Suchen

Expertenbeitrag

 Stefan Schweizer

Stefan Schweizer

Regional Vice President DACH, Thycotic

Identity & Access Management Die Zukunft von sicherem Identitätsmanagement

| Autor / Redakteur: Stefan Schweizer / Sebastian Human

Digitale Identitäten gewinnen nicht zuletzt durch das IoT immer mehr an Bedeutung. Doch je mehr Identitäten entstehen und je mehr Privilegien sie besitzen, desto schwieriger gestaltet sich ihre Verwaltung. Hier braucht es neue Wege.

Firmen zum Thema

Im Internet of Things müssen neben menschlichen auch die Identitäten von Maschinen zweifelsfrei identifiziert und Zugänge sowie Berechtigungen verwaltet werden können,
Im Internet of Things müssen neben menschlichen auch die Identitäten von Maschinen zweifelsfrei identifiziert und Zugänge sowie Berechtigungen verwaltet werden können,
(Bild: gemeinfrei / Unsplash)

Identity & Access Management, kurz IAM, ist die Fähigkeit, digitale Identitäten bereitzustellen, zu verwalten, zu prüfen und abzusichern, um genehmigte, authentische Anfragen oder Zugriffe auf Unternehmensdaten, Dienste, Systeme und Netzwerke zu ermöglichen. Dies gilt – unabhängig davon, ob sie sich on-premises oder in der Cloud befinden, – auf Grundlage von Rollen und Privilegien, die jeder digitalen Identität, sowohl Mensch als auch Maschine, zugewiesen werden.

Mit steigender Zahl von Programmen, IoT-Geräten und Anwendungen, die immer mehr Logins und Verifizierungsvorgänge und damit immer mehr Identitäten mit sich bringen, steigen auch die Anforderungen an das IAM. Folgende fünf Punkte sollten IT-Verantwortliche im Auge haben, wenn sie eine effektive Identitätsverwaltung erreichen wollen, die nachhaltig die Unternehmenssicherheit erhöht und Basis einer erfolgreichen Digitalisierung ist.

1. IAM und PAM müssen Hand in Hand gehen

Während die Rolle von Privileged Access Management (PAM) darin besteht, Zugriffe auf privilegierte Accounts und Anwendungen und damit sensible Daten und Unternehmens-Assets zu schützen, kümmert sich Identity & Access Management um die alltäglichen Benutzer eines Unternehmens, indem es Zugänge kontrolliert, die diesen innerhalb einer Anwendung oder eines Programmes gewährt werden. Da beide Bereiche nicht ohne Weiteres isoliert betrachtet und verwaltet werden können, ist es sinnvoll, PAM und IAM zukünftig verstärkt zu integrieren.

Auf diese Weise kann die PAM-Lösung dem IAM Daten darüber liefern, wem auf welche rollenbasierten Konten Zugriff gewährt wird. Gleichzeitig erhält die PAM-Solution vom IAM wertvolle Daten, die aufzeigen, wer Zugriff auf privilegierte Aufgaben haben sollte. Hiervon profitiert letztlich die gesamte Unternehmenssicherheit, da die Sicherheitskontrollen erhöht und Passwörter von potenziell gefährdeten und risikoreichen Credentials automatisiert rotiert werden.

2. Verhaltensprofile zum Schutz vor Identitätsmissbrauch

Um Manipulationen jeglicher Art bestmöglich und vor allem zeitnah identifizieren zu können, ist es unabdingbar, dass IAM-Lösungen auf Basis von Verhaltensanalysen individuelle Identitäts-Fußabdrücke der Nutzer erstellen und ihre Aktivitäten automatisiert mit diesen abgleichen. Weicht das Verhalten eines Users von seinen üblichen Aktivitäten ab, werden automatisiert Maßnahmen eingeleitet, um potenzielle Account-Kompromittierungen zu stoppen.

Wenn Mitarbeiter beispielsweise unerwartet von Ländern aus zugreifen, in denen ihr Unternehmen keine Niederlassungen hat, können die Systeme zusätzliche Sicherheitskontrollen oder sogar Zugriffs-Workflows verlangen, bei denen ein gleichrangiger Mitarbeiter den Zugriff genehmigen muss, solange sich der Mitarbeiter an diesem ungewöhnlichen Standort befindet. Gleiches gilt beispielsweise für einen Mitarbeiter, der zwar über gültige Berechtigungsnachweise für den Zugriff auf eine Unternehmensanwendung verfügt, jedoch über ein unbekanntes, nicht-verwaltetes Gerät zugreifen will. Auch hier besteht generell ein erhöhtes Risiko für Datenverlust oder Zugriffsmissbrauch, weshalb Sicherheitskontrollen die Privilegien des Mitarbeiters auf ein Minimum reduzieren müssen.

3. Identity Management im Internet of Things

Auch im IoT spielen Identities zukünftig eine immer größere Rolle. Egal ob in Sachen Mobilität, beispielsweise bei den Themen Keyless Cars, Fahrzeug-Sharing, digitale Fahrkarten, oder im Smart Home-Umfeld, wo es unter anderem um Gebäudesteuerung, Hausautomation geht – digitale Identitäten werden die Art und Weise, wie wir uns im Internet of Things bewegen, nachhaltig ändern. Doch je mehr Aufgaben und Ausprägungen unsere Identitäten haben, desto vielfältiger werden die Sicherheitsrisiken und damit die Anforderungen an den Identitätsschutz.

