Geschäftsanwendungen einfach sichern – Applikationssicherheit für Geschäftsanwendungen bedeutet auch bei Web-basierten Anwendungen mehr als einfaches Web-Access-Management.

Das Kernproblem, die hohe Komplexität der zu verwaltenden Daten, spitzt sich durch stetig steigende Benutzerzahlen sowie die wachsende Heterogenität der IT-Netzwerke weiter zu. Angesichts der Vielzahl an parallel betriebenen IT-Applikationen suchen Unternehmen nach einer effizienten und übersichtlichen Berechtigungsprüfung und -verwaltung. Insbesondere ein zentrales, regelbasiertes und übergreifendes Berechtigungsmanagement hilft, die Komplexität der Administration zu verringern und deren Transparenz zu erhöhen.

Systemsicherheit gegen Applikationssicherheit

Die Sicherheit von Applikationen rückt in Zeiten von Sarbanes-Oxley und Basel II zunehmend in den Fokus von IT-Sicherheitsverantwortlichen, Revisoren und IT-Management. Denn Autorisierungen von Anwendern oder Anwendergruppen auf IT-Ressourcen werden in der Regel auf der Ebene der genutzten Applikationen geprüft und administriert.

Vergleicht man die Systemsicherheit mit der Applikationssicherheit, so unterscheidet sich diese durch einen wesentlichen Aspekt: Liegen bei der Systemsicherheit zwar eine hohe Anzahl an Benutzern und zu schützenden Objekten vor, gibt es doch eher wenige Zugriffsmethoden. Es handelt sich um einfache Datenzugriffe wie Lesen, Schreiben, Konfigurieren oder Löschen auf bestimmte Ressourcen wie Verzeichnisse oder Drucker. Autorisierungen in diesen Systemen werden normalerweise als binäre Relation mit dem Prozess als Attribut dargestellt. Diese lassen sich in der Regel durch einfache Konzepte wie etwa Zugriffskontrolllisten, die Access- Control-Lists oder kurz ACL, schützen.

Die Architektur und Semantik der Applikationssicherheit ist hingegen weitaus komplexer. So verfügen moderne Anwendungen über eine Reihe von Zugriffsentscheidungspunkten. Dazu zählt eine Firewall genauso wie die URLSchicht und die Applikationsschicht. Bei letzterer liegt der wesentliche Differenzierungsaspekt zur Systemsicherheit darin, dass in Applikationen sehr viele Benutzer auf viele Objekte zugreifen und gleichzeitig unzählige Prozesse ausgeführt werden.Die hohe Komplexität resultiert folglich aus der Dreiecksbeziehung zwischen Benutzer, Prozess und Objekt: Es ist für jeden Prozess festzulegen, welcher Benutzer mit welcher Anwendung auf welche Daten und Objekte zugreifen darf.

Aus diesem Grund sind zahlreiche Zugriffsrechte für die Einzelprogramme, Transaktionen und Ressourcen zu administrieren. Wie viele Autorisierungen in einer einzigen Anwendungsumgebung verwaltet werden müssen, hängt dabei von der Anzahl der Benutzer oder Benutzergruppen sowie der Prozesse, Zugriffsmethoden und geschützten Objekte ab. Ein Rechenbeispiel: Wenn ein Unternehmen mit 10 000 Benutzern 1000 Verträge verwaltet und die Anwender für 100 mögliche Prozesse wie etwa die Erhöhung der Vertragssumme oder einer Laufzeitverlängerung von Verträgen berechtigt sind, würden sich daraus 1 Milliarde potenzielle Berechtigungskonstellationen ergeben.

Anforderungen steigen

Individualsoftware auf Basis von Java,.NET,Cobra, IMS und CICS wird mit den eigenentwickelten Mechanismen zwar prinzipiell geschützt, gleichzeitig existiert aber für die vielen Berechtigungen oft keine effiziente und zuverlässige Rechteverwaltung. Denn proprietäre Administrationstools ermöglichen normalerweise nur elementare Funktionen zum Anlegen und Löschen von Einzelrechten. Das Kopieren aller Rechte eines Benutzers auf einen anderen ist zwar meistens problemlos durchführbar;wenn es aber um komplexere alltäglich anfallende Anforderungen wie etwa das saubere Ändern und Löschen von Berechtigungen beim Stellenwechsel oder beim Unternehmensaustritt geht, stoßen solche Tools schnell an ihre Grenzen.

So werden dann etwa unbeabsichtigt Rechte angehäuft und Sicherheitsrisiken entstehen. Der manuelle Administrationsaufwand steigt außerdem exponentiell mit der Anzahl der Benutzer, Prozesse und Ressourcen. Darüber hinaus erfordern kryptische Konten- beziehungsweise Vertragsnummernkreise oder Transaktionsnummern fundiertes Wissen über technische Details jedes anwendungsspezifischen Sicherheitssystems.Daraus können schnell Fehlerquellen entstehen.

Zu einer effizienten Rechtekontrolle vom Benutzer bis zur Ressource gehört auch das regelmäßige Erstellen von Berichten. Da die Applikationssicherheit aber auf der Anwendungsebene separat erfolgt, ist der wünschenswerte Gesamtüberblick über alle Berechtigungen nur mit einem sehr hohen Arbeitsaufwand zu realisieren. Berichte werden erstellt, zusammengetragen und erst dann zeitintensiv ausgewertet.Aus diesem Grund haben Unternehmen nicht selten einen erheblichen organisatorischen Overhead in der Revision. Entscheidende Optimierungsmaßnahmen müssen dementsprechend dazu beitragen, dass die Kontrolle der Autorisierungen vereinfacht werden kann.

