Von Konten zu Identitäten: Cybersicherheit für die Praxis

Autor/Redakteur: Dan Conrad, One Identity/gg

Um es mit den berühmten Worten von David Byrne zu sagen: „Wenn es um Sicherheit geht, ist keine Zeit fürs ‘Tanzen oder Turteln’.” Technologien entwickeln sich ständig weiter. Das macht es nicht unbedingt einfacher, beim Schutz von vertraulichen und sensiblen Daten auf dem Laufenden zu bleiben. Standard in Sachen Zugriffs-Sicherheit ist der kontobasierte Ansatz. In der Praxis hat er allerdings seine Tücken, weil zunehmend mehr IT-Ressourcen streng personenbezogen zugewiesen werden und trotzdem in die Identitäts- und Kontoverwaltung eingebunden sein müssen.

Wie Konten konkret abgesichert werden, ist von Branche zu Branche und Unternehmen zu Unternehmen unterschiedlich. Für einige ist der Schutz des Perimeters unerlässlich, während andere auf Verschlüsselung, Datenschutz oder Zero-Trust-Zugriff und die entsprechenden Kontrollen setzen. Letztlich ist die Identität das Herzstück der Sicherheit: Es muss gewährleistet sein, dass die richtigen Personen zum richtigen Zeitpunkt in der korrekten Art und Weise auf die richtigen Ressourcen zugreifen können. Dies ist ein guter Grund mehr warum Unternehmen jetzt von der kontobasierten Administration zu einem Ansatz übergehen sollten, der Identitäten nutzt und es erlaubt, Zero-Trust-Prinzipien einzuhalten.

Die vier A‘s der identitätsbasierten Sicherheit

Authentifizierung –  Bei der Authentifizierung geht es darum, die Identität einer Person oder einer künstlichen Entität (zum Beispiel eines Bots) zu verifizieren, die versucht, sich bei einem System anzumelden. Jede Anwendung oder jedes System – ob lokal oder cloudbasiert – verfügt über eine Form von Authentifizierung. Die gängigste Form ist ein Benutzerkonto mit einer Benutzername und einer Passwort-Verifikation. Zu deren Verwaltung, verwenden die meisten Unternehmen Microsoft Active Directory (AD) und/oder Azure Active Directory (AAD) und sie ergänzen einen Großteil der Workloads um Technologien zur Vereinheitlichung dieser Anmeldungen. Authentifizierung ist ein wichtiger Schritt in Richtung identitätsbasierter Sicherheit – allein ausreichend ist sie aber nicht.

Autorisierung – Autorisierung konzentriert sich nach der Authentifizierung auf Parameter rund um die Zugriffsberechtigungen der Benutzer. Dieser Vorgang wird von verschiedenen Variablen beeinflusst, darunter Berechtigungen für Dateien und Anwendungen und deren Freigabe sowie detailliert definierte Zugriffsregeln, die den jeweiligen organisatorischen Umständen entsprechen und beispielsweise auf einer Rollen- und/oder Standortzugehörigkeit basieren. An dieser Stelle entstehen bevorzugt Sicherheitslücken. Beispielsweise werden Benutzern möglicherweise die falschen Rechte zugewiesen, während man an anderer Stelle vergisst, die nicht mehr benötigten Rechte zu entziehen. Angreifer bekommen so die Gelegenheit, eine Schwachstelle auszunutzen. Um das zu vermeiden, sollte man ein Zero-Trust-Sicherheitsmodell implementieren, in dem die Benutzer keinerlei überflüssige oder veraltete Berechtigungen halten.

Administration – Die Administration stellt sicher, dass Authentifizierung und Autorisierung korrekt ablaufen. Mit einem Konto sind naturgemäß zahlreiche Verwaltungsaufgaben verbunden – von den Zugriffsanfragen über das Verwalten von Konten bis hin zum Zuweisen oder Entziehen der Zugriffsberechtigungen (Provisionierung und Deprovisionierung). Dieser Prozess umfasst auch das Rollenmanagement. Es dient dazu, den richtigen Personen die richtigen Berechtigungen aus den richtigen Gründen zuzuweisen. Aus Zero-Trust-Sicht sind Rollen unerlässlich, will man die erforderlichen Berechtigungen zum richtigen Zeitpunkt erteilen und entziehen.

Audit – Der letzte und wohl wichtigste Schritt führt zu Governance. Regelmäßig erfolgende Audits gewährleisten, dass alle vorherigen Schritte nachweisbar und mit einem angemessenen Sicherheitsstandard umgesetzt wurden. In manchen Fällen stellen sie zusätzlich sicher, dass die korrekten Datenschutzbestimmungen und alle Regeln eines Best-Practice-Frameworks eingehalten wurden.

IT entlasten, alltägliche Sicherheitsaufgaben eliminieren – aber wie?

Fakt ist, der Job von IT-Experten besteht darin, die Systeme am Laufen zu halten, damit die Benutzer produktiv arbeiten können. Der kontobasierte Sicherheitsansatz führt allerdings dazu, dass die IT sich ständig damit befassen muss, wie bestimmte Nutzer in ihrem Alltag bestimmte Anwendungen nutzen. Das mag zunächst plausibel erscheinen. Schon deshalb, weil IT-Experten über das nötige Wissen verfügen, um die richtigen Autorisierungsentscheidungen zu treffen. Deshalb tragen oft sie die administrative Verantwortung anstelle der in Wirklichkeit zuständigen Fachabteilungen. Sie mutieren so zu einer Art „Helpdesk“, während ihre eigentlichen Aufgaben, darunter die Realisierung kritischer IT-Initiativen, oft unerledigt bleiben, da bei einem kontobasierten Ansatz letztlich die IT-Abteilung über Zugriff und Berechtigungen entscheidet, weil diese eben standardmäßig mit einer Ressource verknüpft sind.