Jakub Jirsák - stock.adobe.com

In der IT-Sicherheit führen alle Wege zur Identität

Der Netzwerkperimeter hat für die Sicherheit an Bedeutung verloren. Der neue Perimeter ist die Identität, die unter bestimmten Bedingungen privilegierte Zugriffsrechte besitzt.

Die zunehmende Nutzung von Cloud-Services, Automatisierungslösungen oder auch die Remote-Arbeit führen dazu, dass der Netzwerkperimeter nicht mehr die gleiche Priorität für die Security hat wie in der Vergangenheit. Die Identität, die ja nach Situation besondere Rechte haben kann, spielt die zentrale Rolle. Folglich ist eine Identity-Security-Strategie erforderlich, die die logische Evolution des Privileged-Access-Managements ist.

Noch vor einigen Jahren verfügten in der IT nur kleine Gruppen von Anwendern – meistens Administratoren – über privilegierte Rechte. Inzwischen kann aber jede Identität, ob Kunde, Remote-Mitarbeiter oder Drittanbieter und auch ein Gerät oder eine Anwendung, solche Rechte besitzen.

Privilegierte Rechte sind für Identitäten in vielen Fällen unverzichtbar, etwa für den Zugriff von Entwicklern auf Source Code, von Anwendungen auf Datenbanken oder von Drittanbietern auf Unternehmensressourcen. Dadurch sind die Gefahren für die IT-Sicherheit von Unternehmen aber auch drastisch gestiegen.

Neue Herausforderungen und Bedrohungen

Die neuen Bedrohungen für Unternehmen existieren auf verschiedensten Ebenen. Sie zeigen sich gerade in der zunehmenden Nutzung von Cloud-Services und der verstärkten Remote-Arbeit. In Cloud-Umgebungen kann prinzipiell jede menschliche oder maschinelle Identität mit – pro Cloud unterschiedlichen – Tausenden von Berechtigungen konfiguriert werden.

So ist es etwa möglich, Benutzer, Gruppen und Rollen abhängig vom jeweiligen Aufgabenprofil mit Berechtigungen zu versehen. Viele Unternehmen konfigurieren aber ungewollt die verschiedenen Identitäten mit Zugriffsrechten innerhalb der Cloud-Services, die sie eigentlich nicht nutzen oder benötigen. Zahlreiche Untersuchungen belegen, dass Accounts und Rollen mit zu vielen Berechtigungen zu den häufigsten Fehlkonfigurationen von Cloud-Services gehören. Zudem sind die meisten Cyberangriffe auf Cloud-Anwendungen und -Services in den letzten zwölf Monaten gerade auf die missbräuchliche Nutzung dieser unnötigen Privilegien zurückzuführen.

Aber auch der remote arbeitende Mitarbeiter muss bei der Konzeption von Sicherheitsstrategien verstärkt ins Blickfeld rücken. Das Endgerät des einzelnen Mitarbeiters ist schließlich ein wichtiger erster Eintrittspunkt in das Firmennetzwerk. Dabei dürfen nicht nur die privilegierten Zugriffsmöglichkeiten derjenigen Remote-Mitarbeiter gesichert werden, die einen Zugang zu den zentralen Systemen und Ressourcen eines Unternehmens besitzen. Ebenso wichtig ist die Etablierung von Verfahren wie Multifaktor-Authentifizierung, Single Sign-On oder Rechtemanagement für alle von zuhause arbeitenden Mitarbeiter. Das heißt, das klassische Privileged Access Management für privilegierte Nutzer muss erweitert werden, und zwar um die Einbindung der gesamten User-Community eines Unternehmens.

Abbildung 1: Der typische Verlauf einer identitätsbasierten Hackerattacke im Überblick.
Abbildung 1: Der typische Verlauf einer identitätsbasierten Hackerattacke im Überblick.

Im Hinblick auf die zwei Szenarien Cloud und Remote-Arbeit besteht eine wichtige Gemeinsamkeit: Der traditionelle Netzwerkperimeter ist de facto wertlos geworden. Als neuer Perimeter hat sich die Identität herauskristallisiert. Sie ist damit die wichtigste Verteidigungslinie für Unternehmen. Ein umfassender Identity-Security-Ansatz muss ausgehend von einem Privileged Access Management die Sicherung individueller Identitäten fokussieren – unabhängig davon, ob es sich um eine Person oder eine Maschine handelt.

Zu den konkreten Aufgaben einer Identity-Security-Lösung gehört, eine Identität sicher zu authentifizieren, sie mit den richtigen Berechtigungen zu autorisieren und dieser Identität auf strukturierte Weise Zugang zu kritischen Ressourcen zu gewähren. Das heißt, es sollte ein Zero-Trust-Prinzip gelten. Es sieht die Überprüfung sämtlicher Akteure und Prozesse vor, die eine Verbindung zu kritischen Systemen herstellen wollen. Jede Identität, die auf Unternehmensressourcen zugreifen will, wird dabei mit mehreren Faktoren verifiziert – je kritischer der Zugriff, desto stärker die Authentisierung.

Michael Kleist, Cyberark

„Der traditionelle Netzwerkperimeter ist de facto wertlos geworden. Als neuer Perimeter hat sich die Identität herauskristallisiert. Sie ist damit die wichtigste Verteidigungslinie für Unternehmen.“

Michael Kleist, Cyberark

Jede identitätsbasierte Sicherheitsstrategie sollte zwei wesentliche Komponenten beinhalten: die Vergabe von kontextbezogenen Rechten und die Sicherung nicht-menschlicher Zugriffe. Zum einen müssen Unternehmen den Anwendern abhängig von der durchzuführenden Tätigkeit passende Rechte geben.

Dieser Least-Privilege- und Just-In-Time-Ansatz vermeidet eine dauerhafte Rechteansammlung und macht es damit Angreifern ungleich schwerer, an ihr Ziel zu gelangen. Zum anderen darf ein Unternehmen den Begriff Identität nicht nur im Kontext von menschlichen Tätigkeiten sehen.

Gerade in hybriden Cloud-Umgebungen ist es essenziell, dass auch Applikationen beziehungsweise ihre Programme und Automatismen eine passende Rechtestruktur besitzen und die Zugänge genauso gesichert und kontrolliert werden wie diejenigen von Personen. Ein gutes Beispiel dafür sind RPA-Projekte (Robotic Process Automation) im Business-Umfeld oder Automationswerkzeuge wie Ansible im Bereich der IT.

Fazit

Unternehmen bieten Hackern fraglos eine immer größere Angriffsfläche, da die Anzahl, die Typen und die Vernetzungen von Identitäten in Geschäftsanwendungen und Cloud-Workloads sowie technischen Komponenten kontinuierlich steigen. Da sowohl die menschlichen als auch die nicht-menschlichen Identitäten privilegiert sein können, sind somit neue Sicherheitsstrategien erforderlich. Sie müssen zwar das Privileged Access Management in den Mittelpunkt stellen, aber gleichzeitig in Richtung einer umfassenden Identitätssicherheit erweitert werden.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Identity and Access Management (IAM)

ComputerWeekly.de
Close