Warum digitale Identitäten zum Hauptziel von Cyberkriminellen werden

Cyberkriminelle richten ihr Visier vor allem auf digitale Identitäten. Darum muss eine jede IT-Sicherheitsstrategie, die den Namen verdient, eine Identity-First-Sicherheitsstrategie sein.

Das sieht beispielsweise auch Gartner so und widmet dem Thema einen umfangreichen „Market Guide for Identity Governance and Administration“.

Belagert von allen Seiten

Um das Ausmaß der Bedrohung digitaler Identitäten zu verstehen, reicht es, sich die Vielzahl der Angriffsmethoden vor Augen zu führen, die Cyberkriminelle zu diesem Zweck nutzen. Um nur einige zu nennen:

1. Phishing-Angriffe: Hierbei werden Benutzer durch gefälschte Nachrichten dazu verleitet, persönliche Daten zum Beispiel auf gefälschten Websites preiszugeben.
2. Credential Stuffing: Angreifer verwenden gestohlene Anmeldeinformationen, um sich Zugang zu mehreren Konten zu verschaffen, insbesondere wenn Benutzer dasselbe Passwort für verschiedene Accounts nutzen.
3. Passwort-Spraying: Eine Brute-Force-Technik, bei der ein häufig verwendetes Passwort für mehrere Konten ausprobiert wird.
4. Ausnutzung schwacher oder schlecht konfigurierter Identitäten: Angreifer zielen auf Konten mit schwachen Passwörtern oder übermäßigen Zugriffsrechten ab.
5. Kompromittierung nicht verwalteter Identitäten: Vergessene oder selten genutzte Konten, wie lokale Administratoren, werden ausgenutzt.
6. Angriffe auf offengelegte Identitäten: Informationen, die im Cache, auf der Festplatte oder in der Registry gespeichert sind, werden missbraucht.
7. Social Engineering: Techniken, die darauf abzielen, Benutzer zur Preisgabe von Zugangsdaten zu manipulieren.

Identity First

„Identity-first“ bedeutet, dass Identitäten das Fundament der Cybersicherheitsstrategie bilden und nicht als Teilaspekt betrachtet werden. Ziel ist es, Sicherheitsmaßnahmen dynamisch und kontextsensitiv auf Basis von Identitätsdaten zu gestalten und nicht auf statischen, punktuellen Konfigurationen. Dabei spielen zentrale Richtlinien und ihre dezentrale Durchsetzung eine entscheidende Rolle. Die Identitätsrichtlinien werden zentral definiert, aber flexibel auf verschiedene Umgebungen und Anwendungen angewendet. Dies ermöglicht eine konsistente Kontrolle über verteilte digitale Aktivposten. Kontextbasierte Zugriffskontrollen stellen sicher, dass Benutzer nur dann Zugriff erhalten, wenn sie ihn benötigen und autorisiert sind.

Die Strategie zielt darauf ab, Zugriffsrechte in Echtzeit basierend auf aktuellen Anforderungen, Kontexten und Risiken zu orchestrieren. Dies umfasst die dynamische Bereitstellung von Konten und Attributen sowie die Orchestrierung der Richtlinien.

Identity First: Management First

Das Management digitaler Identitäten erfordert ein modernes System, das eine flexible Nutzerverwaltung ermöglicht. Dies umfasst die Integration lokaler Verzeichnisse sowie die Anbindung externer Systeme über standardisierte Schnittstellen. Eine zentrale Verwaltungsoberfläche bietet einen umfassenden Überblick über alle Nutzer und deren Attribute. Ein effizientes Berechtigungsmanagement ist ebenfalls entscheidend, weil es die granulare Steuerung von Zugriffsrechten auf Ressourcen und Anwendungen erlaubt. Die Möglichkeit, Administrationsrollen granular zu definieren und Berechtigungen zu delegieren, unterstützt das Prinzip der minimalst möglichen Berechtigung. Die Automatisierung von Routineaufgaben wie Onboarding- und Offboarding-Prozessen kann die Effizienz weiter steigern.

Neben der Definition und Durchsetzung der Sicherheitsrichtlinien muss das System die Unterstützung starker Authentifizierungsmechanismen wie Multi-Faktor-Authentifizierung (MFA) ermöglichen. Die revisionssichere Protokollierung aller Aktionen im Zusammenhang mit der Verwaltung von Identitäten und Berechtigungen ist ebenfalls essentiell, um den regulatorischen Erfordernissen gerecht zu werden. Das System sollte skalierbar und performant sein, um auch bei einer wachsenden Anzahl von Nutzern, Anwendungen und Daten eine reibungslose Funktion zu gewährleisten. Die Unterstützung offener Standards und Schnittstellen ist entscheidend für die Integration in bestehende IT-Landschaften. Benutzerfreundlichkeit ist sowohl für Administratoren als auch für Endnutzer von großer Bedeutung.

Identitätserkennung

Um die digitale Identität der physischen bzw. biologischen Identität zuverlässig zuordnen zu können, kommt der Authentifizierung die zentrale Rolle zu. Traditionell wird die Authentifizierung über Passwörter geregelt. Dabei können Passwort-Manager die Sicherheit erhöhen, indem sie Nutzern ermöglichen, ein Masterpasswort zu verwenden, um auf dieser Basis alle weiteren Passwörter sicher zu generieren und zu verwalten. Allerdings bieten sie nicht die notwendige Transparenz. Dem Unternehmen fehlt die Möglichkeit, das Verhalten der Mitarbeitenden und sicherheitsrelevante Aktivitäten zu protokollieren. Darüber hinaus sind mit einem Passwort-Manager die Gefahren durch Phishing-Angriffe oder Social Engineering nicht aus der Welt geschafft, denn mit einem gelungenen Angriff lässt sich auch das Masterpasswort erbeuten.

