81 Prozent der Datenschutzverletzungen basieren auf Passwort Diebstahl – wie kann Identity und Access Management Abhilfe schaffen?

Vor diesem Hintergrund wurde Frithard Meyer zu Uptrup, Geschäftsführer der intension GmbH befragt, wie Identity und Access Management dazu beitragen kann, ausschließlich den „richtigen“ Identitäten einen sicheren und nachvollziehbaren Zugang zu Daten, Systemen und Applikationen zu ermöglichen.

Herr Meyer zu Uptrup, welche strategische Ausrichtung sollte das Management von Identitäten und Berechtigungen aufweisen, um Unternehmen bestmöglich zu schützen?

F. Meyer zu Uptrup: Viele Hersteller von Identity und Access Management (IAM) bzw. von Identity Management Systemen (IDM) haben sich viel zu lange primär auf die Verwaltung von Identitäten und Zugriffsberechtigungen durch IT-Administratoren konzentriert. Einige Hersteller haben zwar Self-Service-Funktionen für die Anwender implementiert, doch auch bei diesem Ansatz prüft sehr häufig ein Admin als nachgelagerte und freigebende Instanz.

Die Folge: Die Admins müssen über weitreichende Berechtigungen verfügen, die für Missbrauch genutzt werden können. Nur eine IAM-Lösung, die losgelöst von der technischen Sicht die User ins Zentrum des Handelns stellt, kann diese Nachteile beseitigen. Dazu sollte der User-Self-Service so einfach wie möglich konzipiert sein und nur über die zwingend erforderlichen Berechtigungen verfügen. Darüber hinaus muss der Self-Service für normale Anwender leicht verständlich und nutzbar sein, damit Administratoren als kontrollierende Instanz entfallen können. Ganz nebenbei senken Unternehmen so die Kosten und befreien die Admins von den oft monotonen, manuellen Freigabe-Prozessen.

Sie empfehlen also eine vollumfängliche Umsetzung eines User-Self-Service?

F. Meyer zu Uptrup: Die Herausforderung ist, dass alle Identitäten über den kompletten Prozess lückenlos registriert, ein-eindeutig und absolut sicher sind – inklusive der Identitäten von Kunden, Partnern sowie von Cloud-basierten Services. Ansonsten können Identitätslöcher auftreten, welche Angreifer ausnutzen können.

Identitätsleichen – auch gerne „Zombie-Accounts“ genannt – sind für Angreifer ein ideales Ziel. Das in vielen Unternehmen verbreitete „klassische“ IAM genügt diesen gestiegenen Anforderungen nicht mehr. Anwender müssen über wertige Self-Services in die Lage versetzt werden, ihre Identitäten und Zugriffsberechtigungen im vorgesehenen Rahmen selbst zu verwalten. Nur so kann das Sicherheitsniveau bei der Identitäts- und Berechtigungs-Steuerung insgesamt verbessert werden.

In der Praxis erleben wir ständig, dass die Komplexität der IT immer weiter steigt und Identitäten für IT-Lösungen auch außerhalb des eigenen Unternehmens gemanagt werden müssen. Denken Sie an Dienstleister, dessen Mitarbeiter für ein Projekt temporär angebunden und integriert werden müssen. Ohne sichere User-Self-Services wäre das alles nicht mehr sicher zu betreiben.

Beim größten IT-Dienstleister Deutschlands wird unser IAM-System von ca. 11.500 extern angebundenen Mandanten genutzt. In Summe werden ca. 1.8 Millionen Identitäten mit unserer IAM-Lösung verwaltet, was klar für Skalierbarkeit und sprichwörtliche Zuverlässigkeit unserer Lösung spricht.

Data Breach Investigation Report - Identity und Access Management kann Passwort-Diebstahl verhindern - intension GmbH

Data Breach Investigation Report – Identity und Access Management kann Passwort-Diebstahl verhindern. Quelle: Verizon.

Sie sprechen von leicht nutzbaren User-Self-Services. Mit dem rasanten Wachstum Cloud-basierter Services wird das Identitäts- und Berechtigungsmanagement allerdings immer komplexer. Wie kann man den damit verbundenen Sicherheitsrisiken entgegenwirken?

