Cyberkriminalität ist die kriminelle Aktivität Nummer eins in der Welt geworden. Was Unternehmen vom Fall „Edward Snowden“ lernen können, warum sie dem Identity- und Access Management (IAM) ihre Aufmerksamkeit widmen sollten und wie ein IAM-Projekt aufgesetzt wird, erläutert Marina Döhling im Interview mit dem C4B Blog. Sie ist für die cat out GmbH als Executive Consultant zum Thema Cyber- und Datensicherheit zuständig.
Frau Döhling, warum sollten sich Unternehmen mit Identity- und Access-Management beschäftigen?
Marina Döhling: Wie können Sie sicherstellen, dass nur die Personen, Systeme und Services Zugriff auf Ihre Daten, Dienste und IT-Systeme erhalten, die wirklich berechtigt sind? Vor dieser zentralen Frage stehen Unternehmen heute angesichts von Remote-Mitarbeitern, externen Partnern, Lieferanten und Kunden, verteilten Büros und Anwendungen, mobilen Apps, Schnittstellen (API), Endgeräten, Cloud-Services und Cloud-Plattformen. Zudem muss laut Geschäftsgeheimnisgesetz jedes Unternehmen kontrollieren und nachvollziehen können, wer auf was, wann und wo Zugriff hatte. Der klassische Perimeter der IT-Sicherheit fokussiert auf Netzwerk-Firewalls und Zugangs-Passwort, ist aber schon lange nicht mehr ausreichend.
Unternehmen setzen ja vermehrt auf eine “Cloud-First-Strategie.“ Sie sagen, dass dieser Trend sich fortsetzen wird. Was hat das für Folgen für die Sicherheitsstrategie?
Marina Döhling: Das hat gravierenden Einfluss auf die Sicherheitsstrategie. In der Cloud ist die Identität alles. Aber auch in der internen IT ist die Identität ein wesentlicher Faktor. Cloud-Sicherheit sowie Identity- und Access-Management sind der Schlüssel, um beispielsweise Mitarbeitern und Systemen den Zugriff auf Geschäftsanwendungen und sensiblen Daten rollengerecht zu ermöglichen. Zunehmend werden auch geschäftskritische Daten von Unternehmen in beispielsweise der Public Cloud gespeichert, was die Gefahr deutlich vergrößert.
Welche Bereiche sind besonders sicherheitsrelevant?
Marina Döhling: Bei Cyberkriminellen stehen besonders die privilegierten Accounts im Fokus. Zu diesen gehören nicht nur die Administratoren mit weitreichenden Zugriffsrechten auf die Systeme, sondern auch Benutzer mit privilegiertem Zugriff auf sensible Daten und sogenannte „technische“, d.h. nicht mit Personen verbundene Accounts mit automatisiertem, weitreichendem Zugriff in die IT- und Prozess-Landschaft. Diese Accounts beziehungsweise diese Identitäten ermöglichen einen Zugriff auf Datenpools enormen Ausmaßes. Damit stellen sie implizit auch ein Sicherheitsrisiko für das Unternehmen dar. Neben den eben genannten Einfallstoren sind für Kriminelle beispielsweise auch die bei Unternehmen vorhandenen Kundenidentitäten interessant, gerade im Hinblick auf die Online-Systeme.
Lieferte nicht auch Edward Snowden ein Beispiel für einen Insider-Datendiebstahl?
Marina Döhling: Ja genau, Snowden fungierte als Systemingenieur und -administrator und hatte damit die Möglichkeit, auf hochvertrauliche Informationen zuzugreifen. Auch wenn die Snowden-Enthüllungen weltweit auf positive Resonanz gestoßen sind, bleibt doch ein Fakt: Er hat durch Nutzung seiner Administratorrechte Daten entwendet. Das sollte für Unternehmen ein warnendes Beispiel und Anlass sein, über die Beseitigung dieses Sicherheitsrisikos nachzudenken. In den letzten zehn Jahren gab es zahlreiche Sicherheitsverletzungen im Zusammenhang mit dem Missbrauch privilegierter Anmeldedaten, zum Beispiel auch die von der Öffentlichkeit mit großem Interesse verfolgten Datenpanne bei Uber: Bei jedem dieser Vorfälle wurden privilegierte Anmeldedaten zur Planung, Koordination und Durchführung von Cyber-Angriffen missbraucht.
