Die Herausforderungen nicht-menschlicher Identitäten

Der Zero-Trust-Ansatz

Der unbefugte Zugriff bildet das Herzstück vieler Cyberangriffe. Das Konzept, Zero-Trust-Richtlinien einzuziehen und so das Risiko für eine IT-Umgebung zu senken, wird seit fast zwei Jahrzehnten propagiert. Dabei werden unter anderem täglich die Zugriffsberechtigung aller Mitarbeiter auf Firmenressourcen und -anwendungen gesperrt, und jeweils am darauffolgenden Tag entsprechend den Erfordernissen wiederhergestellt.

Gemäß der Definition des NIST (National Institute of Standards and Technology) versteht man unter Zero Trust: „Ein Rahmenwerk für die Sicherheit, das nach dem Prinzip „never trust, always verify“ arbeitet, das heißt kein Benutzer, kein Gerät und keine Anwendung wird standardmäßig als vertrauenswürdig betrachtet, unabhängig vom Standort.“

Zero-Trust-Richtlinien sind beileibe kein Ausdruck von Paranoia. Auf das Konto von nicht-menschlichen Identitäten gehen so unterschiedliche Cyberangriffe wie der auf die Einzelhandelskette Target, bei dem HLK-Geräte benutzt wurden, bis hin zum berühmt berüchtigten Vorfall in einem US-amerikanischen Casino, bei dem ein vermeintlich harmloser Aquarium-Thermostat Daten der High-Roller-Datenbank an einen Server in Finnland weiterleitete.

Verhaltensauffälligkeiten

Es gibt viele weitere Beispiele, bei denen Angreifer sich NHIs erfolgreich zunutze gemacht haben. Man sollte also das Verhalten menschlicher und nicht-menschlicher Identitäten gleichermaßen überwachen. Beispielsweise um Anomalien zu erkennen, die darauf hindeuten, dass eine Identität kompromittiert wurde.

Dabei ist es hilfreich eine IAM-Plattform so einzurichten, dass sie Informationen aus dem Firmen-SIEM (Security Information and Event Management) abrufen kann. Auf Basis dieser Daten lässt sich entscheiden, ob die Zugriffsberechtigung für eine bestimmte Entität im Rahmen der IGA (Identity Governance and Administration) wiederhergestellt werden sollte. Wenn Firmen IAM und SIEM miteinander kombinieren, haben sie die Möglichkeit, einen privilegierten Zugriff auf der Grundlage eines anomalen Verhaltens sehr schnell zu sperren. Umgekehrt lassen sich die IAM-Daten in die betreffende SIEM-Umgebung einspeisen, um so deren Audit Trail anzureichern.

Menschliche Belegschaften haben allerdings ein grundlegendes Problem mit Zero Trust. Hierarchien und firmenpolitische Kontroversen führen unweigerlich zu Verzögerungen bei der vollständigen Umsetzung der Richtlinie. IT-Administratoren zögern beispielsweise, Mitarbeitenden in leitenden Funktionen, den Zugriff zu verweigern. So entstehen Schlupflöcher im System, die sich durch Spear-Phishing- und Whaling-Angriffe gerade auf privilegierte Identitäten ausnutzen lassen.

Aus Erfahrung lernen

Vor rund fünfzehn Jahren wurden viele privilegierte Konten über statische Passwörter abgesichert und die Kontoaktivitäten selbst nicht überwacht. Ein hohes Risiko, wenn Konten kompromittiert werden. Ein weithin bekanntes Beispiel betraf das SCADA-System einer Wasseraufbereitungsanlage in Florida. Eine unbekannte Person hatte über ein gemeinsam genutztes Passwort remote auf das System zugegriffen und die Konzentration der Lauge, die dem Trinkwasser der Stadt zugesetzt wurde, erhöht. Glücklicherweise war ein Mitarbeiter darauf aufmerksam geworden und konnte den Zugang sofort sperren.

Vorfälle wie diese beförderten die breite Einführung von PAM-Tools (Privileged Access Management), die alle Aktivitäten über einen Audit Trail überwachen und einen privilegierten Zugriff widerrufen, wenn er nicht mehr gebraucht wird. Fortschrittliche Lösungen gehen sogar noch einen Schritt weiter und schränken bestimmte riskante Befehle im laufenden Betrieb ein. Sie können also gar nicht erst in ein System eingegeben werden.