Dies gilt für das IoT umso mehr, als die Sicherheit von IoT-Geräten nach wie vor stark vernachlässigt wird. So weisen mehr als 90 Prozent der Firmwaredateien in IoT-Devices kritische Sicherheitslücken auf, wie eine Untersuchung der Firmware-Analyseplattform IoT Inspector im vergangenen Jahr zeigte. Dabei zählen fest programmierte Passwörter im Firmware-Dateisystem, versteckte Standard-User-Credentials oder Schwachstellen in der Systemkonfiguration zu den am häufigsten identifizierten Schwachstellen.

Um das Risiko für Identitätsdiebstahl und -missbrauch – und deren potenziell verheerende Folgen – zu minimieren, bedarf es auch im IoT-Umfeld neuer Schutzmechanismen und -technologien, die Biometrie-Verfahren, PAM-Lösungen und künstliche Intelligenz sinnvoll miteinander verbinden.

4. Risikobasierte Authentifizierung für dynamische Sicherheit

Logins so manipulationssicher wie möglich zu gestalten und somit sensible Daten und wertvolle Assets vor unautorisierten Zugriffen zu schützen, ist eine der wichtigsten Prämissen im Identity & Access-Management. Gleichzeitig sollen die Anmeldeverfahren aber nicht unnötig zeitaufwendig oder kompliziert sein, um die Arbeitsprozesse autorisierter Mitarbeiter nicht zu behindern. So kann es störend sein, vor jedem Zugriff auf einen Account mehrere Authentifizierungen, etwa Passworteingabe, Out-of-Band-PINs und SMS-Bestätigungen, durchlaufen zu müssen.

Abhilfe können hier risikobasierte Authentifizierungen schaffen. Hierbei wird auf Basis von rechnerischen Messungen der Kontext eines Zugriffs analysiert und ein Risikoprofil erstellt, das weitere Authentifizierungsschritte erforderlich macht oder eben nicht. Dabei wird eine beliebige Anzahl von Elementen geprüft: Von wo aus zugegriffen wird, wie hoch die Privilegien des Nutzers sind, ob das System die allgemeinen Sicherheitsanforderungen erfüllt, ob eine VPN-Verbindung offen steht, wann die digitale Identität das letzte Mal für dieselbe Anfrage verwendet wurde und weitere.

Wenn zum Beispiel das Netzwerk, aus dem ein User zugreift, privilegiert ist, geht von seiner Authentifizierung ein erhöhtes Risiko aus, weshalb ein oder mehrere zusätzliche Authentifizierungsfaktoren angegangen werden sollten. Das Besondere beim risikobasierten Ansatz ist, dass je nach errechnetem Risiko dynamische Sicherheitsmaßnahmen eingesetzt werden. Ist das Risiko eines Zugriffs zu hoch, wird die Anfrage gänzlich abgelehnt. Dieser dynamische Ansatz erhöht automatisch die Sicherheitsparameter, wenn das Bedrohungsniveau hoch ist, und senkt sie, wenn es niedrig ist.

5. Grenzen überwinden mit Identity-as-a-Service (IDaaS)

Cloud-Technologien und vor allem Cloud-Bereitstellungsmodelle boomen unaufhörlich – auch im Identity-Management. Identity-as-a-Service-Dienstleistungen bieten Unternehmen die Möglichkeit, die Grenzen ihrer bisherigen IAM-Lösungen zu überwinden, indem sie von einem Cloud-basierten Service für die Bereitstellung digitaler Identitäten, Single Sign-On sowie gebündeltem Zugriffsmanagement profitieren.

IDaaS lässt sich dabei auf hybride Modelle ausweiten, bei denen lokale Konten über eine lokale Identitätsmanagement-Lösung und Cloud-Konten über eine Cloud- oder IDaaS-Lösung bereitgestellt werden. Dies bedeutet, dass Mitarbeiter auf Cloud-Lösungen zugreifen können, die von ihren Arbeitgebern bereitgestellt werden, ohne dass sie sich über das interne Netzwerk der Organisation authentifizieren müssen. Auf diese Weise kann ein Unternehmen auch den Zugriff Dritter ermöglichen, ohne dass jemals ein firmeneigenes Konto in Active Directory bereitgestellt werden muss. IDaaS ermöglicht Funktionen für den Business-to-Business-Identitätsverbund, so dass Konten nicht auf internen Systemen bereitgestellt werden müssen.

In Kombination mit Deception Technologien sind IDaaS-Plattformen zudem ideale Honeypots, um Angreifer mit gefälschten Identitäten anzulocken und die Angriffspfade und Hacking-Techniken zu erforschen, mit denen sie versuchen, Zugriff auf das Netzwerk und die Systeme zu erlangen. Dadurch ergibt sich eine einzigartige Möglichkeit, das Verhalten der Angreifer zu beobachten, ihre lateralen Bewegungen in den Systemen zu analysieren und eine individuelle Threat Intelligence zu generieren, die die Cybersicherheit nachhaltig erhöht.

(ID:46830676)

Über den Autor

 Stefan Schweizer

Stefan Schweizer

Regional Vice President DACH, Thycotic