{"id":19375,"date":"2021-08-06T11:02:00","date_gmt":"2021-08-06T09:02:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=19375"},"modified":"2021-08-02T10:21:55","modified_gmt":"2021-08-02T08:21:55","slug":"von-konten-zu-identitaeten-cybersicherheit-fuer-die-praxis","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=19375","title":{"rendered":"Von Konten zu Identit\u00e4ten: Cybersicherheit f\u00fcr die Praxis"},"content":{"rendered":"\n

Autor\/Redakteur: Dan Conrad, One Identity<\/a>\/gg<\/p>\n\n\n\n

Um es mit den ber\u00fchmten Worten von David Byrne zu sagen: \u201eWenn es um Sicherheit geht, ist keine Zeit f\u00fcrs ‚Tanzen oder Turteln‘.“ Technologien entwickeln sich st\u00e4ndig weiter. Das macht es nicht unbedingt einfacher, beim Schutz von vertraulichen und sensiblen Daten auf dem Laufenden zu bleiben. Standard in Sachen Zugriffs-Sicherheit ist der kontobasierte Ansatz. In der Praxis hat er allerdings seine T\u00fccken, weil zunehmend mehr IT-Ressourcen streng personenbezogen zugewiesen werden und trotzdem in die Identit\u00e4ts- und Kontoverwaltung eingebunden sein m\u00fcssen.<\/p>\n\n\n\n

\"\"<\/a>
Bild: unsplash.com<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Wie Konten konkret abgesichert werden, ist von Branche zu Branche und Unternehmen zu Unternehmen unterschiedlich. F\u00fcr einige ist der Schutz des Perimeters unerl\u00e4sslich, w\u00e4hrend andere auf Verschl\u00fcsselung, Datenschutz oder Zero-Trust-Zugriff und die entsprechenden Kontrollen setzen. Letztlich ist die Identit\u00e4t das Herzst\u00fcck der Sicherheit: Es muss gew\u00e4hrleistet sein, dass die richtigen Personen zum richtigen Zeitpunkt in der korrekten Art und Weise auf die richtigen Ressourcen zugreifen k\u00f6nnen. Dies ist ein guter Grund mehr warum Unternehmen jetzt von der kontobasierten Administration zu einem Ansatz \u00fcbergehen sollten, der Identit\u00e4ten nutzt und es erlaubt, Zero-Trust-Prinzipien einzuhalten.<\/p>\n\n\n\n

Die vier A\u2018s der identit\u00e4tsbasierten Sicherheit<\/strong><\/strong><\/p>\n\n\n\n

Authentifizierung \u2013  Bei der Authentifizierung geht es darum, die Identit\u00e4t einer Person oder einer k\u00fcnstlichen Entit\u00e4t (zum Beispiel eines Bots) zu verifizieren, die versucht, sich bei einem System anzumelden. Jede Anwendung oder jedes System \u2013 ob lokal oder cloudbasiert \u2013 verf\u00fcgt \u00fcber eine Form von Authentifizierung. Die g\u00e4ngigste Form ist ein Benutzerkonto mit einer Benutzername und einer Passwort-Verifikation. Zu deren Verwaltung, verwenden die meisten Unternehmen Microsoft Active Directory (AD) und\/oder Azure Active Directory (AAD) und sie erg\u00e4nzen einen Gro\u00dfteil der Workloads um Technologien zur Vereinheitlichung dieser Anmeldungen. Authentifizierung ist ein wichtiger Schritt in Richtung identit\u00e4tsbasierter Sicherheit \u2013 allein ausreichend ist sie aber nicht.<\/p>\n\n\n\n

Autorisierung \u2013 Autorisierung konzentriert sich nach der Authentifizierung auf Parameter rund um die Zugriffsberechtigungen der Benutzer. Dieser Vorgang wird von verschiedenen Variablen beeinflusst, darunter Berechtigungen f\u00fcr Dateien und Anwendungen und deren Freigabe sowie detailliert definierte Zugriffsregeln, die den jeweiligen organisatorischen Umst\u00e4nden entsprechen und beispielsweise auf einer Rollen- und\/oder Standortzugeh\u00f6rigkeit basieren. An dieser Stelle entstehen bevorzugt Sicherheitsl\u00fccken. Beispielsweise werden Benutzern m\u00f6glicherweise die falschen Rechte zugewiesen, w\u00e4hrend man an anderer Stelle vergisst, die nicht mehr ben\u00f6tigten Rechte zu entziehen. Angreifer bekommen so die Gelegenheit, eine Schwachstelle auszunutzen. Um das zu vermeiden, sollte man ein Zero-Trust-Sicherheitsmodell implementieren, in dem die Benutzer keinerlei \u00fcberfl\u00fcssige oder veraltete Berechtigungen halten.<\/p>\n\n\n\n

