fgnopporn - stock.adobe.com
Cyberkriminelle greifen Identitäts- und Zugangsrechte an
Digitale Identitäten müssen besonders abgesichert werden, denn sie sind das erste Ziel von Cyberangriffen. Mit IAM verwalten und schützen Unternehmen die Zugriffe auf ihr Netzwerk.
Cyberangriffe sind teuer: Im Jahr 2020 belief sich der Gesamtschaden durch Cyberangriffe für die deutsche Wirtschaft laut einer Bitkom-Umfrage auf 223 Milliarden Euro. Ein Teil dieser Schäden entsteht durch die Verletzung von Identitäts- und Zugangsrechten.
Hacker nehmen sie in 61 Prozent der Fälle in den Blick, wie eine Verizon-Studie ergab. Betroffenen Unternehmen entstehen Kosten von durchschnittlich 4,2 Millionen Dollar, hat eine IBM-Studie ermittelt. Organisationen müssen deshalb ihre Identitäten vor Cyberangriffen schützen.
Schwachstelle Benutzeridentitäten
Die IT-Landschaften in Betrieben haben sich weiterentwickelt und die IT-Sicherheit muss folgen. Unternehmen verteilen ihre Infrastrukturen nach Leistungsangebot und Kostenstrukturen auf verschiedene Anbieter – eine Multi-Cloud-Umgebung entsteht. Hinzu kommt die gewachsene Bedeutung von Remote Work und der häufige Einsatz von privaten Mobilgeräten für berufliche Zwecke (Bring Your Own Device, BYOD).
Was aus Nutzersicht mehr Komfort bedeutet, heißt für die IT-Security, dass sich die Angriffsfläche des Unternehmens stark vergrößert. Die Zahl der Benutzeridentitäten ist gestiegen, denn inzwischen melden sich nicht nur Personen im Firmennetzwerk an. So gibt es in der Industrie eine Vielzahl an Geräteidentitäten, wenn Maschinen und Anlagen vernetzt sind. All diese Identitäten sind attraktive Angriffsziele für Cyberkriminelle.
Wer es schafft, in ein Unternehmensnetzwerk einzudringen, kann weitere Schwachstellen ausnutzen und Schaden verursachen. Ein typisches Beispiel nennt der BSI-Lagebericht 2021 (PDF): Hacker drangen in die internen Systeme der europäischen Arzneimittelagentur (EMA) ein und erbeuteten Daten über COVID-19-Impfstoffe. Sie nutzten dafür nicht den direkten Weg, sondern eine Schwachstelle bei einem Dienstleistungspartner der Agentur. Damit konnten sie die Zugangsdaten für ein EMA-Nutzerkonto entwenden und sich mit dem Dokumentenmanagementsystem der Behörde verbinden.
Zero Trust: Rechte restriktiv zuweisen
Aktuelle Konzepte der Netzwerksicherheit treffen eine Grundannahme zum Schutz von Identitäten: Benutzer, Anwendungen und Daten befinden sich nicht in einer vertrauenswürdigen Sicherheitszone. Deshalb muss auf allen Ebenen das Prinzip der geringsten Rechte gelten. Jede Identität hat also nach der Authentifizierung zunächst nur minimale Berechtigung. Es gilt Zero Trust: Die Aussage dieser Sicherheitsphilosophie: Unternehmen müssen sich auf den Schutz von Ressourcen konzentrieren. Sie dürfen das Vertrauen niemals stillschweigend gewähren, sondern müssen es bei Bedarf explizit verteilen und zudem ständig überprüfen.
Eine solche Zero-Trust-Architektur bewertet für die Erteilung von Zugriffsrechten auf Ressourcen die Gesamtsituation und den Kontext jeder Identität, des benutzten Geräts, der angeforderten Ressourcen und der Sicherheitsrisiken. Dementsprechend werden angemeldeten Identitäten Rechte erteilt oder entzogen.
Auf diese Weise werden auch sogenannte Seitenbewegungen unterbunden. Sicherheitsexperten verstehen darunter den zufällig möglichen, aber sachlich nicht notwendigen Zugriff auf Nebensysteme. Ein Beispiel: Mitarbeiter in der Entwicklungsabteilung benötigen ausschließlich Zugriff auf ihre spezifischen Entwicklungssysteme. Eine Nebenzugriffsmöglichkeit auf die Buchhaltung sollte unterbunden werden.
