IAM von gestern – das unterschätzte Risiko

Beim Identity und Access Management (IAM) dreht sich alles darum, dass ausschließlich die richtigen Leute auf die richtigen Ressourcen zugreifen und sämtliche Berechtigungen nachweislich korrekt vergeben werden. 

Wer sich intensiv mit IAM beschäftigt weiß, das ist leichter gesagt als getan. Der Teufel steckt wie so oft im Detail und es gibt eine Reihe von Dingen, die beachtet werden wollen.

Anzeige

Aktualität 

Als erstes erstellt man Konten, die den Nutzer berechtigen auf alle Informationen zuzugreifen, die er braucht. Man bezeichnet diesen Vorgang als Provisionierung (einhergehend mit der noch wichtigeren De-Provisionierung). Im nächsten Schritt braucht man ein Autorisierungskonzept um die notwendigen Berechtigungen angemessen zu vergeben. Dieses Konzept beinhaltet die Definition, was über diesen Zugriff erlaubt ist und was nicht. Und drittens sollte man einen Weg finden, die Provisionierung und De-Provisionierung von Berechtigungen so sicher und idealerweise auch so effizient wie möglich zu gestalten. Die Autorisierung muss so akkurat sein, dass jede/r genau die Berechtigungen hat, die er oder sie benötigt, nicht mehr und nicht weniger.

Jeder ist seit der Existenz vernetzter Rechner mit Provisionierung und Deprovisionierung vertraut. Aufgrund der immens steigenden Nutzerzahlen brauchte man sehr schnell und sehr dringend ein Autorisierungskonzept. Das Problem ist, dass Vorgehensweisen, die in den relativ geschlossenen Netzwerken mit relativ wenigen Benutzern so gut funktionierten, heutzutage in offenen, ja nahezu grenzenlosen, verteilten Arbeitsumgebungen es nicht mehr tun. Das Resultat ist allseits bekannt: Ineffiziente Abläufe, erhöhte Risiken und ein hohes Potential für katastrophale Datenschutzverletzungen.

Gefahren der traditionellen Methoden des Provisionierens/Deprovisionierens

Eine jüngst von One Identity beauftragte Studie legt die Gefahren der traditionellen Methoden des Provisionierens/Deprovisionierens und der Autorisierung offen. Um die Studienergebnisse auf einen simplen Nenner zu bringen: Methoden und Technologien, die in der Vergangenheit ihren Zwecke voll erfüllt haben, reichen in einer digital transformierten Welt schlicht und ergreifend nicht mehr aus.

Das belegen die Ergebnisse einer Befragung von über 900 IT-Sicherheitsexperten aus aller Welt:

  • 87% der Befragten räumten ein, dass es in ihrem Unternehmen inaktive Konten gibt und 71 % haben diesbezüglich starke Bedenken. In anderen Worten: Dreiviertel der im Rahmen der Studie befragten Sicherheitsexperten wissen von Konten, die nicht deprovisioniert wurden, obwohl der Zugriff nicht länger benötigt wird. Entweder der betreffende Nutzer hat das Unternehmen bereits verlassen oder er hat innerhalb des Unternehmens eine andere Position übernommen.
  • Lediglich ein Drittel der Befragten gab an „sehr sicher“ zu wissen, welche inaktiven Benutzerkonten im betreffenden Unternehmen noch existieren. Im Umkehrschluss heißt das, die Mehrheit der Befragten hat eine Reihe gefährlicher Eintrittspunkte in ihr Netzwerk und weiß nicht, um welche Konten es sich dabei handelt.
  • 97 % der Befragten verfügen zwar über einen definierten Prozess um inaktive Konten zu identifizieren, aber nur 19 % verfügen über die dazu notwendigen Hilfsmittel. Darüber hinaus haben 92 % der Befragten angegeben ihr Netzwerk regelmäßig auf inaktive Konten zu überprüfen. Allerdings passen die beiden Zahlen offensichtlich nicht ganz zusammen. Wenn die Mehrheit der Befragten angibt, dass es in ihrem Unternehmen inaktive Konten und einen entsprechenden Prozesses gibt, um solche Konten zu identifizieren, dann kann dieser Prozess ganz offensichtlich nicht funktionieren. Trotz aller Bemühungen (oder traditionellen De-Provisionierungsverfahren), das Risko ist nicht eliminiert.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Risiken inaktiver Konten

Gefährlich sind nicht die inaktiven Konten an sich, sondern die mit ihnen verbunden Risiken. Solche Konten fungieren wie verborgene Türen, die Zugriff auf Systeme und Daten ermöglichen. Die weitaus meisten der schlagzeilenträchtigen und schwerwiegenden Datenschutzverletzungen passieren, weil ein böswilliger Angreifer sich legitime Konten zunutze machen konnte. Das kann die Folge eines erfolgreichen Phishing-Angriffs oder von Social Engineering sein. Aber ebenso suchen Angreifer gezielt nach solchen inaktiven Konten, von denen eine Firma nicht ein Mal weiß, dass sie überhaupt existieren. Hat sich ein Angreifer erfolgreich Zutritt verschafft, tragen eine Reihe von Aktionen zum Erkunden des Netzwerks und Aktivitäten zur Rechteausweitung dazu bei, an genau den Typ von Informationen oder Systemen zu gelangen, die man eigentlich besonders schützen wollte.

