Best Practices von Quest Software unterstützen Unternehmen bei der Verbesserung durch Smart-Identity und Strategien hinsichtlich der Zugriffsregelungen.

Unternehmen sehen sich heutzutage unterschiedlichsten Bedrohungen ausgesetzt. Dazu zählen neben externen Angriffsszenarien durch Hacker auch im Vergleich hierzu wesentlich gefährlichere interne Sicherheitsbedrohungen denen sich die Unternehmen weltweit ausgesetzt sehen. Als Meilenstein in Sachen IT-Sicherheitsstrategien sehen Experten ein starkes Identitäts und Zugriffsmanagement (IAM - Identity and Access Management) welches durch neue Technologie und Anwendungsbeispiele dazu beiträgt Bedrohungsszenarien wirksam zu unterbinden.

Herkömmliche IAM Angebote sind oftmals getrieben von einer überbordenden Komplexität und somit nur sehr umständlich zu warten - Ein Problem was durch das Aufkommen neuer Technologien wie Cloud-Computing oder Trends der mobilen Kommunikation (Bring your own device / BYOD) noch verstärkt wird und Unternehmen den Zugang hierzu erschwert.

Der US-Softwarehersteller Quest Software bietet einen modularen Ansatz zu IAM, der sich sehr gut dazu eignet den Sicherheitsbedenken vollständig Rechnung zu tragen. Dieser Ratgeber bietet somit eine Übersicht auf die wichtigsten IT-Bedrohungen auf die Unternehmen vorbereitet sein sollten, zudem geben wir einige IAM Anwendungsbeispiele um entsprechenden Bedrohungsszenarien frühzeitig entgegenwirken zu können.

Unternehmen stehen seit jeher nur zwei Optionen hinsichtlich des Zugangs- und Zugriffsschutzes im Rahmen des IAM zur Verfügung:


1. Lösung spezifischer Probleme in einer Ad-hoc-Manier mit System-und Aufgabenspezifischen Werkzeugen und Praktiken von einer Vielzahl von Herstellern.

2. Die Implementierung eines monolithischen Gerüsts welches den Ansatz verfolgt unternehmensweite Vorfälle frühzeitig zu erkennen und denen durch einen maßgeschneiderten Ansatz entgegengewirkt werden soll.

Beide Optionen sind entweder zu maßgeschneidert oder zu schwerfällig, um wirklich nachhaltig zu sein. Auch vom Controlling her sind diese zu anspruchsvoll, um die heutigen Marktgegebenheiten wirklich adressieren zu können. Auch bieten sie keine adäqueten Lösungen für Geschäftskritische-Szenarien die Unternehmen dazu zwingt in dieser Richtung tätig zu werden.

Jedoch gibt es durchaus Alternativen. Quest Software bietet mit seiner Software Quest One Identity Solutions eine einfache und effektive Lösung um Sicherheits und Compliance-Aspekte sinnvoll zu vereinen.

Im Gegensatz zu Identity und Access-Managment-Lösungen von herkömmlichen Anbietern, die in der Regel mit aufwändigen und somit kostspieligen Anpassungen behaftet sind, adressiert Quest einen modularen und dennoch integrierbaren Ansatz um auch zukünftigen Geschäftsanforderungen zu genügen. Hierbei legt Quest großen Wert auf die Simplifizierung von komplexen Szenarien mit denen Unternehmen heutzutage konfronziert sind:

1. Interne Über-Privilegierungen

Systemadministratoren mit vollem Server- und Datenzugriff stellen eine enorme interne Bedrohung dar wenn sie sich gegen das eigene Unternehmen wenden. Ebenso stellt jeder von Administrationsebene bis zu den Führungskräften eine Bedrohung für die Datensicherheit dar, wenn sie übermäßige Zugriffsrechte innehaben und diese auch bei einem Wechsel der Benutzerrolle behalten. So ist es sicherlich nicht zuträglich für die Datensicherheit wenn ein leitender Angestellter mit entsprechenden Zugriffprivilegien vom Vertrieb ins Controlling wechselt und dabei nicht nur die alten Zugriffsrechte im Vertrieb behält sondern auch noch neue Zugriffsrechte für das Controlling hinzugewinnt. Diese unterschiedlichen Benutzerrollen und Benutzerrechte wollen gemanaged werden.

2. Zugriffe durch Dritte

Partnern oder auch Dritten einen angemessenen Datenzugriff zu gewähren ist ebenfalls weder Fisch- noch Fleisch. So können unverschlüsselte Daten, die in einer Cloud gespeichert sind durch das Personal des jeweiligen Rechnzentrumsbetreibers oder Data-Center-Betreibers weltweit eingesehen werden, da die meisten Rechenzentren der Cloud-Anbieter auch weltweit verteilt sind. Ferner haben diese Dritten dann logischerweiser theoretisch auch die Möglichkeit Kopien sowohl von unverschlüsselten, als auch von verschlüsselten Daten zu erstellen.

