Neue Konzepte für das Identitätsmanagement
Zusammen mit den sich verändernden Arbeitsweisen und Tools wird auch das Identitäts- und Berechtigungsmanagement zur Absicherung von Daten und IT zunehmend komplexer. Unternehmen und IT-Administration sehen sich mit der Herausforderung konfrontiert, höchste Compliance-Anforderungen mit einem möglichst unkomplizierten und nahtlosen Zugang zu relevanten Infrastrukturen zu vereinen. Um den zunehmenden Risiken für die IT-Sicherheit in Zukunft begegnen zu können, sind daher anpassungsfähige Werkzeuge und Ansätze gefragt.
Wo und wie wir arbeiten, wird sich für immer verändern. Das ist einerseits auf eine längerfristige Entwicklung zurückzuführen, insbesondere was die zunehmende Konnektivität durch Mobilfunk, Cloud und das Internet der Dinge betrifft. Die Anzahl an vernetzten Arbeitsgeräten und die Vielzahl an Daten steigt seit Jahren konstant an. Einen weiteren Schub in Richtung Digitalisierung und Mobilität erlebt die Arbeitswelt nun aufgrund der Corona-Pandemie, was eine kürzlich herausgegebene Studie des Fraunhofer-Instituts für Arbeitswirtschaft und Organisation IAO [http://publica.fraunhofer.de/eprints/urn_nbn_de_0011-n-5934454.pdf] bestätigte. "Hier hat im Zeitraffer und unter starkem Druck eine immense Modifikation der Arbeitssituation stattgefunden", sind sich die Autoren einig. Der "Normalfall Büro" entwickelt sich – angestoßen durch die Pandemie-bedingte Notwendigkeit – nun anhaltend hin zu hybriden und flexiblen Arbeitsumgebungen.
Home Office wird auch nach Corona bleiben
Während vor der Corona-Phase in deutschen Unternehmen die klassische Arbeits- und Büroorganisation dominierte (mehr als 90 Prozent der Befragten gaben an, dass die Mitarbeitenden im Unternehmen grundsätzlich ihren eigenen festen Arbeitsplatz haben), wurden pandemiebedingt annähernd 70 Prozent der Büroarbeitsplätze auf Home Office umgestellt, bei gut 21 Prozent kam das Modell einer 50:50-Aufteilung zum Einsatz. Das entscheidende Ergebnis der Studie ist jedoch, dass es sich hier um kein kurzfristiges Phänomen handelt – bei der überwiegenden Mehrheit der deutschen Unternehmen hat ein Umdenken in Richtung Home Office und virtuelle Arbeitsformen stattgefunden, das den Büroalltag zukünftig erheblich verändern dürfte. Die Autoren kommen zu dem Schluss, "dass in den Wochen der Corona-Krise Veränderungen stattgefunden haben, die vorher selbst über viele Jahre hinweg nicht realisierbar schienen. Deutschland in der Corona-Krise manifestiert sich damit als ein großräumig angelegter Experimentierraum!"
Zusammen mit der bereits genannten langfristigen Entwicklung hin zu zunehmender Konnektivität und dem Übergang in die Cloud wird das Gelingen dieses Experiments ganz maßgeblich von der zugrundliegenden IT-Infrastruktur abhängen – und von der Frage, ob diese ausreichend flexibel und sicher organisiert ist, um den Schritt in die Arbeitswelt der Zukunft zu unterstützen.
Die Allgegenwärtigkeit der mobilen Kommunikation, das Internet der Dinge und die zunehmende Remote-Arbeit lassen die Anzahl der Geräte, die auf die Systeme und Anwendungen eines Unternehmens zugreifen können, immer weiter ansteigen. Mit der Anzahl der Endpunkte und Benutzer in einem Netzwerk vergrößert sich jedoch das Potenzial für Hacking, Datendiebstahl und Datenbetrug. Die Identitäts- und Zugriffsverwaltung (IAM, Identity & Access Management) gehört daher zu den allerwichtigsten Aufgaben bei der Einrichtung zukunftsweisender IT-Infrastrukturen und zeitgemäßer Arbeitsplätze.
Die Zukunft gehört cloudbasierten, passwortlosen digitalen Identitäten
In Zeiten der Cloud und Remote-Arbeit erscheinen Perimeter-basierte Sicherheitskonzepte veralteter denn je. Eine der größten Herausforderungen für die IT-Sicherheit ist heute die Absicherung digitaler Transaktionen und der Schutz digitaler Identitäten. Und hier sind neue Methoden gefragt, denn immer noch rangieren Mitarbeiterpasswörter als größte Schwachstellen für Unternehmen ganz oben. Zwei Beispiele aus der Praxis: Obwohl mittlerweile das Phänomen von Phishing-E-Mails hinreichend bekannt ist, konnten im April dieses Jahres Kriminelle beträchtlichen Erfolg mit COVID-bezogenen E-Mails erzielen.