Hier kommt der zweite und einigermaßen faszinierende Teil der Studienergebnisse ins Spiel. One Identity stellte denselben über 900 IT-Sicherheitsexperten eine Reihe von Fragen zu Rechten und Berechtigungen, die Nutzer innehaben. Und genau hier zeigt sich, wo die Ursachen liegen:

  • Nur einer von vier Befragten war sich „sehr sicher“, dass die vergebenen Benutzerechte und Zugriffsberechtigungen korrekt sind. Das heißt, stolze Dreiviertel der Befragten sind sich über einen fundamentalen Aspekt der Zugriffskontrolle im Unklaren nämlich den der Autorisierung. Jeder Benutzer mit exzessiv vergebenen Rechten (also Rechten, die er nicht braucht um seine Aufgaben zu erledigen) lädt böswillige Akteure geradezu ein, sich im Netzwerk umzusehen und es auszukundschaften. Eine Sache, die solche Angreifer ausgesprochen gut beherrschen.
  • Weniger als ein Drittel unter den Befragten ist sich „sehr sicher“, dass Benutzerkonten korrekt deprovisioniert werden. Also, sofort und vollständig. Lediglich 14 % der Befragten gaben an, Zugriffberechtigungen sofort zu entziehen, wenn sich der Personalstatus des Mitarbeiters geändert hat. Deprovisionierung ist der Prozess, der ein Konto schließt und Rechte entzieht, die nicht länger benötigt werden. Unzureichende Deprovisionierung ist die grundlegende Ursache für inaktive Konten. Sei es, dass die bestehenden Prozesse überholt sind und aufwendig manuell umgesetzt werden müssen, oder die eingesetzten Werkzeuge sind einfach nicht mehr angemessen.
  • Tatsächlich antworteten 95 % der Befragten, dass der bei ihnen eingesetzte Prozess zur De-Provisionierung nicht ohne Intervention der IT-Abteilung auskommt. Mit anderen Worten, irgendjemand muss sich an seine Tastatur setzen und aktiv werden. Egal wie lange die nicht mehr benötigten Konten so „offen“ bleiben, das Desaster ist fast schon vorprogrammiert. Das haben viele der in der Öffentlichkeit bekannt gewordenen Datenschutzverletzungen der letzten Jahre gezeigt.

Empfehlungen

Was kann man also tun, um genau das zu verhindern? Nun, es gibt eine ganze Reihe von Methoden um diese Prozesse zu modernisieren und IAM richtig anzugehen. Hier sind einige Empfehlungen:

  1. Bestimmen Sie eine maßgebliche Quelle (Single Source of Truth) für die Autorisierung. Definieren Sie Business-Rollen und benutzen Sie diese anschließend durchgängig. Und das wichtigste: Beziehen Sie die zuständigen Fachverantwortlichen in den Entscheidungsprozess mit ein. Nicht selten sind unangemessene Berechtigungen ein simples Nebenprodukt von Entscheidungen der IT-Abteilung, die zwar nach bestem Wissen und Gewissen handelt, aber eben nicht für die Fachabteilung entscheiden sollte. Nicht selten erreichen aber auch Anfragen wie „X braucht dieselben Rechte wie Y“ die IT. Und zwar ohne dass den Fachverantwortlichen in dem Moment bewusst ist, über welche Rechte X genau verfügt, wie er dazu gekommen ist und ob die Zugriffsberechtigungen noch seiner Arbeitsplatzbeschreibung entsprechen.
  2. Deprovisionisieren Sie immer sofort und vollständig. Es existieren Werkzeuge, die sofort entsprechende Berechtigungsänderungen vornehmen, wenn sich in der maßgeblichen Datenquelle etwas ändert. Beispielsweise, wenn in der Personalabteilung der Status eines Mitarbeiters von aktiv auf inaktiv gesetzt wird, entziehen sie dem Benutzer unverzüglich sämtliche Zugriffsrechte auf Systeme im Unternehmen und in der Cloud. Dieses Vorgehen schafft Sicherheit und vermeidet Konten, die aktiviert sind, aber nicht mehr von einem Mitarbeiter genutzt werden.
  3. Verwenden Sie Identity Analytics. Dabei handelt es sich um eine vergleichsweise neuartige Klasse von IAM-Lösungen, die Systeme proaktiv und fortlaufend prüfen, ob die vergebenen Berechtigungen noch richtlinienkonform sind. Solche Technologien sind in der Lage inaktive Konten, fehlerhafte Provisionierungen oder Fälle von Rechteerweiterungen schnell aufzudecken. Sie sind ein wesentliches Element, wenn es darum geht, Datenschutzvorfällen nachzugehen und zu verhindern.

Wie jede Technologie, auf die wir tagttäglich vertrauen sich weiterentwickelt, so muss sich auch das Identity und Access Management, mit dem wir den Zugriff auf diese Systeme sichern, weiterentwickeln. Die Studie von One Identity bestätigt ganz klar: Was vor ein paar Jahren noch gut funktioniert hat, passt kaum mehr in die heutige Zeit und Technologie. Aber es ist nichts verloren. Mit einer simplen Umverteilung der Verantwortlichkeiten, angewandten IAM Best Practices und modernen IAM-Technologien können die Risiken deutlich gesenkt werden und Unternehmen gleichzeitig moderner arbeiten. Ein Gewinn für alle Beteiligten. 

Susanne HaaseSusanne Haase, IAM Solutions Architect bei One Identity

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.