Thought Leadership
Jedes Unternehmen sieht sich heutzutage mit einer steigenden Zahl von Angriffen aus zwei Stoßrichtungen konfrontiert: externen Cyberattacken mit potenziell weitreichenden Folgen und Angriffen aus den eigenen Reihen, den sogenannten Insider-Attacken. Die Risiken sind hoch.
Deshalb haben Unternehmen Sicherheitssysteme und Sicherheitsprozesse eingeführt, die immer tiefer in die eigentlichen Geschäftsabläufe eingreifen. Nicht selten bremst das die Produktivität aus und sorgt bei Benutzern für Frustration. In extremen Fällen sind IT-Sicherheitsmaßnahmen dadurch sogar zum Feindbild geworden.
Dieses Dilemma gilt es bei der Auswahl von Sicherheitslösungen aufzulösen. Und inzwischen findet tatsächlich ein Wandel statt. IT-Sicherheit muss keine Barriere mehr sein. Im Gegenteil kann sie unternehmerische Prozesse unterstützen und sogar vorantreiben. Wenn man es nur richtig angeht. Wir betrachten einige typische Fälle wie man Sicherheit und Produktivität im Sinne der Geschäftsziele miteinander verknüpft.
Szenario 1: Zugriffs- und Berechtigungskontrolle
Viel zu oft reagieren Firmen auf wachsende Sicherheitsherausforderungen damit, die Anforderungen an die Benutzerauthentifizierung herauf zu setzen. Das führt beispielsweise zu einer steigenden Zahl verwendeter Passwörter, die so häufig vergeben wie vergessen werden. Das wiederum hat Konsequenzen für die täglichen Abläufe: der Zugriff auf geschäftlich notwendige Anwendungen wird erschwert und gut gemeinte Technologien werden plötzlich zum Hindernis.
Ein Beispiel aus dem Alltag eines uns bekannten großen Unternehmens. Die Firma verlangte von ihrer Belegschaft sich in zwei separate VPNs einzuloggen. Beiden VPNs waren voneinander getrennte Multi-Faktor-Authentifizierungslösungen (MFA) vorgeschaltet, um remote auf Basissysteme zuzugreifen. Die meisten Benutzer, die sich mit der über 10-minütigen Prozedur nebst der mangelnden Verlässlichkeit der VPN-Verbindungen konfrontiert sahen, griffen zur Selbsthilfe. Wenn jemand unbedingt auf ein System zugreifen musste, wählte er statt der MFA den Standardanruf bei der IT-Abteilung. Die Frage ist also wie man aus einem Hemmnis eine Methode zur Förderung unternehmerischer Prozesse macht.
Der erste Schritt ist sicherlich sein Augenmerk auf aktuelle Technologien zu richten wie etwa Reverse Proxies. Sie überwinden die Nachteile verschiedener VPNs und erlauben einen schnellen und gleichzeitig sicheren Zugriff, auch von unterwegs und von beliebigen Geräten aus. Wenn ein Benutzer ein Mal eindeutig authentifiziert ist, also sozusagen „den Test bestanden hat“, benötigt er keine endlosen Wiederholungen der MFA.
Firmen tun zudem gut daran, sich für adaptive Authentifizierungslösungen zu entscheiden. Sie passen die Authentifizierungsanforderungen automatisch an, immer in Relation zum Risiko und der gestellten Anfrage. Beispielsweise benötigt ein Benutzer für seinen erstmaligen Login eine Multi-Faktor-Authentifizierung. Für alle weiteren Anmeldungen desselben Benutzers, über dasselbe Gerät und am selben Tag ist keine MFA mehr nötig. Kommt die Anfrage allerdings im Gegensatz dazu von einem unbekannten Gerät kann das ein Zeichen für eine illegitime Aktivität sein. Mit entsprechend definierten Regeln für die Multi-Faktor-Authentifizierung passt sich eine adaptive Authentifizierung automatisch den veränderten Gegebenheiten an – hier dem erhöhten Risiko beim Einloggen – und verstärkt die Anforderungen an die Authentifizierung. Diese Methode ersetzt einen mühevollen Authentifizierungsprozess mit diversen Hindernissen durch einen, der sich darauf konzentriert den berechtigten Zugriff effizient und für die Geschäftsprozesse (und die Benutzer) förderlicher zu gestalten.
