• Xing
  • LinkedIn
  • Facebook
  • Twitter
intension GmbH
  • Lösungen
    • Übersicht
    • Identity- und Access-Management
    • Compliance Management
    • Business Process Integration
    • Directory Services
    • Single Sign On
    • EU DSGVO
  • Produkte
    • Übersicht
    • Keycloak
    • Enterprise Identity
      • Identity und Access Management Suite
      • iDome
    • login>master
      • Postident
  • intension
    • Über intension
    • Kunden und Referenzen
    • Partner
    • News und Events
    • Services
  • Jobs
  • News
  • Kontakt
  • Suche
  • Menü Menü
Identity Inspection- Identity Access Management - intension GmbH

Der intension Blog

Bleiben Sie am Ball mit Informationen rund um
Identity und Access Management.

Die Zahlen sind alarmierend: Einer aktuellen Studie des IT-Branchenverbands Bitkom zufolge entsteht deutschen Unternehmen durch Datendiebstahl, Sabotage und Wirtschaftsspionage ein Schaden von ca. 55 Mrd. Euro – jährlich! Angesichts dieser Bedrohungen kristallisiert sich das sichere Verwalten von Identitäten und Zugriffsberechtigungen als das zentrale und wirkungsvollste Mittel heraus, um Schaden von Unternehmen abzuwenden oder mindestens zu begrenzen.

81 Prozent der Datenschutzverletzungen basieren auf Passwort Diebstahl – wie kann Identity und Access Management Abhilfe schaffen?

Vor diesem Hintergrund wurde Frithard Meyer zu Uptrup, Geschäftsführer der intension GmbH befragt, wie Identity und Access Management dazu beitragen kann, ausschließlich den „richtigen“ Identitäten einen sicheren und nachvollziehbaren Zugang zu Daten, Systemen und Applikationen zu ermöglichen.

Herr Meyer zu Uptrup, welche strategische Ausrichtung sollte das Management von Identitäten und Berechtigungen aufweisen, um Unternehmen bestmöglich zu schützen?

Frithard Meyer zu Uptrup, Geschäftsführer intension GmbH

Frithard Meyer zu Uptrup, Geschäftsführer intension GmbH

F. Meyer zu Uptrup: Viele Hersteller von Identity und Access Management (IAM) bzw. von Identity Management Systemen (IDM) haben sich viel zu lange primär auf die Verwaltung von Identitäten und Zugriffsberechtigungen durch IT-Administratoren konzentriert. Einige Hersteller haben zwar Self-Service-Funktionen für die Anwender implementiert, doch auch bei diesem Ansatz prüft sehr häufig ein Admin als nachgelagerte und freigebende Instanz.

Die Folge: Die Admins müssen über weitreichende Berechtigungen verfügen, die für Missbrauch genutzt werden können. Nur eine IAM-Lösung, die losgelöst von der technischen Sicht die User ins Zentrum des Handelns stellt, kann diese Nachteile beseitigen. Dazu sollte der User-Self-Service so einfach wie möglich konzipiert sein und nur über die zwingend erforderlichen Berechtigungen verfügen. Darüber hinaus muss der Self-Service für normale Anwender leicht verständlich und nutzbar sein, damit Administratoren als kontrollierende Instanz entfallen können. Ganz nebenbei senken Unternehmen so die Kosten und befreien die Admins von den oft monotonen, manuellen Freigabe-Prozessen.

Sie empfehlen also eine vollumfängliche Umsetzung eines User-Self-Service?

F. Meyer zu Uptrup: Die Herausforderung ist, dass alle Identitäten über den kompletten Prozess  lückenlos registriert, ein-eindeutig und absolut sicher sind – inklusive der Identitäten von Kunden, Partnern sowie von Cloud-basierten Services. Ansonsten können Identitätslöcher auftreten, welche Angreifer ausnutzen können.

Identitätsleichen – auch gerne „Zombie-Accounts“ genannt – sind für Angreifer ein ideales Ziel. Das in vielen Unternehmen verbreitete „klassische“ IAM genügt diesen gestiegenen Anforderungen nicht mehr. Anwender müssen über wertige Self-Services in die Lage versetzt werden, ihre Identitäten und Zugriffsberechtigungen im vorgesehenen Rahmen selbst zu verwalten. Nur so kann das Sicherheitsniveau bei der Identitäts- und Berechtigungs-Steuerung insgesamt verbessert werden.

