Identity Access Management
Vertrauen reicht nicht, Kontrolle ist besser
Verteilte Belegschaften und mobiles Arbeiten schienen zunächst nur für ein paar Wochen nötig. Doch inzwischen wurde deutlich: Die neuen Arbeitsformen bleiben uns erhalten. Deshalb ist es umso wichtiger, mobile Arbeitsplätze abzusichern und Zugriffe auf das Unternehmensnetzwerk zu kontrollieren.
Als vor fast zwei Jahren pandemiebedingt teilweise ganze Belegschaften fast schon über Nacht ins Homeoffice umgezogen sind, musste es im Sinne der Geschäftskontinuität vor allem schnell gehen. Viele dieser ursprünglich nur vorübergehend geplanten Lösungen sind jedoch noch immer im Einsatz. Und die Studie „The New Workplace Report 2021“ von Okta zeigt, dass ein Drittel der Unternehmen in Deutschland dennoch noch immer allein auf Passwörter setzt, um sich vor Cyberattacken zu schützen. Dabei sind die Bedrohungen durch Ransomware, Social Engineering und Botnet-Angriffe in den letzten zwölf Monaten nicht zuletzt im Zuge der hybriden Arbeitskonzepte angestiegen.
Mit der neu gewonnen Flexibilität dieser Modelle gehen auch neue Herausforderungen in Sachen Sicherheit einher: Teams brauchen jederzeit und von überall aus sicheren Zugriff auf die für sie notwendigen Anwendungen und Inhalte – vom ERP über Collaboration-Tools bis hin zum Mailprogramm und fachabteilungsspezifischen Anwendungen. Doch dabei erodiert der klassische Unternehmensperimeter, stattdessen sind die Mitarbeitenden der neue Perimeter, den es zu schützen gilt.
Zero Trust im Digital Workplace
Ein Zero-Trust-Ansatz kann im Zuge dieser Entwicklung die klassische Netzwerksicherheit ablösen, die von einem sicheren Innen und einem unsicheren Außen ausgeht. Stattdessen wird grundsätzlich allen Nutzern, Geräten und Anwendungen, die auf Dienste oder Ressourcen des Unternehmens zugreifen wollen, misstraut. Als Folge muss jeder einzelne Zugriff individuell authentifiziert werden. Kurz gesagt: nie vertrauen, immer überprüfen.
Zero Trust ist für Unternehmen in erster Linie eine Architekturentscheidung. Sie müssen für die praktische Umsetzung den Spagat zwischen einer möglichst reibungslosen Anmeldeerfahrung für Mitarbeitende einerseits und der Wahrung höchster Sicherheitsstandards andererseits schaffen. Dazu gehören unter anderem auch Lösungen für das Identity und Access Management (IAM). Sie können die Zugriffe authentifizieren und es so den Mitarbeitenden erlauben, mit einem Single Sign-On (SSO) auf die nötigen Anwendungen zuzugreifen. Zudem kann darüber hinaus eine Multifaktor-Authentifizierung (MFA) zusammen mit Biometrie und Passwörtern gegebenenfalls ein höheres Sicherheitsniveau schaffen.
Identity Access Management as a Service
Aber nicht nur die Zunahme hybrider Arbeitsmodelle ist relevant. Auch hybride IT-Infrastrukturen mit einer Kombination aus On-Premises- und Cloud-Anwendungen setzen sich immer stärker durch, die Zahl der eingesetzten Cloud-Anwendungen steigt. Laut des „Cloud-Monitor 2021“ des Wirtschaftsprüfungsunternehmens KPMG und Bitkom Research nutzen acht von zehn Unternehmen inzwischen Cloud-Dienste. Jedes dritte Unternehmen verfolgt sogar eine Cloud-First-Strategie.