Eine aktuelle Studie hat zudem ergeben, dass 42 Prozent aller Arbeitsnehmer Passwörter immer noch physisch aufschreiben, nahezu 20 Prozent verwenden dasselbe Kennwort über mehrere Arbeitsgeräte und Anwendungen hinweg [http://www.entrustdatacard.com/about/newsroom/press-releases/2020/consumer-survey-reveals-poor-password-hygiene-among-remote-workers]. Für Unternehmen sind die Risiken durch kompromittierte oder gestohlene Credentials immens. Betrüger können Daten manipulieren oder löschen, Geldflüsse steuern, Aufträge auslösen oder Türen und Tore von Gebäuden öffnen. Das Risiko unbefugter Datenzugriffe steigert sich durch wenig abgesicherte Home-Office-Umgebungen noch erheblich. Es ist also dringend an der Zeit, diese immer noch allgegenwärtige Authentifizierungsmethode abzulösen.
Dabei reicht es aber nicht aus, Passwörter lediglich durch andere Authentisierungsmethoden wie zum Beispiel FaceID via Smartphone oder Hardware-Tokens zu ersetzen. Ziel sollte es sein, die Abhängigkeit von einem einzelnen Angriffspunkt zu lösen. Bei einer wirklich hochsicheren Authentifizierung basiert der Datenzugriff auf verschiedenen Berechtigungsnachweisen. Hier gibt es diverse Ansätze, die sich in der Realität sowohl für die IT-Administration als auch für die Mitarbeiter aber oft als komplex erweisen. Wir erwarten heute nahtlose Zugriffsmöglichkeiten – wenn Sicherheitsmaßnahmen zum Einsatz kommen, die auch nur geringfügige Verzögerungen beim Zugriff auf Netzwerke, Anwendungen oder Geräte verursachen, ist die Inakzeptanz und ein Backlash der Endbenutzer so gut wie sicher. Zu komplexe Lösungen haben daher keine Chance auf Durchsetzung.
Multifaktor-Authentisierung nicht unüberwindbar
Zukunftsweisende Technologien für das Identitäts- und Zugriffsmanagement ermöglichen sowohl eine hochsichere Benutzerauthentifizierung, als auch eine reibungslose Benutzererfahrung. Wobei die zunehmende Konnektivität durch Mobilfunk, Cloud und das Internet der Dinge einen technologischen Wandel hin zu stärker vernetzten Sicherheitskonzepten bedingt. In der Vergangenheit wurden Berechtigungsnachweise zumeist hardwarebasiert auf Smartcards oder Tokens gespeichert, die für den Zugang zu Gebäuden und Netzwerken gescannt werden mussten.
Durch die Konvergenz von physischer und logischer Sicherheit können wir uns mittlerweile auf robustere und bequemere Authentifizierungsmethoden stützen, die sowohl physische als auch digitale Berechtigungsnachweise umfassen. Multifaktor-Strategien für das Identitäts- und Zugriffsmanagement nutzen die vorhandenen Authentifizierungsmethoden einer Organisation – seien es Hardware-Token oder Benutzername/Passwort-Kombinationen – und fügen weitere Sicherheitsebenen wie Einmalpasswörter (OTPs), PIN-Codes oder biometrische Verfahren (zum Beispiel Fingerabdruck, Gesichts- oder Iriserkennung) hinzu. Hierfür findet zunehmend das Smartphone als mobiler Formfaktor Verwendung.
Diese Multifaktor-Authentifizierungsverfahren eignen sich auch für Remote-Zugriff und Bring-your-own-Device-Ansätze. Unternehmen können ihre Systeme und Netzwerke damit besser vor betrügerischem Zugriff schützen und mit größerer Gewissheit überprüfen, dass die Benutzer wirklich diejenigen sind, für die sie sich ausgeben. Die Hacker halten jedoch Schritt, Wege zur Umgehung der Multifaktor-Authentifizierung zu finden. Unternehmen sollten daher erneut ihre bestehenden Systeme zur Zugangskontrolle und Identitätsprüfung überdenken.
Zero Trust und Plug and Play
Als Reaktion auf die ständige Weiterentwicklung von Bedrohungen durch Hacker etabliert sich mit dem Zero-Trust-Modell derzeit ein zukunftsweisender Ansatz. Hier erhalten Benutzer über die gleichen multimodalen Authentifizierungsmethoden Zugang zu Systemen oder Informationen wie bisher, bekommen aber nur den Zugriff auf die – für ihre spezifische Aufgabe – jeweils geringstmögliche Ebene innerhalb eines Netzwerks oder einer relevanten Anwendung gewährt. Es handelt sich um einen rein datenzentrierten, granularen Ansatz, der jeden einzelnen Datenfluss auf Vertrauenswürdigkeit überprüft. Das Risiko eines nicht-sanktionierten Netzwerkszugriffs lässt sich dadurch minimieren und die Angriffsfläche erheblich reduzieren.
