- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

IAM eine der grundlegenden Sicherheitsmaßnahme


Verhindern von Datenschutzverletzungen beginnt bei den Grundlagen
Authentifizierung stellt sicher, dass die Person, die sich an einem System anmeldet, auch tatsächlich die Person ist, die sie vorgibt zu sein

- Anzeigen -





Von Martin Grauel, One Identity

Wenn man die Analogie zum Fußball bemühen will, dann hat der Erfolg einer IT-Sicherheitsabteilung maßgeblich mit einer guten Verteidigung zu tun. Es kommt darauf an, dass die Abwehr geschlossen steht und der Gegner am besten gar nicht erst zum Schuss oder auch nur in eine dafür geeignete Position gelangt. Die beste Voraussetzung für einen Sieg. Ein Bild, dass sich durchaus auf den Datenschutz und das Zusammenwirken unterschiedlicher Sicherheitsebenen übertragen lässt. Im Idealfall hält ein mehrschichtiger Sicherheitsansatz Cyberkriminelle davon ab "ein Tor zu machen" – sprich in ein Netzwerk vorzudringen, an Unternehmensdaten zu gelangen, diese zu entwenden und zu missbrauchen.

Die Zahl der Datenschutzvorfälle ist im zurückliegenden Jahr weiter gestiegen. Identity und Access Management ist in diesem Kontext eine der grundlegenden Sicherheitsmaßnahmen. IAM sorgt dafür, dass Benutzer auf notwendige Ressourcen zugreifen können, dabei aber einem vorgeschriebenen Prozess folgen. Eine effektive und vorausschauende Methode gegen Datenschutzverletzungen. Auf das Wesentliche heruntergebrochen ist eine Datenschutzverletzung nichts anderes, als dass zugriffsbeschränkte Daten in die falschen Hände gelangt sind.

Ein Tatbestand, auf den die meisten Unternehmen erst aufmerksam werden, wenn es zu spät ist. Um bei unserer Analogie zu bleiben: wie für ein erfolgreiches Fußballteam so sind auch für die IT-Sicherheitsabteilung die Grundlagen entscheidend. Beim Thema Datenschutz kann einiges schief gehen und es mangelt bekanntlich nicht an Herausforderungen.

Wenn Identity und Access Management zum Einsatz kommt, sollte man sich an die grundlegenden drei A’s erinnern: Authentifizierung, Autorisierung und (Privileged) Access.

Authentifizierung
Authentifizierung stellt sicher, dass die Person, die sich an einem System anmeldet, auch tatsächlich die Person ist, die sie vorgibt zu sein. Der einfachste Weg über den ein Angreifer auf die IT-Systeme einer Firma zugreifen kann ist es, sich legitime Anmeldeinformationen zu beschaffen. Wie etwa die Passwörter unverdächtiger Nutzer. Phishing, Social Engineering oder simpler Diebstahl sind gängige Methoden. Das Netzwerk kann nicht erkennen, dass es sich um die falsche Person handelt und wird dem Angreifer ermöglichen, auf alle Ressourcen zuzugreifen, auf die auch der betreffende Nutzer Zugriff hat. Verschiedene IAM-Verfahren und Technologien helfen dabei, das Authentifizierungsproblem in den Griff zu bekommen.

Eine effektive Passwortstrategie ist der Schlüssel für einen wirksamen Authentifizierungsprozess. Dazu gehören der häufige Wechsel von Passwörtern, eine strikte Passwort-Policy und Prozesse, die es dem Anwender so einfach wie möglich machen, sich "richtig" zu verhalten. Allein dieses Vorgehen schließt etliche der Lücken, die bei Datenschutzverletzungen so häufig erfolgreich ausgenutzt werden. Das grundsätzliche Problem mit Passwörtern ist allerdings, dass Mitarbeiter meistens so viele davon haben, dass sie schwer zu merken sind. Single-Sign-on-Technologien bieten für dieses Problem eine Lösung an. SSO bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung auf alle Rechner und Dienste, für die er berechtigt (autorisiert) ist, zugreifen kann, ohne sich jedes Mal neu anmelden zu müssen.

Mittlerweile existieren zudem Tools zur Passwortverwaltung bei denen der Benutzer über ein Self-Service-Portal seine Passwörter verwalten, zurücksetzen und neu vergeben kann. Gleichzeitig sorgen diese Tools dafür, dass das ausgewählte Passwort den strikten Vorgaben genügt. Viele Unternehmen setzen darüber hinaus auf eine Multifaktor-Authentifizierung, bei der eine zweite Sicherheitsebene dazu kommt, die eine zusätzliche Form der Authentifizierung erforderlich macht. Das kann beispielsweise ein Token sein. Multifaktor-Authentifizierung ist so etwas wie die Abwehrreihe beim Fußball. Sie verhindert, dass ein gegnerischer Spieler es über das Mittelfeld hinaus schafft.

