zuge kommen, so Schöndlinger weiter. IAM setze über seine Module den Zugriffskontrollhebel über Privilegien unterschiedlicher Stärke bei den geschäftsprozesstragenden Applikationen an. Erst im zweiten Schritt müsse Top-down jeweils das angemessene Authentisierungsverfahren ausgewählt werden.

Sabine Erlinghagen, Leiter des weltweiten Geschäfts mit Identity-Management sowie Biometrie bei Siemens IT Solutions and Services, glaubt ebenfalls an den Top-down-Ansatz. "Die wachsende IT-Durchdringung in den Unternehmen und die Einbindung von Auftraggebern, Geschäftspartnern und Lieferanten ins Netz", sind ihrer Ansicht nach gute Argumente. Nur über IAM sei es möglich, einheitliche, mit den Partnern abgestimmte Sicherheitsrichtlinien zu kreieren, umzusetzen und danach wirtschaftlich zu verwalten. "Das gilt für die Autorisierung, Authentisierung, Administration der IT-Benutzer und ihrer Rechte und Rollen sowie das Auditing und Reporting gleichermaßen", unterstreicht Erlinghagen. Eine umfassende Strategie und IAM-Lösung seien somit weit besser als viele in der Summe lückenhafte und nicht strategisch steuerbare Einzelsysteme. Ein Garant dafür sei ein umfassendes IAM-System, das Identity Federation einschließe. Diese Technik sorge für die notwendige Sicherheit bei der unternehmensübergreifenden Zusammenarbeit und stelle ein Vertrauensverhältnis zwischen den Partnern her, wie komplex das System auch immer sein möge.