In der Praxis erleben wir ständig, dass die Komplexität der IT immer weiter steigt und Identitäten für IT-Lösungen auch außerhalb des eigenen Unternehmens gemanagt werden müssen. Denken Sie an Dienstleister, dessen Mitarbeiter für ein Projekt temporär angebunden und integriert werden müssen. Ohne sichere User-Self-Services wäre das alles nicht mehr sicher zu betreiben.

Beim größten IT-Dienstleister Deutschlands wird unser IAM-System von ca. 11.500 extern angebundenen Mandanten genutzt. In Summe werden ca. 1.8 Millionen Identitäten mit unserer IAM-Lösung verwaltet, was klar für Skalierbarkeit und sprichwörtliche Zuverlässigkeit unserer Lösung spricht.

Data Breach Investigation Report - Identity und Access Management kann Passwort-Diebstahl verhindern - intension GmbH

Data Breach Investigation Report – Identity und Access Management kann Passwort-Diebstahl verhindern. Quelle: Verizon.

Sie sprechen von leicht nutzbaren User-Self-Services. Mit dem rasanten Wachstum Cloud-basierter Services wird das Identitäts- und Berechtigungsmanagement allerdings immer komplexer. Wie kann man den damit verbundenen Sicherheitsrisiken entgegenwirken?

F. Meyer zu Uptrup: Die steigende Komplexität sorgt bei den Verantwortlichen in Unternehmen für Sorgen. Manche tendieren aktuell dazu, sich gegenüber Cloud-Anbietern abzuschotten. Aus meiner Sicht lässt sich das auf Dauer aber nicht durchhalten, denn schließlich ergänzen auch klassische Software-Anbieter wie SAP u.v.m. ihre eigenen On Premise-Lösungen um Cloud-Services. In einer abgeschotteten Umgebung wären diese modernen Lösungen schlicht nicht nutzbar, was auf heftigen Widerspruch der Fachabteilungen stoßen würde.

Der einzig sinnvolle Lösungsansatz ist auch hier eine Anwenderorientierte Sicht und Verwaltung. Wird auf Anwendungen innerhalb von Public Clouds zugegriffen, erfolgt die Authentisierung und Autorisierung mittels Single Sign On nicht über LDAP und Kerberos, sondern über OAuth und SAML (Security Assertion Markup Language). Dies hat zur Folge, dass externe Cloud-Directories z.B. von Microsoft oder Google ins Firmendirectory eingebunden werden müssen.

Herr Meyer zu Uptrup, vielen Dank für dieses Interview.

Das Interview führte Jochen Maier, Geschäftsführer der summ-it Unternehmensberatung.

Daten im Fokus der Angreifer

Data Breach Investigation Report - Identity und Access Management kann Passwort-Diebstahl verhindern - intension GmbHNach dem „Data Breach lnvestigation Report 2017″ von Verizon sind 81 Prozent der Datenschutzverletzungen auf entwendete Passwörter zurückführen.

Marktanalysten von Forrester Research gehen davon aus, dass an 80 Prozent der Datenverlust- und Datendiebstahlvorfälle sowie sonstiger unberechtigter Zugriffe Anwender und Administratoren mit erweiterten und falsch zugewiesenen Rechten beteiligt sind.

Glossar

  • OAuth

    OAuth (Open Authentication) ist ein offenes Protokoll, das eine standardisierte, sichere API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlaubt. Es wurde von Blaine Cook und Chris Messina initiiert.

    Ein Endbenutzer (User oder Ressource Owner) kann mit Hilfe dieses Protokolls einer Anwendung (Client) den Zugriff auf seine Daten erlauben (Autorisierung), die von einer anderen Anwendung (Ressource Server) verwaltet werden, ohne alle Details seiner Zugangsberechtigung zur anderen Anwendung (Authentifizierung) preiszugeben. Der Endbenutzer kann so Dritte damit beauftragen und dazu autorisieren, sich von ihnen den Gebrauchswert von Anwendungen erhöhen zu lassen. Typischerweise wird dabei die Übermittlung von Passwörtern an Dritte vermieden.

  • SAML - Security Assertion Markup Language

    Die Security Assertion Markup Language (SAML) ist ein XML-Framework zum Austausch von Authentifizierungs- und Autorisierungsinformationen. Sie stellt Funktionen bereit, um sicherheitsbezogene Informationen zu beschreiben und zu übertragen.