Die KI sagt „Nein“

Die Verwaltung von nicht-menschlichen Identitäten ist alles andere als trivial. Agentenbasierte KI und maschinelles Lernen versprechen Abhilfe zu schaffen. Eine agentenbasierte KI, die Zugriffsberechtigungen entzieht und wiederherstellt, lässt sich nicht dazu bewegen, die Regeln zu beugen. Für niemanden. Dementsprechend folgt die Infrastruktur für Non-Human Identities einfach den Zero-Trust-Regeln und etabliert ein deutlich schnelleres Reaktionssystem. Ein weiterer Vorteil liegt darin, dass Firmen ihren ROI für passwortlose Technologien verbessern.

Einen Nachteil hat es allerdings, wenn man Zero Trust KI-basiert verwaltet: Die Regeln müssen sehr präzise definiert und die Einschränkungen korrekt eingerichtet werden. Dann sind maschinelles Lernen und KI in der Lage, ihre Stärken auszuspielen und schnell auf Sicherheitsvorfälle zu reagieren.

ROI über Robotic Process Automation realisieren

In einem typischen Unternehmen wird der Systemzugriff für mindestens tausend Mitarbeitende über das „Joiner-, Mover-, Leaver-Modell“ geregelt. In komplexen Umgebungen führt das nachweislich zu einem enormen Verwaltungsaufwand. Um das Problem in den Griff zu bekommen, nutzen Firmen die Robotic Process Automation (RPA). Sie übernimmt sich wiederholende Aufgaben wie etwa das Zurücksetzen von Passwörtern. Gerade in hoch regulierten Branchen wie bei Banken und Finanzdienstleistern kann eine RPA-Lösung beispielsweise sehr schnell automatisierte Passwortkontrollen durchführen und mit Hilfe einer API die Audit- relevante Information in eine IAM Lösung zurückspielen. So lassen sich komplexe Passwörter automatisch erstellen und zurücksetzen, respektive in die betreffende Umgebung einbringen. Das erhöht die Produktivität.

Der nächste Schritt besteht darin, KI auf die Governance-Richtlinien im Bereich Autorisierung und Authentifizierung anzuwenden. Ziel ist es, das Modell insgesamt zu verschlanken. Ganz ähnlich wie beim Einsatz von KI im Netzwerkbereich, lässt sich die Sicherheitslage einer Firma dann insgesamt bewerten.

Die kontinuierliche Verbesserung von Services im Rahmen von ITIL und der zyklische Optimierungsprozess bei Agile und DevOps profitieren ebenfalls von KI.

Die Analyse des kompletten Unternehmensökosystems, dient dazu, besser zu verstehen, wer was, wann und wo nutzt. Mithilfe von maschinellem Lernen und KI gelingt es, die Richtlinien und Governance-Prozesse automatisch zu ändern und anzupassen. Dies wiederum mündet in einer zyklischen Verbesserung. Unter der Aufsicht bestehender Unternehmensgremien müssen die Systeme dann nicht ständig umgestaltet werden. Das sorgt für einen schnelleren ROI aufgrund von mehr Effizienz und für höhere Sicherheit aufgrund von Zero Trust und passwortlosen Technologien.

KI-basierte Verwaltung von NHIs und „Identity Sprawl“

Identity Governance and Administration (IGA), ergänzt durch KI, ist fähig, den Zugang jedes Einzelnen und jeder NHI kontinuierlich zu analysieren und dynamisch an das Verhalten der Person oder der jeweiligen Entität anzupassen. Wenn jemand beispielsweise das Gebäude am Ende eines Arbeitstages verlassen hat, kann man seinen Zugang sperren, bis er wieder im Unternehmen ist oder sich von seiner heimischen IP-Adresse aus anmeldet. Die Kombination aus KI und IGA macht es deutlich schwieriger, sich unbefugt Zugang zu verschaffe. Jedenfalls solange die KI nicht selbst kompromittiert wurde.

Aktuelle Systeme erkennen bereits Anomalien, zum Beispiel. wenn eine Identität versucht, sich von zwei verschiedenen Seiten des Globus aus in dasselbe System einzuloggen. Und zwar innerhalb eines Zeitfensters, das physisch unmöglich einzuhalten wäre. Das zu erkennen funktioniert aber nur über eine lückenlose Überwachung. In einer typischen Unternehmensumgebung ist es zu aufwendig, all diese Vektoren zu berücksichtigen und von den Mitarbeitern zu verlangen, ihre jeweils benötigten Zugriffsberechtigungen separat anzufordern. Das ist so unproduktiv, dass die Nutzer zwangsläufig nach anderen Wegen suchen oder sich riskante Praktiken einschleichen – wie etwa sich von sensiblen Anwendungen nicht ordnungsgemäß abzumelden.

