Warum Identity & Access Management so wichtig für die Cybersicherheit von Unternehmen sind
Die Verwaltung von Identitäten ist einer der wichtigsten Pfeiler der Cybersicherheit in Unternehmen, denn: Je mehr Identitäten in einer Organisation vorhanden sind, desto größer ist das Risiko, Opfer eines erfolgreichen Cyberangriffs zu werden. Wie Identitätsmanagement funktioniert und was Unternehmen bei ihrem IAM beachten müssen, erklärt Philipp Plum, Senior Communications Consultant bei PIABO, in diesem Beitrag.
Identitäten und der Umgang mit ihnen sind Teil unseres Alltags. Und jeder Mensch hat verschiedene Identitäten. Vom Reisepass, einem Kundenkonto bei einem Online-Versandhaus bis zur Mitgliedskarte im lokalen Anglerverein: Alle Identitäten gehören zu einer natürlichen Person, sind aber in ihrem Zweck und den Attribute, die sie enthalten, unterschiedlich – ein Reisepass enthält andere Informationen als ein Mitgliedsausweis oder ein Online-Profil in World of Warcraft.
In Unternehmen haben Menschen eine weitere Identität. Die hier entscheidenden Attribute sind beispielsweise Name, Geschlecht, Positionsbezeichnung, Abteilung, Vorgesetzte:r usw. An diese Identitäten sind verschiedene Zugriffsrechte gebunden: Mitarbeiter:innen in der Finanzabteilung benötigen für ihre tägliche Arbeit Zugriff auf Rechnungen, Gehälter von Mitarbeiter:innen sowie ihre jeweiligen Kontodaten. Mitarbeiter:innen im Vertrieb müssen (und dürfen!) nicht auf dieselben Informationen zurückgreifen, sondern auf Produktpräsentationen, Kundendatenbanken und Leads.
Die Verwaltung all dieser Identitäten und ihrer Zugriffsrechte auf bestimmte Daten regelt ein sogenanntes Identity & Access Management (IAM).
Authentifizierung im IAM
Um auf Daten, Anwendungen und andere Ressourcen im Unternehmen zugreifen zu können, authentifizieren Mitarbeiter:innen ihre Identitäten: Sprich, sie beweisen, dass wirklich sie es sind, die gerade auf Unternehmensdaten zugreifen. Am bekanntesten dürfte hier die Kombination aus Benutzernamen und Passwort sein, auch wenn diese Authentifizierungsmethode mittlerweile als veraltet, unsicher und unkomfortabel gilt. Viele Unternehmen setzen deshalb auf Zweifaktor- oder Multifaktor-Authentifizierung per Hardware-Token (z. B. YubiKeys) oder Same Device MFA (wie bei IDEE), um Identitäten besser zu schützen.
Ungemanagte Identitäten: Eine Gefahr für die Unternehmenssicherheit
Ist die Identität erst einmal bestätigt, stehen wir vor der nächsten Herausforderung: Mitarbeiteridentitäten stellen ein lohnendes Ziel für Cyberkriminelle dar. Je mehr Zugriffsrechte ein:e Mitarbeiter:in hat, desto größer ist die Ausbeute an Informationen nach einem erfolgreichen Angriff. Aus diesem Grund nutzen Unternehmen Lösungen für das Identity & Access Management. Namhafte Anbieter sind hier unter anderem SailPoint, ForgeRock, Okta und OneIdentity.
Mit Hilfe eines IAM lassen sich Zugriffsrechte auf Daten verwalten. Zentrale Fragen, die hinter IAM stehen, sind: “Wer hat von wo aus Zugriff auf welche Daten und ist die Person dazu berechtigt?”. Zugriffsberechtigungen lassen sich mit IAM je nach Bedarf verteilen und wieder entziehen. Hierbei gilt ein ähnliches Prinzip wie in der Medizin: So viel wie nötig, so wenig wie möglich (im Fachjargon Principle of least Privilege genannt).
Die verschiedenen Anbieter unterscheiden sich in ihrem Angebot und ihren Ansätzen teilweise stark, vor allem beim Automatisierungsgrad: Während bei einigen der manuelle Aufwand für IT-Admins hoch ist, entscheiden bei anderen KI-Technologien, wer Zugriff auf welche Daten haben darf. Alle diese Lösungen haben aber ein Ziel: Ungemanagte Identitäten zu erkennen, ihre Zugriffsrechte zu verwalten und die Cybersicherheit dadurch zu stärken.
