Thought Leadership
Wenn man die Analogie zum Fußball bemühen will, dann hat der Erfolg einer IT-Sicherheitsabteilung maßgeblich mit einer guten Verteidigung zu tun. Es kommt darauf an, dass die Abwehr geschlossen steht und der Gegner am besten gar nicht erst zum Schuss oder auch nur in eine dafür geeignete Position gelangt. Die beste Voraussetzung für einen Sieg.
Ein Bild, dass sich durchaus auf den Datenschutz und das Zusammenwirken unterschiedlicher Sicherheitsebenen übertragen lässt. Im Idealfall hält ein mehrschichtiger Sicherheitsansatz Cyberkriminelle davon ab „ein Tor zu machen“ – sprich in ein Netzwerk vorzudringen, an Unternehmensdaten zu gelangen, diese zu entwenden und zu missbrauchen.
Die Zahl der Datenschutzvorfälle ist im zurückliegenden Jahr weiter gestiegen. Identity und Access Management ist in diesem Kontext eine der grundlegenden Sicherheitsmaßnahmen. IAM sorgt dafür, dass Benutzer auf notwendige Ressourcen zugreifen können, dabei aber einem vorgeschriebenen Prozess folgen. Eine effektive und vorausschauende Methode gegen Datenschutzverletzungen. Auf das Wesentliche heruntergebrochen ist eine Datenschutzverletzung nichts anderes, als dass zugriffsbeschränkte Daten in die falschen Hände gelangt sind. Ein Tatbestand, auf den die meisten Unternehmen erst aufmerksam werden, wenn es zu spät ist. Um bei unserer Analogie zu bleiben: wie für ein erfolgreiches Fußballteam so sind auch für die IT-Sicherheitsabteilung die Grundlagen entscheidend. Beim Thema Datenschutz kann einiges schief gehen und es mangelt bekanntlich nicht an Herausforderungen.
Wenn Identity und Access Management zum Einsatz kommt, sollte man sich an die grundlegenden drei A’s erinnern: Authentifizierung, Autorisierung und (Privileged) Access.
Authentifizierung
Authentifizierung stellt sicher, dass die Person, die sich an einem System anmeldet, auch tatsächlich die Person ist, die sie vorgibt zu sein. Der einfachste Weg über den ein Angreifer auf die IT-Systeme einer Firma zugreifen kann ist es, sich legitime Anmeldeinformationen zu beschaffen. Wie etwa die Passwörter unverdächtiger Nutzer. Phishing, Social Engineering oder simpler Diebstahl sind gängige Methoden. Das Netzwerk kann nicht erkennen, dass es sich um die falsche Person handelt und wird dem Angreifer ermöglichen, auf alle Ressourcen zuzugreifen, auf die auch der betreffende Nutzer Zugriff hat. Verschiedene IAM-Verfahren und Technologien helfen dabei, das Authentifizierungsproblem in den Griff zu bekommen. Eine effektive Passwortstrategie ist der Schlüssel für einen wirksamen Authentifizierungsprozess.
Dazu gehören der häufige Wechsel von Passwörtern, eine strikte Passwort-Policy und Prozesse, die es dem Anwender so einfach wie möglich machen, sich „richtig“ zu verhalten. Allein dieses Vorgehen schließt etliche der Lücken, die bei Datenschutzverletzungen so häufig erfolgreich ausgenutzt werden. Das grundsätzliche Problem mit Passwörtern ist allerdings, dass Mitarbeiter meistens so viele davon haben, dass sie schwer zu merken sind. Single-Sign-on-Technologien bieten für dieses Problem eine Lösung an. SSO bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung auf alle Rechner und Dienste, für die er berechtigt (autorisiert) ist, zugreifen kann, ohne sich jedes Mal neu anmelden zu müssen.
Mittlerweile existieren zudem Tools zur Passwortverwaltung bei denen der Benutzer über ein Self-Service-Portal seine Passwörter verwalten, zurücksetzen und neu vergeben kann. Gleichzeitig sorgen diese Tools dafür, dass das ausgewählte Passwort den strikten Vorgaben genügt. Viele Unternehmen setzen darüber hinaus auf eine Multifaktor-Authentifizierung, bei der eine zweite Sicherheitsebene dazu kommt, die eine zusätzliche Form der Authentifizierung erforderlich macht. Das kann beispielsweise ein Token sein. Multifaktor-Authentifizierung ist so etwas wie die Abwehrreihe beim Fußball. Sie verhindert, dass ein gegnerischer Spieler es über das Mittelfeld hinaus schafft.
