Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Datenschutzverletzung

Wenn man die Analogie zum Fußball bemühen will, dann hat der Erfolg einer IT-Sicherheitsabteilung maßgeblich mit einer guten Verteidigung zu tun. Es kommt darauf an, dass die Abwehr geschlossen steht und der Gegner am besten gar nicht erst zum Schuss oder auch nur in eine dafür geeignete Position gelangt. Die beste Voraussetzung für einen Sieg.

Ein Bild, dass sich durchaus auf den Datenschutz und das Zusammenwirken unterschiedlicher Sicherheitsebenen übertragen lässt. Im Idealfall hält ein mehrschichtiger Sicherheitsansatz Cyberkriminelle davon ab „ein Tor zu machen“ – sprich in ein Netzwerk vorzudringen, an Unternehmensdaten zu gelangen, diese zu entwenden und zu missbrauchen.

Die Zahl der Datenschutzvorfälle ist im zurückliegenden Jahr weiter gestiegen. Identity und Access Management ist in diesem Kontext eine der grundlegenden Sicherheitsmaßnahmen. IAM sorgt dafür, dass Benutzer auf notwendige Ressourcen zugreifen können, dabei aber einem vorgeschriebenen Prozess folgen. Eine effektive und vorausschauende Methode gegen Datenschutzverletzungen. Auf das Wesentliche heruntergebrochen ist eine Datenschutzverletzung nichts anderes, als dass zugriffsbeschränkte Daten in die falschen Hände gelangt sind. Ein Tatbestand, auf den die meisten Unternehmen erst aufmerksam werden, wenn es zu spät ist. Um bei unserer Analogie zu bleiben: wie für ein erfolgreiches Fußballteam so sind auch für die IT-Sicherheitsabteilung die Grundlagen entscheidend. Beim Thema Datenschutz kann einiges schief gehen und es mangelt bekanntlich nicht an Herausforderungen.

Wenn Identity und Access Management zum Einsatz kommt, sollte man sich an die grundlegenden drei A’s erinnern: Authentifizierung, Autorisierung und (Privileged) Access.

Authentifizierung

Authentifizierung stellt sicher, dass die Person, die sich an einem System anmeldet, auch tatsächlich die Person ist, die sie vorgibt zu sein. Der einfachste Weg über den ein Angreifer auf die IT-Systeme einer Firma zugreifen kann ist es, sich legitime Anmeldeinformationen zu beschaffen. Wie etwa die Passwörter unverdächtiger Nutzer. Phishing, Social Engineering oder simpler Diebstahl sind gängige Methoden. Das Netzwerk kann nicht erkennen, dass es sich um die falsche Person handelt und wird dem Angreifer ermöglichen, auf alle Ressourcen zuzugreifen, auf die auch der betreffende Nutzer Zugriff hat. Verschiedene IAM-Verfahren und Technologien helfen dabei, das Authentifizierungsproblem in den Griff zu bekommen. Eine effektive Passwortstrategie ist der Schlüssel für einen wirksamen Authentifizierungsprozess.

Dazu gehören der häufige Wechsel von Passwörtern, eine strikte Passwort-Policy und Prozesse, die es dem Anwender so einfach wie möglich machen, sich „richtig“ zu verhalten. Allein dieses Vorgehen schließt etliche der Lücken, die bei Datenschutzverletzungen so häufig erfolgreich ausgenutzt werden. Das grundsätzliche Problem mit Passwörtern ist allerdings, dass Mitarbeiter meistens so viele davon haben, dass sie schwer zu merken sind. Single-Sign-on-Technologien bieten für dieses Problem eine Lösung an. SSO bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung auf alle Rechner und Dienste, für die er berechtigt (autorisiert) ist, zugreifen kann, ohne sich jedes Mal neu anmelden zu müssen.

Mittlerweile existieren zudem Tools zur Passwortverwaltung bei denen der Benutzer über ein Self-Service-Portal seine Passwörter verwalten, zurücksetzen und neu vergeben kann. Gleichzeitig sorgen diese Tools dafür, dass das ausgewählte Passwort den strikten Vorgaben genügt. Viele Unternehmen setzen darüber hinaus auf eine Multifaktor-Authentifizierung, bei der eine zweite Sicherheitsebene dazu kommt, die eine zusätzliche Form der Authentifizierung erforderlich macht. Das kann beispielsweise ein Token sein. Multifaktor-Authentifizierung ist so etwas wie die Abwehrreihe beim Fußball. Sie verhindert, dass ein gegnerischer Spieler es über das Mittelfeld hinaus schafft.

