Dieser Artikel ist Teil unseres Guides: Sicherheit für hybride IT-Infrastrukturen gewährleisten

Risiko Zugangsdaten: IAM für Cloud-Anwendungen

Die besten Sicherheitsrichtlinien nützen wenig, wenn sie nicht auch für Cloud-Anwendungen gelten. IAM ist auch für Cloud-Apps unerlässlich.

Eine aktuelle Studie der Cloud Security Alliance hat gezeigt, das Identity and Access Management (IAM) eines der größten Probleme für Unternehmen im Zusammenhang mit der Bereitstellung von Cloud-Anwendungen ist. Bei 22 Prozent der befragten Unternehmen waren kompromittierte Zugangsdaten die direkte Ursache für einen Datenverlust beziehungsweise Datendiebstahl.

Angreifer ziehen es stets vor, mit legitimen Zugangsdaten zu agieren. In den meisten Unternehmen können die Überwachungssysteme einen Angreifer, der sich mit realem Benutzernamen und Passwort anmeldet, nicht von dem tatsächlichen Benutzer unterscheiden. Lediglich die etwas fortgeschritteneren Systeme können dies eventuell am nicht normalen Nutzerverhalten erkennen.

Nur rund die Hälfte der befragten Unternehmen gab im besagten Report an, Single Sign-On zu verwenden. In der Praxis heißt das, der Zugang zu Cloud-Anwendungen erfolgt per Passwort und entspricht damit nicht zwangsweise an die Richtlinien, die ansonsten im Unternehmen gelten. Dies geht damit einher, dass sich Mitarbeiter zusätzliche Passwörter merken müssen, was die üblichen Folgen hat, wie etwa die Mehrfachverwendung von Kennwörtern.

Bei Cloud-Anwendungen, die nicht in das Single Sign-On des Unternehmens eingebunden sind, fallen fehlgeschlagene Login-Versuche zudem nicht auf. Wenn der Anmeldevorgang außerhalb des eigentlichen Systems stattfindet, kann Überwachungssoftware dies nicht registrieren. Das ist für Angreifer natürlich ein gefundenes Fressen. Ein schlechtes Passwort-Management ist nach wie vor einer der bequemsten Wege, um sich Zugang zum Unternehmen zu verschaffen.

Risiko Zugangsdaten

Viele Unternehmen verwenden nach wie vor veraltete Passwort-Richtlinien (siehe auch Passwortregeln auf den Prüfstand stellen). So wird beispielsweise ein Passwort mit acht Zeichen und Sonderzeichen vorgegeben. Dies bietet nur geringen Schutz gegen die aktuellen Angriffsmethoden der Hacker. Will man sich gegen das Erraten von Passwörtern verteidigen, sind beispielsweise Passphrasen ein richtiger Weg. Aber selbst jene Unternehmen, die dies intern korrekt anwenden, könnten Schwierigkeiten dabei haben, diese Richtlinien auf die Cloud-Anwendungen auszudehnen, da dort unter Umständen eine maximale Kennwortlänge vorgegeben ist.

Das Erraten von Passwörtern ist nicht der einzige Weg, wie Hacker an korrekte Zugangsdaten gelangen. Erfolgreicher und bequemer ist das Phishing per E-Mail. Eine Vorgehensweise, die insbesondere von der organisierten Kriminalität oder auch staatlichen Angreifern bevorzugt wird. Richtlinien eines Cloud IAM müssen dies berücksichtigen und beispielsweise für alle mit dem Internet verbundenen Dienste eine Multifaktor-Authentifizierung (MFA) erzwingen.

Um sicherzustellen, das Identity und Access Management auch in der Cloud korrekt angewendet wird, gilt es zunächst zu überprüfen, ob das eigene IAM gegen die aktuellen Angriffsmethoden gewappnet ist. Die bestehenden IAM-Richtlinien müssen entsprechend ausgelegt sein, bevor sie in die Cloud übertragen werden können.

Herausforderung IAM für Cloud-Anwendungen

Bei Cloud IAM geht es ja nicht nur darum entsprechende Passwörter zu regeln. Es muss gleichfalls berücksichtigt werden, dass Mitarbeiter ihre Rolle ändern oder das Unternehmen verlassen können. Dies muss dann in der Folge entsprechende Auswirkungen auf die Zugangsdaten haben. Das setzt entsprechende Richtlinien voraus, die alle Cloud-Dienste miteinbeziehen. Und das beinhaltet natürlich, das die nicht offiziell genutzten Cloud-Dienste – Stichwort Schatten IT – dem Unternehmen bekannt sind und von diesem verstanden werden (siehe auch Sicherheitsrisiko: Die Nutzung nicht genehmigter Cloud-Dienste).

Cloud IAM ist eine der ganz großen Herausforderungen, wenn es darum geht, die Sicherheit über das Firmennetz hinaus in der Cloud sicherzustellen. Dabei ist es elementar wichtig zu wissen, wer zu welchen Anwendungen Zugang hat. Die bestehenden IAM-Richtlinien des Unternehmens müssen auch die Cloud-Anwendungen berücksichtigen. Dann gilt es, genauso wie für interne Lösungen, Warnmeldungen zu definieren, wenn ungewöhnliche Aktivitäten bei diesen Anwendungen erfolgen. Nur wenn dies umgesetzt wird, reduziert sich die Wahrscheinlichkeit, dass Anmeldeinformationen gestohlen werden, ohne dass das Unternehmen dies bemerkt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Passwortregeln auf den Prüfstand stellen.

IAM-Strategie an Cloud und Software-defined-Ansätze anpassen.

Identity and Access Management: Die passenden Zugriffsrechte definieren.

Privilegierte Benutzerkonten begrenzen und die Sicherheit erhöhen.

Artikel wurde zuletzt im September 2016 aktualisiert

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close