Grundlagen von IAM und Zero Trust
Trau, schau, wem
Fortsetzung des Artikels von Teil 1
Identitäten authentifizieren
Eine Lösung für die Verwaltung von Identitäten und Zugriffen (Identity- und Access-Management, IAM) sorgt dafür, dass Beschäftigte sicher auf Unternehmensanwendungen wie Beschaffung oder Rechnungsstellung zugreifen können. Die Technik bietet ein Framework, mit dem Unternehmen ihre digitalen Identitäten verwalten. IT-Teams kontrollieren damit den Zugriff auf wichtige Daten und nutzen dafür sehr granulare Rechte in Systemen und Netzwerken.
Gleichzeitig bekommen auch Geräte eine überprüfbare Identität und definierte Zugriffsrechte auf die notwendigen Daten. IAM vereinfacht die Prozesse, verbessert die Governance, senkt Risiken und erleichtert das Erfüllen von Compliance-Anforderungen.
IAM-Lösungen weisen Identitäten in drei Schritten zu: Identifizierung, Authentifizierung und Autorisierung. Bei der Identifizierung geben Beschäftigte, Kunden oder Partner die Anmeldedaten ein, die dann an einen Authentifizierungsprozess weitergereicht werden. Der klassische Mechanismus besteht dabei aus Benutzernamen und Passwort. Diese Form der Authentifizierung ist allerdings nicht ausreichend sicher. Stattdessen sollten Unternehmen MFA (Multi-Faktor-Authentifizierung) einsetzen. Dabei meldet sich eine Identität mit mindestens zwei von dreierlei Identifikationsmerkmalen an:
- etwas, das man weiß – PIN oder Passwort;
- etwas, das man hat – zum Beispiel eine Chipkarte oder ein Mobiltelefon, das eine SMS-Nachricht erhält oder auf dem eine registrierte Authenticator-App läuft;
- etwas, das man ist – biometrische Merkmale wie Fingerabdruck oder Gesichtsform.
Die Geräte erhalten dabei ein fälschungssicheres PKI-Zertifikat, das nur für das Gerät gültig ist und dieses eindeutig ausweist, wie ein elektronischer Pass.
Der letzte Schritt ist die Autorisierung: Hierbei ordnet die IAM-Software der jeweils erkannten Identität ihr spezielles Set an Berechtigungen zu. Eine wichtige IAM-Funktion ist dabei Single-Sign-on (SSO): Die digitale Identität eines menschlichen oder virtuellen Benutzers wird einmalig überprüft und verwendet, um Zugriff auf vielerlei unterschiedliche Services zu erlangen, zum Beispiel verschiedene Applikationen von E-Mail bis zum unternehmenseigenen Intranet.
Monitoring und Intrusion Detection
IAM bietet somit ordnungsgemäß authentifizierte und autorisierte Zugriffsberechtigungen – nicht mehr. Zur Erhöhung der Cybersicherheit ist es dringend erforderlich, zusätzlich Monitoring-Tools und Intrusion-Detection-Systeme zu nutzen. Vereinfacht ausgedrückt müssen diese Security-Lösungen alle Identitäten überwachen, sodass böswilliges und geschäftsschädigendes Verhalten einer Identität möglichst sofort auffällt. Denn in einem Fall wie bei Tesla wird zunächst niemand bemerken, dass die Identität in Wirklichkeit ein Angreifer ist.
UBA-Lösungen (User Behavior Analytics) erkennen sofort, wenn eine Identität versucht, auf kritische Systeme zuzugreifen, ihre Benutzerrechte zu erhöhen, in großem Maße interne Informationen zu kopieren, oder wenn sie ein aus dem Rahmen fallendes Verhalten an den Tag legt. Dabei kommen zur Echtzeitanalyse ML-Verfahren (Machine Learning) zum Einsatz. Zunächst lernen diese Systeme das typische und zu erwartende Nutzerverhalten, um im Anschluss abweichendes Verhalten zu erkennen. Doch Vorsicht: Solche Systeme erzeugen auch Fehlalarme. Deshalb sind die Reaktionen auf diese Alarme entscheidender als die Erkennung.
Als Grundregel gilt nach wie vor: Das IT-Team sollte einer Identität die Zugriffsrechte entziehen, wenn sie nicht mehr notwendig sind, zum Beispiel weil ein Projekt beendet ist oder Beschäftigte das Unternehmen verlassen haben. Deshalb muss die IT-Organisation IAM unbedingt durch Prozesse zum Bereinigen der Daten ergänzen, sodass verwaiste Identitäten gar nicht erst entstehen können.
Carsten Mieth ist Senior Vice President und Head of Telecommunications, Media & Technology Central Europe bei Atos.
- Trau, schau, wem
- Identitäten authentifizieren
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
