Das Einmaleins der Identitäts- und Zugriffsverwaltung
Das größte Risiko für die IT-Sicherheit jeder Organisation ist der unvorsichtige Mensch.
Über Phishing greifen Hacker Zugriffsdaten von Mitarbeitern und damit steht ihnen das Firmennetzwerk offen. Daher lautet die wichtige Frage: Wie schnell gerät ein Eindringling an seine Grenzen? Letztere möglichst eng abzustecken, ist Aufgabe von Identity Governance Administration (IGA).
Zugriffsrechte einschränken ist in der IT-Sicherheit unumgänglich
Zugrunde liegt das Zero-Trust-Modell: Keiner Identität im Netzwerk darf blind vertraut werden und jede Bewegung wird als verdächtig eingestuft. Darauf baut jedes Sicherheitskonzept der Rechteverwaltung. Diese schlüsselt sich wiederum in verschiedene Teilbereiche auf, die zusammengenommen ein System von Übersicht, Kontrolle, Zuweisung und Verifizierung der Zugriffsrechte bilden. Wichtige Konzepte werden nun erläutert:
Wer morgens seinen Laptop aufklappt oder den Rechner hochfährt, wird meist zuerst von einem Login-Bildschirm begrüßt. Für die Anmeldung im und den Zugriff auf das Firmennetzwerk ist das Access Management (AM) verantwortlich. Es beinhaltet entsprechende Produkte, wie Single Sign-On (SSO) und die Multi-Faktor-Authentifizierung (MFA). Erstere strafft den Anmeldeprozess: Einmal angemeldet, erhält man direkten Zugang zu allen arbeitsrelevanten Systemen und Applikationen. MFA hingegen verifiziert den Benutzer neben der bewährten Kombination von Benutzername und Kennwort über einen weiteren Faktor, wie das Smartphone.
Organisationen müssen stets wissen, wann jemand etwas tut – und warum
IGA ist ein Sicherheitskonzept, das die Regulierung von Berechtigungen und Zugriffsrechten in Unternehmensnetzwerk, gleichgültig, ob Cloud oder hybride Umgebung, regulieren kann. IGA-Lösungen erfassen Identitäten und passen ihre Zugriffsrechte der Rolle des Nutzers und den Regeln der Compliance an. Dabei gilt es, sogenannte Verwaiste Konten, also Identitäten mit vielen Rechten, die nicht mehr genutzt werden, aber trotzdem noch im System bestehen, aus dem Verkehr zu ziehen. Sie können sonst unter dem Radar fliegen und für Angreifer interessant werden.
Beim sogenannten Privileged Access Management (PAM) werden Identitäten auf der nächsthöheren Verantwortungsstufe kontrolliert. Es soll sichergestellt werden, dass nur diejenigen Einsicht in Anmeldeinformationen und Betriebsgeheimnisse erhalten, die diese Informationen unbedingt für ihre Arbeit brauchen. Daran knüpft das Prinzip der Separation of Duties (SoD) an, das gefährliche Kombinationen von Kompetenzen (zum Beispiel: ein Konto eröffnen und gleichzeitig Geld transferieren zu können) verhindern soll.
Die Rechteverwaltung über IGA soll im Ernstfall die Bewegungsfreiheit eines Eindringlings im Netzwerk so stark einschränken, dass der Schaden gering ausfällt, denn die raffinierten Phishing-Versuche können sogar geschulte Mitarbeiter und Führungskräfte hinters Licht führen.