Anzeige

Digitale Identität

Da Unternehmen zunehmend neue Technologien wie die Cloud, Big Data, DevOps, Container oder Microservices nutzen, stellt diese wachsende Komplexität auch neue Herausforderungen an das Identitäts- und Zugriffsmanagement.

Denn mit diesen aufkommenden Technologien wachsen die Workloads und Datenmengen und befinden sich zunehmend in der Cloud. Die Anzahl menschlicher und maschineller Identitäten steigt hierdurch exponentiell an. Um diese neuen Angriffsflächen einzudämmen, wird es daher unerlässlich, fragmentierte Identitäten über eine hybride Unternehmensinfrastruktur hinweg zu zentralisieren und ein konsistentes Sicherheitsmodell für privilegierte Zugriffe durchzusetzen.

Identitäts-Wildwuchs: Die Gefahren von Identity Sprawl

Bei Identity Sprawl wird die Identität eines Benutzers von mehreren isolierten Systemen oder Directorys verwaltet, die nicht miteinander synchronisiert sind, was zu mehreren Identitäten für jeden Benutzer führt und damit zu möglichen ungesicherten Angriffsflächen. Häufig entsteht diese Situation, wenn eine Anwendung oder ein System nicht in den zentralen Directory Service des Unternehmens integriert ist oder nicht integriert werden kann. Dadurch muss ein weiterer Satz von Benutzeridentitäten verwaltet werden, um den Zugriff auf diese Anwendung oder dieses System zu unterstützen. Dies führt zu einem erhöhten Verwaltungsaufwand sowie damit verbundenen Kosten und kann die Durchsetzung von einheitlichen Sicherheits- und Compliance-Richtlinien erheblich erschweren. Zudem birgt Identity Sprawl auch die Gefahr, dass Benutzer ihre Passwörter für verschiedene Dienste wiederverwenden, wodurch Unternehmen anfällig für das Ausspähen von Zugangsdaten werden.

Privilegierte Benutzerkonten mit weitreichenden Berechtigungen stehen besonders im Fadenkreuz von Angreifern. Denn diese Konten bieten den Schlüssel zu wertvollen Daten und Unternehmensressourcen und ermöglichen es Cyberkriminellen, unter dem Deckmantel eines vertrauenswürdigen Benutzers unbemerkt zu agieren und gegebenenfalls monatelang unentdeckt zu bleiben. Durch die Begrenzung der Anzahl dieser privilegierten Konten in einem Unternehmen kann jedoch auch die Angriffsfläche verkleinert und das Risiko eines Missbrauchs durch böswillige Insider oder externe Bedrohungsakteure reduziert werden. 

Um den heutigen Anforderungen von Infrastruktur- und Sicherheitsteams gerecht zu werden, benötigt es deshalb einen umfassenden Ansatz für das Management privilegierter Zugriffe, der sich auf die Konsolidierung von Identitäten konzentriert und auf Zero-Trust-Prinzipien basiert. Im Folgenden fünf Best Practices, mit denen Unternehmen eine robuste Sicherheitsstrategie zur Identitätskonsolidierung und Privilegien-Erhöhung (Privilege Elevation) implementieren können.

Fünf Best Practices zur Identitätskonsolidierung und Privilegien-Erhöhung

1. Zentralisierung aller Identitäten in einem Identity Directory als Single Source of Truth

Die ausgewählte Privilege Access Management-Lösung (PAM) sollte größtmögliche Flexibilität hinsichtlich des im Unternehmen eingesetzten Identity Directory bieten. Hierdurch spielt es keine Rolle, welches Identity Directory (z.B. Active Directory, Okta, Ping, usw.) eine Organisation verwendet. Die Technologie sollte beispielsweise mittels AD Bridging UNIX- und Linux-Systeme mit Active Directory verbinden können, jedoch auch im Zuge der Cloud-Transformation Konsolidierungsfähigkeiten für IaaS-Umgebungen bieten. Moderne PAM-Lösungen mit Multi-Directory-Brokering-Fähigkeit ermöglichen es, Benutzer gegen jedes beliebige User Directory zu authentifizieren, das Identitätsmanagement zu zentralisieren und Identity Sprawl zu minimieren.

2. Bindung aller Privilegien an die Identitäten im bevorzugten Directory

Die Bindung aller Befugnisse, Berechtigungen und Privilegien an Identitäten im bevorzugten Directory eines Unternehmens verringert nicht nur den Verwaltungsaufwand, sondern vereinfacht auch die Durchsetzung von einheitlichen Sicherheits- und Compliance-Richtlinien. Denn im Gegensatz zur Verwendung von gemeinsam genutzten Konten, wird dadurch auch die individuelle Verantwortlichkeit an die jeweilige Identität geknüpft.