Administration \u2013 Die Administration stellt sicher, dass Authentifizierung und Autorisierung korrekt ablaufen. Mit einem Konto sind naturgem\u00e4\u00df zahlreiche Verwaltungsaufgaben verbunden – von den Zugriffsanfragen \u00fcber das Verwalten von Konten bis hin zum Zuweisen oder Entziehen der Zugriffsberechtigungen (Provisionierung und Deprovisionierung). Dieser Prozess umfasst auch das Rollenmanagement. Es dient dazu, den richtigen Personen die richtigen Berechtigungen aus den richtigen Gr\u00fcnden zuzuweisen. Aus Zero-Trust-Sicht sind Rollen unerl\u00e4sslich, will man die erforderlichen Berechtigungen zum richtigen Zeitpunkt erteilen und entziehen.<\/p>\n\n\n\n

Audit \u2013 Der letzte und wohl wichtigste Schritt f\u00fchrt zu Governance. Regelm\u00e4\u00dfig erfolgende Audits gew\u00e4hrleisten, dass alle vorherigen Schritte nachweisbar und mit einem angemessenen Sicherheitsstandard umgesetzt wurden. In manchen F\u00e4llen stellen sie zus\u00e4tzlich sicher, dass die korrekten Datenschutzbestimmungen und alle Regeln eines Best-Practice-Frameworks eingehalten wurden.<\/p>\n\n\n\n

IT entlasten, allt\u00e4gliche Sicherheitsaufgaben eliminieren \u2013 aber wie?<\/strong><\/strong><\/p>\n\n\n\n

Fakt ist, der Job von IT-Experten besteht darin, die Systeme am Laufen zu halten, damit die Benutzer produktiv arbeiten k\u00f6nnen. Der kontobasierte Sicherheitsansatz f\u00fchrt allerdings dazu, dass die IT sich st\u00e4ndig damit befassen muss, wie bestimmte Nutzer in ihrem Alltag bestimmte Anwendungen nutzen. Das mag zun\u00e4chst plausibel erscheinen. Schon deshalb, weil IT-Experten \u00fcber das n\u00f6tige Wissen verf\u00fcgen, um die richtigen Autorisierungsentscheidungen zu treffen. Deshalb tragen oft sie die administrative Verantwortung anstelle der in Wirklichkeit zust\u00e4ndigen Fachabteilungen. Sie mutieren so zu einer Art \u201eHelpdesk\u201c, w\u00e4hrend ihre eigentlichen Aufgaben, darunter die Realisierung kritischer IT-Initiativen, oft unerledigt bleiben, da bei einem kontobasierten Ansatz letztlich die IT-Abteilung \u00fcber Zugriff und Berechtigungen entscheidet, weil diese eben standardm\u00e4\u00dfig mit einer Ressource verkn\u00fcpft sind.<\/p>\n\n\n\n\n\n\n\n

Die \u00fcberwiegende Zahl der geschilderten Nachteile l\u00e4sst sich allerdings vermeiden. Und zwar, wenn man sich von der disparaten, kontobasierten Strategie verabschiedet und zu einem einheitlichen, identit\u00e4tszentrierten Ansatz \u00fcbergeht. Damit gelingt es, Komplexit\u00e4t zu reduzieren, Abl\u00e4ufe zu rationalisieren, die Sicherheitsteams besser zu unterst\u00fctzen und Governance \u00fcberhaupt erst zu erm\u00f6glichen – und vor allem, IT-Teams von allt\u00e4glichen, wiederkehrenden Aufgaben zu entlasten.<\/p>\n\n\n\n

