Strategische Endpunkt-Sicherheit – Umfangreiche Signaturenbibliotheken gewährleisten alleine keine Netzwerksicherheit. Es kommt auch auf die richtige Organisation des Abwehrverhaltens an.

Marktinstitute wie IDC oder Gartner haben keinen Zweifel, dass Identity- und Access-Management (IAM) die Führung in den Unternehmen übernehmen muss. Zumal das immer hektischere Tagesgeschäft sowie der vehemente Wettbewerbs- und Kostendruck förmlich nach einer besseren und kostenvertretbaren Steuerung und Kontrolle sämtlicher IT-Sicherheitswerkzeuge ruft.

»IAM deckt dafür die vier As – Authentisierung, Autorisierung, Administration und Auditing – ab, auch gegenüber den mobilen Teilnehmern«, unterstreicht Elmar Rothenwöhrer, Leiter des Geschäftszweigs Sicherheitslösungen für Unternehmenskunden bei Siemens Communications. Die Zugriffsprivilegien eigener Mitarbeiter, die der Geschäftspartner sowie von bekannten Kunden könnten darüber zentral vergeben, überwacht sowie bei Bedarf schnell verändert oder gelöscht werden. Auch Compliance-Anforderungen könnten die Unternehmen über eine umfassende zentrale Registrierung von Zugriffen, Veränderungen und Löschungen effizient nachkommen.

Neben dem Zugewinn an Sicherheit durch diesen Zentralismus räumt Rothenwöhrer vor allem den IAM-Bausteinen zentrale Benutzerverwaltung, Passwortmanagement, Single-Sign-on (SSO), Meta-Directory und Provisioning über automatisierte Workflows erhebliche Einsparungen gegenüber dem Status quo in den Unternehmen ein. »Wenn ausgehend von der Personalabteilung über Provisioning unter anderem neue Einträge und Rechte in die betreffenden Zielapplikationen gestellt, persönliche Internet- und Extranet-Zugänge freigeschaltet und E-Mail-Konten eingerichtet werden, können die Mitarbeiter nicht nur schneller produktiv arbeiten, sondern auch die Administrationskosten deutlich reduziert werden«, unterstreicht Rothenwöhrer.

Verlockende Einsparungen

Ray Wagner, Senior Consultant im Bereich Security Strategies bei Gartner, bestätigt für die anderen IAM-Module: »Durch eine zentrale Identitäten- und Rechteverwaltung einschließlich der Vereinfachung über Gruppenrechte (Rollen) sind Kosteneinsparungen von bis zu 30 Prozent und mehr möglich.« Dem Einsatz des SSO-Moduls räumt er ein ähnlich hohes Einsparpotenzial ein. Gartner ist im Rahmen ihrer Studie »Identity and Access Management Now« den Einsparungspotenzialen von IAM nachgegangen.

Lars Freund, Senior Consultant bei Unilog Avinci, macht deutlich, worin im Einzelnen die Einsparungen und Produktivitätszuwächse für die Unternehmen gegenüber dem Status quo fragmentierter Sicherheitstechniken bestehen. »Die zentrale Führung aller Identitäten und ihrer Rechte räumt mit separaten Eintragungen, Änderungen und Löschungen in vielen Zielsystemen auf.« In größeren mittelständischen Betrieben könnten das mehrere Dutzend separate Applikations-Datentöpfe sein. »Der Hintergrundmechanismus des SSO weist bei erfolgreicher Einwahl dem Teilnehmer automatisch sämtliche persönlichen Autorisierungsrechte zu. Das führt in der Summe zu einer erheblichen Entlastung des Helpdesk«, erläutert Freund. Zudem entbinde der SSO die Mitarbeiter davon, sich unzählige Passwörter behalten und gegebenenfalls aufschreiben zu müssen – ein schwelendes Sicherheitsrisiko. Nur ein komplexes Passwort zur Einwahl könnten sie sich dagegen problemlos merken. Falls sie das Einwahlpasswort dennoch vergessen, kann es über ein sogenanntes Challenge-/Response-Verfahren selbsttätig zurückgesetzt werden.

Darüber hinaus verweist der Unilog Avinci-Berater auf den integrierten Self-Service: »Der Teilnehmer wird in vorgegebenen Zeitintervallen automatisch zur Eingabe seiner neuen Autorisierungspasswörter aufgefordert. Die werden daraufhin ebenso automatisch in die betreffenden Applikationen eingestellt.« Der Berater rät dennoch, statt über ein Einwahl-Passwort mit stärkeren Authentisierungsverfahren wie Token oder Chipkarte zu arbeiten, um den SSO zusätzlich abzusichern. Von der Passwortsynchronisierung – das Einwahl-Passwort gilt auch für die Autorisierung gegenüber den Zielapplikationen – rät er aus Sicherheitsgründen generell ab. Außerdem warnt Freund die Unternehmen: »Werden die Teilnehmer- und Rechteeinträge in den vielen Verzeichnissen über Synchronisationsprozesse nicht ständig up-to-date gehalten, werden immer häufiger sensible Geschäftsanwendungen, -daten und -prozesse in Angriffsgefahr geraten.«

