Warum das richtige Berechtigungsmanagement sogar KRITIS-Bereiche cybersicher macht

Berechtigungen: alter Wein in neuen Schläuchen?

Weintraube
LinkedInRedditWhatsAppPocket

Berechtigungen waren seit jeher das Kernthema im Identity und Access Management (IAM). Während früher vor allem Compliance-Anforderungen die internen IAM-Prozesse großer Konzerne bestimmten, setzen heute Cybersicherheit und Effizienz die Maßstäbe.

Kleine und mittlere Unternehmen gaben sich mit der Nutzung und manuellen Administration über ein lokales Active Directory (AD) zufrieden. Nun haben sich die Zeiten so geändert, dass diese Form der Nutzerverwaltung nicht mehr zeitgemäß, aufwändig, unzureichend und cyber-unsicher ist.

Anzeige

Die Wahrheit ist: Viele sind cyber-unsicher aufgestellt

Datenschutz bestimmte vor Jahren die Unternehmen in besonderem Maße. Aber mit der Digitalisierung gesellen sich neue Ziele hinzu, insbesondere die Umsetzung einer ganzheitlichen Cybersicherheit. Eine auf interne Zwecke fokussierte Software ist heute unzureichend. Mobiles Arbeiten und die zunehmende Vernetzung interner und externer Dienste erfordern, dass wir den Funktionsumfang von IAM-Systemen erweitern.

Die Anforderungen sind vielfältiger und der Schwerpunkt verlagert sich auf den initialen Teil des User-Life-Cycles, besser gesagt auf den frühen Account-Lebenszyklus von Nutzerkonten. Dabei ist es gleich, ob es sich um interne oder externe Nutzer handelt. Das Ganze beginnt mit der Registrierung und hier sollte man genau hinschauen. Denn nur, wenn das IAM-System die Registrierung sicher, automatisiert und bedarfsgerecht umsetzt, sind anschließende Prozesse auch cybersicher, effizient und vor allem nutzerfreundlich.

IAM-Systeme werden zunehmend hybrid 

Aus diesem Grund reichen die bekannten Maßnahmen und Tools nicht mehr aus, um sich in der hybriden Digitalwelt zurecht zu finden und sicher zu sein. Der Einsatz separater IAM-Systeme für interne und externe Nutzer ist weder effizient noch sicher. Zudem ist es unabdingbar die Anforderungen der jeweiligen Nutzerseite zentral zu berücksichtigen, da man sonst mit Datensilos arbeitet, die den Datenschutz verletzen. Und Berechtigungen existieren für alle Nutzer – entweder mit hohen oder niedrigen Rechten, je nach Rolle im digitalen Eco-System.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Registrierung und Onboarding – hier sitzt ein Sicherheitshebel

Das Onboarding von Mitarbeitern gestaltet sich insofern unterschiedlich von der Registrierung externer Nutzer als dass hier die interne Organisationsstruktur eine große Rolle spielt. Die Berechtigungen sind davon abgeleitet: Abteilungszugehörigkeit, Status in der Hierarchie, Aufgaben und Inhalte des Jobs. Berechtigungen externer Nutzer bestimmen sich durch das geschäftliche Verhältnis mit dem Unternehmen und den jeweiligen Aufgaben oder gebuchten Leistungen: Lieferanten, Partner, Kunden, Bürger, Patienten, Mitglieder. Ein großer Unterschied zwischen beiden Nutzergruppen ist das Anonymitätslevel. Mitarbeiter sind in der Regel bekannt, Mitarbeiter des Kunden oder weitere aktive Nutzer in der Lieferkette manchmal nicht.

Ein idealer Schutz beim Onboarding von Nutzern ist die Identifikation. Dazu stehen heute alle technischen Mittel bereit, wie zum Beispiel die staatlich „verordnete“ eID, die eine verifizierte Identifikation erlaubt. Natürlich gibt es mittlerweile am Markt eine Vielzahl an Identity Providern in diesem Sinne.

Eine Berechtigungssteuerung nach dem Zero Trust-Prinzip bietet hohen Cyber-Schutz

Stephanie Ta, IAM Business Development Consultant, intension GmbH

Sichere initiale Identifikation ist empfehlenswert

Mit der Identifikation beginnt die Reise eines Nutzers. Heutzutage ist alles in Form eines Self-Services verfügbar, falls die Prozesse zum Onboarding integriert sind. Im Rahmen dieser erstmaligen Anmeldeprozesse kann das System automatisiert eine gewisse Selektion vornehmen, die die späteren Berechtigungen dieses Nutzers bestimmt. Und hier liegt der Sicherheitshebel: Nur verifizierte Berechtigte dürfen bestimmte Rollen erhalten.

Bei der Anmeldung darf ein Nutzer im Rahmen des User-Self-Services das Passwort bestimmen, es sollte mit Unterstützung vom System aber einem Mindeststandard entsprechen. Somit vermeidet man umständliche Passwortvergaben durch Administratoren. Es hilft auch der Hinweis, dass der Nutzer das Passwort einmalig vergeben sollte. Jeder Nutzer sollte zusätzlich eine Multifaktor-Authentifizierung einrichten können. Besser noch ist die Integration von Passkeys mittels Hardware oder über mobile Apps. Beim wiederholten Login ermöglichen neuartige IAM-Lösungen die permanente Überprüfung eines Nutzers anhand verschiedener Kriterien. Dies entspricht dem notwendigen Zero Trust-Prinzip. Der Gesetzgeber bezeichnet die Methode im NIS2-Maßnahmenkatalog als kontinuierliche Authentifizierung. 