Zero-Trust-Sicherheitssysteme überwachen und vergleichen die aktuellen Aktivitäten mit gespeicherten Profilen des Benutzerverhaltens und passen darauf basierend die Zugriffsebenen und zusätzlichen Verifizierungsstufen an. Diese adaptiven Authentifizierungspraktiken nutzen künstliche Intelligenz und maschinelles Lernen in Kombination mit Verhaltensanalysen, die die IAM-Systeme einer Organisation sammeln. Damit erweitern sich die drei bis dato eingesetzten Faktoren zur Authentifizierung (Wissen, Besitz, Biometrie) um eine neue Komponente: Das Verhalten prägt nun als vierter Faktor die Entwicklung des Identitätsmanagements. So gewinnt unter anderem die Verhaltensbiometrie für die Authentifizierung an Popularität. Typische Tastenanschlagsmuster, Bewegungen der Maus oder Streichbewegungen am Touchscreen erweitern damit die Datengrundlage für die Verifizierung von Identitäten.
Mehrstufiger Ansatz zur Benutzerauthentisierung
Nun erkennen viele Unternehmen zwar den Bedarf nach einer zeitgemäßeren IAM-Methode an. In der Praxis scheitern solche Vorhaben aber oft an der scheinbaren Komplexität. Unternehmen fürchten sich vor einem kostspieligen Komplettaustausch ihrer bestehenden IAM-Systeme und der zusätzlichen Belastung für ihre IT-Administration. Gesucht sind daher erschwingliche Lösungen mit Plug-and-Play-Fähigkeiten und einfacher Integrationsmöglichkeit in bestehende IT-Umgebungen. Anbieter wie Entrust Datacard sind in diesem Bereich tätig, etwa mit der cloudbasierten Authentifizierungsplattform IntelliTrust. Sie unterstützt die sichere, mobile Bereitstellung aller gängigen Anwendungen und Netzwerksysteme unterstützt und ermöglicht es Unternehmen darüber hinaus, Bring-your-own-Device-Richtlinien zu übernehmen oder neu einzuführen.
Für die lückenlose Benutzerauthentisierung arbeitet IntelliTrust mit einem mehrstufigen Ansatz. Es unterstützt eine breite Auswahl an Authentifikatoren, von hochsicheren Berechtigungszertifikaten bis hin zu unkomplizierten mobilen Lösungen. Single-Sign-on-(SSO)-Funktionen vereinfachen den Anmeldeprozess für die Benutzer – unabhängig davon, ob sie auf Ressourcen in der Cloud oder vor Ort zugreifen. Darüber hinaus bindet die Plattform adaptive Methoden wie die Berücksichtigung kontextbezogener Daten, die Analyse des Benutzerverhaltens oder der Gerätereputation mit ein. Dieser risikobasierte Ansatz minimiert die Komplexität für die Benutzer, die von einer unkomplizierten, nahtlosen Authentifizierungserfahrung profitieren. Insgesamt erhöhen sich die Kontrollmöglichkeiten jedoch, Ziel ist ein Höchstmaß an Sicherheit.
Nahtlose Integration gefragt
Robuste Sicherheitsfunktionen sind ein Muss, aber wenn der zugrundliegende IT-Aufwand komplex ist, wirkt sich das negativ auf die geschäftliche Agilität aus. Im Idealfall sollten sich neue IAM-Konzepte daher nahtlos in bestehende Netzwerkinfrastrukturen einfügen, egal ob es sich um native Cloud- oder Hybrid-Cloud-Architekturen handelt. Mit vorgefertigten Konnektoren, Plug-and-Play-Funktionen und einer Workflow-gesteuerten Konfiguration lassen sich außerdem die Bereitstellungsaufgaben für die IT rationalisieren, sodass sich neue Anwendungen im Handumdrehen in bestehende IAM-Architekturen einbinden lassen.
Sofort einsatzbereite Directory-Tools für das Active Directory und LDAP-Repositorys reduzieren den manuellen Aufwand genauso wie umfassende Berichtfunktionen, das komplette Identitäts- und Zugriffsmanagement erfolgt über eine einheitliche, intuitive Plattform. Zuguterletzt sei noch erwähnt, dass sich skalierbare Zero-Trust-Authentifizierungslösungen wie die IntelliTrust-Plattform auf individuelle System- und Compliance-Anforderungen anpassen lassen, was sie für ein breites Spektrum von Kunden und Branchen einsetzbar macht.
Fazit
Eine wirklich zeitgemäße und zukunftssichere Identitäts- und Zugriffsverwaltung setzt sich aus verschiedenen Aspekten zusammen: Sie muss das Unternehmen selbst vor den raffiniertesten Cyberkriminellen schützen und sollte idealerweise auf einer Zero-Trust-Sicherheitsarchitektur mit fortschrittlichsten Authentifizierungsmethoden basieren. Gleichzeitig müssen Anwender jedoch einen möglichst unkomplizierten Zugriff auf alle benötigten Ressourcen erhalten, um die Geschäftskontinuität zu fördern. IT-Administration und Unternehmensführung profitieren darüber hinaus von einfach zu integrierenden und skalierbaren Lösungen, die den Verwaltungs- und Kostenaufwand so gering wie möglich halten.
Autor: Xavier Coemelck, Regional Vice President Sales & Services EMEA bei Entrust Datacard