Anzeige

Digitale Identität

Da Unternehmen zunehmend neue Technologien wie die Cloud, Big Data, DevOps, Container oder Microservices nutzen, stellt diese wachsende Komplexität auch neue Herausforderungen an das Identitäts- und Zugriffsmanagement.

Denn mit diesen aufkommenden Technologien wachsen die Workloads und Datenmengen und befinden sich zunehmend in der Cloud. Die Anzahl menschlicher und maschineller Identitäten steigt hierdurch exponentiell an. Um diese neuen Angriffsflächen einzudämmen, wird es daher unerlässlich, fragmentierte Identitäten über eine hybride Unternehmensinfrastruktur hinweg zu zentralisieren und ein konsistentes Sicherheitsmodell für privilegierte Zugriffe durchzusetzen.

Identitäts-Wildwuchs: Die Gefahren von Identity Sprawl

Bei Identity Sprawl wird die Identität eines Benutzers von mehreren isolierten Systemen oder Directorys verwaltet, die nicht miteinander synchronisiert sind, was zu mehreren Identitäten für jeden Benutzer führt und damit zu möglichen ungesicherten Angriffsflächen. Häufig entsteht diese Situation, wenn eine Anwendung oder ein System nicht in den zentralen Directory Service des Unternehmens integriert ist oder nicht integriert werden kann. Dadurch muss ein weiterer Satz von Benutzeridentitäten verwaltet werden, um den Zugriff auf diese Anwendung oder dieses System zu unterstützen. Dies führt zu einem erhöhten Verwaltungsaufwand sowie damit verbundenen Kosten und kann die Durchsetzung von einheitlichen Sicherheits- und Compliance-Richtlinien erheblich erschweren. Zudem birgt Identity Sprawl auch die Gefahr, dass Benutzer ihre Passwörter für verschiedene Dienste wiederverwenden, wodurch Unternehmen anfällig für das Ausspähen von Zugangsdaten werden.

Privilegierte Benutzerkonten mit weitreichenden Berechtigungen stehen besonders im Fadenkreuz von Angreifern. Denn diese Konten bieten den Schlüssel zu wertvollen Daten und Unternehmensressourcen und ermöglichen es Cyberkriminellen, unter dem Deckmantel eines vertrauenswürdigen Benutzers unbemerkt zu agieren und gegebenenfalls monatelang unentdeckt zu bleiben. Durch die Begrenzung der Anzahl dieser privilegierten Konten in einem Unternehmen kann jedoch auch die Angriffsfläche verkleinert und das Risiko eines Missbrauchs durch böswillige Insider oder externe Bedrohungsakteure reduziert werden. 

Um den heutigen Anforderungen von Infrastruktur- und Sicherheitsteams gerecht zu werden, benötigt es deshalb einen umfassenden Ansatz für das Management privilegierter Zugriffe, der sich auf die Konsolidierung von Identitäten konzentriert und auf Zero-Trust-Prinzipien basiert. Im Folgenden fünf Best Practices, mit denen Unternehmen eine robuste Sicherheitsstrategie zur Identitätskonsolidierung und Privilegien-Erhöhung (Privilege Elevation) implementieren können.

Fünf Best Practices zur Identitätskonsolidierung und Privilegien-Erhöhung

1. Zentralisierung aller Identitäten in einem Identity Directory als Single Source of Truth

Die ausgewählte Privilege Access Management-Lösung (PAM) sollte größtmögliche Flexibilität hinsichtlich des im Unternehmen eingesetzten Identity Directory bieten. Hierdurch spielt es keine Rolle, welches Identity Directory (z.B. Active Directory, Okta, Ping, usw.) eine Organisation verwendet. Die Technologie sollte beispielsweise mittels AD Bridging UNIX- und Linux-Systeme mit Active Directory verbinden können, jedoch auch im Zuge der Cloud-Transformation Konsolidierungsfähigkeiten für IaaS-Umgebungen bieten. Moderne PAM-Lösungen mit Multi-Directory-Brokering-Fähigkeit ermöglichen es, Benutzer gegen jedes beliebige User Directory zu authentifizieren, das Identitätsmanagement zu zentralisieren und Identity Sprawl zu minimieren.

2. Bindung aller Privilegien an die Identitäten im bevorzugten Directory

Die Bindung aller Befugnisse, Berechtigungen und Privilegien an Identitäten im bevorzugten Directory eines Unternehmens verringert nicht nur den Verwaltungsaufwand, sondern vereinfacht auch die Durchsetzung von einheitlichen Sicherheits- und Compliance-Richtlinien. Denn im Gegensatz zur Verwendung von gemeinsam genutzten Konten, wird dadurch auch die individuelle Verantwortlichkeit an die jeweilige Identität geknüpft.

3. Föderierter Zugriff auf Ressourcen vom bevorzugten Directory aus

Durch den föderierten Zugriff (Federated Access) auf Ressourcen (z.B. Server, Datenbanken oder Cloud-Workloads) können sich Mitarbeiter einfach als sich selbst anmelden und erhalten stets angemessene Berechtigungen. Dies sorgt für effiziente Arbeitsabläufe und fördert die Produktivität der Mitarbeiter.