3. Hacktivismus

Politisch motiviertes hacking ist nicht zuletzt durch Anonymous-Aktivitäten einer breiteren Öffentlichkeit bekannt geworden. Mitglieder dieser Gruppen erklären, dass der eigentliche Erfolg nicht in der eigenen technischen Kompetenz begründet liegt, sondern vielmehr im auffinden leichter Angriffsziele.Während Unternehmen nicht über die Möglichkeiten einer Echtzeit-Erkennung verfügen und somit nicht erkennen können ob sie angegriffen werden oder nicht, lässt sich das Risiko eines erfolgreichen Angriffs dennoch durch IAM Strategien und Technologien sowie durch ein Sicherheitstraining der eigenen Angestellten deutlich reduzieren.

4. Sozial Engineering 

Social Engeneering ist eine althergebrachte Technik um Informationen durch Lügen, Täuschung und Manipulation zu erschleichen und um unachtsame Mitarbeiter und Unternehmen hinters Licht zu führen. So lassen sich soziale Netzwerke ideal dazu nutzen um herauszufinden wer wann in Urlaub fährt. Dies allein ist schon eine Information, die den meisten Einbrechern genügen würde, um es auf einen Versuch ankommen zu lassen. Auch im Unternehmensumfeld verhält es sich so, dass sich nicht jeder Mitarbeiter unmittelbar darüber im klaren ist, dass sich aus bestimmten Informationen die in sozialen Netzwerken gepostet werden für Dritte unter Umständen auch Ableitungen über Sicherheitsvorkehrungen im Unternehmen treffen lassen.

5. Interne Fahrlässigkeit - Vernachlässigung im Management ist immer gleichbedeutent mit "er hätte es besser wissen müssen". Die erfolgreichsten Daten-Diebstähle der Vergangenheit lassen sich in den meisten Fällen auf Fahrlässigkeiten zurückführen. So ist das Unterlassen bzw. das Vergessen einer regelmäßigen Kontrolle der Server-Protokolle auf verdächtige Angriffsmuster als fahrlässig zu betrachten. Auch die "Passwortnotiz unter der Tastatur" fällt in diese Kategorie.

Gegenmaßnahmen:

Generieren Sie einen Sicherheitsstatus mit den niedrigster Privilegierung - Ziel der Übung ist, dass jeder Mitarbeiter nur über die notwendigsten Benutzerrechte verfügt die er benötigt um anfallende Aufgaben zu erledigen. Hierdurch wird sichergestellt, dass unnötige Zugriffsrechte beim Wechsel der Benutzerrollen nicht vererbt werden können. Einige der gängisten Verfahren um niedrige Privilegien zu erzielen beinhalten: Zugriffsregelung auf den Anwender basierend auf gut definierten Benutzerrollen, Limitierung des Zugriffs auf Administrations- oder Root Konten - dies verhindert, dass die Passwörter zu den entsprechenden Nutzerkonten nicht ge- oder verteilt werden bzw. unautorisiert geändert werden können. Auch Zugangs- und Zugriffskontrollen zu den entsprechenden Systemen sowie ein Tracking der Passwortverwendung und Zugriffe können hierbei weiterhelfen.

Einführung einer Zugriffsrichtlinie

Zugriffsrichtlinien lassen sich relativ einfach implementieren. Hierbei werden bei jeder Zugriffsänderung zwei oder mehr Administratoren durch eine regelmäßige und automatisierte Warnmeldung darüber in Kenntnis gesetzt. Diese automatisieren Warnmeldungen lassen sich im Falle von Mitarbeiterwechseln oder anderen sicherheitskritischen IT-Merkmalen einrichten. Hierbei müssen die Zugriffrechte dynamisch mit den entsprechenden personellen Ressourcen sowie die Personal-Datenbanken verknüpft werden. Die Benachrichtigungen von mehr als einem Administrator beugt zudem potentiellen Fahrlässigkeitsszenarien vor.

Verriegeln Sie die Tür vor potentiellen Angreifern

Regelmäßiges Mitarbeiter-Training im Umgang und der Sorgfaltspflicht von sicherheitskritischen Daten, sowie die Entwicklung von Verfahren wie z. B. eine regelmäßige Änderung von Passwörtern oder durch die Einführung moderner Zugangstechnologien mit Tools wie Microsoft Active Directory oder einer mehrstufige Authentifizierung, tragen dazu bei dass potentielle Angreifer kein leichtes Spiel mehr haben. Mitarbeiter-Trainings in Grundlagen der IT-Sicherheit und auch in IT-Sicherheitsrelevanten psychologischen Aspekten tragen dazu bei, dass ein Grundbewusstsein für IT-Sicherheit geschaffen wird und Techniken im Rahmen von Social Engineering frühzeitig erkannt werden können. Es versteht sich von selbst, dass diese Trainings sollten regelmäßig wiederholt werden sollten.

Schaffen Sie Compliances

Compliance oder auch Regelkonformität läßt sich durch die Implementierung von Zugriffskontrollen und Trennung von Aufgaben, Verfahren und Technologien erzielen. Es empfiehlt sich die Entwicklung, Um- und Durchsetzung entsprechender Sicherheitsrichtlinien auf allen System-Zugängen. Im Rahmen eines anschließenden Audits lassen sich dann Nicht-Regelkonforme Login-Praktiken aufspüren und abstellen.