IT-Sicherheit
Eine kurze Geschichte der Zugriffssicherheit
Die Sicherheit für das digitale Ökosystem muss Cyber-Bedrohungen stets einen Schritt voraus sein. Das erweckt den Eindruck einer fehlenden Beständigkeit. Doch das Grundprinzip der IT-Sicherheit hat sich nicht geändert. Es ging schon immer um die Überwachung der Zugriffsrechte auf die Infrastruktur.
Der Artikel liefert Antworten auf folgende Fragen:
- Wie erfolgte Zugriffskontrolle in der Vergangenheit?
- Wie hat sich die Zugangssicherheit durch Identitätsanbieter (IDP) in den letzten Jahren weiterentwickelt?
- Welche Rolle spielt der Einblick in den Kontext für die Sicherheit?
- Was ist trotz des Wandels in der Zugriffssicherheit gleich geblieben?
- Inwiefern haben neue Technologien zur Zugriffskontrolle zu Verbesserungen in dem Bereich beigetragen?
Die Sicherheit für das digitale Ökosystem, von Clouds bis Endgeräten, muss einem ständigen Wandel unterworfen sein, um Cyber-Bedrohungen kontinuierlich einen Schritt voraus zu sein. Dieser Wettlauf erweckt den Eindruck einer fehlenden Beständigkeit. Trotz dieses Anscheins hat sich das Grundprinzip der IT-Sicherheit nicht geändert. Es ging schon immer um die Überwachung der Zugriffsrechte auf die Infrastruktur. Es muss gesichert sein, dass nur diejenigen Instanzen, die Zugriff benötigen, auch den Zugang zu den erforderlichen Assets bekommen – und alles andere außen vor bleibt. Dieses Prinzip bildet nach wie vor das Fundament für den kontrollierten Zugriff. Was sich allerdings gewandelt hat, ist die Umsetzung des Kontrollmechanismus.
Die Anfänge der Zugangskontrolle
In der Vergangenheit hatte die Zugriffskontrollfunktion zwei oder drei Ebenen. Die Benutzerauthentifizierung erfolgte gegenüber einem Gerät, das sich in einem Netzwerk befand. Die Anmeldeinformationen der User wurden überprüft, und IP-Adressen möglicherweise mit einer Liste bekannter und verdächtiger Adressen abgeglichen. Als Nächstes entstand Bedarf für die Fähigkeit, sich bei netzwerkähnlichen Ressourcen, wie Active Directories (AD) zu authentifizieren, was eine gewisse Konsistenz des Zugangs ermöglichte. User mussten sich nicht mehr für jede geteilte Datei einzeln authentifizieren und hatten somit einheitlichen Zugriff auf E-Mails oder andere Ressourcen.
Die Zugriffskontrolle blieb jahrelang in diesem Stadium stecken. Dementsprechend kämpften Organisationen mit der Komplexität, den Zugang auf Systeme, Anwendungen und Unternehmenssoftware zu vereinfachen. In den letzten zehn Jahren hat sich die Zugangssicherheit durch Identitätsanbieter (IDP) weiterentwickelt, die zwischen Mitarbeitenden und Assets sitzen. Deren Systeme verwalten Informationen zur User-Identität und den verschiedensten Assets. Mit Hilfe der IDPs wurde die Zugriffskontrolle harmonisiert und Single Sign-On zur neuen Realität gemacht.
Einblick in den Kontext steigert die Sicherheit
Das Hinzufügen weiterer Sicherheitsebenen zu einem Prozess birgt die Gefahr von Reibungsverlusten, die die Benutzerfreundlichkeit beeinträchtigen können. Der Kontrollmechanismus für die Zugriffsberechtigung steht dementsprechend vor der Herausforderung, den Mitarbeitenden nicht in seinem Arbeitsprozess zu behindern, aber an die geänderten Gegebenheiten von Multicloud-Umgebungen anzupassen. Das Niveau der Zugangssicherheit muss also ohne Beeinträchtigungen herbeizuführen um unterschiedliche Kontextfaktoren angereichert werden. Nicht nur das Ziel, das der User erreichen möchte, sollte dazu herangezogen werden, sondern es müssen auch Entscheidungen auf Basis des Standorts, des verwendeten Geräts und der Informationen über das Risiko, das der Zugriff darstellt, gefällt werden. Auf diese Weise entstehen konsolidierte, differenzierte, kontextabhängige Zugriffspfade zu benötigten Ressourcen, die zu den grundlegenden Zugriffsrichtlinien hinzukommen.
