Die Meinung der SAP-Community IT-Security Kolumne MAG 1911

Die Identität des Nutzers ist Dreh- und Angelpunkt

It-Security
Geschrieben von Jörg Meuser, Conet

Es gibt nur eine Konstante, die unabhängig vom genutzten IT-Gerät und Zugriffsort Bestand hat: die Identität des Nutzers. Umso wichtiger ist es, diese zu verifizieren und die in ihrem Namen getätigten Zugriffe schnell und transparent zu steuern.

Die Flexibilisierung und Beschleunigung bei der Nutzung von IT-Diensten und Informationsressourcen etwa mit BYOD, mobilem Arbeiten und Cloudservices stellt die IT-Sicherheit vor neue Herausforderungen.

Will man modernen Arbeitskonzepten nicht im Wege stehen, lässt sich die Sicherheit nicht mehr nur durch Einschränkung der Hardware oder Kontrolle der Netzwerkwege herstellen.

Vielmehr gibt es nur eine Konstante, die unabhängig vom eingesetzten IT-Gerät und jenseits des Zugriffsorts Bestand hat, und das ist die Identität des Nutzers.

ad_banner

Mit einem konzeptionell und technisch sauber aufgesetzten Authentifizierungs-, Identitäts- und Zugriffsmanagement (Identity und Access Management System/IAM) lassen sich die entsprechenden Risiken zuverlässig einschätzen und minimieren.

Während dabei im Identity Management grundsätzliche Benutzerkonten, Rollen und entsprechende Berechtigungen festgelegt und verwaltet werden, dient das Access Management der Kontrolle und der Steuerung einzelner Zugriffsrechte zu bestimmten Teilen der physischen oder virtuellen Infrastruktur.

Mit festen Vorgaben für die genaue Aufteilung von Verantwortlichkeiten („Segregation of Duties“), der sinnvollen Gruppierung von Berechtigungen zu Rollen und dem Tool-gestützten Umgang mit Personaländerungen sowie einer intelligenten Provisionierung wird eine ganzheitliche Unterstützung des gesamten Identity Management Lifecycle greifbar.

Die damit erreichte Transparenz über alle Zugriffe ist zudem ein wichtiger Baustein für die Governance und Compliance mit gesetzlichen Vorgaben.

Eine immer bedeutendere Herausforderung stellt in diesem Zusammenhang die Verwaltung der Zugriffsrechte besonders berechtigter Personen dar. Denn bestimmte Anwender benötigen für ihre Arbeit teils weitreichende Berechtigungen.

Diese „Privileged User“ stellen eine besondere Herausforderung für die IT-Security dar, da sie unbeabsichtigt, aus krimineller Energie oder weil ihre Zugriffsdaten in die falschen Hände gelangen die IT-Ressourcen und Daten ihrer Organisation gefährden können.

Im Umgang mit diesen „Privilegien“ sorgen Lösungen für Privileged User Management für die Verwaltung der speziellen Zugangsrollen wie Administrator oder Root Access.

Das Ziel aller integrierten Ansätze in Identity, Access und Privileged User Management muss es dabei stets sein, hohe Sicherheitsstandards mit möglichst umfassender Automatisierung in der Administration, Komfort in der Nutzung und damit hoher Akzeptanz in ein Gleichgewicht zu bringen.

Denn sobald Nutzer die sicheren Zugangs- und Nutzungswege als zu kompliziert empfinden oder nicht ausreichend Berechtigungen haben, werden sie sich vereinfachte Arbeitsweisen aneignen, die vorhandene Sicherheitsmaßnahmen aushebeln.

Damit das Access Management seine Aufgabe als Zugriffskontrollsystem aber überhaupt erfüllen kann, muss zu Beginn die einwandfreie Identifizierung des Anwenders sichergestellt und hierzu ein geeigneter Mechanismus gewählt werden.

Insbesondere der klassische, passwortgeschützte Zugang steht hier zunehmend in der Kritik, denn um ausreichend sicher zu sein, werden Passwortvorgaben immer komplexer und daher oftmals entweder unsicher gelagert oder schlicht vergessen.

Um dieses Dilemma zu entschärfen, werden zunehmend erweiterte Authentifizierungsmechanismen wie ein Advanced Authentication Framework (AAF) oder Multi-Factor Authentication (MFA) eingesetzt, die bei der Zugangserteilung mehrere Identitätsquellen erfordern.

Im Idealfall werden dabei unterschiedliche Aspekte kombiniert: etwas, das die Nutzer kennen (eine PIN), etwas Physisches, das sie besitzen (eine Schlüsselkarte oder ein Token), und etwas, das ihre Identität nachweist (ein Fingerabdruck, ein Netzhaut-Scan oder eine Spracherkennung).

Durch die zentrale Positionierung der Plattform wird zudem oft bereits ein implizites Single-Sign-on erreicht, sodass der Anwender nach der ersten sicheren Authentifizierung bei der Verwendung weiterer Dienste nicht erneut sein Passwort eingeben muss.

Über den Autor

Jörg Meuser, Conet

Jörg Meuser ist Managing Con­sultant Identity & Security Management bei Conet.

Hinterlassen Sie einen Kommentar