Die Zahlen sind alarmierend: Einer aktuellen Studie des IT-Branchenverbands Bitkom zufolge entsteht deutschen Unternehmen durch Datendiebstahl, Sabotage und Wirtschaftsspionage ein Schaden von ca. 55 Mrd. Euro – jährlich! Angesichts dieser Bedrohungen kristallisiert sich das sichere Verwalten von Identitäten und Zugriffsberechtigungen als das zentrale und wirkungsvollste Mittel heraus, um Schaden von Unternehmen abzuwenden oder mindestens zu begrenzen.
81 Prozent der Datenschutzverletzungen basieren auf Passwort Diebstahl – wie kann Identity und Access Management Abhilfe schaffen?
Vor diesem Hintergrund wurde Frithard Meyer zu Uptrup, Geschäftsführer der intension GmbH befragt, wie Identity und Access Management dazu beitragen kann, ausschließlich den „richtigen“ Identitäten einen sicheren und nachvollziehbaren Zugang zu Daten, Systemen und Applikationen zu ermöglichen.
Herr Meyer zu Uptrup, welche strategische Ausrichtung sollte das Management von Identitäten und Berechtigungen aufweisen, um Unternehmen bestmöglich zu schützen?

Frithard Meyer zu Uptrup, Geschäftsführer intension GmbH
F. Meyer zu Uptrup: Viele Hersteller von Identity und Access Management (IAM) bzw. von Identity Management Systemen (IDM) haben sich viel zu lange primär auf die Verwaltung von Identitäten und Zugriffsberechtigungen durch IT-Administratoren konzentriert. Einige Hersteller haben zwar Self-Service-Funktionen für die Anwender implementiert, doch auch bei diesem Ansatz prüft sehr häufig ein Admin als nachgelagerte und freigebende Instanz.
Die Folge: Die Admins müssen über weitreichende Berechtigungen verfügen, die für Missbrauch genutzt werden können. Nur eine IAM-Lösung, die losgelöst von der technischen Sicht die User ins Zentrum des Handelns stellt, kann diese Nachteile beseitigen. Dazu sollte der User-Self-Service so einfach wie möglich konzipiert sein und nur über die zwingend erforderlichen Berechtigungen verfügen. Darüber hinaus muss der Self-Service für normale Anwender leicht verständlich und nutzbar sein, damit Administratoren als kontrollierende Instanz entfallen können. Ganz nebenbei senken Unternehmen so die Kosten und befreien die Admins von den oft monotonen, manuellen Freigabe-Prozessen.
Sie empfehlen also eine vollumfängliche Umsetzung eines User-Self-Service?
F. Meyer zu Uptrup: Die Herausforderung ist, dass alle Identitäten über den kompletten Prozess lückenlos registriert, ein-eindeutig und absolut sicher sind – inklusive der Identitäten von Kunden, Partnern sowie von Cloud-basierten Services. Ansonsten können Identitätslöcher auftreten, welche Angreifer ausnutzen können.
Identitätsleichen – auch gerne „Zombie-Accounts“ genannt – sind für Angreifer ein ideales Ziel. Das in vielen Unternehmen verbreitete „klassische“ IAM genügt diesen gestiegenen Anforderungen nicht mehr. Anwender müssen über wertige Self-Services in die Lage versetzt werden, ihre Identitäten und Zugriffsberechtigungen im vorgesehenen Rahmen selbst zu verwalten. Nur so kann das Sicherheitsniveau bei der Identitäts- und Berechtigungs-Steuerung insgesamt verbessert werden.
In der Praxis erleben wir ständig, dass die Komplexität der IT immer weiter steigt und Identitäten für IT-Lösungen auch außerhalb des eigenen Unternehmens gemanagt werden müssen. Denken Sie an Dienstleister, dessen Mitarbeiter für ein Projekt temporär angebunden und integriert werden müssen. Ohne sichere User-Self-Services wäre das alles nicht mehr sicher zu betreiben.
Beim größten IT-Dienstleister Deutschlands wird unser IAM-System von ca. 11.500 extern angebundenen Mandanten genutzt. In Summe werden ca. 1.8 Millionen Identitäten mit unserer IAM-Lösung verwaltet, was klar für Skalierbarkeit und sprichwörtliche Zuverlässigkeit unserer Lösung spricht.

Data Breach Investigation Report – Identity und Access Management kann Passwort-Diebstahl verhindern. Quelle: Verizon.
Sie sprechen von leicht nutzbaren User-Self-Services. Mit dem rasanten Wachstum Cloud-basierter Services wird das Identitäts- und Berechtigungsmanagement allerdings immer komplexer. Wie kann man den damit verbundenen Sicherheitsrisiken entgegenwirken?
F. Meyer zu Uptrup: Die steigende Komplexität sorgt bei den Verantwortlichen in Unternehmen für Sorgen. Manche tendieren aktuell dazu, sich gegenüber Cloud-Anbietern abzuschotten. Aus meiner Sicht lässt sich das auf Dauer aber nicht durchhalten, denn schließlich ergänzen auch klassische Software-Anbieter wie SAP u.v.m. ihre eigenen On Premise-Lösungen um Cloud-Services. In einer abgeschotteten Umgebung wären diese modernen Lösungen schlicht nicht nutzbar, was auf heftigen Widerspruch der Fachabteilungen stoßen würde.
Der einzig sinnvolle Lösungsansatz ist auch hier eine Anwenderorientierte Sicht und Verwaltung. Wird auf Anwendungen innerhalb von Public Clouds zugegriffen, erfolgt die Authentisierung und Autorisierung mittels Single Sign On nicht über LDAP und Kerberos, sondern über OAuth und SAML (Security Assertion Markup Language). Dies hat zur Folge, dass externe Cloud-Directories z.B. von Microsoft oder Google ins Firmendirectory eingebunden werden müssen.
Herr Meyer zu Uptrup, vielen Dank für dieses Interview.
Das Interview führte Jochen Maier, Geschäftsführer der summ-it Unternehmensberatung.
Daten im Fokus der Angreifer
Nach dem „Data Breach lnvestigation Report 2017″ von Verizon sind 81 Prozent der Datenschutzverletzungen auf entwendete Passwörter zurückführen.
Marktanalysten von Forrester Research gehen davon aus, dass an 80 Prozent der Datenverlust- und Datendiebstahlvorfälle sowie sonstiger unberechtigter Zugriffe Anwender und Administratoren mit erweiterten und falsch zugewiesenen Rechten beteiligt sind.