- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Kontrolle von und über Zugriffsberechtigungen


Eine Frage des Zugriffs: Access-Management sorgt für klare Verhältnisse
Nur mithilfe eines funktionierenden Access-Managements lassen sich Rollen und Rechte transparent und nachvollziehbar steuern

- Anzeigen -





Gesetzliche Vorgaben einhalten, IT-Sicherheit gewährleisten und den Datenschutz nicht vernachlässigen – nur ein kleiner Einblick in die Aufgaben und Herausforderungen, die Unternehmen bewältigen müssen. Doch wie lassen sich diese Anforderungen professionell erfüllen? Die Verwaltung von Benutzern und deren Zugriffsberechtigungen nimmt dabei in jeder ganzheitlich ausgerichteten IT-Security-Strategie eine wesentliche Rolle ein. Access-Management ist im Zeitalter von Industrie 4.0 und Internet of Things unverzichtbar.

Heutzutage vernetzt sich jedes Unternehmen vielfach mit Lieferanten, Kunden, Partnern sowie Mitarbeitern und tauscht sämtliche Daten mit diesen aus. Diese weltweite Vernetzung bietet viele Chancen aber auch Risiken: Denn die Zahl virtueller Angriffe mit dem Ziel an geschützte, häufig hoch brisante Daten zu gelangen, steigt stetig.

"Ohne die Kontrolle von und über Zugriffsberechtigungen funktioniert deshalb nichts mehr. Der Mehrwert von konsequentem, transparentem Access-Management stellt die flexible Nutzung von Vernetzungen bei deutlicher Risikominimierung dar", erläutert Dr. Consuela Utsch, Geschäftsführerin der Acuroc Solutions und der AQRO GmbH. "Ein effektives Access-Management führt dazu, dass sich Funktionen, Rollen und damit Verantwortlichkeiten an Veränderungen bei Bedarf automatisch anpassen."

Verzahnt mit dem Betrieb
Beim Access-Management – auch bekannt als Rights- oder Identity-Management – handelt es sich um eine Autorisierungsorganisation zur Steuerung von Zugriffsrechten der Anwender auf einen IT-Service oder ein Anwendungssystem. Nicht erst seit dem Inkrafttreten der neuen EU-Datenschutzgrundverordnung nimmt das Access-Management eine bedeutende Rolle im Lebenszyklus von IT-Anwendungen ein.

"Aspekte der Informationssicherheit sind meist die ausschlaggebenden Treiber für die Entscheidung, einen dezidierten Prozess für die Zugriffssteuerung aufzusetzen", weiß Utsch. "Das Ziel ist dabei eindeutig: Einerseits geht es darum, gesetzliche Vorgaben zu erfüllen sowie insbesondere die IT-Sicherheit in Zeiten eines hohen Vernetzungsgrads mit Externen zu erhöhen und andererseits die verborgenen Chancen in IT-Sicherheit und Datenschutz zu nutzen."

Implementierung nach Maß
Den Prozess für das Access-Management zu etablieren, ist meist nur die Spitze des Eisbergs. Denn eine solide Organisation in diesem Bereich umfasst noch wesentlich mehr Faktoren, die die einzelnen Services und Anwendungssysteme miteinbeziehen. Bei einer Ist-Analyse lassen sich eventuelle Schwachstellen identifizieren und eine Statusaufnahme bestehender Rollen und der Nutzerberechtigungen erstellen. Nach der Aufnahme des Status quo folgt die Definition des Zielbildes – dieses lässt sich basierend auf den Anforderungen von ITIL und der ISO 27001 induzieren. Hieraus erwächst dann die Maßnahmenableitung für das gesamte Unternehmen.

Im vorletzten Schritt folgt die Umsetzung des erarbeiteten Zielbildes. In dieser Phase werden die Regelungen nach Zeithorizont und Effektivität priorisiert. Anschließend müssen die festgelegten Schritte eine genaue Überprüfung erfahren, damit eine nachhaltige Implementierung durch die Etablierung von Prozessen und Standards sichergestellt ist. Während eines IT-Entwicklungsprojektes findet das Role-Engineering statt – die Entwicklung eines dezidierten Rollen- und Rechtekonzepts.