Szenario 2: Privilegierte Konten
Es hat sich inzwischen vielfach schmerzlich gezeigt, dass privilegierte Konten und die mit ihnen verbundenen erweiterten Zugriffsberechtigungen eines der primären Ziele von Cyberkriminellen sind. Und das natürlich nicht grundlos. Mit den Berechtigungen eines „Super-Users“ haben böswillige Akteure Zugriff auf so gut wie alle Daten, Dateien und Systeme, und sie haben die Möglichkeit ihre Spuren weitgehend zu verwischen und anonym zu agieren.
Firmen reagieren auf dieses Szenario üblicherweise auf zwei verschiedene Arten: 1. Entweder sie tun so, als existiere das Risiko nicht und teilen weiterhin die Anmeldeinformationen oder 2. sie schließen die Anmeldeinformationen privilegierter Konten weg und geben sie nur heraus, wenn strengste Vorgaben und Kontrollen erfüllt sind.
Die erste Methode ist riskant, die zweite ineffizient. Für produktivere Abläufe in einem Unternehmen sorgt keine der beiden. Schlimmstenfalls führen sie sogar dazu, dass Geschäftsziele nicht erreicht werden. Es gibt allerdings Alternativen. Das Privileged Access Management (PAM) sorgt dafür, dass die erforderlichen Sicherheitsmaßnahmen eingehalten werden und gleichzeitig Berechtigungen bereit stehen, wenn sie benötigt werden. Privilegierte Berechtigungen sollten dem Modell der minimalen Rechtevergabe folgen. Das heißt, jede/r erhält nur die Berechtigungen, die notwendig sind, um den Arbeits- und Jobanforderungen zu entsprechen.
Anmeldeinformationen für umfassend berechtigte Konten sollten sicher in einem digitalen Tresor verwahrt werden. Die Ausgabe erfolgt nur im Rahmen eines automatisch gesteuerten Prozesses und nach entsprechender Genehmigung. Es muss möglich sein, die durchgeführten Administrationsaufgaben zu auditieren wie die automatische Änderung der verwalteten Passwörter. Dieses Vorgehen ersetzt die mühseligen manuellen Prozesse, die so häufig mit PAM assoziiert werden und weist zudem individuelle Verantwortlichkeiten zu.
Firmen müssen sich bewusst sein wie wichtig es ist zu wissen, wer welche Berechtigungen hält und ob diese tatsächlich notwendig sind, der beruflichen Position, der Stellung innerhalb der Abteilung oder der industriellen Norm entsprechen. Wenn Benutzer genau die Rechte haben, die sie brauchen um ihren Job gut machen zu können – aber eben auch nur diese – senkt das die Risiken, dass Rechte missbraucht werden um ein Vielfaches.
Szenario 3: Provisionieren und De-Provisionieren
Wie lange dauert es üblicherweise bis ein neuer Benutzer vollständig mit allen benötigten Berechtigungen angelegt ist? Laut eine Studie der Aberdeen Group, dauert es mindestens 1,5 Tage. Mindestens. Es gibt auch Unternehmen, die Tage, wenn nicht Wochen brauchen, bis ein neuer Nutzer sämtliche Berechtigungen zugewiesen bekommen hat, die er braucht. Man kann soweit gehen zu sagen, dass nichts dem Erreichen von geschäftlichen Zielen mehr entgegensteht als Verzögerungen bei der Provisionierung. Im Umkehrschluss verursacht kaum etwas mehr Sicherheitsprobleme als eine unzureichend durchgeführte De-Provisionierung.
Die bereits zitierte Untersuchung kommt zu dem Schluss, dass es Firmen wenigstens einen halben Tag kostet, bevor die vergebenen Berechtigungen wieder entzogen sind. Auch das nur Durchschnittswerte. Viele Unternehmen brauchen erheblich länger. Dabei sind Fehler bei der ursprünglichen Provisionierung noch gar nicht berücksichtigt. Wenn etwa die IT-Abteilung bestehende Berechtigungen einfach ungeprüft übernommen hat.
Wenn es zu Verzögerungen oder Irrtümern kommt liegt es nicht selten an mangelnder oder schlecht funktionierender Kommunikation zwischen der IT-Abteilung und den übrigen Abteilungen eines Unternehmens. IT-Fachleute wissen wie sie Berechtigungen korrekt vergeben und entziehen. Was Spezialisten oftmals fehlt ist der Kontext. Sie wissen nicht zwingend welche Berechtigungen ein Benutzer täglich in seinem Job-Alltag braucht. Die Diversifizierung in einem modernen Unternehmen oder Konzern macht die Sache nicht unbedingt einfacher, denn dann kommen gleich mehrere IT-Abteilungen ins Spiel, eine Vielzahl unterschiedlicher Tools und manuelle Prozesse, die den einzelnen Nutzer daran hindern produktiv zu arbeiten.