Rechtverwaltung

In der Regel geben Unternehmen für IT-Sicherheitsmaßnahmen, zu denen auch Entwicklungskosten für Administrationswerkzeuge und Zugriffsschutzmodule inklusive der Nachbesserung eigener Administrationswerkzeuge zählen, rund 20 Prozent ihres Anwendungsentwicklungs- Budgets aus. Da solche Werkzeuge kaum ein effizientes Berechtigungsmanagement bieten und überdies nicht anwendungs- und plattformübergreifend eingesetzt werden können, lohnt sich für Unternehmen die Überlegung, hinsichtlich der Applikationssicherheit auf Standardlösungen zurückzugreifen.

Ein erster Schritt, die Rechteverwaltung zu vereinfachen, ist die Reduktion der Komplexität. Die Einführung von Benutzerrollen verringert beispielsweise die notwendigen administrativen Aktionen erheblich. Dafür werden Zugriffsrechte zu Rollen gebündelt; an Stelle der Einzelrechtevergabe müssen Benutzer dann nur noch Rollen zugeordnet werden. Gleichzeitig kann damit eine Trennung in eine mehr technisch orientierte Verwaltung von Rollen und in die geschäftsorientierte Administration der Benutzer inklusive Zuordnung der Rollen realisiert werden.

Außerdem kann man Prozesse und Objekte gruppieren und mit Zugriffsregeln versehen; eine Regel für den Zugriff auf Bankkonten mit einer Kassenanwendung kann beispielsweise lauten »Kontoart = ‚Sparkonto’ und Kontotyp ‚VIP’ und Kontoinhaber ‚Name des Kassierers’«. Eine Autorisierungsmatrix kann die Administration zusätzlich einfacher und übersichtlicher machen. Auf diese Weise sind auch große Organisationen und Unternehmen in der Lage, ihre Applikations- Berechtigungen übersichtlich zu verwalten. Aber nicht nur eine einfachere und sicherere Administration ist entscheidend für die Applikationssicherheit. Auch die Performance der Zugriffsentscheidung ist ein wesentlicher Aspekt.

Insbesondere für geschäftskritische Applikationen muss ein Entscheidungsmodul in Sekundenbruchteilen über Autorisierungen entscheiden, um die Gesamtperformance der Anwendung nicht in Frage zu stellen.Normalerweise ist aber eine auf optimale Administrierbarkeit ausgelegte Datenstruktur nicht für das Entscheidungsmodul Performance-optimiert.Werden jedoch die Administrationsschicht und die Zugriffsschicht getrennt, ist neben der einfachen und effizienten Administration der Applikations-Berechtigungen auch deren schnelle Prüfung möglich.

Vorteile von Identity-Management sichern

Die Administration der Applikationssicherheit ist ein Teil des umfassenden Identity-Management eines Unternehmens. Sie sollte daher in eine plattformübergreifende Identity-Management- Lösung integriert werden. Beispielsweise bietet Beta Systems Software eine solche integrierte Lösung mit ihrer Komponente »SAM aConnect« zur Verwaltung von Applikationssicherheit innerhalb der Identity-Management- Software-SAM-Jupiter an. Sie kann fachliche Regeln im Klartext beschreiben, Autorisierungen automatisiert auf Einzelberechtigungen herunter brechen und in einer Datenbank oder einem Directory hinterlegen. Bestehende Zugriffsprüfmodule von Applikationen müssen dabei nicht geändert werden. Durch die Trennung in eine benutzerfreundliche Administrationsschicht und eine Performance-optimierte Zugriffskontrollschicht erfolgt die Zugriffsprüfung automatisiert in Sekundenbruchteilen.Durch eine natürlichsprachliche Regeldefinition sind auch Nicht-Techniker in der Lage, ohne großen Administrationsaufwand Autorisierungen schnell und einfach zu beantragen.

Bei der Integration der Applikationssicherheit in eine unternehmensweite Identity-Management- (IdM) und Provisioning-Lösung steht das komplette Funktionsspektrum von IdM-Lösungen auch für die Applikationssicherheit zur Verfügung.Durch die Einbindung existierender Datenquellen wie etwa Human-Resource-Systeme (HR) automatisieren solche Lösungen Routinetätigkeiten zur Änderung und Einrichtung von Benutzerkonten und Berechtigungen um bis zu 80 Prozent. Auch eine übersichtliche rollenbasierte Administration steht in Identity- Management-Systemen meist out-of-the-Box zur Verfügung.

Durch ein umfassendes User-Lifecycle-Management ist jederzeit ein Gesamtüberblick über die Berechtigungsverwaltung möglich. Berechtigungen und Ressourcen können plattformübergreifend vom Eintritt eines Mitarbeiters in das Unternehmen über den Wechsel des Arbeitsplatzes bis hin zum Ausscheiden nachvollziehbar kontrolliert werden. Sicherheitskritische Verstöße können schnell erkannt und notwendige Maßnahmen direkt eingeleitet werden.Damit kann die Administration der integrierten Anwendungen nach der selben Philosophie erfolgen.

Gleichzeitig sind diese Anwendungen in das unternehmensweite Sicherheitskonzept eingebunden. Darüber hinaus profitieren Unternehmen insbesondere von weiteren Kosten sparenden Faktoren wie Workflow oder Self-Service- Password-Reset, die dann auch für die Verwaltung der Applikationssicherheit zur Verfügung stehen.

Dr. Martin Kuhlmann,
Senior Product Line Manager SAM Jupiter,
Beta Systems Software