Wo liegen die Risiken beim Identity & Access Management?
Die erfolgreiche Implementierung von Identity- und Access-Management-Systemen erfordert vorausschauendes Denken und abteilungsübergreifende Zusammenarbeit. Unternehmen die vor Projektbeginn eine schlüssige IAM-Strategie erarbeiten, sind dabei in der Regel am erfolgreichsten.
Gerade Informationen über die Identität eins Nutzers können oft mehreren Datenquellen entstammen - etwa Microsofts Active Directory oder einer HR-Datenbank. Ein IAM-System muss dazu in der Lage sein, die Informationen zur Nutzeridentität über all diese Systeme zu synchronisieren. Darüber hinaus muss ein solches System das Unternehmen in die Lage versetzen, eine Vielzahl von Benutzern in unterschiedlichen Situationen und Umgebungen zu managen - und zwar automatisiert und in Echtzeit. Eine manuelle Anpassung der Zugangsberechtigungen ist bei hunderten oder gar tausenden von Usern nicht zu stemmen.
Die Authentifizierung muss für die Nutzer einfach zu bewerkstelligen und für die IT einfach auszurollen sein, dabei aber ganz allgemein höchsten Sicherheitsstandards genügen. "Deshalb werden mobile Devices gerade zum Centerpiece der Benutzer-Authentifizierung", weiß Abousselham. "Denn Smartphones können den Aufenthaltsort, die IP-Adresse und andere Informationen über den Nutzer bereitstellen, die für Authentifizierungszwecke verwendet werden können."
Ein Risikofaktor, den Unternehmen dabei im Auge behalten sollten: Zentralisierte Systeme stellen ein attraktives Ziel für Hacker und Cracker dar. Wenn Sie ein Dashboard über die gesamten IAM-Aktivitäten ihres Unternehmens legen, wird die Komplexität nicht nur für die Administratoren reduziert. Einmal kompromittiert, könnten kriminelle Hacker neue Identitäten anlegen, die ihnen weitreichende Zugriffsrechte einräumen.
Um diesen Risiken zu begegnen, werden aktuell Ansätze auf Basis neuer Technologien entwickelt. Die dezentrale, als fälschungssicher geltende Blockchain könnte verhindern, dass Angreifer Zugangsdaten nachverfolgen oder aggregieren werden. Zudem könnte diese Methode das Identitätsmanagement und Authorisierungsprozesse vereinfachen. Als Beispiel wäre hier der Dienst Blockstack zu nennen, der eine dezentrale, Blockchain-basierte Datenbank für alle Anwendungen im Bereich Identität, Namensgebung und Authentifizierung implementiert. Separate Nutzerkonten bei einzelnen Applikationen oder auch Unternehmensanwendungen würden entfallen.
Identity & Access Management Glossar
Buzzwords kommen und gehen. Dennoch sollten Sie einige Schlüsselbegriffe des Identity und Access Managements kennen.
Access Management: bezeichnet die Prozesse und Technologien, die zur Überwachung und Kontrolle des Netzwerkzugriffs zum Einsatz kommen.
Active Directory (AD): Microsoft entwickelte die AD als User Identity Directory Service für Windows-Netzwerke.
Biometrische Authentifizierung: Diese Form der Authentifizierung basiert auf einzigartigen Merkmalen des Users und nutzt dazu Technologien wie Fingerabdruck- und Iris-Scanner oder auch Gesichtserkennung.
Context-aware Network Access Control: Dabei handelt es sich um eine Richtlinien-basierte Methode zum Zugriff auf Netzwerkressourcen, die den Kontext des Nutzers berücksichtigt. Der Zugriff von einer IP-Adresse, die nicht auf der Whitelist steht, ist so nicht möglich.
Identity Lifecycle Management: Ähnlich wie Access Lifecycle Management beschreibt der Begriff alle Prozesse und Technologien, die zur Vorhaltung, Wartung und Löschung digitaler Identitäten zum Einsatz kommen.
Identity synchronisation: Der Prozess, der sicherstellt, dass verschiedene Systeme (etwa nach einer Übernahme) konsistente Informationen über eine bestimmte digitale Identität zur Verfügung stellen.
Lightweight Directory Access Protocol (LDAP): LDAP ist ein offenes Protokoll, um auf distributed directory services (wie Microsofts Actice Directory) zugreifen und diese managen zu können.
Multi-Faktor-Authentifizierung (MFA): Sobald mehr als ein einziger Faktor (Passwort und Username) für die Authentifizierung nötig ist, spricht man von MFA.
Password Reset: In diesem Zusammenhang meint dieser Begriff die Möglichkeit, dass User selbst ein neues Passwort erstellen können und keine Unterstützung durch den Administrator nötig ist.
Risk-based Authentication (RBA): Bezeichnet eine dynamische Variante der Authentifizierung, bei der die jeweiligen Umstände des Zugriffs für zusätzliche Sicherheitsmaßnahmen sorgen können. Etwa wenn sich ein User von einem bisher nicht mit ihm in Verbindung stehenden Ort in das Unternehmensnetzwerk einloggen will.
User Behavior Analytics (UBA): UBA-Technologien identifizieren Muster im User-Verhalten und wenden automatisiert Algorithmen und Analysen an, um Anomalien aufzuspüren, die auf mögliche Sicherheitsrisiken hindeuten. Zu den überprüften Faktoren zählen beispielsweise der aktuelle Standort des Nutzers, die Uhrzeit des Zugriffs und ob der Nutzer auf Ressourcen zugreift, die normalerweise in seinen Zuständigkeitsbereich fallen.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten