Identity und Access Management: Die Identität des Nutzers ist der Dreh- und Angelpunkt

Die Flexibilisierung und Beschleunigung bei der Nutzung und Bereitstellung von IT-Diensten und Informationsressourcen stellt die Cyber Security vor neue Herausforderungen. Möglichkeiten wie „Bring your own Device“ (BYOD), „Mobiles Arbeiten“ und der Einsatz von Cloud Services werden im Zuge der Digitalisierung sowohl von Anwendern als auch der Leitung im zunehmenden Maße gefordert. Will man modernen Arbeitskonzepten nicht im Wege stehen, lässt sich die Sicherheit nicht mehr einfach nur durch Einschränkung der Hardware oder Kontrolle der Netzwerkwege herstellen. Vielmehr gibt es nur eine Konstante, die unabhängig vom eingesetzten IT-Gerät und jenseits des Zugriffsorts bestand hat, und das ist die Identität des Nutzers. Umso wichtiger ist es, diese sicher zu verifizieren und die in ihrem Namen getätigten Zugriffe schnell und transparent zu steuern. Dieser Herausforderung stellt sich das Identity und Access Management.

Denn mit einem durchdachten Konzept und technisch sauber aufgesetztem Authentifizierungs-, Identitäts- und Zugriffsmanagement lassen sich die entsprechenden Risiken minimieren und im Sinne eines bewussten Risikomanagements einschätzen.

Die Grundlage: Das Identity und Access Management System (IAM)

Die Basis, um die eigenen Netze und Informationsressourcen gegen unerlaubte Zugriffe zu schützen, bildet ein aufeinander abgestimmtes Identity und Access Management System (IAM). Während dabei im Identity Management grundsätzliche Rollen und entsprechende Berechtigungen festgelegt und verwaltet werden, dient das Access Management der Kontrolle und der Steuerung einzelner Zugriffsrechte zu bestimmten Teilen der physischen oder virtuellen Infrastruktur. Mit festen Vorgaben für die genaue Aufteilung von Verantwortlichkeiten („Segregation of Duties“), der sinnvollen Gruppierung von Berechtigungen zu Rollen und dem Tool-gestützten Umgang mit Personaländerungen sowie einer intelligenten Provisionierung wird eine ganzheitliche Unterstützung des gesamten Identity Management Lifecycles greifbar.

Die besondere Herausforderung: Privilegierte Nutzer im Identity und Access Management

Eine immer bedeutendere Herausforderung stellt in diesem Zusammenhang die Verwaltung der Zugriffsrechte besonders berechtigter Personen dar. Denn bestimmte Anwender benötigen für ihre Arbeit teils weitreichende Berechtigungen. Diese „Privileged User“ stellen eine besondere Herausforderung für die IT Security dar, da sie unbeabsichtigt, aus krimineller Energie oder weil ihre Zugriffsdaten in die falschen Hände gelangen die IT-Ressourcen und Daten ihrer Organisation gefährden können. Dies gilt für die Administratoren im technischen Bereich ebenso wie die Unternehmensleitung, deren Namen oft sogar öffentlich zugänglich sind und die so ein bevorzugtes Angriffsziel für mitunter existenzielle Gefährdungen darstellen. Im Umgang mit diesen „Privilegien“ sorgen Lösungen für Privileged User Management für die Verwaltung der speziellen Zugangsrollen wie Administrator oder Root Access. Privileged Access Management andererseits steuert die generelle oder zeitgesteuerte Vergabe von besonderen Zugangsrechten an bestimmte persönliche Accounts, beispielsweise für Mitglieder der Geschäftsleitung. Privileged Session Management schließlich überwacht und dokumentiert die Vorgänge auf kritischen Systemen und hilft so dabei, die Transparenz zu erhöhen und verdächtiges Verhalten zu identifizieren und zu blockieren.

