Anzeige

IAM

Ein sicheres Identitätsmanagement ist eine zentrale Herausforderung, der CISOs heute gegenüberstehen. Das Problem: Oftmals werden Sicherheitsanpassungen modular, sprich an einzelnen Punkten des Systems vorgenommen. Ein neues Bedrohungsmodell zeigt, warum das ein Fehler ist.

Zum Schutz von Unternehmensinterna und für den reibungslosen Geschäftsbetrieb ist die Aufrechterhaltung eines sicheren Identity Access Management (IAM) unverzichtbar. Dabei geht es nicht nur um die Verhinderung von Datenlecks, sondern auch um die Abmilderung von finanziellen, reputationsbezogenen und regulatorischen Folgen eines Angriffs. IAM ist somit einer der wichtigsten Aspekte der IT-Sicherheit. Dennoch bleibt IAM die häufigste Schwachstelle in Unternehmen und allein 2020 ließen sich mehr als 80 % der Cyberangriffe auf korrumpierte Zugangsdaten zurückführen. Hinzu kommt, dass mit der Verlagerung des beruflichen Mittelpunkts ins Home Office die Zahl der Identitätsdiebstähle durch Phishing, Smishing und dergleichen enorm angestiegen ist. 

CISOs jedes Unternehmens, egal welcher Größe, stehen daher vor der Herausforderung Ihre Sicherheitsmechanismen auf den Prüfstand zu stellen. Denn auch wenn schon einige Maßnahmen getroffen worden sind, um digitale Identitäten möglichst gut zu sichern, so ist doch eine vollumfängliche Risikoeinschätzung nur schwer möglich. Vor allem die kleinteilige Anpassung von Sicherheitsfunktionen ist hier ein Problem. Schließlich haben eine Vielzahl von Kriterien Einfluss auf die IT-Sicherheit und einige Maßnahmen haben wechselseitige Einflüsse aufeinander. 

 

Die Herausforderung - Einschätzung des Risikos

Damit ein Unternehmen ein zweckmäßiges IAM implementieren und pflegen kann, muss es seine aktuelle Risikolage, die Bedrohungslandschaft sowie die eigene Risikobereitschaft genau kennen. Zwar gibt es bereits einige Tools, um Risiken zu berechnen, aber diese sind oft nicht praktikabel und die identifizierten Risiken lassen sich nicht gut genug messen, um die wahrscheinlichen Auswirkungen auf ein Unternehmen und seine Benutzer zu quantifizieren.   

Um den CISOs großer wie kleiner Unternehmen eine Handreichung zu geben, entwickelte der Münchener Cybersecurity-Spezialist IDEE gemeinsam mit dem UK National Cyber Security Center (NCSC, einer Unterorganisation des Britischen GCHQ) ein IAM-Bedrohungsmodell, um IAM-basierte Risiken umfangreich zu verstehen, zu messen und schlussendlich abzumildern. Neben der Bewertung und Quantifizierung von Risiken, unterstützt die Analyse bei Strategien zur Anpassung oder bietet Empfehlungen. 

Als Basis für das Modell wurde die Risikobewertungsmethode des Center for Internet Security (CIS) herangezogen, genau genommen die “Duty of Care Risk Analysis” (DoCRA). Dabei handelt es sich um einen Standard, der Prozesse zur Bewertung von Informationssicherheitsrisiken und deren Schutzmaßnahmen so beschreibt, dass die daraus resultierende Analyse leicht an Behörden, wie z. B. Aufsichtsbehörden und juristische Instanzen, sowie an andere Parteien, die durch diese Risiken geschädigt werden könnten, kommuniziert und von den Empfängern verstanden werden können. Aufsichtsbehörden beispielsweise erwarten, dass die Belastung durch Schutzmaßnahmen gegen den Auftrag beziehungsweise die Sicherheitspflichten einer Organisation abgewogen werden. Anwälte und Richter verwenden ebenfalls solche Abwägungstests, um festzustellen, ob ein vorhersehbarer Schaden durch Sicherheitsvorkehrungen hätte verhindert werden können, die eine angemessene Belastung darstellen würden.

