Best Practices zu Identity- und Access-ManagementDie wichtigsten Aspekte auf einen Blick
14. Juni 2019In der Cyber Security gibt es keine „One-size-fits-all“-Lösungen. Gerade beim Identity- und Access-Management (IAM) ist es oft so, dass die spezifischen Prozesse, Richtlinien und Verfahren für die sich ein Unternehmen entscheidet ebenso maßgeschneidert sind, wie die eingesetzten Software-Lösungen. So kommt es gar nicht so selten vor, dass Lösungen ausgewählt werden, die unnötig komplex oder teuer sind im Verhältnis zu den Daten, die sie schützen und den Risiken, denen diese ausgesetzt sind. Wer aber die unverzichtbaren IAM-Funktionen kennt und über zusätzliche Einsichten in die zuweilen verwirrende Welt des Identity- und Access-Managements verfügt, der sollte diese Herausforderungen abdecken können.
Identity Governance und Administration, kurz IGA, ist ein Überbegriff, der sämtliche IAM-Maßnahmen umfasst, die ein Unternehmen ergreifen kann Benutzer und deren Berechtigungen zu verwalten. Es muss sichergestellt und nachweisbar sein, dass der Nutzer die richtigen Zugriffsberechtigungen innehat, und dass die Berechtigungen korrekt sind. Richtig verstanden und umgesetzt bedeutet IGA, dass ein Unternehmen die Kontrolle über sämtliche Identitäten und die damit verbundenen Berechtigungen ausübt.
Dazu zählt der Zugriff auf Anwendungen ebenso wie auf Daten und die Nutzung privilegierter Konten. Eine solide Governance senkt die Risiken und ermöglicht eine weit bessere Zugriffssteuerung. Egal, ob on-premises, in der Cloud oder in hybriden Umgebungen.
Die simple Kombination aus Benutzernamen und Passwort ist erwiesenermaßen eine der unsichersten Methoden zur Authentifizierung. Nichtsdestotrotz halten viele Unternehmen an dieser Methode fest. Vor allem, weil sie bei stärkeren Authentifizierungsmethoden an die zusätzlichen Kosten denken oder wachsende Komplexität fürchten. Manche Unternehmen wiegen sich in dem Glauben, dass ihre Informationen für Cyber-Kriminelle nicht interessant sind. Die Erfahrung hat aber gezeigt, dass jede Datenschutzverletzung für einen Hacker wertvoll sein und ihm Zugriff auf die Netzwerke von Kunden oder Lieferanten für weitere kriminelle Aktivitäten verschaffen kann.
Active Directory (AD)
Der Verzeichnisdienst Active Directory (AD) ist die Plattform, die am häufigsten genutzt wird, um Zugriffsberechtigungen zu vergeben und den Zugriff zu prüfen. Unternehmen sind dank AD in der Lage, Zugriffsberechtigungen für eine große Zahl von Benutzern zuzuweisen und zu verwalten. Dazu werden die Nutzer im AD in Gruppen aufgenommen. Jeder Gruppe werden spezifische Zugriffsberechtigungen zugewiesen, die sich auf die Mitglieder vererben.
Das AD ist auch für zahlreiche Anwendungen innerhalb des Netzwerks die maßgebliche Instanz für Authentisierung und Autorisierung. Dieser zentrale Ansatz erleichtert es – abgesehen von der Berechtigungsvergabe -grundlegende Einstellungen wie etwa Sicherheits-Updates vorzunehmen. Allerdings sind die im AD nativ vorhandenen Werkzeuge für Identity Governance und Administration wenig benutzerfreundlich und außerordentlich fehleranfällig. Es sind also zusätzliche Werkzeuge interessant, mit deren Hilfe sich die Administration leichter und sicherer gestalten lässt.
Self-Service bei der Passwortvergabe
Worunter die Mitarbeiter im Helpdesk vermutlich am meisten stöhnen sind die nie enden wollenden Anfragen der Benutzer ein Passwort zurückzusetzen oder den Zugriff auf ein versehentlich gesperrtes Konto wiederherzustellen. Der Trend zu verschärften Passwortrichtlinien und die Vorgaben, Anmeldeinformationen besser als zuvor zu schützen, haben das Problem eher vergrößert als gelöst. Allerdings gibt es inzwischen Tools, welche die Zahl der Helpdesk-Anrufe deutlich verringern. Nämlich sichere Self-Service-Portale, über die der Nutzer die Passwortvergabe umsetzen kann.
