THINK Blog DACH

Vor etwas mehr als einem Jahr veränderte sich die Welt dramatisch. Die Pandemie stellte alle Unternehmen weltweit vor große Herausforderungen. Die einschneidenste Veränderung war sicherlich eine unfreiwillige, kurzfristige Umstellung ihrer traditionellen Arbeitsmodelle. Der durch das Unternehmensnetzwerk vermeintlich abgesicherte Büroarbeitsplatz wurde vielerorts durch mobile Arbeitsplätze ersetzt. Die Anzahl der mobilen Geräte, die es zu verwalten galt, stieg rasant an. Das Risiko von Cyber Angriffen erhöhte sich aufgrund der neuen Umstände exponentiell und die Anforderungen an die IT Security mussten schnell angepasst werden. Viele setzen in diesem Zusammenhang auf das Prinzip Zero Trust.

Laut der Studie „Cost of a Data Breach” des Ponemon Institutes vergehen durchschnittliche etwa 207 Tage, bis ein Datenvorfall entdeckt wird. In dieser Zeit bewegen sich die Datendiebe unbehelligt und ungehindert in den Unternehmenssystemen. Weiter 73 Tage braucht es bis zur Eindämmung des Vorfalls. Der durchschnittliche Schaden liegt bei 3,3 Millionen Euro und könnte erheblich gesenkt werden, wenn der Datenvorfall früher erkannt wird.

Digitale Transformation

Die Herausforderungen im Hinblick auf Data Security haben sich im Zuge der digitalen Transformation verändert:

• Anwender greifen von überall und mit unterschiedlichen Geräten auf Unternehmens-Ressourcen zu
• Daten sind eine gemeinsam genutzte Ressource für eine Vielzahl von Benutzern und Anwendungen
• Server und Netzwerke werden über hybride Cloud-Umgebungen bereitgestellt

Traditionelle Sicherheitsmaßnahmen gegen Cyber Angriffe wurden von heute auf morgen ineffektiv. Regulatoren reagierten mit erhöhten Compliance und Security Vorschriften. Unternehmen griffen auf eine ihnen bekannte Herangehensweise zurück: Zero Trust. Diese ist nicht wirklich neu, wird in der momentanen Situation aber umso bedeutender.

Zero Trust

Zero Trust wird schon seit mehr als zehn Jahren in Unternehmen mehr oder weniger intensiv praktiziert. Es gibt Leitfäden und Frameworks unter anderem von Forrester, Gartner oder NIST, die Unternehmen bei der Umsetzung anleiten. IBM unterstützt bei der ganzheitlichen Umsetzung der Zero Trust Strategie mit einem Plattform gestützten Ansatz.

Die Standards bauen auf folgenden Prinzipien auf

• Least privilege access: Minimalprinzip von Zugriffsrechten
• Never trust, always verify: Vertraue niemals, kontrolliere immer
• Assume breach: Erwarte Datenmissbrauch und Cyber Angriffe

Diese Standards und Prinzipien sind einfach und für jeden klar verständlich. Die eigentliche Herausforderung liegt in der konstanten Umsetzung im Unternehmen. Prozesse, Risiken sowie die IT-Infrastruktur sind in jedem Unternehmen sehr unterschiedlich. Daraus ergibt sich, dass es keinen standardisierten, praktischen, einheitlichen Ansatz für die Umsetzung von Zero Trust für alle Unternehmen geben kann. Zero Trust ist ein Konzept, dessen Umsetzung nicht durch eine Einzellösung erreicht wird. Vielmehr ist eine Reihe von integrierten Lösungen, Service und Beratung erforderlich, die zur erfolgreichen Umsetzung von Zero Trust führt.

Die Bedeutung von Zero Trust im Identity und Access Management

Die Bereitstellung von externen Arbeitsplätzen zur Aufrechterhaltung der Geschäftsprozesse ist für viele Unternehmen zu einer Herausforderung geworden. Die Absicherung der Zugriffe der Belegschaft erhält in der Risikobetrachtung eine hohe Bedeutung und der Schutz der Identitäten ist nun eine zentrale und wichtige Maßnahme auf der Zero Trust Agenda der Chief Information Security Officer (CISO).

Agilität, Tempo und Transparenz sind in der heutigen Geschäftswelt unabdingbar. Es gilt dabei die Geschäftsprozesse mit moderner Technik abzusichern. Jedes Identity und Access Management Projekt startet mit der Entwicklung eines Berechtigungskonzeptes. Grundlage dafür bilden die Inhalte „People“, „Prozesse“ und „Technologien“.

Welche Mitarbeiter steuern welche Prozesse mit welchen IT-Berechtigungen? Die in den Prozessen bereits berücksichtigten Compliance Vorschriften, wie z.B. die Funktionstrennung, müssen entsprechend in den IT-Systemen widergespiegelt werden. Doch wer im Unternehmen kann diese Umsetzung nachweisen? Die IT kann Aussagen darüber treffen, welche Prozesse durch welche IT-Berechtigungen gesteuert werden, aber ist nicht dafür zuständig, die Funktionstrennung der Geschäftsprozesse zu beurteilen.