Das entstandene Modell von IDEE setzt hier an und erweiterte die Methode des CIS entsprechend. Damit wird etablierten Risikobewertungsstandards wie etwa der ISO/IEC 27005 (Leitlinien für ein systematisches und prozessorientiertes Risikomanagement), NIST SP 800 30 (Vorgaben für die Kommunikation von Cyberrisiken an Vorstände und Aufsichtsräte) oder RISK IT entsprochen. Im Gegensatz zu bestehenden Modellen, lässt sich das IAM Bedrohungsmodell von IDEE in allen Unternehmen anwenden – unabhängig von der Unternehmensgröße und den genutzten IAM-Sicherheitsmechanismen. Zudem wird nicht nur theoretisiert, sondern das Modell bietet praktische Handlungsempfehlungen. Und nicht zuletzt lässt sich das Modell in jeder Phase der IAM-Implementierung anwenden, um beispielsweise Risiken bei der Implementierung einer dedizierten Sicherheitsmaßnahme zu bewerten. 

Holistisches Vorgehen bei der Stärkung der Sicherheitsarchitektur 

Vor allem Letzteres hilft CISOs dabei, Fehler bei der Verbesserung der Sicherheitsarchitektur zu vermeiden. Wenn nur ein einzelner Aspekt – etwa die Zugriffskontrolle – angepasst wird, bleiben Schwachstellen an der Gesamtstruktur meist unentdeckt, da nicht alle Komponenten in die Betrachtung mit einbezogen werden. Auch Zielkonflikte, beispielsweise zwischen Convenience der Nutzung und der Sicherheit werden außer Acht gelassen. Hier müssen die Risikoauswirkungen messbar sein, damit eine Organisation entscheiden kann, ob ein bestimmter IAM-Ansatz (z. B. Passwort + SMS-TAN oder eine auf Biometrie basierende, passwortlose Zero-Trust-Architektur) für ihre Stakeholder akzeptabel ist und die Best Practices der Branche erfüllt oder übertrifft. 

Unter Verwendung des Modells lassen sich solche Aspekte quantifizieren und bei der Adaption der Sicherheitsmaßnahmen berücksichtigen. Interessierten steht das Modell hier zur Nutzung kostenlos zur Verfügung. 

Dennis Okpara, Chief Security Architect und DPO
Dennis Okpara
Chief Security Architect und DPO, IDEE

Artikel zu diesem Thema

Home Office Pyjama
Feb 23, 2021

IT-Security im Pyjama-Look? Sicher von Zuhause arbeiten!

Home Office kann zum IT-Risiko werden. Die Ursachen reichen von Unwissen über alte…
Cybercrime
Feb 23, 2021

Bedrohungsanalyse 2020: Cyberattacken im Sekundentakt

Die Pandemie bleibt ein Fest für Kriminelle - sie nutzen die Verunsicherung der Menschen…
Cyber Security
Jan 05, 2021

New Normal, New Challenges - IT-Security & IAM 2021

Auch wenn für die weltweite Corona-Krise mit den Impfungen eine Lösung in Sicht ist, das…

Weitere Artikel

Identity Management

Automatisiertes Identity Management erleichtert die Arbeit im Homeoffice

Lange Arbeitswege und den festen Platz im Büro tauschen immer mehr Berufstätige in Deutschland zumindest zeitweise gegen den Schreibtisch in den eigenen vier Wänden.
IAM

Identitätszentrierte Security

79 Prozent der Unternehmen haben in den letzten zwei Jahren einen identitätsbezogenen Sicherheitsverstoß erlitten, und 99 Prozent glauben, dass diese Sicherheitsverstöße vermeidbar gewesen wären, so das Ergebnis von Untersuchungen der Identity Defined…
Zugangskontrolle

Leere Büros: Zugangskontrollsysteme als Sicherheitsrisiko

Weltweit sind Büros in der Pandemie verwaist wie sonst nur zwischen den Jahren. Wo sich die physische Anwesenheit nicht vermeiden lässt, arbeiten Mitarbeiter im Schichtsystem oder verstecken ihre Gesichter hinter Schutzmasken.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.