Diese Security-Maßnahmen in einem Unternehmen fallen unter das Identitäts- und Zugriffsmanagement (IAM, Identity & Access Management). IAM ist ein Framework, mit dem Unternehmen ihre digitalen Identitäten verwalten und Mitarbeitende sicher auf Unternehmensanwendungen zugreifen können. Die entsprechenden Software-Lösungen kontrollieren den Zugriff auf wichtige Daten und nutzen dafür möglichst granulare Rechte in Systemen und Netzen. Personen und Geräte erhalten eine überprüfbare Identität und definierte Zugriffsrechte auf die Daten, die sie für ihre jeweiligen Aufgaben benötigen.
Sichere Authentifizierung von Identitäten
Ergänzend nutzt IAM zwei weitere Verfahren: Erstens Single Sign-On (SSO), um die Anmeldung an die Systeme zu vereinheitlichen und zu vereinfachen. Zweitens eine Mehr-Faktor-Authentifizierung (MFA), um eine ausreichend sichere Authentifizierung anhand von mehreren Merkmalen zu erreichen. Dabei meldet sich eine Identität mit mindestens zwei von drei Identifikationsmerkmalen an:
- Etwas, das man weiß – PIN oder Passwort.
- Etwas, das man hat – etwa eine Chipkarte oder ein Mobiltelefon, auf das eine SMS-Nachricht geschickt wird oder auf dem eine registrierte Authenticator-App läuft.
- Etwas, das man ist – biometrische Merkmale wie Fingerabdruck oder Gesichtsform.
Für Maschinenidentitäten wird auf den entsprechenden Geräten ein fälschungssicheres PKI-Zertifikat installiert, das nur für das Gerät gültig ist und dieses eindeutig ausweist, wie ein elektronischer Pass.
„Für eine möglichst hohe Sicherheit gehört auch der Entzug der Zugriffsrechte zu den Aufgaben von IAM. Denn Unternehmen sollten grundsätzlich ihre Benutzeridentitäten stark restriktiv handhaben.“
Carsten Mieth, Atos
Für eine möglichst hohe Sicherheit gehört auch der Entzug der Zugriffsrechte zu den Aufgaben von IAM. Denn Unternehmen sollten grundsätzlich ihre Benutzeridentitäten stark restriktiv handhaben. So sollten beispielsweise die Zugriffsrechte auf Anwendungen und Daten, die nur für einzelne Projekte wichtig sind, nach dem Ende der Projekte auch wieder entzogen werden. Dasselbe gilt für Personal, das die Firma verlässt.
IAM allein reicht nicht aus
Doch das Management von Identitäten und Zugriffsrechten reicht für einen umfassenden Schutz nicht aus. IAM kümmert sich ausschließlich um Authentifizierung und Autorisierung von Zugriffsberechtigungen. Für eine wirklich umfassende Netzwerksicherheit müssen Unternehmen zusätzlich zwei Maßnahmen ergreifen: Monitoring und Intrusion Detection.
Monitoring-Tools sorgen dafür, dass alle Identitäten in einem Netzwerk überwacht werden. Dadurch können die Unternehmen böswilliges und geschäftsschädigendes Verhalten früher erkennen. Intrusion Detektion lässt sich anhand der im Monitoring gewonnenen Daten am besten mit Lösungen für User Behavior Analytics (UBA) umsetzen. Mit diesen Systemen wird sofort deutlich, wenn eine Identität ein gefährliches Verhalten zeigt.
Sie nutzen dafür Echtzeitanalysen mit Machine Learning. Dabei gehen die BA-Lösungen in zwei Schritten vor: Zunächst erlernen sie das typische und erwartete Nutzerverhalten, anschließend können sie auf der Basis dieses Datensatzes abweichendes Verhalten identifizieren. Dazu gehören der Zugriff auf kritische Systeme, das Erhöhen der Benutzerrechte, Kopieren von geschäftskritischen Daten oder andere Arten von ungewöhnlichem Verhalten. Zusammen mit IAM bewirken diese Lösungen mehr Sicherheit im Netzwerk.
Ein maßgeschneidertes Gesamtkonzept aus IAM, UBA und anderen Maßnahmen kann durchaus umfangreich werden, und auch laufende Wartung und Anpassung, ebenso wie schnelle, teilautomatisierte Reaktion auf erkannte Alarmsituationen, sind erforderlich. Um die Kosten überschaubar zu halten, wird Managed Security – das Auslagern der operativen IT-Sicherheit an spezialisierte Managed-Services-Anbieter – immer beliebter.
Über den Autor:
Carsten Mieth ist Senior Vice President, Head of Telecommunications, Media & Technology Central Europe bei Atos.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.