Das eingesetzte IAM-System hat somit die Aufgabe dem Nutzer ein sicheres Self-Onboarding zu ermöglichen, was den Nutzer-Account vor Cyber-Attacken schützt.

Zero-Trust-Prinzip bei der Auswahl von Berechtigungen

Um dem geforderten Datenschutz nachzukommen, sollte man sichere und verifizierte Prozesse mittels Identifikation etablieren. Die oben genannten Schritte bei der erstmaligen Anmeldung eines Nutzers an einer zentralen Nutzerverwaltung führen anschließend zu einem sauberen Datenbestand.

Der nächste Schritt ist erneut dem Zero Trust-Prinzip geschuldet und dient der richtigen Auswahl von Rechten und Rollen für einen Nutzer. Nutzer sollen und dürfen im Rahmen des Self-Services auch Rollen auswählen dürfen, die einem Mindest-Set an Berechtigungen entspricht. Das dürfen Rollen sein, die nicht sensibel sind, wie z.B. ein Newsletter für Kunden oder ein Mitarbeiterrecht bei der Kantine etwas vorbestellen zu dürfen. Geschickt ist auch die Option, dass das System Nutzern anhand ihrer Zugehörigkeit zu einer Organisationsstruktur, ein bestimmtes Set an Berechtigungen automatisiert vergibt, ohne dass beim Nutzer-Onboarding jedes Mal das Rad neu erfunden wird oder viele manuelle Schritte den Start verzögern.

Sensible Berechtigungen erfordern starke Maßnahmen

Für sensiblere Berechtigungen gibt es intelligente, automatisch unterstützte Lösungen, die eine Interaktion eines Vorgesetzten oder Verantwortlichen voraussetzen. Und zwar die passgenaue Freigabe bestimmter Rechte im System, die nur von dieser Person geprüft werden kann. Mehrstufige Freigabe-Prozesse sind zum Beispiel für KRITIS-relevante Bereiche verfügbar, so dass auch das Vier-Augen-Prinzip eingehalten wird.

Mit dem Einbau von Sicherheitsklassen für Rechte und Rollen, wird es Hackern später schwer gemacht sich nach einem erfolgreichen Login Berechtigungen anzueignen, an die sie keinesfalls herankommen dürften; falls dies überhaupt möglich ist nach Umsetzung der genannten Maßnahmen für die Authentifizierung. Erst die Trennung von Authentifizierung und Autorisierung in Form einer dynamischen Berechtigungsprüfung zu Beginn einer jeden Systemnutzung verbessert den Cyber-Schutz ungemein.

Account-Karteileichen sind das Sahnehäubchen für Hacker

Ändert ein Nutzer seinen Status oder verlässt dieser die Organisation, so gibt es verschiedene Wege, wie ein Unternehmen dem Nutzer die bestehenden Rechte und ihm letztendlich den Account entziehen kann. Das kann durch eine Analyse der Nutzungsaktivität über gewisse Zeiträume mit anschließenden Workflows erfolgen und zudem durch den Einsatz delegierter Administratoren. Diese Form von verteilter oder dezentraler Administration entlastet nicht nur den Zentralsupport, sondern setzt punktgenau dort die Berechtigungsvergabe oder den Entzug von Rechten ein, wo ein Verantwortlicher wesentlich näher am Nutzer agiert und diesen gegebenenfalls sogar kennt. Denn nicht nur ein unsauberes Onboarding von Nutzern erfreut Hacker, sondern auch doppelte bzw. inaktive Accounts sind heute ein massives Sicherheitsproblem.

Zusammenfassend kann man daher als wichtige Aspekte und Vorteile eines modernen IAM-Systems nennen:

  • User-Life-Cycle oder Account-Life-Cycle: saubere Abbildung der Onboarding-, Mover- und Offboarding-Prozesse
  • Sichere Authentifzierung
  • Zentrale Nutzerverwaltung
  • Automatisches oder auch dynamisches Berechtigungsmanagement
  • Abbildung aller angeschlossenen Organisationsstrukturen und delegierte Administration
  • Weitere Funktionen sind die Auditfähigkeit und moderne Schnittstellen /Import- oder Exportfunktionen, um z.B. dem Marketing oder den HR hilfreiche Analysen zu liefern oder auch Daten abzugleichen.

Fazit: Durch diese Maßnahmen und Funktionen eines hybriden IAM-Systems kann ein Unternehmen, welches durch NIS2 betroffen ist, folgende Vorteile gewinnen. 

  • Erhöhung der Cyber-Sicherheit, NIS2-Kompatibilität
  • Prozessoptimierung, verbesserte Berechtigungsvergaben
  • Einhaltung von Datenschutz/DSGVO und Compliance
  • Supportentlastung
  • Komplexitätsreduktion

Selbstverständlich können auch Nicht-KRITIS-Bereiche hiervon stark profitieren.


Stephanie

Ta

IAM Business Development Consultant

Syntlogo GmbH

Anzeige

Weitere Artikel

Mehr Sicherheit ohne Passwörter
Warum wir über die falschen Einfallstore sprechen
Zero Trust Application Access ohne VPN-Komplexität
10 Warnsignale für defektes Vulnerability Management
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.