Setzen Unternehmen auf eine hybride Architektur beziehungsweise „Cloud-first“, kann sich für sie wieder Identity as a Service (IDaaS) , also SaaS-basierte IAM-Lösungen, eignen. Denn um eine IAM-Lösung zu implementieren, muss eine saubere Integration mit Applikationen und Systemen sichergestellt werden. Damit dieser Integrationsprozess möglichst zeit- und ressourcensparend ist und Unternehmen Integrationen nicht selbst programmieren müssen, gibt es vorgefertigte Integrationen auf dem Markt. Für Identity as a Service braucht es meist keine Developer Skills. IT-Administratoren müssen lediglich wissen, wie sie mit einem Directory oder Lightweight Directory Access Protocol (LDAP) umgehen. Sie sollten also über ein technisches Grundverständnis verfügen, wie sich diese integrieren und Nutzeridentitäten synchronisieren lassen. Auf dieser Basis kann zentral Policy-basiertes Single Sign-On und Multifaktor-Authentifizierung für die Remote-Teams ausgerollt werden.
Bestandsaufnahme und Risikobewertung
Noch vor der Implementierung müssen Chief Information Security Officer (CISO) beziehungsweise die IT-Abteilungen zunächst aber wichtige Vorarbeit leisten: Es muss intern geklärt werden, welche Applikationen zu integrieren sind, mit welchem Risiko sie behaftet sind und welche Policy dann entsprechend anzulegen ist. Die Verantwortlichen müssen also ermitteln, welche Daten in den einzelnen Anwendungen stecken, die über SSO und MFA zur Verfügung gestellt werden sollen, und wie sensibel diese sind. Bei der Einschätzung der Kritikalität sollten die sogenannten NIST Identity Assurance Level berücksichtigt werden. Diese sind ein Maß für die Sicherheit von Identitätsnachweisen. Je nach Industrie und der Art der zu schützenden Daten gibt es unterschiedliche Auflagen bezüglich der Faktoren, die bei der Multifaktor-Authentifizierung entsprechend eingebunden werden müssen.
Diese initiale Risikobewertung ist nötig, um angemessenen Schutz sowie reibungslosen Benutzerzugriff gewährleisten zu können. Ein risikobasierter Ansatz mit adaptiver MFA minimiert die notwendige Interaktion für die Endanwender insofern, dass sich die abgefragten Faktoren nach dem Risiko und der Kritikalität der Daten und Systeme richten. Somit müssen nicht bei jedem Login alle Faktoren zum Zuge kommen. So gelten bei unkritischen Daten weniger strenge Richtlinien. Gleiches gilt beispielsweise, wenn der Zugriff über ein bekanntes, autorisiertes Gerät erfolgt. Bestehen jedoch Zweifel an der Identität, etwa aufgrund zweier Logins von unterschiedlichen, aber unmöglichen Orten kurz hintereinander – beispielsweise um 13 Uhr in Berlin und eine Stunde später in New York –, so würde eine Kombination besonders strenger Authentifizierungsfaktoren abgefragt werden.
Ein zentrales Directory
Ein zentrales Directory, das als eine Art Metadirectory fungiert, ist zwar nicht dringend notwendig für das Identitäts- und Zugriffsmanagement, kann aber eine Erleichterung mit sich bringen, um zentrale und unternehmensweite Policies zu forcieren. Theoretisch ließe sich jedes einzelne Silo absichern, doch ist es einfacher, eine zentrale Stelle zu schützen. Dabei kann es effizienter sein, wenn IT-Administratoren von einem zentralen Punkt aus die Zugriffe auf alle Anwendungen steuern sowie die Identitäten verwalten und schützen können. Das kann zudem das Lifecycle-Management und die rollenbasierte Anpassung und Zuweisung von Zugriffsrechten vereinfachen.
Digitale Arbeitsplätze müssen besser geschützt werden. Ein Option ist das Identity und Access Management. Multifaktor-Authentifizierung und die Implementierung einer kontextabhängigen Lösung sollen sicherstellen, dass ausschließlich die richtigen Personen jederzeit Zugang zu den von ihnen benötigten Ressourcen haben.
Götz Walecki, Senior Manager Solutions Engineering Central Europe, Okta