Autorisierung
Wenn Benutzer authentifiziert werden, besteht der nächste Schritt darin, zu kontrollieren wozu der Anwender im Netzwerk berechtigt ist und wozu nicht. Eine korrekte Autorisierung ist der Schlüssel, um Datenschutzverletzungen zu verhindern. Effektive IAM-Lösungen sorgen dafür, dass Benutzer nur auf die Daten zugreifen dürfen, die sie tatsächlich benötigen. Und diese Lösungen verhindern, dass ein Nutzer einen zu weitreichenden Zugriff auf vertrauliche Daten hat, den er nicht haben sollte. Es gilt allerdings die Balance zu wahren zwischen einer schnellstmöglichen Bereitstellung der Zugriffe und den Datenschutzprioritäten. Vermutlich ist eine effektive Deprovisionierung sogar noch wichtiger, um veraltete Zugriffsberechtigungen zu entfernen, wenn sie nicht mehr gebraucht werden.

Angestellten und Dienstleistern, die nicht mehr für das betreffende Unternehmen tätig sind, sollte man die vergebenen Zugriffsberechtigungen sofort entziehen. Ansonsten besteht das Risiko, dass Angreifer verwaiste Konten und die damit verbundenen Zugriffsberechtigungen missbrauchen. Ohne ein effektives Identitätsmanagement kann ein Unternehmen nicht sicher sein, wer auf welche Systeme zugreifen kann und ob vielleicht ein Angreifer entsprechende Konten nutzt, um an vertrauliche Daten zu gelangen.

(Privileged) Access
Privilegierte Konten, und dazu zählen Systemkonten mit sehr hohen Berechtigungen, sind für einen Angreifer so etwas wie der Ballon d’Or der FIFA. Gelingt es einem Angreifer Zugriff auf solche Konten zu erlangen, hat er damit meistens einen nahezu unbegrenzten Zugriff auf die Systeme eines Unternehmens. Wenn die "Offensive" Zugriff auf solche Konten hat, ist es für die IT-Sicherheit kaum mehr möglich den Angriff zu stoppen. Dabei handelt es sich in jedem Fall um solche, die großen Schaden anrichten können. Hinsichtlich der betroffenen Daten und hinsichtlich der Reputation eines Unternehmens.

Ein effektives Privileged Access Management muss deshalb im Rahmen des vorbeugenden Datenschutzes höchste Priorität haben. IT-Abteilungen sollten Technologien wie Passwort Vaulting und Session Recording in Betracht ziehen. Sie ordnen privilegierten Konten eine individuelle Verantwortlichkeit (Rechenschaftspflicht) zu. Dadurch lassen sich die Aktivitäten dieser Nutzer nachvollziehen und überwachen. Ein Nutzer kann somit nichts Unerlaubtes tun, ohne mit Konsequenzen rechnen zu müssen. Man kann noch einen Schritt weitergehen. Mithilfe biometrischer Verhaltensanalyse lässt sich verifizieren, dass wirklich die berechtigte Person/der berechtigte Nutzer auf das System zugreift und nicht ein Angreifer, der die Zugangsdaten gestohlen hat.

Wenn alle Spieler einer Mannschaft am gleichen Strang ziehen, wenn jeder Spieler seine Position ausfüllt, wenn das Team die Taktik geschlossen umsetzt und es gelingt, die gegnerische Offensive zu dominieren, dann lässt sich auch das gesamte Spiel gewinnen. Datenschutzverletzungen zu verhindern ist zwar kein Spiel, aber das Konzept einer geschlossenen Mannschaftsleistung im Hinblick auf ein gemeinsames Ziel lässt sich auf den Erfolg auf der Führungsebene übertragen. Es bedarf eines umfassenden Ansatzes und der Umsetzung von IAM-Konzepten wie starker Authentifizierung, granularer Autorisierung und einem leistungsfähigen Privileged Access Management, um Cyberkriminelle in ihre Schranken zu verweisen.
(One Identity: ra)

eingetragen: 05.04.19
Newsletterlauf: 02.05.19

One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Fachkräfte im Bereich Cybersicherheit

    Laut einer im Herbst letzten Jahres von der (ISC)² veröffentlichten Studie beläuft sich der Mangel an Fachkräften im Bereich Cybersicherheit derzeit auf nahezu 3 Millionen weltweit. Der Befund an sich ist nicht überraschend, allerdings klafft die Schere immer weiter auseinander. Unterbesetzte IT- und IT-Sicherheitsabteilungen auf der einen Seite, und eine sich in Art und Umfang rasant weiter entwickelnde Bedrohungslandschaft auf der anderen. Gut ausgebildete IT-Sicherheitsfach- und Führungskräfte sind Mangelware und selten lange auf Jobsuche. Die Lücke zwischen Angebot und Nachfrage ist beträchtlich. Die Folgen bekommen Unternehmen täglich zu spüren.

