Anzeige

Die fortgeschrittene Durchdringung unserer Infrastrukturen durch digitale Prozesse macht sie effektiver. Sie setzt Unternehmen und Institutionen aber auch unter Druck, digitale Identitäten sicher und gut zu verwalten. Denn die Digitalisierung bedeutet auch, dass keine physische Gewalt mehr nötig ist, um größeren Schaden anzurichten, es genügt ein intelligenter Programmierer und kriminelle Energie. 

Das Bundesministerium für Inneres hat dieses Gefahrenpotential bereits vor geraumer Zeit erkannt und am 14. August 2009 die mittlerweile mehrfach aktualisierte BSI-Kritisverordnung für kritische, sprich lebenswichtige, Infrastrukturen veröffentlicht.

Relevant für mein Unternehmen?

KRITIS-relevante Bereiche sind vor allem Bereiche des täglichen Lebens die essenziell sind und meist erst geschätzt werden, wenn sie einmal ausfallen. Einen Stromausfall für ein paar Minuten oder auch Stunden kennt jeder, aber stellen Sie sich den einmal im Winter vor, über mehrere Tage. Die zu solchen Szenarien dazugehörigen Infrastrukturen sind sogenannte kritische Infrastrukturen in den Bereichen: Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Medien und Kultur, Wasser, Finanz- und Versicherungswesen, Ernährung.

Betreiber solcher kritischen Infrastrukturen (KRITIS) müssen gemäß §8a BSIG nachweisen, dass ihre IT-Sicherheit „auf dem Stand der Technik ist“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt Betreiber in die Pflicht, die Informationstechnik dieser kritischen Infrastrukturen bestmöglich abzusichern. Dazu kann Identity- & Access Management einen guten Teil beitragen und der KRITIS-IT-Schutzbedarf kann vom herkömmlichen IT-Schutzbedarf abweichen. Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit müssen bei der Ermittlung des Schutzbedarfs betrachtet werden, um die gesetzlichen Anforderungen zu erfüllen.

Mehr Sicherheit und Qualität!

Die BSI-Kritisverordnung definiert Bedrohungskategorien zur Orientierung und fordert nicht ohne Grund explizit ein Identity & Access Management:

  • Missbrauch Innentäter
  • Menschliche Fehlhandlungen, menschliches Versagen
  • Sicherer Authentisierung
  • Identitäts- und Rechtemanagement
  • Rollentrennung / Funktionstrennung

Die Umsetzungsempfehlungen zu diesen Anforderungen variieren branchenspezifisch. Je nach gemeinsamem Nenner einer Branche kann die Ausgestaltung auf sehr unterschiedlichen Abstraktionsgraden erfolgen. Teilweise können konkrete Maßnahmen definiert werden, teilweise können nur Sicherheitsanforderungen oder Vorgehensweisen benannt werden.

Gemeint ist die Nachweisbarkeit der getroffenen Maßnahmen. Die Umsetzung der angemessenen und wirksamen Maßnahmen kann gemäß § 8a (3) BSIG durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die allgemeingültigen, branchen-unabhängigen Maßnahmen sind:

  • Auditierbarkeit der aktuellen Rechtevergabe
  • Zyklische Re-Zertifizierung der vergebenen Rechte
  • Sichere Vergabe und zeitliche Begrenzung von Administrationsrechten
  • Rollentrennung (SoD)
  • Risikomanagement (MARisk)

Der Lückenschluss durch Identity & Access Management

Bedrohungskategorien und Handlungsfelder lassen sich in direkte Maßnahmen im User- und Rechte-Management übersetzen. Vorhandene Sicherheitslücken können dadurch geschlossen, oder die Angriffsflächen zumindest verkleinert werden. Erfolgreiches und konformes Umsetzen der regulatorischen Anforderungen bringt neben gewonnener Sicherheit, beispielsweise jederzeit auditierbare digitale Identitäten, und wirtschaftliche Vorteile. Das wird erreicht durch die Standardisierung von Abläufen, die Qualität der Informationen, die kommuniziert werden, und die enorme Beschleunigung der Abläufe. Im Einzelnen wie folgt:

  • Durchgängige Prozesse im Berechtigungsmanagement
  • Systemübergreifende Datenbank für Benutzerkonten und Zugriffsrechte
  • Automatisiert erstellte, tagesaktuelle Auswertungen
  • Automatische, zeitgesteuerte Re-Zertifizierungsprozesse
  • zeitbeschränkte, privilegierte Benutzerkonten
  • Automatisierte Prozesse im Berechtigungsmanagement
  • Softwareseitige Abbildung und Prüfung der SoD-Matrix
  • Automation der Benutzerkonten- & Rechte-Administration
  • Blockabwesenheit inkl. Reporting