An welchen Punkten drohen Ihrer Erfahrung nach die größten Gefahren?
Marina Döhling: Besondere Gefahren lauern hinter Schatten-Admins, die unbefugt privilegierten Zugriff auf die Core-Systeme haben. Gefährlich sind zudem veraltete Benutzeridentitäten mit Zugriffsrechten, die nicht mehr erforderlich sind. Hier erlebe ich in Unternehmen verschiedene Szenarien. Es gibt Identitäten für Tätigkeiten, die sich im Laufe der Zeit verändert haben, oder einfach falsche Konfiguration, die nicht weiter überprüft wurde. Identitäten werden nicht mehr genutzt, weil Mitarbeiter inzwischen das Unternehmen verlassen haben, oder sie externen Auftragnehmern zugeordnet waren. Teilweise schlummern diese jahrelang unentdeckt im Unternehmen, sind aber noch aktiv und können so missbraucht werden für unberechtigten Datenabfluss. Im Worst-Case-Fall werden sie missbraucht, um die Zugriffsrechte zu erweitern oder neue Accounts anlegen – das ist alles schon vorgekommen.
Wie kann sich ein Unternehmen schützen?
Marina Döhling: Mittels eines Tools aus dem Bereich Privileged Access Management (PAM) können administrative Accounts automatisch verwaltet, regelmäßig geändert und alle Zugriffe überwacht werden. So ein Tool ist sehr hilfreich, unterstützt die Security-Teams und Verantwortlichen durch automatisierte Überwachung der User Aktivitäten und Anomalien-Erkennung. Daraus werden die Sperrung der Identität und Warnung an das Security Team und / oder Incident Management System initiiert. Aber bevor man sich mit der Tool-Auswahl befasst – hier treffen Sie auf Begriffe wie Identity- und Access Management (IAM), Identity Governance and Administration (IGA), Privileged Access Management (PAM), cIAM (Customer IAM) und andere – sind noch einige „Hausaufgaben“ zu erledigen. Ohne eine grundlegende Bewertung der Angriffsmöglichkeiten und ein durchgängiges Konzept zu Ihrer Mitigation ist ein Tool-Einsatz eher zum Scheitern verurteilt.
Was sind denn die Merkmale und Aufgaben eines IAM?
Marina Döhling: Stellvertretend für die eben genannten Begriffe werden hier grundsätzlich Identitäten, Rollen und Berechtigungen von allen im Unternehmen vorhanden Mitarbeitern, Partnern, Dienstleistern und sonstigen Akteuren verwaltet. Es werden Prozesse implementiert für die Vergabe und Steuerung der Berechtigungen der Identitäten unter dem Aspekt der Nachvollziehbarkeit und Compliance. Es sollen nur wirklich benötigte Rechte vergeben und auch wieder gelöscht werden, hier spielt die rollenbasierte Rechtevergabe eine entscheidende Rolle.
Lesen Sie kommende Woche 6 Tipps, was bei einem IAM-Projekt zu beachten ist.
Fotos: Marina Döhling || Unsplash
Über Marina Döhling
Marina Döhling ist seit Beginn ihrer beruflichen Laufbahn in der Informationstechnologie tätig. Basierend auf ihren langjährigen Erfahrungen in Technologie, Geschäftsprozessen und Branchen-Know-how ist sie für die cat out gmbh als Executive Consultant zum Thema Cyber- und Datensicherheit tätig.
Zum Teilbereich Privileged Access Management (PAM) veranstaltet die cat out GmbH ein kostenfreies Webinar am Donnerstag, 25.02.2021 um 14.00 Uhr. Anmeldung unter: www.cat-out.com