Autorisierung
Wenn Benutzer authentifiziert werden, besteht der nächste Schritt darin, zu kontrollieren wozu der Anwender im Netzwerk berechtigt ist und wozu nicht. Eine korrekte Autorisierung ist der Schlüssel, um Datenschutzverletzungen zu verhindern. Effektive IAM-Lösungen sorgen dafür, dass Benutzer nur auf die Daten zugreifen dürfen, die sie tatsächlich benötigen. Und diese Lösungen verhindern, dass ein Nutzer einen zu weitreichenden Zugriff auf vertrauliche Daten hat, den er nicht haben sollte. Es gilt allerdings die Balance zu wahren zwischen einer schnellstmöglichen Bereitstellung der Zugriffe und den Datenschutzprioritäten. Vermutlich ist eine effektive Deprovisionierung sogar noch wichtiger, um veraltete Zugriffsberechtigungen zu entfernen, wenn sie nicht mehr gebraucht werden. Angestellten und Dienstleistern, die nicht mehr für das betreffende Unternehmen tätig sind, sollte man die vergebenen Zugriffsberechtigungen sofort entziehen. Ansonsten besteht das Risiko, dass Angreifer verwaiste Konten und die damit verbundenen Zugriffsberechtigungen missbrauchen. Ohne ein effektives Identitätsmanagement kann ein Unternehmen nicht sicher sein, wer auf welche Systeme zugreifen kann und ob vielleicht ein Angreifer entsprechende Konten nutzt, um an vertrauliche Daten zu gelangen.
(Privileged) Access
Privilegierte Konten, und dazu zählen Systemkonten mit sehr hohen Berechtigungen, sind für einen Angreifer so etwas wie der Ballon d’Or der FIFA. Gelingt es einem Angreifer Zugriff auf solche Konten zu erlangen, hat er damit meistens einen nahezu unbegrenzten Zugriff auf die Systeme eines Unternehmens. Wenn die „Offensive“ Zugriff auf solche Konten hat, ist es für die IT-Sicherheit kaum mehr möglich den Angriff zu stoppen. Dabei handelt es sich in jedem Fall um solche, die großen Schaden anrichten können. Hinsichtlich der betroffenen Daten und hinsichtlich der Reputation eines Unternehmens. Ein effektives Privileged Access Management muss deshalb im Rahmen des vorbeugenden Datenschutzes höchste Priorität haben. IT-Abteilungen sollten Technologien wie Passwort Vaulting und Session Recording in Betracht ziehen. Sie ordnen privilegierten Konten eine individuelle Verantwortlichkeit (Rechenschaftspflicht) zu. Dadurch lassen sich die Aktivitäten dieser Nutzer nachvollziehen und überwachen. Ein Nutzer kann somit nichts Unerlaubtes tun, ohne mit Konsequenzen rechnen zu müssen. Man kann noch einen Schritt weitergehen. Mithilfe biometrischer Verhaltensanalyse lässt sich verifizieren, dass wirklich die berechtigte Person/der berechtigte Nutzer auf das System zugreift und nicht ein Angreifer, der die Zugangsdaten gestohlen hat.
Wenn alle Spieler einer Mannschaft am gleichen Strang ziehen, wenn jeder Spieler seine Position ausfüllt, wenn das Team die Taktik geschlossen umsetzt und es gelingt, die gegnerische Offensive zu dominieren, dann lässt sich auch das gesamte Spiel gewinnen. Datenschutzverletzungen zu verhindern ist zwar kein Spiel, aber das Konzept einer geschlossenen Mannschaftsleistung im Hinblick auf ein gemeinsames Ziel lässt sich auf den Erfolg auf der Führungsebene übertragen. Es bedarf eines umfassenden Ansatzes und der Umsetzung von IAM-Konzepten wie starker Authentifizierung, granularer Autorisierung und einem leistungsfähigen Privileged Access Management, um Cyberkriminelle in ihre Schranken zu verweisen.
Martin Grauel, One Identity