Es gilt das Problem von einem übergreifenden Standpunkt aus anzugehen. Einem Standpunkt, der berücksichtigt, dass Nutzer und Abteilungen effizient arbeiten müssen aber ohne keine Konzessionen in Sachen Sicherheit. Das funktioniert nur mit einem übergreifenden unternehmensweiten Ansatz, bei dem die Berechtigungsvergabe an die jeweilige berufliche Position gebunden ist.
Das setzt voraus, dass die einzelnen Fachabteilungen einbezogen werden, denn sie verfügen über den dazu notwendigen Kontext. Firmen, die so vorgehen, setzen Provisionierungen praktisch in Echtzeit um. Gleichzeitig reduzieren sie fälschlich vergebene Berechtigungen auf ein Mindestmaß beziehungsweise kommen sie so gut wie nicht mehr vor.
Szenario 4 – Identity Analytics
Die Disziplinen Identity Analytics und Risk Intelligence sind die beiden jüngsten Errungenschaften, die Unternehmen eine tiefergehende Kontrolle von komplexen Umgebungen erlauben und ihnen die Möglichkeit geben unbekannte Risiken innerhalb der Firma besser einzuschätzen. Dieser aufstrebende Ansatz, der die Identität als einen der Risikofaktoren betrachtet, stärkt das Risiko-Management und minimiert die Angriffsfläche. Dazu werden Individuen und Ressourcen kontinuierlich überwacht und solche hervorgehoben, die mit einem hohen Risiko verbunden sind. Governance- und Sanierungsaktivitäten werden angestoßen um Anomalien aufzudecken und sich auf korrigierende Eingriffe zu konzentrieren. Aus operationaler Sicht sorgen Identity Analytics für effizientere Geschäftsprozesse, steigern die Produktivität und automatisieren eine Vielzahl anfallender Aufgaben indem sie die Zeit und den Aufwand reduzieren, die bisher für das Trouble-Shooting, Erstellen von Analysen sowie das Auffinden bestimmter Muster und Ausreißer nötig waren. Besonders wichtig ist hierbei, dass es im Bedarfsfall zeitnah möglich ist Auditoren unmittelbar Zugriff auf die notwendigen Informationen zu verschaffen. Das wiederrum senkt die Kosten und den mit Compliance-Anforderungen verbundenen Aufwand.
Firmen und Behörden machen zunehmend Budgets frei um genau das zu bekommen: mehr Kontrolle über komplexe und weitreichende Umgebungen und um Risiken vorausschauender zu begegnen.
Geschäftsprozesse mit IT-Sicherheit fördern
Die am 25. Mai 2018 wirksam gewordene EU-Datenschutz-Grundverordnung verändert die bisherigen Anstrengungen die Sicherheit von Identitäten zu verbessern abermals. Jetzt ist verfahrensrechtlich ein weiterer Schritt notwendig. Es muss sichergestellt sein, dass die Person, die eine Zugriffsberechtigung anfragt, auch berechtigt ist die nachfolgenden technischen Maßnahmen durchzuführen. Für die Personalabteilungen bedeutet das beim Einstellen neuer Mitarbeiterinnen und Mitarbeiter mehr Aufwand. Grundsätzlich werden Personalabteilungen sich in Zukunft mehr auf das Identity und Access Management (IAM) verlassen, wenn es darum geht, dass Mitarbeiter ihre Jobs korrekt und konsistent ausführen.
Firmen stehen wieder ein Mal an einem Wendepunkt. Natürlich können sie sich entscheiden die Effizienz von Geschäftsprozessen weiterhin ein Stück weit der IT-Sicherheit zu opfern. Sie haben aber inzwischen die Wahl einen anderen als den traditionellen Weg einzuschlagen. Und der bedeutet, IT-Sicherheit so einzusetzen, dass sie Geschäftsprozesse unterstützt und nicht behindert oder verhindert. Das geht nicht ohne adaptive Methoden bei der Zugriffssteuerung, eine umfassende Strategie zur Verwaltung privilegierter Konten und einen einheitlichen Ansatz für die Provisionierung- und De-Provisionierung. All dies gepaart mit leistungsstarken Identity Analytics hilft Unternehmen Effizienz, Sicherheit und Benutzerakzeptanz unter einen Hut zu bringen.
Susanne Haase, One Identity