Joiners, Movers & Leavers
Mitarbeiter:innen durchlaufen in einem Unternehmen verschiedene Stationen, womit auch die entsprechende Identität verschiedene “Lebensphasen” hat – man spricht vom “Access Life Cycle”.
Joiner kommen gerade frisch ins Unternehmen und benötigen deshalb zuallererst Zugriffsrechte auf bestimmte Daten, um mit der Arbeit beginnen zu können.
Mover bezeichnet User bzw. Identitäten, die innerhalb einer Organisation wechseln: Bei einer Beförderung oder einem Abteilungswechsel beispielsweise ändern sich auch die Aufgaben und damit logischerweise die Zugriffsanforderungen. Hierbei ist es wichtig, nicht nur neue Zugriffsrechte zu erteilen, sondern auch alte zurückzuziehen.
Leavers sind Mitarbeiter:innen, die das Unternehmen verlassen. Ihre Zugriffsrechte müssen deshalb zurückgerufen bzw. die entsprechende Identität komplett gelöscht werden. Andernfalls drohen Accounts, die scheinbar nicht mehr aktiv sind, aber immer noch Zugriffe auf eventuell kritische Daten haben können – eine potenzielle Sicherheitslücke.
Eine beliebte Anekdote unter IT-Admins in diesem Zusammenhang ist der Praktikant, der in das Unternehmen kommt und im Zuge seines Lernprozesses verschiedene Stationen durchläuft. Da das Unternehmen über kein IAM verfügt, erhält er somit in seinem kurzen Einblick in den Unternehmensalltag diverse Zugriffsrechte, von der Personalabteilung über die Finanzen bis hin zur IT. Die Folge: Eine Identität mit Zugriff auf die kritischsten Unternehmensdaten und damit ein Jackpot für Cyberkriminelle, gerät der Account des Praktikanten in die falschen Hände.
Ein paar Punkte für ein gutes IAM
Entscheider:innen, die beim Lesen dieser Zeilen mit Unbehagen an die eigenen Identity-Praktiken denken, sollten nicht sofort ihren Chief Information Security Officer (CISO) anrufen und nach einer IAM-Lösung verlangen. Wie bei vielen Dingen gibt es auch hier bei Anbietern große Unterschiede. Eine Checkliste mit Punkten, die das zukünftige IAM mit sich bringen sollte:
Hohen Automatisierungsgrad: Der Aufwand zur Verwaltung von Identitäten und ihren Zugriffsrechten ist hoch und potenziert sich, je mehr Mitarbeiter:innen im Unternehmen arbeiten. Eine Automatisierung hilft deshalb nicht nur, Zugriffsrechte schnell zu verteilen, damit Mitarbeiter:innen effizienter arbeiten können – sie entlastet auch IT-Admins bei ihrer täglichen Arbeit.
Übersichtlichkeit: Eine Einbindung in bestehende Security-Lösungen oder ein gut strukturiertes Dashboard helfen Admins dabei, den Überblick über Identitäten im Netzwerk zu behalten.
Compliance: Da IAM-Lösungen personenbezogene Daten verarbeiten, müssen sie datenschutzkonform sein. Dies schließt u. a. die Verwendung europäischer Rechenzentren ein, wenn die Lösung cloud-basiert arbeitet.
Fokus auf Nutzer:innen: Einige Lösungen bieten Funktionen an, mit denen User selbst Zugriffsanfragen auf Daten stellen können – ganz ohne Helpdesk, Mails und Tickets. Admins können Zugriff dann gewähren oder nicht, bei Bedarf mit einer Einschätzung durch KI, ob der Anfrage stattgegeben werden soll.
In Kombination mit einer guten Passwortsicherheit und hoher Cyber-Awareness unter Mitarbeiter:innen sorgt ein IAM dafür, dass User nur auf die Daten zugreifen können, für die sie berechtigtes Interesse haben. Cyber-Angriffen und Compliance-Verstößen können Unternehmen somit vorbeugen.
Schon gewusst? Der Oktober ist seit 2004 offizieller Cyber Awareness Month. Der Themenmonat soll Menschen und Unternehmen daran erinnern, über ihre IT-Sicherheit nachzudenken und eventuell problematische Verhaltensweisen zu hinterfragen.