4. Granulare Kontrollen für einen gerade ausreichenden, zeitlich begrenzten Zugriff

Aufgrund ihrer hohen Zugriffsrechte stellen privilegierte Konten eine ernsthafte Gefahr für Unternehmen dar, wenn sie in die Hände eines Angreifers fallen. Daher sollte ein Ansatz des geringsten Privilegs (Least Privilege) in Verbindung mit Privilegien-Erhöhung verfolgt werden, um granulare Zugriffskontrollen durchzusetzen. Privilegien-Erhöhung bedeutet, dem Benutzer vorübergehend zusätzliche Rollen und Rechte zu gewähren, damit er eine Aufgabe erledigen kann, die mit seiner Arbeitsfunktion übereinstimmt – und zwar mit gerade genug Privilegien für genau die Zeit, die für die Ausführung der Arbeit notwendig ist. Beispielsweise kann es legitim sein, einem Web-Administrator den Zugang zu Systemen zu gestatten, auf denen Web-Server und die damit verbundenen Management-Tools laufen. Das Einloggen in Maschinen, die Kreditkartentransaktionen verarbeiten, ist jedoch nicht legitim und bleibt blockiert.

5. Keine permanenten Berechtigungen, nachdem eine Aufgabe erledigt ist

Unternehmen sollten darauf achten, dass Identitäten über keine permanenten Berechtigungen (Zero Standing Privileges) verfügen, sondern stets eine Erhöhung der Privilegien just-in-time erfolgt, um in einem begrenzten Zeitraum die jeweiligen Aufgaben zu erfüllen. Zum Beispiel darf ein Mitarbeiter nur während der Geschäftszeiten oder für eine bestimmte Zeit auf einen bestimmten Server zugreifen. Nach Beendigung der Sitzung werden die Zugriffsrechte wieder entzogen (jedoch sollte eine moderne PAM-Lösung auch in der Lage sein, den Zugriff bei Bedarf einfach wieder zu gewähren). Dadurch wird auch das Zeitfenster für mögliche Angreifer geschlossen, falls ein Benutzerkonto kompromittiert wurde.

Durch die zunehmende Komplexität von Unternehmensinfrastrukturen benötigt es heute umfassende Kontrollen, wer in welchem Ausmaß und für welchen Zeitraum Zugriff auf sensible Ressourcen und Daten hat. Die Identitätskonsolidierung und Privilegien-Erhöhung sorgt für eine Zentralisierung von Identitäten und eine granulare Steuerung und Kontrolle von Berechtigungen. Hierdurch werden Identity Sprawl und die damit einhergehenden Sicherheitsrisiken verringert, der Verwaltungsaufwand reduziert sowie die Produktivität der Mitarbeiter erhöht. Mit diesem Ansatz können Unternehmen sicherstellen, dass nur autorisierte Personen, Maschinen oder Dienste auf die richtigen Ressourcen zur richtigen Zeit und aus den richtigen Gründen zugreifen.

Özkan Topal, Sales Director
Özkan Topal
Sales Director, Centrify

Artikel zu diesem Thema

Cloud
Apr 30, 2021

Performance von Cloud-Anwendungen optimieren

Knapp ein Viertel der deutschen Erwerbstätigen arbeitet derzeit im Homeoffice. In vielen…
IAM
Apr 30, 2021

IT-Administration ohne Passwörter

Cyberangriffe auf digitale Identitäten verschärfen die Risikolage in privaten und…
Compliance
Apr 11, 2021

Steigende Compliance-Anforderungen: KI bietet Unterstützung

Die Compliance-Anforderungen sind in den letzten Jahren immer komplexer geworden. Für…

Weitere Artikel

Ransomware

Ransomware: „Das Übel an der Wurzel packen“

Sven Moog, Geschäftsführer der COGNITUM Software Team GmbH und Experte für Datensicherheit, über die zuletzt besorgniserregende Steigerung von Ransomware-Attacken und mögliche Ansätze zur Behebung dieses Problems, bevor es überhaupt zum Problem wird.
Schwachstelle

Wachsende Risiken durch Improper Authentication

Bei dem US-amerikanische Hersteller von Fitnessgeräten Peloton ist es aufgrund einer fehlerhaft konfigurierten API zu einem Datensicherheitsvorfall gekommen. Ein Kommentar von Ben Sadeghipour, Head of Hacker Education bei Hackerone.
Cybersecurity

Warum ein Penetrationstest durchgeführt werden muss

Nahezu jede Woche ist in den Medien von Angriffen auf sensible IT-Systeme zu lesen. Für Unternehmen bedeuten diese sowohl finanzielle Schäden als auch den Verlust von Vertrauen und Ansehen bei ihren Geschäftspartnern und Kunden. Zum Teil sind die…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.