3. Föderierter Zugriff auf Ressourcen vom bevorzugten Directory aus

Durch den föderierten Zugriff (Federated Access) auf Ressourcen (z.B. Server, Datenbanken oder Cloud-Workloads) können sich Mitarbeiter einfach als sich selbst anmelden und erhalten stets angemessene Berechtigungen. Dies sorgt für effiziente Arbeitsabläufe und fördert die Produktivität der Mitarbeiter.

4. Granulare Kontrollen für einen gerade ausreichenden, zeitlich begrenzten Zugriff

Aufgrund ihrer hohen Zugriffsrechte stellen privilegierte Konten eine ernsthafte Gefahr für Unternehmen dar, wenn sie in die Hände eines Angreifers fallen. Daher sollte ein Ansatz des geringsten Privilegs (Least Privilege) in Verbindung mit Privilegien-Erhöhung verfolgt werden, um granulare Zugriffskontrollen durchzusetzen. Privilegien-Erhöhung bedeutet, dem Benutzer vorübergehend zusätzliche Rollen und Rechte zu gewähren, damit er eine Aufgabe erledigen kann, die mit seiner Arbeitsfunktion übereinstimmt – und zwar mit gerade genug Privilegien für genau die Zeit, die für die Ausführung der Arbeit notwendig ist. Beispielsweise kann es legitim sein, einem Web-Administrator den Zugang zu Systemen zu gestatten, auf denen Web-Server und die damit verbundenen Management-Tools laufen. Das Einloggen in Maschinen, die Kreditkartentransaktionen verarbeiten, ist jedoch nicht legitim und bleibt blockiert.

5. Keine permanenten Berechtigungen, nachdem eine Aufgabe erledigt ist

Unternehmen sollten darauf achten, dass Identitäten über keine permanenten Berechtigungen (Zero Standing Privileges) verfügen, sondern stets eine Erhöhung der Privilegien just-in-time erfolgt, um in einem begrenzten Zeitraum die jeweiligen Aufgaben zu erfüllen. Zum Beispiel darf ein Mitarbeiter nur während der Geschäftszeiten oder für eine bestimmte Zeit auf einen bestimmten Server zugreifen. Nach Beendigung der Sitzung werden die Zugriffsrechte wieder entzogen (jedoch sollte eine moderne PAM-Lösung auch in der Lage sein, den Zugriff bei Bedarf einfach wieder zu gewähren). Dadurch wird auch das Zeitfenster für mögliche Angreifer geschlossen, falls ein Benutzerkonto kompromittiert wurde.

Durch die zunehmende Komplexität von Unternehmensinfrastrukturen benötigt es heute umfassende Kontrollen, wer in welchem Ausmaß und für welchen Zeitraum Zugriff auf sensible Ressourcen und Daten hat. Die Identitätskonsolidierung und Privilegien-Erhöhung sorgt für eine Zentralisierung von Identitäten und eine granulare Steuerung und Kontrolle von Berechtigungen. Hierdurch werden Identity Sprawl und die damit einhergehenden Sicherheitsrisiken verringert, der Verwaltungsaufwand reduziert sowie die Produktivität der Mitarbeiter erhöht. Mit diesem Ansatz können Unternehmen sicherstellen, dass nur autorisierte Personen, Maschinen oder Dienste auf die richtigen Ressourcen zur richtigen Zeit und aus den richtigen Gründen zugreifen.

Özkan Topal, Sales Director
Özkan Topal
Sales Director, Centrify

Artikel zu diesem Thema

Cloud
Apr 30, 2021

Performance von Cloud-Anwendungen optimieren

Knapp ein Viertel der deutschen Erwerbstätigen arbeitet derzeit im Homeoffice. In vielen…
IAM
Apr 30, 2021

IT-Administration ohne Passwörter

Cyberangriffe auf digitale Identitäten verschärfen die Risikolage in privaten und…
Compliance
Apr 11, 2021

Steigende Compliance-Anforderungen: KI bietet Unterstützung

Die Compliance-Anforderungen sind in den letzten Jahren immer komplexer geworden. Für…

Weitere Artikel

Cyber Security

SASE etabliert sich als zentraler Trend der IT-Sicherheit

Unternehmen müssen die Sicherheit ihrer IT-Infrastruktur neu definieren, weil immer mehr Mitarbeiter im Homeoffice arbeiten.
Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…
rote Ampel

Wenn die Software-Ampel auf Rot springt

Fast jedes Unternehmen hat Software im Einsatz, die in die Jahre gekommen ist. Das kann ein Problem sein – muss es aber nicht. Ein Ampelprinzip hilft bei der Einschätzung, ob Handlungsbedarf besteht, erläutert der IT-Dienstleister Avision.
Smart City

Inwieweit können wir die Smart City von morgen schützen?

Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für…
Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.