Unser KRITIS-Fazit

Für Unternehmen, die von der BSI-Kritisverordnung als kritische Infrastruktur eingestuft wurden, wird künftig die strategische Planung der Informationssicherheit als Teil ihrer IT-Strategie immer wichtiger werden. Diese Tatsache rückt verhältnismäßig gering verbreitete Lösungen für das Identity & Access Management – zumindest in Europa, in den USA ist man da gewohnheitsmäßig bereits etwas weiter – als wichtige Maßnahme in den Vordergrund. Dieser Umstand mag, je nachdem wie weit ein Unternehmen mit der Implementierung eines automatischen User- und Rechte-Managements fortgeschritten ist, als große Aufgabe angesehen werden.

Wenn man jedoch erst einmal die Einstiegshürden genommen und die Möglichkeiten erkannt hat, wird die Digitalisierung der Identity & Access Management-Prozesse nahezu zum Selbstläufer. Denn die Vorteile liegen so offensichtlich auf der Hand: Digitalisierte Prozesse führen zu erhöhter Produktivität und Mitarbeiterzufriedenheit und sorgen zudem für eine erhebliche Entlastung in der IT-Administration. Durch lückenlose Nachvollziehbarkeit und Reports auf Knopfdruck kommt bei Audits zudem niemand mehr ins Schwitzen. In Summe weist damit die IAM-Lösung einen schnellen und positiven Business Case auf, immer vorausgesetzt, die eingesetzte Software ist eine modulare und agile IAM-Plattform, die einen schlanken Einstieg ermöglicht, um dann schrittweise ausgebaut werden zu können, bis das Zielbild des IAM-Projektes erreicht ist. Diese Voraussetzung erfüllen allerdings nicht alle IAM-Lösungen.

Bei der Auswahl einer IAM-Lösung sollte man auf folgende Faktoren achten:

  • Modulare und mitwachsende Software. Schnelle Umsetzung von Quick-wins. Agiler Ausbau der Lösung zum Zielbild
  • Prozessorientierung der Software. Durchgängige Prozessorientierung (Automation & Workflow). Idealerweise Modellierung und Automation in einem Designer
  • Offene Architektur der IAM-Software. Automation beliebiger kundenspezifischer Prozesse. Integration beliebiger kundenspezifischer Anwendungen
  • Anpassungen und Ausbau in Eigenregie. Unabhängigkeit vom Anbieter für Weiterentwicklungen. Schnelle Release-Zyklen und passgenauere Lösungen
  • Usability führt zu Mitarbeiterakzeptanz. Geführtes Arbeiten statt komplexe Arbeitsmasken. Punktgenaue Informationen pro Aufgabe/Entscheidung

Der Leitfaden zu BSI-KRITIS sollte hier zum Download stehen.

Ingo BuckIngo Buck, Vorstand bei OGiTiX Software AG, www.ogitix.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Authentifizierung

Mehr Sicherheit und Komfort durch passwortfreie Logins

Passwortverfahren zur eindeutigen Identifizierung von Nutzern sind immer wieder Ziel von Hackerangriffen und gelten zunehmend als Schwachstelle in den IT-Systemen von Industrie und Handel. Nevis gibt einen Überblick der Nutzer- Authentifizierung mittels…
MFA

Multi-Faktor-Authentifizierung weniger sicher als angenommen

Proofpoint hat kürzlich mehrere kritische Sicherheitslücken bei der Implementierung von Multi-Faktor-Authentifizierung (MFA) entdeckt. Diese betreffen Cloud-Umgebungen, bei denen zur Authentifizierung das Protokoll WS-Trust verwendet wird.
Mobile Access

Mobile Access liegt im Trend

In der physischen Zutrittskontrolle werden zunehmend mobile Geräte eingesetzt. So lautet ein zentrales Ergebnis einer Untersuchung von HID Global. Für über die Hälfte der Befragten sind Mobile Access und mobile Apps die Top-Trends in der Zutrittskontrolle.
IAM

Auch im Homeoffice sicher: Automatisiertes Identity- und Accessmanagement

Aus der Not heraus waren viele Mitarbeiter gezwungen, in Eile auf Remote Work umzustellen und fließend weiter zu arbeiten. Mittlerweile sind nach etwaigen anfänglichen Schwierigkeiten bei vielen Unternehmen die technischen Voraussetzungen für eine weitere…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!