"Ein transparentes, flexibles und pragmatisches Rollenkonzept bildet die essenzielle Grundlage für den Erfolg von Access Management. Unerlässliche Basis für eine erfolgreiche Entwicklung und Implementierung eines solchen Konzepts ist daher ein ausgeprägtes Rollenverständnis in der Organisation – nur so lässt sich die nötige Akzeptanz des Access-Managements erreichen. Fehlt dieses Verständnis oder wird nicht parallel ausgeprägt, steigt die Gefahr, dass das Access Management scheitert. Um dieses kritische Risiko zu minimieren, setzen wir auf Methoden zum rollenbasierten Arbeiten wie AQRO", verdeutlicht die Acuroc-Solutions-Geschäftsführerin. Anschließend erfolgen die technische Abbildung im Neusystem sowie die Einsteuerung nichtfunktionaler Security-relevanter Anforderungen. Danach finden die Etablierung eines Access-Management-Prozesses in den Schritten "Prozessdesign" und "Set-up" der benötigten Dokumente statt. "Wesentlich ist, dass die involvierten Mitarbeiter sicher mit den neuen Elementen umgehen können – was wir durch umfassende Schulungen gewährleisten", sagt Utsch.

Individuelle Bedürfnisse
Nur mithilfe eines funktionierenden Access-Managements lassen sich Rollen und Rechte transparent und nachvollziehbar steuern. Durch die Optimierung in diesem Bereich profitieren Unternehmen von erhöhter Sicherheit ihrer Daten und Systeme. "Wir gehen auf die individuellen Bedürfnisse jedes einzelnen Unternehmens ein und stehen bei Entscheidungen mit unabhängigem Rat zur Seite", betont Utsch. "Dabei gehört zum Angebot im Bereich Access-Management auch die Vernetzung mit anderen Kompetenzen auf den Gebieten Digitalisierung, Transformation, Veränderungs- und Projektmanagement." Ein ganzheitliches Access-Management garantiert umfassende Transparenz bezüglich der Zugriffe und Berechtigungen der Mitarbeiter. So lassen sich effektiv gesetzliche Vorgaben erfüllen und verborgene Chancen in Sachen Datenschutz und IT-Sicherheit für das Unternehmen nutzen. Eine erfolgreiche Autorisierungssteuerung ist längst kein Luxus mehr – sondern notwendig, um den aktuellen Anforderungen gerecht zu werden. (Acuroc Solutions: ra)

eingetragen: 31.05.19
Newsletterlauf: 25.06.19

Acunetix: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Mail Transfer Agent - Strict Transport Security

    Ein neuer Standard zur Absicherung von Verbindungen zwischen Mailservern und Zertifikaten soll den E-Mail-Versand sicherer machen: "Mit MTA-STS ist tatsächlich der Durchbruch gelungen, die E-Mail-Kommunikation vor Lauschangriffen sowie Manipulation abzusichern, indem er die Verschlüsselung für den Mail-Transport via SMTP erzwingt und so die Verbindung zwischen zwei Servern schützt", zeigt sich Christian Heutger, IT-Sicherheitsexperte und CTO der PSW Group erfreut. MTA-STS ist die Abkürzung für "Mail Transfer Agent - Strict Transport Security". Beteiligt an der Entwicklung waren unter anderem die großen Mailserver-Betreiber, wie Google, Microsoft oder Oath. Ein Mailserver signalisiert mit MTA-STS, dass TLS-gesicherte Verbindungen unterstützt werden. Der anfragende Mailserver wird angewiesen, künftig ausschließlich verschlüsselte Verbindungen zu akzeptieren. Über DNS und HTTPS werden die STS-Informationen bereitgestellt.

  • Was macht öffentliches WLAN unsicher?