„Angesichts der Entwicklung des Identity und Access Management, werden integrierte KI-Modelle zukünftig mehr Transparenz und Übersicht schaffen, was den Bestand und die Verwaltung von Identitäten anbelangt. Dies ist schon auf Grund der stetig wachsenden Zahl von Non-Human Identities notwendig.“

Robert Kraczek, One Identity

Nutzt man eine KI für sämtliche der alltäglichen Überprüfungen müssen die Administratoren nur noch klar definierte Regeln aufstellen. Ein Beispiel wäre eine Regel, die den Zugang vor 6 Uhr morgens verhindert. Wenn ein Mitarbeiter einen zeitlich früheren Zugang braucht, kann man die KI so programmieren, dass sie einige Fragen stellt, die nur genau dieser Mitarbeiter beantworten kann. Dieses Verfahren ergänzt man am besten durch ein biometrisches Merkmal wie einen Fingerabdruck oder einen physischen Token, um den Zugriff auf bestimmte Anwendungen erneut zu autorisieren. Das System geht die Anforderungen durch und schaltet alles wieder frei. Hier setzen eine nicht-öffentliche KI und maschinelles Lernen einen enormen Produktivitätszugewinn frei und sorgen parallel für einen höheren Sicherheitslevel. Die KI lässt sich auch nutzen, um Dokumentationen umzuwandeln oder Ergebnisse in einfacher Sprache auszugeben.

Wenig überraschend profitieren auch Cyberkriminelle von den Vorteilen einer KI, um ihre Methoden zu verfeinern und Abwehrmechanismen zu unterlaufen. KI mit KI zu bekämpfen, ist eine der fortschrittlichen Funktionen dessen, was die Analysten von Kuppinger Cole mit dem Terminus „Identity Fabric“ bezeichnen. Innerhalb einer Identity Fabric stärken KI und Algorithmen auf der Basis von maschinellem Lernen eine risikobasierte Authentifizierung, indem sie Sicherheitsmaßnahmen dynamisch an neu aufkommende Bedrohungen anpassen.

Ein Rahmenwerk für die Zukunft: NHIs, Menschen und KI

Eine Identity Fabric orchestriert und automatisiert die verschiedenen Teile eines effizienten und robusten Identity Managements. Dazu zählen beispielsweise Self-Service-Optionen für die Benutzer, um die Zahl der Helpdesk-Anfragen zu senken, die das Zurücksetzen von Passwörtern und Zugangsprobleme betreffen. Die Mischung aus Automatisierung, Self-Services und Best Practices sorgt für einen effizienten Betrieb. IT-Teams müssen sich nicht länger mit der manuellen Verwaltung fragmentierter Identitäten herumschlagen. Das senkt den Arbeitsaufwand. Eine Identity Fabric integriert redundante Identity Management Tools und fragmentierte Lösungen, die sonst teuer bezahlt und verwaltet werden müssten. Hier wird betriebliche Effizienz zur Kosteneffizienz.

Die zentralisierte Kontrolle einer Identity Fabric beseitigt die oftmals bestehenden Identitätssilos und schließt Sicherheitslücken. Eine KI-gesteuerte Überwachung trägt dazu bei, Angriffe auf Identitäten frühzeitig zu erkennen. Im Idealfall, bevor es zu einer Sicherheitsverletzung kommt. Ein konsequent umgesetztes Zero-Trust-Konzept, flankiert von einer adaptiven Authentifizierung, schränkt zusätzlich das Risikopotenzial von Insider-Bedrohungen ein und schützt sensible Datenbestände.

Angesichts der Entwicklung des Identity und Access Management, werden integrierte KI-Modelle zukünftig mehr Transparenz und Übersicht schaffen, was den Bestand und die Verwaltung von Identitäten anbelangt. Dies ist schon auf Grund der stetig wachsenden Zahl von Non-Human Identities notwendig. KI hat das Potenzial, in einem ersten Schritt die Modellierung der Sicherheitsinfrastruktur für nicht-menschlichen Identitäten zu regeln. Dies kann und sollte im Nachgang, durch menschliche Administratoren, geprüft und verfeinert werden.

Über den Autor:
Robert Kraczek ist Global Strategist bei One Identity.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.