Rawpixel.com - stock.adobe.com

Der Herausforderung Zugriffssicherheit richtig begegnen

Anwender sollten in Unternehmen nur auf die Daten und Anwendungen zugreifen können, für die sie auch eine Berechtigung besitzen. Dies umzusetzen, ist eine Herausforderung.

Brute-Force-Attacken, Ransomware oder Phishing-Angriffe sind nur eine kleine Auswahl aus dem sich ständig weiterentwickelnden Repertoire von Cyberkriminellen. Gleichzeitig werden Unternehmen immer abhängiger von ihrer IT und der Schutz von Unternehmensdaten somit zur zentralen Aufgabe. Durch die Cloud und mobiles Arbeiten wird das allerdings zunehmend zur Herausforderung. CIOs sind heute an viele Fronten gefordert, um die Sicherheit ihrer Organisationen sicherzustellen.

Einer der grundlegenden Bausteine jedes IT-Sicherheitskonzeptes für Firmen ist die Zugriffssicherheit, oder Access Control. Dabei geht es darum, dass Nutzer nur auf Daten und Anwendungen zugreifen können, für die sie auch eine Authentifikation besitzen. Einerseits geschieht das vor dem Hintergrund der Sicherheit, andererseits werden so aber auch unnötige Lizenzkosten vermieden. Durch die vielen mobilen, und teilweise auch privaten Endgeräte ist es heute allerdings längst nicht mehr damit getan, ein Netzwerk durch eine Firewall abzusichern.

Die IT steht vor neuen Herausforderungen

Digitale Arbeitsplätze und Bring-Your-Own-Device-Konzepte machen es möglich, von überall und zu jeder Zeit zu arbeiten. Vor allem jüngere Arbeitnehmer finden das attraktiv. Für die IT-Abteilungen der Unternehmen kommen damit aber auch eine Reihe neuer Probleme, schließlich müssen sie bei all dem die Sicherheit gewährleisten. Die traditionelle Herangehensweise, bei der ein Perimeter definiert wird, der gegen Angriffe von außen verteidigt wird, stößt dabei schnell an Grenzen. In den hochkomplexen Infrastrukturen aus mobilen Geräten und verschiedenen Clouds braucht es neue Herangehensweisen.

Heute gibt es eine immense Anzahl unterschiedlichster Applikationen. Neben angestammten Client-Server und virtualisierten Anwendungen auch vermehrt Cloud-Apps oder native für iOS oder Android. Für jede Anwendung brauchen Mitarbeiter einen neuen Account. Scheiden Angestellte aus dem Unternehmen aus, oder wechseln ihre Position, müssen Accounts gelöscht werden. Hinzu kommt, dass immer mehr Mitarbeiter wie externe Partner nur temporäre Zugriffsrechte für bestimmte Projekte brauchen. Viele Unternehmen nutzen „Delegated Access Control“ um dieses Problem anzugehen. Bei diesem Vorgehen werden die Zugriffsrechte nicht zentral von der IT, sondern von Abteilungsleitern verwaltet. Das birgt aber auch Risiken, da Personen außerhalb des IT-Teams Administrator-Rechte erhalten.

Der verbreitetste Authentifikationsstandard bei gängigen Web Apps ist heute immer noch ein Nutzername in Kombination mit einem Passwort. Viele sind der Meinung, möglichst hohe Sicherheit durch möglichst komplizierte Passwörter zu erreichen. Doch auch lange Phrasen mit Sonderzeichen und Zahlen lassen sich mit modernen Tools relativ schnell knacken. Renommierte Unternehmen, wie Yahoo, Uber, Twitter und Apple hatten in der Vergangenheit mit Passwortpannen zu kämpfen.

Machine Learning und User Behavior Analytics bringen mehr Sicherheit

Die IT-Umgebungen werden nicht nur immer verzweigter, sie produzieren auch Daten in einem Ausmaß, das vor wenigen Jahren noch unvorstellbar gewesen wäre. Viel mehr, als Menschen mit vertretbarem Aufwand analysieren könnten. Hier kommen neue Technologien wie Machine Learning oder künstliche Intelligenz ins Spiel. Mit User Behavior Analytics (UBA), einer Anwendung die auf automatischer Mustererkennung basiert, können Nutzerprofile erstellt werden. In diesen Profilen werden jeweils Verhaltensnormen definiert. Bei einem von der Norm abweichenden Verhalten löst das System einen Alarm aus.

Das kann beispielsweise der Fall sein, wenn sich ein Mitarbeiter von unbekannten Orten aus ungewöhnlich viele Datensätze herunterladen möchte. IT-Teams können dann einschreiten und den Verdacht prüfen. Das verkürzt die Zeitspanne, in der sich Eindringlinge im System bewegen können enorm. Mithilfe von Analytics-Funktionen können IT-Experten quantitative Aufgaben, mit denen sie sonst überfordert wären, einfach an Maschinen abgeben und somit zuverlässig Echtzeitschutz gewährleisten.

Stefan Volmari, Citrix

„Zugriffskontrolle wird durch die verteilten Strukturen der Unternehmens-IT in Zukunft ein noch wichtigerer Teil des Sicherheitskonzepts.“

Stefan Volmari, Citrix

Außerdem wird es Zeit über Alternativen zum klassischen Passwort nachzudenken. Dass können beispielsweise biometrische Merkmale sein, wie ein Fingerabdruck-Scan, wie man ihn schon vom iPhone kennt. Dadurch geht die Authentifikation sehr schnell und nutzerfreundlich von statten, außerdem sorgt die Biometrie für erhöhte Sicherheit. Die Merkmale des menschlichen Körpers sind quasi fälschungssicher. Die größtmögliche Sicherheit erhält man, wenn man Biometrie noch mit anderen Faktoren kombiniert und eine Multi-Faktor-Authentifizierung schafft. Dabei kommen neben dem klassischen Passwort sogenannte Token zum Einsatz, welche Hard- oder Software basiert sein können. Der Vorteil: neben Passwörtern müssten zusätzlich auch noch Token erbeutet und biometrische Merkmale gefälscht werden.

Fazit

Zugriffskontrolle wird durch die verteilten Strukturen der Unternehmens-IT in Zukunft ein noch wichtigerer Teil des Sicherheitskonzepts. Auch wenn bisher keine Sicherheitspannen aufgetreten sind, ist Access Control nach modernen Maßstäben ein Muss. Denn dadurch wird nicht nur die Sicherheit erhöht, sondern auch Ressourcen von Mitarbeitern geschont und die Produktivität gesteigert.

Über den Autor:
Stefan Volmari ist Director Sales Engineering Central Europe bei Citrix.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Gratis-eBook: Benutzerkonten und Rechte im Griff

die schleichende Rechteausweitung bei Benutzerkonten

Schritt für Schritt: Die Sicherheit im Active Directory verbessern

Erfahren Sie mehr über Identity and Access Management (IAM)