    SAML wurde ab 2001 von dem OASIS-Konsortium entwickelt. Zu diesem Konsortium gehören Unternehmen wie Sun Microsystems (übernommen von Oracle), IBM, Nokia und SAP. Bei der Entwicklung hatte man die folgenden Anwendungsfälle im Blick:

    • Single Sign-on
      Ein Benutzer ist nach der Anmeldung an einer Webanwendung automatisch auch zur Benutzung weiterer Anwendungen berechtigt.
    • Verteilte Transaktionen
      Mehrere Benutzer arbeiten gemeinsam an einer Transaktion und teilen sich die Sicherheitsinformationen.
    • Autorisierungsdienste
      Die Kommunikation mit einem Dienst läuft über eine Zwischenstation, die die Berechtigung überprüft.

    Diese Dienste sollen vor allem für Webservices angeboten werden.

    SAML besteht aus SAML-Assertions, aus dem SAML-Protokoll, aus SAML-Bindings und Profilen.

    Quelle des Glossars: Wikipedia

Fragen? Wir haben Antworten!

Wir freuen uns auf Ihre Nachricht.

Enterprise Identity- Identity Access Management - intension GmbH

    Betreff *

    Name *

    E-Mail *

    Telefon

    Wann dürfen wir Sie zurückrufen?

    Nachricht *


    Bitte Text einfügen captcha

    Bitte beweise, dass du kein Spambot bist und wähle das Symbol Stern aus.

    Hiermit willige ich ein, dass mich die intension GmbH mittels Telefon, E-Mail oder Post kontaktieren darf. Mir ist bewusst, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft, per E-Mail an info@intension.de oder über dieses Kontaktformular widerrufen kann. Wir setzen Sie davon in Kenntnis, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird. Unsere Datenschutzerklärung.

    •  

    LÖSUNGEN

    • Identity & Access Management
    • Single Sign On
    • Directory Services
    • Compliance Management
    • EU DSGVO

    PRODUKTE

    • Keycloak
    • Enterprise Identity
    • login>master
    • iDome

    INTENSION

    • Jobs
    • intension
    • Kunden und Referenzen
    • Services
    • Blog

    Logo intension GmbH

    © intension GmbH

    Impressum | Datenschutz

    intension GmbH Login Alliance Member

    Nach oben scrollen
    Datenschutzeinstellungen Datenschutzeinstellungen

    Wir benötigen Ihre Zustimmung, bevor Sie unsere Website weiter besuchen können. Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten. Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.

    Datenschutzeinstellungen

    Alle akzeptieren

    Speichern

    Nur essenzielle Cookies akzeptieren

    Individuelle Datenschutzeinstellungen

    Cookie-Details Datenschutzerklärung Impressum

    Datenschutzeinstellungen Datenschutzeinstellungen

    Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten. Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.

    Alle akzeptieren Speichern Nur essenzielle Cookies akzeptieren

    Zurück

    Datenschutzeinstellungen

    Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

    Cookie-Informationen anzeigen Cookie-Informationen ausblenden

    Name
    Anbieter Eigentümer dieser Website, Impressum
    Zweck Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
    Cookie Name borlabs-cookie
    Cookie Laufzeit 1 Jahr

    Statistik Cookies erfassen Informationen anonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher unsere Website nutzen.

    Cookie-Informationen anzeigen Cookie-Informationen ausblenden

    Akzeptieren
    Name
    Anbieter Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
    Zweck Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
    Datenschutzerklärung https://policies.google.com/privacy?hl=de
    Cookie Name _ga,_gat,_gid
    Cookie Laufzeit 2 Monate

    Inhalte von Videoplattformen und Social-Media-Plattformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Einwilligung mehr.

    Cookie-Informationen anzeigen Cookie-Informationen ausblenden

    Akzeptieren
    Name
    Anbieter Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland
    Zweck Wird verwendet, um Facebook-Inhalte zu entsperren.
    Datenschutzerklärung https://www.facebook.com/privacy/explanation
    Host(s) .facebook.com
    Akzeptieren
    Name
    Anbieter Twitter International Company, One Cumberland Place, Fenian Street, Dublin 2, D02 AX07, Ireland
    Zweck Wird verwendet, um Twitter-Inhalte zu entsperren.
    Datenschutzerklärung https://twitter.com/privacy
    Host(s) .twimg.com, .twitter.com
    Cookie Name __widgetsettings, local_storage_support_test
    Cookie Laufzeit Unbegrenzt

    Borlabs Cookie powered by Borlabs Cookie

    Datenschutzerklärung Impressum