Zero Trust und Identitätsmanagement: Vertraue niemandem und verifiziere jeden

Mehr Sicherheit, Produktivität und Effizienz dank Zugriffskontrolle

Mit wirksamen Zugangskontrollmaßnahmen stellen Unternehmen sicher, dass nur befugte Benutzer Zugang zu den Ressourcen erhalten, die sie für ihre aktuellen Aufgaben benötigen. Das erhöht nicht nur die Sicherheit, sondern kann auch die Produktivität und Effizienz steigern. In der Praxis unterscheidet man verschiedene Arten der Zugangskontrolle, die als Teil einer Zero-Trust-Strategie sinnvollerweise implementiert sind:

• Rollenbasierte Zugriffskontrolle: Benutzer erhalten Zugriff auf Ressourcen auf Basis der Rolle oder Funktion, die sie im Unternehmen haben (Need-to-have-Zugriffprinzip).

• Regelbasierte Zugriffskontrolle: Der Zugriff auf Daten und Systeme erfolgt auf Grundlage vordefinierter Regeln oder Richtlinien.

• Attributbasierte Zugriffskontrolle: Der Zugang zu den gewünschten Ressourcen wird gewährt, wenn Nutzer als sicher festgelegte Attribute oder Merkmale erfüllen, wie etwa Standort oder Gerätetyp.

• Kontextabhängige Zugriffskontrolle: Der Benutzer darf in einem Kontext auf Ressourcen zugreifen, etwa zu einer bestimmten Tageszeit oder basierend auf seinem physischen Standort.

Benutzerfreundliche Multi-Faktor-Authentifizierung

Neben der Zugangskontrolle ist auch die Multi-Faktor-Authentifizierung eine unverzichtbare Security-Maßnahme. Mitarbeitende benötigen eine zweite, von der ersten unabhängige Komponente, um ihre digitale Identität nachzuweisen und sich für den Zugriff auf Ressourcen wie Cloud-Services, Web-Anwendungen, Netzwerke, Systeme und andere Assets zu autorisieren. Unternehmen, die eine IAM-Plattform benutzen, hinterlegen direkt in der Lösung nicht nur verschiedenste digitale Benutzeridentitäten, sie definieren dort auch Benutzergruppen und weisen – sowohl Einzelpersonen als auch Gruppen – Zugriffsrechte zu. Damit entscheidet allein die Identität beziehungsweise die darauf beruhende Autorisierung darüber, wer Zugang zu den Daten und der IT-Infrastruktur des Unternehmens erhält. Natürlich bedeutet es für Nutzer einen Zusatzaufwand, sich bei jedem Zugriff aufs Neue mit einem zweiten Faktor zu authentifizieren.

Für eine verbesserte Benutzerfreundlichkeit sorgen automatisierte Prozesse. Statt für die Anmeldung an diversen Systemen unterschiedliche Zugangsdaten zu verwenden, identifiziert sich die jeweilige Person mittels Multi-Faktor-Authentifizierung einmalig an der IAM-Plattform. Dank der an die Rolle gebundenen Berechtigungen erhält der oder die Mitarbeitende dann die erforderlichen Daten- und Systemzugriffe (Provisioning). Dabei sorgt die IAM-Plattform dafür, dass jegliche Prozesse und Arbeitsschritte compliance- und governancekonform sind. So ist einerseits sichergestellt, dass es nur so viele Zugänge gibt, wie tatsächlich erforderlich sind. Andererseits ist es – im Falle eines Hacker-Angriffs – wesentlich einfacher, bestimmte oder gar alle Zugänge zu sperren (De-Provisioning). Es genügt, die jeweiligen Rollen oder Nutzergruppen auszuwählen.

Die Identität als neuer Sicherheitsperimeter

Zero Trust und ein professionelles Identitäts- und Zugangsmanagement umzusetzen, ist keine Frage der Unternehmensgröße, sondern des Wollens. Damit unter den strengen Sicherheitsvorkehrungen die Benutzerfreundlichkeit nicht leidet, ist es ratsam, sich im ersten Schritt mit dem eigenen Unternehmensaufbau zu beschäftigen und die Datenqualität zu verbessern. Komplexe Organisationsstrukturen und ein dezentrales Datenmanagement sind häufig die größten Hindernisse. Haben Firmen keinen Überblick über die eingesetzten Systeme, Applikationen, Cloud-Ressourcen und die Nutzer, welche mit all dem arbeiten, steigt die Anfälligkeit für Fehler und Missbrauch. Darum ist es unverzichtbar, jegliche Assets zu inventarisieren.

Erst unter diesen Voraussetzungen ist es sinnvoll, Zero Trust als Security-Maxime zu etablieren, IAM als praktisches Umsetzungswerkzeug einzuführen und die damit einhergehenden Prozesse möglichst nutzerfreundlich zu modellieren. Damit dies gelingt, sind alle relevanten Stakeholder an einen Tisch zu bringen. Natürlich weiß die IT-Abteilung, dass von der Belegschaft eine latente Gefahr ausgeht. Aber ist das Management dafür sensibilisiert und erkennt den monetär nur schwer bezifferbaren Wert von Zero Trust sowie IAM? Und sind die Mitarbeitenden für die Relevanz von Zero Trust ausreichend sensibilisiert? Erst wenn Vertreter aus allen Bereichen miteinander reden und an einem Security-Strang ziehen, können Unternehmen ihre IT-Sicherheit langfristig erhöhen. Denn dann geht von der Belegschaft keine Gefahr mehr aus.

Fünf Tipps, um die Gefahr von Innen zu reduzieren

1. Mitarbeitende können nur dann verantwortungsvoll mit Daten umgehen und sich compliancekonform verhalten, wenn sie über aktuelle Sicherheitsrisiken und die Auswirkungen ihres (unbewussten) Handelns informiert sind. Darum sind regelmäßige Schulungen Pflicht.
2. Wichtig ist, geltende Sicherheitsrichtlinien im gesamten Unternehmen transparent und für alle verständlich zu kommunizieren. So verändert sich die Unternehmenskultur sukzessive in Richtung Sicherheitsorientierung.
3. Um das Sicherheitsniveau dauerhaft hochzuhalten, ist ein strenges Rechte- und Rollenkonzept unverzichtbar: Es sollten nur jene Mitarbeitende Zugriff auf sensible Daten erhalten, welche diese benötigen, um eine bestimmte Aufgabe zu erfüllen.
4. Zudem ist es ratsam, möglichst wenigen Personen privilegierte Zugangsrechte einzuräumen. Denn Hacker kompromittieren zumeist diese Profile und verschaffen sich so mit der Zeit immer tiefgreifendere Berechtigungen.
5. Auch wenn die meisten Sicherheitsverstöße auf Hacker zurückzuführen sind, müssen sich Unternehmen vergegenwärtigen, dass ihre Mitarbeitenden eine potenzielle Schwachstelle sind. Nur, wer dies akzeptiert, ist bereit, Zero Trust mit all seinen Konsequenzen umzusetzen.