Das Ziel aller integrierten Ansätze in Identity und Access Management ebenso wie im Privileged User Management muss es dabei stets sein, hohe Sicherheitsstandards mit einem möglichst hohen Komfort und damit hoher Akzeptanz bei den Nutzern in ein Gleichgewicht zu bringen. Denn sobald Nutzer die angebotenen, sicheren Zugangs- und Nutzungswege als zu aufwändig oder kompliziert empfinden, werden sie sich vereinfachte Wege und Arbeitsweisen aneignen, die dann wiederum die vorhandenen Sicherheitsmaßnahmen aushebeln.

Gesteigerte Transparenz für Governance und Compliance

Eine gesteigerte Transparenz über alle Zugriffe ist zudem ein wichtiger Baustein des Identity und Access Management in Richtung der Governance und Compliance mit gesetzlichen Vorgaben. Zentrale Fragen wie „Wer versucht auf welche Dienste zu zugreifen?“ oder „Wann und von wem wurden bestimmte Daten aufgerufen?“ beantworten zu können, ist ein wesentlicher Bestandteil im Kampf gegen Wirtschaftsspionage, Sabotage oder Datendiebstahl. Entsprechende Monitoring- und Steuerungswerkzeuge wie ein Security Information & Event Management (SIEM) unterstützen hier maßgeblich, indem sie beispielsweise Anomalien oder verdächtiges Verhalten in User Accounts identifizieren helfen.

Damit das Access Management seine Aufgabe als Zugriffskontrollsystems (englisch: Access Control System, kurz ACS) aber überhaupt erfüllen kann, muss zu Beginn die einwandfreie Identifizierung des Anwenders sichergestellt und hierzu ein geeigneter Mechanismus gewählt werden.

Erweiterte Authentifizierungsmethoden

Insbesondere der klassische, passwortgeschützte Zugang steht hier zunehmend in der Kritik, denn um ausreichend sicher zu sein, werden Passwortvorgaben immer komplexer und daher oftmals entweder unsicher gelagert oder schlicht vergessen. Um dieses Dilemma zu entschärfen und zugleich ein höheres Sicherheitsniveau zu erreichen, werden zunehmend erweiterte Authentifizierungsmethoden und spezialisierte Authentifizierungsplattformen eingesetzt, die es erlauben, verschiedene Anmeldetechniken miteinander zu kombinieren und flexibel einzusetzen. Man spricht hier von „Advanced Authentication Framework” (AAF) beziehungsweise „Multi-Factor Authentication“ (MFA). Wie der Name vermuten lässt, werden bei der Zugangserteilung über MFA mehrere Identitätsquellen kombiniert.

Darüber hinaus koppeln die effektivsten Methoden verschiedene Typen von Identitätsquellen. Im Idealfall werden bei der MFA mehrere Aspekte kombiniert: etwas, das die Nutzer kennen (zum Beispiel eine PIN), etwas Physisches, das sie besitzen (zum Beispiel eine Schlüsselkarte oder ein Token), und etwas, das ihre Identität nachweist (zum Beispiel ein Fingerabdruck, ein Netzhaut-Scan oder eine Spracherkennung). Zusätzlich wird durch die zentrale Positionierung der Plattform oft ein implizites Single Sign-on erreicht, sodass der Anwender nach der ersten sicheren Authentifizierung bei der Verwendung weiterer Dienste nicht erneut sein Passwort eingeben muss, was eine komfortable Nutzung bei gleichzeitig höchstmöglicher Sicherheit gewährleistet.

Dieser Beitrag ist Teil der CONET-Artikelreihe zum European Cyber Security Month (#ecsm), einem Aktionsmonat des Bundesamts für Sicherheit in der Informationstechnik (BSI) unter europäischer Federführung der ENISA (European Union Agency for Network and Information Security).

Simon Vieth

Pressesprecher bei CONET
Simon Vieth ist der Pressesprecher bei CONET. Ursprünglich Historiker
und freier Redakteur, wechselte er schon vor fast 10 Jahren die Schreibtischseite und kümmert sich derzeit im Schwerpunkt um die Öffentlichkeitsarbeit und die Social-Media-Auftritte bei CONET.
Simon Vieth

Antwort hinterlassen

Shares