Einfach compliant

Unilog Avinci-Berater Freund zeigt auf einen lukrativen Nebeneffekt der über IAM zentralisierten Zugriffskontrolle: »Mit dem integrierten Auditing steht den Unternehmen erstmals ein Werkzeug zur Verfügung, sämtliche Zugriffe und Veränderungen, einschließlich der durch Administratoren, lückenlos aufzuzeichnen.« Auf diese Weise könnten die Unternehmen Revisionsauflagen und rechtliche Anforderungen durch gezielte Reports ohne hohen Rechercheaufwand erfüllen.«

Die Gartner-Studie bestätigt: Auditing innerhalb einer zentralisierten IAM-Architektur erreicht mit Blick auf Controlling, Revision und Compliance eine neue Leistungsdimension. Freund macht aber auch darauf aufmerksam, dass eine lückenlose Aufzeichnung unbedingt mit dem Betriebsrat abgestimmt werden sollte. Er registriert im Markt, dass von IAM zentrale Administrationssignale auf angrenzende Sicherheitssysteme wie VPN, Firewall, Antivirus-Software, Content-Scanner, Spam-Filter und Intrusion-Prevention-System ausgehen. »Eine ganze Reihe von Herstellern hat diese Werkzeuge bereits auf einer Sicherheitsplattform und unter einer Konsole zusammengefasst.«

UTM als Zubringer

Secure Computing ist ein solcher Hersteller, der alle genannten Sicherheitswerkzeuge auf seiner Unified-Threat-Management-Appliance, Sidewinder, vereint. »Diese Integration hat für die Unternehmen viele (Kosten-)Vorteile«, erläutert Ulrich Hahn, Sicherheitsberater bei Secure Computing. »Der Administrationsaufwand für diese Werkzeuge wird drastisch reduziert. Updates und Sicherheits-Patches werden lückenlos und aufwandarm aufgespielt, weil jede neue Software-Version automatisch alle auf der UTM-Appliance angesiedelten Sicherheitswerkzeuge einbezieht.«

Auch in der Anschaffung zahle sich UTM gegenüber dem Kauf vieler separater Sicherheitssysteme aus, so Hahn, und zwar mit Einsparungen bis zu 40 Prozent. Darüber hinaus hat die Ballung der Sicherheitswerkzeuge auf einer Plattform für die Unternehmen einen weiteren Vorzug: Statt vieler proprietärer Schnittstellen wird gegenüber der IAM-Lösung nur eine standardisierte Schnittstelle, LDAP, etabliert. Das erleichtert die Integration sämtlicher auf der UTM-Appliance angesiedelten Sicherheitssysteme ins IAM-Framework.

Neben der UTM-Lösung hat der Hersteller seit kurzem selbst ein IAM-System, Securewire, in seinem Produktportfolio. »Das System richtet sich an Unternehmen, die schrittweise in Richtung IAM starten wollen, ohne sich mit der Komplexität eines IAM-Frameworks auseinandersetzen zu müssen«, informiert Frank Koelmel, Direktor Zentral/Osteuropa bei Secure Computing. Auch über diese Lösung könnten die Unternehmen ein umfassendes, zentralisiertes IT-Zugriffs- und Sicherheitsmanagement etablieren.

Securewire absolviert die Authentisierung und Autorisierung gegenüber den Zielapplikationen, teils per SSO, und prüft zusätzlich über Policies, wer von wo über welches Endgerät mit welcher Authentisierungsstärke – Passwort, Token oder Chipkarte – zugreifen darf. Zudem wird von der IAM-Box permanent der Stand der Sicherheitssoftware auf drahtgebundenen und mobilen Endgeräten registriert, um bei Bedarf automatisch Updates oder Sicherheits-Patches aufzuspielen. Auch IPsec- oder alternativ SSL-VPN-Verbindungen für eine Verschlüsselung der Übertragungsdaten können über die IAM-Box aktiviert werden, »bei Bedarf für eine Kryptierung bis zu den Zielapplikationen«, so Kölmel.

Gemeinsame Sache

Für Klaus Lenssen, Business Development Manager Security bei Cisco, steht hingegen außer Frage: »hinreichend Konnektoren für die einzubindenden Zielsysteme, eine breite SSO-Applikationsunterstützung und eine automatische Datensynchronisation zwischen allen beteiligten Verzeichnissen bieten nur die großen IAM-Plattformen.« Und genau in diesen Funktionalitäten steckten für die Unternehmen die hohen Einsparungspotenziale. Um beides, die eigene Produktwelt und IAM, unter einen Hut zu bringen und den Trend der Zeit aufzugreifen, macht Cisco mit IBM Tivoli gemeinsame Sache.