    In einer Ära, in der die Cyberkriminalität floriert, ist das öffentliche WLAN zu einer hervorragenden Gelegenheit für die verschiedensten Kriminellen geworden. Die jüngste Umfrage zeigt, dass 79 Prozent der öffentlichen WLAN-Nutzer bei der Wahl ihrer WLAN-Verbindung erhebliche Risiken eingehen. Sie wählen einen Hotspot aufgrund seiner WLAN-Qualität, suchen sich einen angemessenen Namen aus oder wählen einfach eine kostenlose Variante. Öffentliche Orte sind jedoch eine ausgezeichnete Tarnung für Hacker, die leicht bösartige Hotspots einrichten und persönliche Daten von Personen stehlen können. Daniel Markuson, der Experte für digitale Datensicherheit bei NordVPN, sprach mit Hackern in anonymen Online-Foren über die Risiken eines unsicheren öffentlichen WLANs. Sie einigten sich darauf, ihr Fachwissen weiterzugeben und im Gegenzug anonym zu bleiben.

  • Vielzahl von Risiken für Gaming-Branche

    Angesichts ständig steigender Umsätze und Preisgelder in der Gaming- und E-Sports-Industrie gerät diese Branche immer stärker ins Visier krimineller Hacker. Nach Beobachtung der Sicherheitsspezialisten von Radware zielen die Angriffe dabei zunehmend auf individuelle Spieler statt auf die Infrastruktur. Allein bei der diesjährigen Dota 2-Weltmeisterschaft, die von fast einer Million Menschen weltweit online und von Tausenden persönlich in der Mercedes-Benz Arena in der Shanghai Chain beobachtet wurden, konnten 18 Teams über 34 Millionen Dollar an Geldpreisen gewinnen. Doch junge Erwachsene mit Firmensponsoring, die bei E-Sports-Events solche Preise abräumen, sind nur die Spitze des Eisbergs für die Branche. Mehrere aktuelle Berichte schätzen, dass auf dem Videospielmarkt im Jahr 2018 zwischen 130 und 140 Milliarden Dollar umgesetzt wurden und es in fünf Jahren bis zu 300 Milliarden Dollar sein könnten. Die Bedrohungen für Spieler und Betreiber werden vermutlich im Gleichschritt mit dem Marktvolumen wachsen.

  • Bisher keine technischen Abwehrmaßnahmen

    Bereits vor gut einem Jahr hat NTT Security, das "Security Center of Excellence" der NTT, vor Deepfakes gewarnt. Jetzt ist aus der bloßen Gefahr bittere Realität geworden: Mit einem Voice-Deepfake konnten Diebe mehr als 240.000 US-Dollar erbeuten. Bereits seit Längerem sind Foto- und Video-Deepfakes im Umlauf, die von echtem Bildmaterial kaum mehr zu unterscheiden sind. Jetzt hat erstmals in größerem Ausmaß ein Voice-Deepfake zugeschlagen. Mit einer KI-basierten Software und der Imitation der Stimme eines CEO ist es Angreifern gelungen, in den Besitz von 243.000 US-Dollar zu gelangen.

  • Der Kampf gegen Efail geht weiter

    Die Entdeckung der Sicherheitslücke Efail kam einem SuperGAU gleich: 2018 entdeckte ein deutsch-belgisches Forscherteam Schwachstellen, die es Angreifern erlauben, mit OpenPGP oder S/MIME verschlüsselte Nachrichten abzufangen und so zu manipulieren, dass der E-Mail-Klartext nach der Entschlüsselung zu einer vom Angreifer kontrollierten Adresse versandt wird. "Seitdem wird natürlich gegen Efail vorgegangen. Allerdings können die Risiken für eine sichere E-Mail-Kommunikation nur in kleinen Schritten minimiert werden", fasst IT-Sicherheitsexperte Christian Heutger zusammen. So wird seit Bekanntwerden der Sicherheitslücke kontinuierlich am S/MIME-Standard gearbeitet, um die Risiken zu minimieren: Der E-Mail-Zertifikat-Standard wurde auf Version 4 aktualisiert; die IETF empfiehlt sogar, auf AES-GCM zu migrieren. Zudem soll der entschlüsselte Inhalt vor Abschluss einer Integritätsprüfung nicht bearbeitet werden.