Cloud und BYOD fordern das Identity-Management

Trends wie Bring your own Device und Cloud-Betriebsmodelle machen das Identity-Management nicht einfacher. Die IT muss die richtige Balance finden zwischen Sicherheit und einem einfachen Zugriff auf Systeme und Daten. [...]

Gestohlene Passwörter öffneten chinesischen Hackern die Tür ins Unternehmensnetz. Über Jahre hinweg stahlen sie unbemerkt technische Dokumentationen, Entwicklungsberichte und Geschäftspläne. Nur durch einen Zufall flog der Einbruch schließlich auf. Die Spionagesoftware war aber so gut versteckt, dass das wahre Ausmaß des Problems noch lange unklar blieb. Was dem mittlerweile insolventen Netzausrüster Nortel widerfuhr, ist der Alptraum eines jeden IT- und Security-Verantwortlichen und macht einmal mehr deutlich, wie wichtig ein funktionierendes Identity- und Access-Management (IAM) für jedes Unternehmen ist.
Ein IAM-System erlaubt es festzulegen, welche Anwender auf welche Daten und welche Applikationen zugreifen dürfen. Der Zugang wird erst gewährt, wenn sich der User eindeutig identifizieren kann, mittels Passwort, Chipkarte oder einem biometrischen Verfahren. Doch was sich zunächst relativ einfach anhört, ist alles andere als trivial. Das liegt vor allem daran, dass sich die zu überwachenden Grenzen längst nicht mehr so scharf ziehen lassen wie noch vor einigen Jahren, als die Mitarbeiter über stationäre Arbeitsplatzrechner auf Daten und Applikationen zugriffen, die streng gehütet in den unternehmenseigenen Rechenzentren betrieben wurden.
IAM erfordert Geschick und Fingerspitzengefühl
Heute müssen die IT-Verantwortlichen einer ganz neuen Situation Herr werden. Immer mehr Anwender, intern wie extern, begehren Einlass in die Firmensysteme, um auf die dort lagernden Daten und Anwendungen zuzugreifen. Die Anwender nutzen dafür mehr und mehr mobile Devices wie Tablets und Smartphones, die noch dazu aus ihrem Privatbestand kommen können und sich damit der Kontrolle der IT-Abteilung entziehen. Komplexer wird das Ganze auch dadurch, dass Daten und Anwendungen, auf die mit den unterschiedlichsten Devices zugegriffen wird, nicht mehr nur in den firmeneigenen Systemen liegen, sondern zunehmend auch in der Cloud.
An dieser Stelle sind Geschick und Fingerspitzengefühl gefragt. Denn rigide IAM-Policies, die auf Kosten der Flexibilität gehen, verleiten dazu, die Sicherheitsvorkehrungen zu umgehen. Auf Verständnis der Nutzer für ihre Sorgen und Nöte können die IT-Verantwortlichen allerdings nicht hoffen. Denn die sind aus ihrem privaten Umfeld ein einfaches Handling ihrer User-Identity gewöhnt. Ein gutes Beispiel bietet an dieser Stelle einmal mehr Apple, erläutert David Frechette, Vice President beim Identity-Management-Anbieter Symplified. Für die Kunden sei es sehr einfach, mit ihrer Apple-ID auf ihre Inhalte zuzugreifen, egal von wo und mit welchem Gerät. Das erwarteten die Nutzer nun aber auch im Business-Umfeld. „Die Anwender wollen sich nicht mehrfach mit verschiedenen IDs einloggen, um eine App oder einer Service aus dem Unternehmens-Backend zu nutzen“, sagt Frechette.