Durch Berücksichtigung des Kontexts geht die Zugriffskontrolle weit über die Überprüfung der Anmeldedaten des Users hinaus. Es wird sichergestellt, dass der Benutzer von seinem Arbeitsgerät aus zugreift. Falls dies nicht der Fall ist, bedeutet das nicht zwangsläufig die Verweigerung des Zugriffs. Allerdings erfolgt eine weitere Überprüfung, ob die Zugriffsanfrage verdächtig sein könnte. Außerdem wird festgestellt, ob der Anwendungsverlauf des Benutzers zum üblichen Verhalten passt; ist dies nicht der Fall, könnte dies ein weiteres Warnsignal sein. Kontext-basierter Zugriff kann sogar die Daten innerhalb einer Sitzung heranziehen und feststellen, ob diese dem üblichen Verlauf entsprechen. All diese Überprüfungen ergeben ein Gesamtbild; sie liefern eine Fülle von Kontextinformationen darüber, wo sich ein User aufhält, welche Rechner benutzt werden, in welchem Zustand sich der Rechner befindet und so weiter. Das Ergebnis dieser Analyse führt unmittelbar zu einer Entscheidung: Der Zugang zu Ressourcen wird gewährt oder verweigert, oder gegebenenfalls im Verlauf beendet.
So funktioniert der Prozess mehrschichtiger Zugangssicherheit. Unabhängig davon, wo sich ein User im Zeitalter des hybriden Arbeitens befindet, wird seine Identität überprüft, Sicherheitsrisiko-basierte Entscheidungen werden auf den Datenverkehr angewendet, und dann wird entschieden, worauf der Benutzer zugreifen kann und wie die Verbindung fortgesetzt wird. Dies bedeutet, dass Entscheidungen über die Zugriffsrechte auf einer sehr viel differenzierteren Ausgangslage getroffen werden können. Hinzu kommt, dass einmal durchgeführte Sicherheitsprüfungen nicht einen Tag oder eine Woche lang Gültigkeit behalten, sondern bei jeder einzelnen Zugriffsanfrage kontinuierlich durchgeführt werden.
Das Prinzip der Zugriffssicherheit wird neu umgesetzt
Trotz des ständigen Wandels steht nach wie vor die Kontrolle der Zugriffsberechtigung im Mittelpunkt neuer Lösungsansätze. Es gilt sicherzustellen, dass ausschließlich berechtigte Mitarbeitende oder Drittparteien ihre Arbeit erledigen können und nicht autorisierten Benutzern der Zugang zu IT-Infrastrukturen verweigert wird.
Neue Technologien zur Zugriffskontrolle haben dementsprechend nicht das fundamentale Prinzip aus den Angeln gehoben, sondern die Fähigkeit verbessert, Entscheidungen zum berechtigten Zugriff zu treffen. Sie verändern die Art und Weise, wie die Sicherheitsprinzipien angewendet werden, und sie sorgen für ein harmonischeres Benutzererlebnis, bei dem die Sicherheit ein reibungsloser Bestandteil des Prozesses und für eine insgesamt bessere Sicherheitslage ist.
Auf Basis eines erweiterten Kriterienkatalogs können bessere, fundiertere Entscheidungen getroffen werden. Zugangsdaten werden in einem Cloud-basierten System eingegeben, das über weitaus mehr Möglichkeiten verfügt, die einzelnen Teile in Echtzeit miteinander zu verknüpfen. Zusätzlich ist ein solcher Lösungsansatz in der Lage, die Berechtigungskontrolle automatisiert und kontinuierlich umzusetzen und dabei auf Künstliche Intelligenz und Maschinelles Lernen zu setzen. Der Kern des grundlegenden Sicherheitsgedankens hat sich nicht geändert. Durch die Cloud werden nicht nur neue Arbeitsmodelle zur Realität, sondern auch neue Möglichkeiten, diese abzusichern.
Marc Lueck, CISO EMEA bei Zscaler
Lesen Sie mehr zum Thema