  • Security-GAU: Advanced Persistent Threats

    Moderne Hackerangriffe werden immer komplexer und überfordern damit herkömmliche Lösungen für Endpoint- und Netzwerksicherheit. Zwar ist Ransomware die Wahl für Cyberkriminelle die schnellen Bitcoins hinterherjagen, Sicherheitsverantwortliche fürchten heute jedoch viel mehr Advanced Persistent Threats (APTs). Denn diese bleiben im schlimmsten Fall jahrelang unentdeckt und ermöglichen Cyberkriminellen über lange Zeit hinweg umfangreiche Datenmengen zu stehlen und geben ihnen dauerhaft Zugriff auf sensible Dateien wie Produktionspläne, Entwicklungsberichte, Kommunikationsdaten oder Sitzungsprotokolle. Eine ständige Analyse des Datenverkehrs im Netzwerk kann jedoch auch solche Angriffe aufdecken.

  • Mit UEBA die Sicherheit der IT erhöhen

    Das Verhältnis von erfolgreichen und nicht erfolgreichen Cyberangriffen auf Unternehmen schätzen Experten auf 80 zu 20 ein. Und nein, die Zahlen sind keinesfalls verdreht: Experten gehen tatsächlich davon aus, dass viermal so viele Angriffe erfolgreich sind, wie abgewehrt werden. Zwar werden erfolgreiche Cyberbangriffe auf Organisationen jeder Art in den Schlagzeilen tagtäglich publik und man sollte meinen, diese seien die Ausnahme. Tatsächlich stellen diese Angriffe jedoch nur die sichtbare Spitze des Eisbergs dar. Dies gibt zu denken, geben Unternehmen doch jährlich Milliarden für den Schutz ihrer IT aus, deren Abwehrstrategien auf Prävention und reaktionäres Management von Bedrohung basieren. Und es muss die Frage gestellt werden, ob diese eingesetzten Sicherheitsprodukte denn überhaupt noch geeignet sind, vor heutigen Cyberattacken schützen zu können. Denn eines ist sicher: die derzeitigen Cyberbedrohungen entwickeln sich ständig weiter - und die IT-Security muss mit ihnen Schritt halten. Doch wie kann die IT-Security ihren Rückstand aufholen?

  • Die Strategie der Cyberkriminellen

    Social Engineering gilt heute als eine der größten Sicherheitsbedrohungen für Unternehmen. Im Gegensatz zu traditionellen Hacking-Angriffen können Social Engineering-Angriffe auch nicht-technischer Natur sein und müssen nicht zwingend eine Kompromittierung oder das Ausnutzen von Software- oder System-Schwachstellen beinhalten. Im Erfolgsfall ermöglichen viele Social-Engineering-Angriffe einen legitimen, autorisierten Zugriff auf vertrauliche Informationen. Die Social Engineering-Strategie von Cyberkriminellen fußt auf starker zwischenmenschlicher Interaktion und besteht meist darin, das Opfer dazu zu verleiten, Standard-Sicherheitspraktiken zu missachten. Und so hängt der Erfolg von Social-Engineering von der Fähigkeit des Angreifers ab, sein Opfer so weit zu manipulieren, dass es bestimmte Aktionen ausführt oder vertrauliche Informationen preisgibt. Da Social-Engineering-Angriffe immer zahlreicher und raffinierter werden, sollten Organisationen jeder Größe eine intensive Schulung ihrer Mitarbeiter als erste Verteidigungslinie für die Unternehmenssicherheit betrachten.

  • IAM eine der grundlegenden Sicherheitsmaßnahme

    Wenn man die Analogie zum Fußball bemühen will, dann hat der Erfolg einer IT-Sicherheitsabteilung maßgeblich mit einer guten Verteidigung zu tun. Es kommt darauf an, dass die Abwehr geschlossen steht und der Gegner am besten gar nicht erst zum Schuss oder auch nur in eine dafür geeignete Position gelangt. Die beste Voraussetzung für einen Sieg. Ein Bild, dass sich durchaus auf den Datenschutz und das Zusammenwirken unterschiedlicher Sicherheitsebenen übertragen lässt. Im Idealfall hält ein mehrschichtiger Sicherheitsansatz Cyberkriminelle davon ab "ein Tor zu machen" - sprich in ein Netzwerk vorzudringen, an Unternehmensdaten zu gelangen, diese zu entwenden und zu missbrauchen.