Es mangelt am Risikobewusstsein
Doch nur einer von zehn IT-Verantwortlichen glaubt, dass sich die Anwender der Risiken bewusst sind, die mit der Nutzung privater IT-Geräte im Unternehmensumfeld einhergehen. Das zumindest hat eine Studie von BT ergeben. Nur jeder Fünfte geht davon aus, dass die User mit den Zugriffs- und Genehmigungsprozessen im Zusammenhang mit BYOD vertraut sind. Die Befürchtungen auf Seiten der Firmen-IT scheinen nicht unbegründet. Laut der BT-Umfrage sieht ein Drittel der befragten Mitarbeiter kein Risiko, wenn sie ihre privaten Endgeräte im Arbeitskontext verwenden.
Diese Szenarien machen deutlich, dass sich die IT um deutlich mehr Facetten ihrer IAM-Systeme kümmern muss. Neben den klassischen Aufgaben wie dem Passwort- und Account-Management geht es vor allem darum, verschiedenste Typen von Identitäten und ihre Rechte nicht statisch, sondern flexibel über den gesamten Lebenszyklus zu managen. Beispielsweise sollten neue Mitarbeiter je nach Rolle zügig mit allen notwendigen Berechtigungen ausgestattet werden, um schnell produktiv arbeiten zu können. Gleiches gilt, wenn ein Mitarbeiter ausscheidet. Die entsprechenden Accounts sollten zeitnah deaktiviert werden, um Schäden durch irreguläre Nutzung dieser Rechte abzuwenden.
Integration und Automatisierung
Diese Prozesse rund um das Identity-Handling sind indes nicht einfach abzuwickeln. Gerade wenn die Mitarbeiterzahl hoch ist, viele verschiedene Applikationen im Einsatz sind und die Workflows hinter den Berechtigungen eine Vielzahl von Kombinationen möglich machen, kann das IM extrem komplex werden. Die User-Rechte manuell zu betreuen, gestaltet sich aus Sicht von Experten hier fast unmöglich. Anwender in solchen Situationen müssen darauf achten, dass die eingesetzten IM-Systeme einen hohen Integrations- und Automatisierungsgrad mitbringen. Beispielsweise sollte ein Mitarbeiter, der im HR-System gelöscht wird, automatisch sofort sämtliche Rechte im IAM-System verlieren.
Kritisch: Privileged Accounts
Darüber hinaus gibt es etliche weitere Aspekte, die die IAM-Verantwortlichen im Auge behalten müssen. Angesichts des Kostendrucks und der wachsenden Herausforderungen muss das Identity-Management möglichst effizient betrieben werden. Verschiedene Account-Silos, die aufwendig abgeglichen und synchronisiert werden müssen, kann sich heute niemand mehr leisten. Andreas Cser und Eve Maler, Analysten von Forrester Research, erwarten daher, dass viele Unternehmen ihren Fokus auf die Konsolidierung ihrer Directories legen werden. Ein weiteres wichtiges Ziel ist Forrester zufolge eine bessere Kontrolle der Zugriffsrechte. 40 Prozent aller Sicherheitsverstöße gingen auf das Konto interner Mitarbeiter und Partner. Kritisch seien in diesem Zusammenhang vor allem sogenannte Privileged Accounts mit weitreichenden Zugriffsrechten.
Daher gilt es laufend zu prüfen, wie Zugriffsrechte eingesetzt werden, um plötzlich eintretende verdächtige Änderungen möglichst schnell zu erkennen und zu hinterfragen, beispielsweise wenn mit einem Mal Massen an vertraulichen Dokumenten abgerufen werden. Um neuralgische Punkte im Netz zu schützen, muss das IAM-Team eng mit anderen Abteilungen wie beispielsweise Compliance und HR zusammenarbeiten, raten die Forrester-Experten. Zu guter Letzt gilt es, ein Auge auf die Interoperabilität der IAM-Systeme zu haben. Gerade in heterogen zusammengesetzten Infrastrukturen muss das firmeneigene IAM mit anderen Rechte-Systemen beispielsweise von Cloud-Anwendungen zurechtkommen. Derzeit bemüht man sich in der Branche um entsprechende Standards wie zum Beispiel das Simple-Cloud-Identity-Management-(SCIM-) Protokoll.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*