Die notwendige Transparenz über die Berechtigungen und vermeintliche Konflikte in der Funktionstrennung werden von den Auditoren jedoch eingefordert. Eine manuelle Überprüfung wird hier ausgeschlossen. Also muss ein modernes Identity und Access Management an dieser Stelle die notwendige Transparenz schaffen.

Angriffsvektor Identität

Das Sicherheitskonzept von Unternehmen sollte das Arbeiten von jedem Ort und auf jedem Gerät mit sicherem Zugriff auf notwendige Technologien und Informationen ermöglichen.

Für die Benutzerzugriffe gilt das Minimalprinzip:

• Zugriff des richtigen Anwenders
• der die richtigen Zugriffsrechte
• zu den richtigen Daten
• zur richtigen Zeit
• für den richtigen Zweck hat

Die Benutzerfreundlichkeit darf jedoch auf keinen Fall durch Security-Maßnahmen beeinträchtigt werden. Findet der Anwender die Maßnahmen zu kompliziert oder fühlt er sich durch die Security in seinem Arbeitstempo aufgehalten, wird er versuchen diese zu umgehen und damit das Risiko von erfolgreichen Cyber Angriffen unkontrollierbar erhöhen.

IT Security Maßnahmen müssen auf die neue Bedrohungslage angepasst werden. Die bedeutungsvollsten Bedrohungen in der Security sind:

• Identitätendiebstahl
• Phishing
• Privilegienmissbrauch

Die Identität von Mitarbeitern ist zum zentralen Angriffsvektor geworden. Hacker haben diese Schwachstelle erkannt und nutzen die Situation, um unter anderem an Bedeutung in der Welt der Cyber-Kriminellen zu gewinnen oder um Unternehmen zu erpressen. Neben dem monetären Schaden kommt häufig ein Reputationsverlust der geschädigten Unternehmen hinzu.

Benutzerfreundlichkeit in der IT Security

Moderne IT Security ist die, die der Anwender nicht bemerkt! Im Identity und Access Management sprechen wir von Silent Security. Benutzerzugriffe müssen im Kontext mit dem Risiko betrachtet werden und entsprechend konditioniert werden.

Herkömmliche Security Maßnahmen, wie die zusätzliche Verifizierung über ein weiteres Medium z.B. Mobil-Telefon oder Token verzögern den Zugriff auf die Systeme und senken, mit den schon aufgezeigten Konsequenzen, die Bedienerfreundlichkeit für die Anwender. Ein weiteres Risiko bilden einfach zu erratende Passwörter. Die Anzahl der Applikationen pro Mitarbeiter steigt an. Gleichzeitig werden die Anforderungen an Passwörter immer größer, um die Hacker-Angriffe auf Identitäten zu erschweren.

Zero Trust benutzerfreundlich gestalten

Wie gelingt nun der Spagat zwischen Zero Trust, Benutzerfreundlichkeit und Produktivität? Herkömmliche Authentifizierungsmethoden führen oftmals dazu, dass der Anwender die Security umgeht und sich das Risiko des Daten- oder Identitäten-Diebstahls erhöht. Der Trend geht in die Richtung Adaptive Access Management, also Passwortlose Anmeldung.

Moderne IT Security Systeme können heute im Hintergrund aufgrund von hinterlegten Regeln die Anmeldung überprüfen. Diese Form der Überprüfung bleibt von dem Anwender unbemerkt. Das System überprüft beispielsweise, ob der Benutzer sich mit einem registrierten Gerät, zur üblichen Zeit aus seiner üblichen Lokation anmeldet. Ist dies der Fall, benötigt es keine weiteren Security Maßnahmen für die Anmeldung und der Anwender wird passwortlos zugelassen.

Adaptive Access untersucht im Hintergrund das Benutzerverhalten, merkt sich Benutzermuster, erkennt Abweichungen und damit eine mögliche betrügerische Anmeldung. Diese wird dann, aber nur in diesem Fall, durch eine Security Maßnahme z.B. Verifizierung der Anmeldung durch einen zweiten Faktor herausgefordert.

Fazit

Moderne Identity und Access Management Systeme stellen reibungslose Geschäftsabläufe durch die Vergabe von regelkonformen Berechtigungen zunächst sicher. Mobile und dezentrale Arbeitsmodelle bedeuten jedoch ein erhöhtes Risiko. Zusätzliche Security Maßnahmen z.B. Verifikation von Zugriffen werden erforderlich. Diese beeinträchtigen aber die Benutzerfreundlichkeit im Alltag. Eine häufige Reaktion darauf ist die Anwendung von einfachen Passwörtern oder ein Passwort für alle Anwendungen zu nutzen.

Durch adaptive Zugriffsmechanismen wird eine reibungslose Security geschaffen. Das Zero Trust Prinzip „never trust, always verify” wird mit intelligenten Identity und Access Management Lösungen unterstützt und umgesetzt. Adaptive Access führt zu einem kontrollierten und bedienerfreundlichem Zugriffsverfahren, durch das der Anwender nicht in seiner täglichen Routine aufgehalten wird und die Security Maßnahmen akzeptiert.