Single Sign-On (SSO)-Lösungen bieten eine deutliche Verbesserung gegenüber Passwort-Managern, indem sie Benutzerfreundlichkeit und Sicherheit in den Vordergrund stellen. Anstatt sich für jede Anwendung einzeln anmelden zu müssen, authentifizieren sich Benutzer einmalig und erhalten sofortigen Zugriff auf alle benötigten Ressourcen. Diese zentrale Authentifizierung ermöglicht die Nutzung starker Sicherheitsmaßnahmen, die sogar gestaffelt nach Anwendung, Zeit oder Funktion eingesetzt werden können.

Unternehmen profitieren von einer zentralen Verwaltung und Überwachung aller Mitarbeiteranmeldungen, was die IT-Sicherheit erhöht und die Mitarbeiter vor Phishing-Angriffen schützt. Die zentrale Verwaltung von Zugriffsrechten inkl. Self-Service der Mitarbeitenden, Partner und Endkunden durch die IT-Abteilung entlastet alle und minimiert das Risiko menschlicher Fehler.

Die Kombination von Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) bietet Unternehmen die bestmögliche Sicherheitslösung. Durch die einmalige Anwendung des zweiten Faktors bei SSO wird die Benutzererfahrung kaum beeinträchtigt. Moderne SSO-Systeme stellen eine Vielzahl integrierter Authentifizierungsverfahren zur Verfügung, darunter Einmalpasswörter (OTP), Hardware-Token nach WebAuthN-Standard, passwortlose Authentifizierung und Passkeys. Die langfristige Sicherheit hängt davon ab, dass Authentifizierungsmethoden sowohl benutzerfreundlich sind als auch von IT-Verantwortlichen einfach verwaltet und kontrolliert werden können.

Umsetzung

Open Source-Lösungen bieten eine kostengünstige und flexible Möglichkeit zur Implementierung von MFA und SSO. Unternehmen profitieren von Kosteneinsparungen durch den Wegfall von Lizenzgebühren und reduzierten Betriebskosten. Die Flexibilität eines quelloffenen Systems ermöglicht die individuelle Anpassung an spezifische Anforderungen, während die Transparenz des Open Source-Ansatzes umfassende Sicherheitsanalysen und schnelle Reaktion auf Sicherheitslücken ermöglicht.

Open Source Frameworks wie Keycloak bieten eine leistungsstarke Basis für Login- und Identitätsmanagement. Allerdings kann deren Nutzung in Eigenregie sehr herausfordernd sein. Kommerzielle Anbieter, die auf Keycloak aufbauen und eine benutzerfreundliche Admin-Oberfläche sowie zusätzliche Funktionen hinzufügen, stellen eine praktikable Alternative dar, ohne einen Vendor Lock-in zu riskieren. Diese können zudem bei Installation, Patching und anderen Aufgaben unterstützen.

Bei der Auswahl des entsprechenden Anbieters sollte man auch auf die Erfahrung des Anbieters in der Weiterentwicklung der Sicherheitslösung (Contribution) achten. Ein reiner Hoster, welcher “nur” die Lösung betreibt kann bei auftretenden Sicherheitslücken, Erweiterungswünschen oder sehr technischen Fragen nicht helfen. Anbieter, welche selbst Erweiterungen bauen, aktiv in der Keycloak Community mitarbeiten und entwickeln haben die deutlich größere Erfahrung. Die Empfehlung lautet also „Managed Open Source“ statt reinem Open Source – aber von echten Experten.

Auch bei Managed Open Source gewährleistet die Transparenz von Open Source eine unabhängige Entwicklung und Kontrolle und somit ein hohes Maß an Sicherheit. Und genauso wie bei „Open Source der reinen Lehre“ kann der Kunde eines Managed Open Source Anbieters im Falle von Problemen einfach den Anbieter wechseln oder zur Open Source-Basis zurückkehren.

Gerade in der heutigen Zeit müssen Unternehmen zudem sicherstellen, dass der Anbieter Datenschutzstandards einhält, im Falle von Keycloak die notwendige Erfahrung bzgl. der DSGVO Anforderungen sowie Barrierefreiheit besitzt und digitale Souveränität gewährleistet. Letzteres ist gerade in Hinblick auf die Anordnung von Sanktionen der US-Regierung unter Trump gegen den internationalen Strafgerichtshof (IstGH). Die Bankkonten des IstGH-Chefanklägers Karim Khan wurden eingefroren und Microsoft hat seinen eMail-Account in Microsoft Office 365 gesperrt.

Dies beweisst einmal mehr, dass IT-Dienste von US-amerikanischen Unternehmen wie Microsoft, Amazon, Google u.a. von einem auf den anderen Tag eingeschränkt oder vielleicht sogar ganz ausgeschaltet werden können egal ob diese Konzerne dies vertraglich anders definieren. Am diesem Beispiel sieht man sehr schön wie wenig Digital Souverän die Souveräne Europäische Microsoft Welt ist.

Überträgt man dies auf das hier diskutierte Single-Sign-On System, so muss jedem, der US-Produkte wie Okta oder Microsoft Azure / EntraID einsetzt klar sein, dass er im Zweifelsfall morgen nicht mehr in ein einziges IT-System kommt. Login ist und bleibt ein unternehmenskritischer Prozess, den man in sichere und vertrauensvolle Hände legen muss.