Identity Access Management

IAM-Risiken holistisch bewerten

Ein sicheres Identitätsmanagement ist eine zentrale Herausforderung, der CISOs heute gegenüberstehen. Das Problem: Oftmals werden Sicherheitsanpassungen modular, sprich an einzelnen Punkten des Systems vorgenommen. Ein neues Bedrohungsmodell zeigt, warum das ein Fehler ist.

Zum Schutz von Unternehmensinterna und für den reibungslosen Geschäftsbetrieb ist die Aufrechterhaltung eines sicheren Identity Access Management (IAM) unverzichtbar. Dabei geht es nicht nur um die Verhinderung von Datenlecks, sondern auch um die Abmilderung von finanziellen, reputationsbezogenen und regulatorischen Folgen eines Angriffs. IAM ist somit einer der wichtigsten Aspekte der IT-Sicherheit. Dennoch bleibt IAM die häufigste Schwachstelle in Unternehmen und allein 2020 ließen sich mehr als 80 % der Cyberangriffe auf korrumpierte Zugangsdaten zurückführen. Hinzu kommt, dass mit der Verlagerung des beruflichen Mittelpunkts ins Home Office die Zahl der Identitätsdiebstähle durch Phishing, Smishing und dergleichen enorm angestiegen ist. 

Anzeige

CISOs jedes Unternehmens, egal welcher Größe, stehen daher vor der Herausforderung Ihre Sicherheitsmechanismen auf den Prüfstand zu stellen. Denn auch wenn schon einige Maßnahmen getroffen worden sind, um digitale Identitäten möglichst gut zu sichern, so ist doch eine vollumfängliche Risikoeinschätzung nur schwer möglich. Vor allem die kleinteilige Anpassung von Sicherheitsfunktionen ist hier ein Problem. Schließlich haben eine Vielzahl von Kriterien Einfluss auf die IT-Sicherheit und einige Maßnahmen haben wechselseitige Einflüsse aufeinander. 

IAM eBook

 

Die Herausforderung – Einschätzung des Risikos

Damit ein Unternehmen ein zweckmäßiges IAM implementieren und pflegen kann, muss es seine aktuelle Risikolage, die Bedrohungslandschaft sowie die eigene Risikobereitschaft genau kennen. Zwar gibt es bereits einige Tools, um Risiken zu berechnen, aber diese sind oft nicht praktikabel und die identifizierten Risiken lassen sich nicht gut genug messen, um die wahrscheinlichen Auswirkungen auf ein Unternehmen und seine Benutzer zu quantifizieren.   

Um den CISOs großer wie kleiner Unternehmen eine Handreichung zu geben, entwickelte der Münchener Cybersecurity-Spezialist IDEE gemeinsam mit dem UK National Cyber Security Center (NCSC, einer Unterorganisation des Britischen GCHQ) ein IAM-Bedrohungsmodell, um IAM-basierte Risiken umfangreich zu verstehen, zu messen und schlussendlich abzumildern. Neben der Bewertung und Quantifizierung von Risiken, unterstützt die Analyse bei Strategien zur Anpassung oder bietet Empfehlungen. 

Als Basis für das Modell wurde die Risikobewertungsmethode des Center for Internet Security (CIS) herangezogen, genau genommen die “Duty of Care Risk Analysis” (DoCRA). Dabei handelt es sich um einen Standard, der Prozesse zur Bewertung von Informationssicherheitsrisiken und deren Schutzmaßnahmen so beschreibt, dass die daraus resultierende Analyse leicht an Behörden, wie z. B. Aufsichtsbehörden und juristische Instanzen, sowie an andere Parteien, die durch diese Risiken geschädigt werden könnten, kommuniziert und von den Empfängern verstanden werden können. Aufsichtsbehörden beispielsweise erwarten, dass die Belastung durch Schutzmaßnahmen gegen den Auftrag beziehungsweise die Sicherheitspflichten einer Organisation abgewogen werden. Anwälte und Richter verwenden ebenfalls solche Abwägungstests, um festzustellen, ob ein vorhersehbarer Schaden durch Sicherheitsvorkehrungen hätte verhindert werden können, die eine angemessene Belastung darstellen würden.

Das entstandene Modell von IDEE setzt hier an und erweiterte die Methode des CIS entsprechend. Damit wird etablierten Risikobewertungsstandards wie etwa der ISO/IEC 27005 (Leitlinien für ein systematisches und prozessorientiertes Risikomanagement), NIST SP 800 30 (Vorgaben für die Kommunikation von Cyberrisiken an Vorstände und Aufsichtsräte) oder RISK IT entsprochen. Im Gegensatz zu bestehenden Modellen, lässt sich das IAM Bedrohungsmodell von IDEE in allen Unternehmen anwenden – unabhängig von der Unternehmensgröße und den genutzten IAM-Sicherheitsmechanismen. Zudem wird nicht nur theoretisiert, sondern das Modell bietet praktische Handlungsempfehlungen. Und nicht zuletzt lässt sich das Modell in jeder Phase der IAM-Implementierung anwenden, um beispielsweise Risiken bei der Implementierung einer dedizierten Sicherheitsmaßnahme zu bewerten. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Holistisches Vorgehen bei der Stärkung der Sicherheitsarchitektur 

Vor allem Letzteres hilft CISOs dabei, Fehler bei der Verbesserung der Sicherheitsarchitektur zu vermeiden. Wenn nur ein einzelner Aspekt – etwa die Zugriffskontrolle – angepasst wird, bleiben Schwachstellen an der Gesamtstruktur meist unentdeckt, da nicht alle Komponenten in die Betrachtung mit einbezogen werden. Auch Zielkonflikte, beispielsweise zwischen Convenience der Nutzung und der Sicherheit werden außer Acht gelassen. Hier müssen die Risikoauswirkungen messbar sein, damit eine Organisation entscheiden kann, ob ein bestimmter IAM-Ansatz (z. B. Passwort + SMS-TAN oder eine auf Biometrie basierende, passwortlose Zero-Trust-Architektur) für ihre Stakeholder akzeptabel ist und die Best Practices der Branche erfüllt oder übertrifft. 

Unter Verwendung des Modells lassen sich solche Aspekte quantifizieren und bei der Adaption der Sicherheitsmaßnahmen berücksichtigen. Interessierten steht das Modell hier zur Nutzung kostenlos zur Verfügung. 

Dennis Okpara

IDEE -

Chief Security Architect und DPO

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.