Autorisierung

Wenn Benutzer authentifiziert werden, besteht der nächste Schritt darin, zu kontrollieren wozu der Anwender im Netzwerk berechtigt ist und wozu nicht. Eine korrekte Autorisierung ist der Schlüssel, um Datenschutzverletzungen zu verhindern. Effektive IAM-Lösungen sorgen dafür, dass Benutzer nur auf die Daten zugreifen dürfen, die sie tatsächlich benötigen. Und diese Lösungen verhindern, dass ein Nutzer einen zu weitreichenden Zugriff auf vertrauliche Daten hat, den er nicht haben sollte. Es gilt allerdings die Balance zu wahren zwischen einer schnellstmöglichen Bereitstellung der Zugriffe und den Datenschutzprioritäten. Vermutlich ist eine effektive Deprovisionierung sogar noch wichtiger, um veraltete Zugriffsberechtigungen zu entfernen, wenn sie nicht mehr gebraucht werden. Angestellten und Dienstleistern, die nicht mehr für das betreffende Unternehmen tätig sind, sollte man die vergebenen Zugriffsberechtigungen sofort entziehen. Ansonsten besteht das Risiko, dass Angreifer verwaiste Konten und die damit verbundenen Zugriffsberechtigungen missbrauchen. Ohne ein effektives Identitätsmanagement kann ein Unternehmen nicht sicher sein, wer auf welche Systeme zugreifen kann und ob vielleicht ein Angreifer entsprechende Konten nutzt, um an vertrauliche Daten zu gelangen.

(Privileged) Access

Privilegierte Konten, und dazu zählen Systemkonten mit sehr hohen Berechtigungen, sind für einen Angreifer so etwas wie der Ballon d’Or der FIFA. Gelingt es einem Angreifer Zugriff auf solche Konten zu erlangen, hat er damit meistens einen nahezu unbegrenzten Zugriff auf die Systeme eines Unternehmens. Wenn die „Offensive“ Zugriff auf solche Konten hat, ist es für die IT-Sicherheit kaum mehr möglich den Angriff zu stoppen. Dabei handelt es sich in jedem Fall um solche, die großen Schaden anrichten können. Hinsichtlich der betroffenen Daten und hinsichtlich der Reputation eines Unternehmens. Ein effektives Privileged Access Management muss deshalb im Rahmen des vorbeugenden Datenschutzes höchste Priorität haben. IT-Abteilungen sollten Technologien wie Passwort Vaulting und Session Recording in Betracht ziehen. Sie ordnen privilegierten Konten eine individuelle Verantwortlichkeit (Rechenschaftspflicht) zu. Dadurch lassen sich die Aktivitäten dieser Nutzer nachvollziehen und überwachen. Ein Nutzer kann somit nichts Unerlaubtes tun, ohne mit Konsequenzen rechnen zu müssen. Man kann noch einen Schritt weitergehen. Mithilfe biometrischer Verhaltensanalyse lässt sich verifizieren, dass wirklich die berechtigte Person/der berechtigte Nutzer auf das System zugreift und nicht ein Angreifer, der die Zugangsdaten gestohlen hat.

Wenn alle Spieler einer Mannschaft am gleichen Strang ziehen, wenn jeder Spieler seine Position ausfüllt, wenn das Team die Taktik geschlossen umsetzt und es gelingt, die gegnerische Offensive zu dominieren, dann lässt sich auch das gesamte Spiel gewinnen. Datenschutzverletzungen zu verhindern ist zwar kein Spiel, aber das Konzept einer geschlossenen Mannschaftsleistung im Hinblick auf ein gemeinsames Ziel lässt sich auf den Erfolg auf der Führungsebene übertragen. Es bedarf eines umfassenden Ansatzes und der Umsetzung von IAM-Konzepten wie starker Authentifizierung, granularer Autorisierung und einem leistungsfähigen Privileged Access Management, um Cyberkriminelle in ihre Schranken zu verweisen.

Martin Grauel, One Identity

www.oneidentity.com

 

GRID LIST
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…
Tb W190 H80 Crop Int 572a4c67eb285d3ea59f2c45c09865f3

Polizei-Bodycams: Wohin mit den Aufnahmen?

Körperkameras, sogenannte Bodycams, sollen die Sicherheit bei Polizeieinsätzen erhöhen…
Sprachsteuerung

Alexa, Siri und Co: Mehr Datenschutz für Dialoge der Nutzer

Sprachdialogsysteme wie Alexa und Siri sind inzwischen große Hilfen zum Beispiel bei der…
DSGVO Abmahnung

Warum von kostenlosen Datenschutzerklärungen abzuraten ist

Für eine Vielzahl von Unternehmern scheint sich das Thema Datenschutz damit erledigt zu…
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…