F. Meyer zu Uptrup: Die steigende Komplexität sorgt bei den Verantwortlichen in Unternehmen für Sorgen. Manche tendieren aktuell dazu, sich gegenüber Cloud-Anbietern abzuschotten. Aus meiner Sicht lässt sich das auf Dauer aber nicht durchhalten, denn schließlich ergänzen auch klassische Software-Anbieter wie SAP u.v.m. ihre eigenen On Premise-Lösungen um Cloud-Services. In einer abgeschotteten Umgebung wären diese modernen Lösungen schlicht nicht nutzbar, was auf heftigen Widerspruch der Fachabteilungen stoßen würde.

Der einzig sinnvolle Lösungsansatz ist auch hier eine Anwenderorientierte Sicht und Verwaltung. Wird auf Anwendungen innerhalb von Public Clouds zugegriffen, erfolgt die Authentisierung und Autorisierung mittels Single Sign On nicht über LDAP und Kerberos, sondern über OAuth und SAML (Security Assertion Markup Language). Dies hat zur Folge, dass externe Cloud-Directories z.B. von Microsoft oder Google ins Firmendirectory eingebunden werden müssen.

Herr Meyer zu Uptrup, vielen Dank für dieses Interview.

Das Interview führte Jochen Maier, Geschäftsführer der summ-it Unternehmensberatung.

Daten im Fokus der Angreifer

Nach dem „Data Breach lnvestigation Report 2017″ von Verizon sind 81 Prozent der Datenschutzverletzungen auf entwendete Passwörter zurückführen.

Marktanalysten von Forrester Research gehen davon aus, dass an 80 Prozent der Datenverlust- und Datendiebstahlvorfälle sowie sonstiger unberechtigter Zugriffe Anwender und Administratoren mit erweiterten und falsch zugewiesenen Rechten beteiligt sind.

Glossar

OAuth
OAuth (Open Authentication) ist ein offenes Protokoll, das eine standardisierte, sichere API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlaubt. Es wurde von Blaine Cook und Chris Messina initiiert.
Ein Endbenutzer (User oder Ressource Owner) kann mit Hilfe dieses Protokolls einer Anwendung (Client) den Zugriff auf seine Daten erlauben (Autorisierung), die von einer anderen Anwendung (Ressource Server) verwaltet werden, ohne alle Details seiner Zugangsberechtigung zur anderen Anwendung (Authentifizierung) preiszugeben. Der Endbenutzer kann so Dritte damit beauftragen und dazu autorisieren, sich von ihnen den Gebrauchswert von Anwendungen erhöhen zu lassen. Typischerweise wird dabei die Übermittlung von Passwörtern an Dritte vermieden.
SAML - Security Assertion Markup Language
Die Security Assertion Markup Language (SAML) ist ein XML-Framework zum Austausch von Authentifizierungs- und Autorisierungsinformationen. Sie stellt Funktionen bereit, um sicherheitsbezogene Informationen zu beschreiben und zu übertragen.
SAML wurde ab 2001 von dem OASIS-Konsortium entwickelt. Zu diesem Konsortium gehören Unternehmen wie Sun Microsystems (übernommen von Oracle), IBM, Nokia und SAP. Bei der Entwicklung hatte man die folgenden Anwendungsfälle im Blick:
- Single Sign-on
  Ein Benutzer ist nach der Anmeldung an einer Webanwendung automatisch auch zur Benutzung weiterer Anwendungen berechtigt.
- Verteilte Transaktionen
  Mehrere Benutzer arbeiten gemeinsam an einer Transaktion und teilen sich die Sicherheitsinformationen.
- Autorisierungsdienste
  Die Kommunikation mit einem Dienst läuft über eine Zwischenstation, die die Berechtigung überprüft.
Diese Dienste sollen vor allem für Webservices angeboten werden.
SAML besteht aus SAML-Assertions, aus dem SAML-Protokoll, aus SAML-Bindings und Profilen.
Quelle des Glossars: Wikipedia