Die Mehrheit der Unternehmen mit mehr als 500 Mitarbeitern verwendet eine rollenbasierte Zugriffskontrolle (engl. RBAC für Role Based Access Control). Dabei wird der Zugriff auf Systeme und Applikationen beispielsweise gemäß der Position, Funktion oder Projektzugehörigkeit eines Nutzers definiert und verwaltet. Diese Zugriffsberechtigungen werden dann in Gruppen und je nach Rollenkonzept wiederum in Rollen gebündelt. Je nach Reifegrad eines Unternehmens auf dem Weg zur IAG können diese Rollen dem Nutzer auch automatisiert zugewiesen und entzogen werden. Auslöser hierbei sind dann Informationen, die aus führenden Systemen, wie zum Beispiel aus der Personalverwaltung übernommen werden.
Die Multifaktor-Authentifizierung (MFA) hat sich inzwischen bei vielen Produkten im Consumer-Bereich wie etwa bei E-Mail, Mobiltelefonen und Bankkonten durchgesetzt. Ziel ist es, über die übliche Kombination aus Benutzername und Passwort hinaus, eine zusätzliche Sicherheitsebene einzuziehen. Inzwischen sorgen benutzerfreundliche Anwendungen dafür, dass mehr Sicherheit nicht auf Kosten der Produktivität geht.
Smartphone-basierte Freigabe und Fingerabdruckerkennung sind nur zwei Beispiele wie Unternehmen effektiv eine zusätzliche Sicherheitsebene installieren können, ohne die Mitarbeiter einzuschränken. Aber nicht nur im Consumer-Bereich ist die MFA für Unternehmen ein wichtiger Bestandteil des Identity und Access Managements um den Zugriff sicherer zu gestalten.
So ziemlich alle Systeme arbeiten mit hochberechtigten Benutzerkonten für die Systemadministration, deren Login-Daten üblicherweise von mehreren Administratoren genutzt werden. Es ist enorm wichtig und auch aus Compliance Gründen unerlässlich, diese Anmeldedaten gesondert und zusätzlich abzusichern und in der IAM-Strategie zu berücksichtigen. Üblicherweise speichern Lösungen für die Passwortverwaltung administrativer Konten die Passwörter in einem gesicherten Bereich, wie einem virtuellen Safe.
Herausgegeben werden sie nur auf Anfrage und einem bestimmten Genehmigungs-Workflow folgend.
Nach jeder Nutzung und in regelmäßigen Intervallen werden die Passwörter automatisiert geändert. Dies gewährleistet, dass außerhalb der Nutzung niemandem das aktuelle Passwort eines Systems bekannt ist.
In Kombination mit der sicheren Passwortverwaltung für privilegierte Konten bietet das Session Management zusätzliche Kontrolle.
Stellt man sich das zu schützende System wie ein Haus vor, in dem sich die Wertgegenstände befinden, ist das Management privilegierter Passwörter der Verwalter der Schlüssel zur Eingangstür und das Session Management die im Haus an jeder Stelle angebrachten Kameras. Die einzelnen Arbeitssitzungen der Administratoren, der externen Anbieter und Hochrisiko-Nutzer werden gesteuert, überwacht und aufgezeichnet. Solche Aufzeichnungen sind für forensische Analysen der IT immens wichtig, denn sie gestatten es, Aktivitäten innerhalb eines Systems nachzuvollziehen und nach bestimmten Vorfällen zu durchsuchen.
Inzwischen üben regulatorische Stellen mehr Druck auf Unternehmen aus, Sitzungen aufzuzeichnen, die privilegierte Zugriffsberechtigungen erfordern. Damit rücken diese Lösungen immer mehr in den Fokus des Interesses. Kombiniert mit MFA und Passwort-Management für privilegierte Konten bringt das Session Management ein Unternehmen einen gewaltigen Schritt voran, IAM für privilegierte Konten aufzusetzen und diese abzusichern.
Verwendung privilegierter Konten
Die Analyse des Benutzerverhaltens bei der Verwendung privilegierter Konten ist ebenfalls ein hervorragendes Mittel, kriminelle Aktionen aufzudecken. Die Analyse des Benutzerverhaltens erkennt und filtert verdächtiges Verhalten und identifiziert sowohl Bedrohungen, die von innerhalb des Unternehmens kommen als auch externe Angriffe. Es wird ein Profil typischer Aktionen, Zugriffsorte, Zeiten und so weiter für die jeweiligen privilegierten Konten erstellt und ständig aktuell gehalten.
Dies gestattet es, Anomalien automatisch zu erkennen und gemäß eines vorab definierten Risikoprofils zu bewerten. Firmen können so ihre Risiken priorisieren und dementsprechende Maßnahmen einleiten. Vereint man die Informationen aus der Analyse privilegierter Konten und anderen Quellen, etwa System- und Audit-Logs – errichtet man quasi eine Bastion rund um die Verwendung hochprivilegierter Konten und komplettiert das Privileged-Access-Management-Programm in den Unternehmen.
Susanne Haase ist Senior Solutions Architect bei One Identity