Identit\u00e4tsbasierte Sicherheit erreicht man am besten, wenn man diesen Prozess wie die Maslowsche Bed\u00fcrfnispyramide betrachtet. Man muss zun\u00e4chst bestimmte Grundlagen schaffen, ehe man die n\u00e4chste Hierarchieebene angeht. Die Grundlage bildet der Zugriff \u2013 wenn Benutzer nicht auf ein System zugreifen k\u00f6nnen, l\u00e4sst sich der Prozess nicht weiterf\u00fchren. Als n\u00e4chstes stellt man sicher, dass alle anfallenden Aufgaben zuverl\u00e4ssig erledigt werden. Hier kommen bestimmte Kontrollmechanismen hinzu, wie zum Beispiel Richtlinien, Standards, Leitlinien und Verfahren, die die Sicherheit eines Systems beeinflussen und verbessern. Das Management schlie\u00dflich \u00fcberwacht alle unteren Hierarchieebenen, erstattet dar\u00fcber Bericht, und man erh\u00e4lt zu guter Letzt Governance. Ein Schritt, den man nur erreichen kann, wenn auf den darunter liegenden Ebenen alle notwendigen Voraussetzungen erf\u00fcllt sind.<\/p>\n\n\n\n

Es ist unmittelbar ersichtlich, warum der kontobasierte Sicherheitsansatz zum Scheitern verurteilt ist: Er konzentriert sich \u00fcber die Ma\u00dfen darauf, die Anforderungen auf den grundlegenden Ebenen zu erf\u00fcllen. Dar\u00fcber dringt man aber nie in den Bereich der Governance vor. Das Problem eines kontenbasierten Ansatzes liegt prim\u00e4r darin, dass in einem Unternehmen meist einzelne Mitarbeiter verschiedene Aufgaben erledigen, die sie in der Pyramide nach oben bringen. Allerdings ohne genau zu wissen warum. Jede Ebene der Pyramide m\u00fcsste f\u00fcr jedes Konto separat ausgef\u00fchrt werden. Der Prozess als solcher ist disparat, und genau das erleichtert es Angreifern, Sicherheitsl\u00fccken auszunutzen.<\/p>\n\n\n\n

Unternehmen verwenden in aller Regel viel Zeit darauf, Zugriffsberechtigungen zu erteilen und einzelne Systeme abzusichern. Ein identit\u00e4tsbasierter Sicherheitsansatz hingegen gibt Firmen die M\u00f6glichkeit, ihre Gesch\u00e4ftsziele sehr viel schneller zu erreichen. Agilit\u00e4t ist abh\u00e4ngig von Governance. Und genau diese l\u00e4sst sich \u00fcber einen identit\u00e4tsbasierten Sicherheitsansatz realisieren und sehr viel leichter durchsetzen, so dass jede Aktivit\u00e4t korrekt und auf Basis der richtigen Autorisierung durchgef\u00fchrt werden kann. Dies erlaubt es, Governance \u00fcber die gesamte Bandbreite von Systemen, Benutzerpopulationen und praktischen Bed\u00fcrfnissen hinweg zu erlangen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Um es mit den ber\u00fchmten Worten von David Byrne zu sagen: \u201eWenn es um Sicherheit geht, ist keine Zeit f\u00fcrs ‚Tanzen oder Turteln‘.“ Technologien entwickeln sich st\u00e4ndig weiter. Das macht es nicht unbedingt einfacher, beim Schutz von vertraulichen und sensiblen Daten auf dem Laufenden zu bleiben. Standard in Sachen Zugriffs-Sicherheit ist der kontobasierte Ansatz. In der Praxis hat er allerdings seine T\u00fccken, weil zunehmend mehr IT-Ressourcen streng personenbezogen zugewiesen werden und trotzdem in die Identit\u00e4ts- und Kontoverwaltung eingebunden sein m\u00fcssen.<\/p>\n","protected":false},"author":1,"featured_media":19377,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,15078],"tags":[1994,3408,9858,6260,10097,36],"class_list":["post-19375","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-authentifizierung","tag-governance","tag-identitaet","tag-konto","tag-management","tag-one-identity","tag-sicherheit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19375","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=19375"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19375\/revisions"}],"predecessor-version":[{"id":19379,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19375\/revisions\/19379"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/19377"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=19375"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=19375"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=19375"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}