»Unsere Network-Admission-Control-Lösung hat über unsere Access-Control-Server- und Identity-based-Network-Services (IBNS) eine komplette Anbindung an die IBM-Tivoli-Welt, so den Tivoli-Identity-Manager (TIM), den Tivoli-Compliance- und den Tivoli-Provisioning-Manager«, erläutert Lenssen. Das enge Zusammenspiel mit diesem IAM-Framework ist nach dem Cisco-Manager über die im Rahmen der NAC-Industrie-Initiative definierten Protokolle HCAP (Host-Credential-Authorization-Protocol) und GAME (Generic-Authorization-Message-Exchange) möglich.

Die Verwaltung der Benutzer sowie ihrer Rollen und Rechte erfolgt im übergeordneten IAM, die Kontrolle und Durchsetzung der Richtlinien im Netzwerk über NAC. Das heißt, bei Nichteinhaltung der Sicherheitsrichtlinien verweigert das Netzwerk den Zugang für das jeweilige Gerät und begrenzt so mögliche Schäden für die Infrastruktur. Zudem wird das Gerät im Schadensfall über einen Remediation-Prozess automatisch wieder in den Normalzustand zurückversetzt. »Die Unternehmen profitieren in zweierlei Hinsicht von diesen Schutzmaßnahmen«, so Lenssen. »Das gesamte Netzwerk trägt zur Durchsetzung der Sicherheitsrichtlinien bei, währenddessen die Richtlinien effizient im zentralen IAM verwaltet werden können.«

Freund rät den Unternehmen, die in Richtung IAM aufbrechen wollen, auch einen quelloffenen, hierarchisch aufgebauten Meta-Verzeichnisdienst auf Basis von Open-LDAP in Erwägung zu ziehen. »Die Nutzung einer Open-Source-Software zusammen mit Schnittstellendefinitionen in XML für den Datenaustausch vereinfacht die Anpassung und Integration der Applikations- und Dienstverzeichnisse.« Zudem würde sich das Unternehmen durch diesen IAM-Lösungsansatz in keine Produkt- und dadurch Herstellerabhängigkeit begeben.

Für welche IAM-Lösung sich das Unternehmen auch entscheidet: »Damit sie optimal greift, müssen die Workflows für den automatisierten Datenabgleich den Organisationsablauf exakt widerspiegeln«, gibt der Berater zu bedenken. Dem könnten interne Widerstände, verbunden mit Reibungsverlusten, dadurch Produktivitätsverlusten und höhere Kosten, entgegenstehen. Die Amortisierung der IAM-Lösung könnte sich somit hinausschieben. Außerdem warnt Freund vor einer Kompletteinführung des IAM-Systems im gesamten Unternehmen: »Es sollte schrittweise umgesetzt werden, die Module mit den größten Kosteneinsparungspotenzialen zuerst.«

IT-Sicherheit als externer Dienst

Für Ulrich Kemp, verantwortlich bei T-Systems für das Geschäft mit großen Kunden sowie dem Mittelstand steht außer Frage: »Auch die Investitionen in IT-Sicherheit müssen in einem vertretbaren Rahmen zum Ergebnis – der Minimierung geschäftlicher Schäden und Image-Verluste – stehen.« Er rät den Unternehmen, bevor sie ihr IAM-Projekt anpacken, genau zu prüfen, welche IT-Sicherheitsleistungen an einen Provider delegiert werden können und mit welchen Kosten solche Managed-Security-Services (MSS) verbunden sind. »Anders als bei IT-Sicherheit in Eigenleistung können sich die Unternehmen über MSS alle damit verbundenen Startinvestitionen in Hard- und Software sowie die Projektkosten sparen.

Im laufenden Betrieb – der Provider übernimmt im Hintergrund sämtliche Betriebsleistungen – werden die Sicherheitsapplikationen variabel nach dem Grad ihrer Nutzung abgerechnet, im Gegensatz zum Eigenbetrieb. Dieser sei, so Kemp, für die Unternehmen mit hohen Fixkosten für IT-Fachpersonal sowie mit hohen Administrations-, Support-, Schulungs-, Erweiterungs- und Innovationskosten verbunden. Im Gegensatz hierzu laufen für die Unternehmen bei der Nutzung von Managed-Security-Services als zusätzliche Kostenpositionen lediglich eine geringe einmalige Installationsgebühr für die Sicherheitsapplikationen und die Vor-Ort-Einsätze zu fest vereinbarten Entstörzeiten, beispielsweise für Wartungsarbeiten, auf.

Über Provider wie T-Systems sind mittlerweile MSS in großer Leistungsbreite abrufbar. Für den Einsatzfall stehen auf Abruf Firewalling, Verschlüsselungsdienste, Antivirus-, Spam-, Content-Filter und Intrusion-Prevention-Systeme bis hin zu Diensten für die Benutzerauthentisierung (Netzeinwahl) und -autorisierung (Zugriffskontrolle gegenüber den Applikationen) zur Verfügung. PCs und mobile Geräte wie Notebooks, PDAs oder Smartphones können über Managed-Security-Services wie Personal-Firewall, IPsec-Client, Antivirus-Schutz, E-Mail-Filter, Festplattenverschlüsselung und Backup & Restore abgesichert werden.

Hadi Stiel,
freier Journalist in Bad Camberg