Jakub Jirsák - stock.adobe.com
IAM in Zeiten der Datenschutz-Grundverordnung
Obwohl Datenlecks nicht nur rufschädigend sind, sondern auch richtig teuer werden können, wird dem reinen Datenschutz häufig mehr Beachtung geschenkt als dem Identitätsmanagement.
Nur wenige Stunden nach unmittelbarer Wirksamkeit der DSGVO wurden Google und Facebook mit Datenschutzbeschwerden konfrontiert, die im schlimmsten Fall zu Geldbußen von bis zu 9,3 Milliarden US-Dollar hätten führen können. Das ist ein deutlicher Beweis dafür, dass die EU sich nicht scheut, in Konfrontation zu gehen und dass Unternehmen überall auf die Datenschutz-Grundverordnung vorbereitet sein müssen, wenn sie in Europa tätig sind. Dabei kann eine durchdachte Strategie zum Identity & Access Management (IAM) helfen. Doch viele Unternehmen sehen immer noch nicht die Risiken, die durch Datenlecks entstehen können.
Tatsächlich ist der Umgang mit Datenschutzverletzungen das Kernelement der DSGVO. Es ist also umso seltsamer, dass dem Datenschutz in den meisten Fällen mehr Aufmerksamkeit geschenkt wird als dem Identitätsmanagement. Unternehmen können keinen intern fokussierten Blick mehr auf IAM werfen, wenn der Netzwerkrand jeden Tag poröser wird. Sie müssen Wege finden, um Mitarbeitern, Partnern, Auftragnehmern und Kunden einen kontrollierten und sicheren Zugang zu ermöglichen. In diesem Zusammenhang verlangt die DSGVO/GDPR, dass nachvollziehbar ist, wie alle Akteure auf die sensiblen, personenbezogenen Daten der Unternehmen zugreifen.
Die Kosten von Datenlecks
Im Jahr 2015 musste die Hotelkette Hilton wegen Datenschutzverletzungen eine Geldstrafe von 700.000 US-Dollar zahlen. Unter der DSGVO hätte die Geldbuße tatsächlich bis zu 420 Millionen US-Dollar betragen können – also eine ganz andere Hausnummer. Im Jahr 2017 berichtete Security Intelligence, dass 75 Prozent der Verstöße intern verursacht wurden, und laut dem Ponemon Institute sind die wahrscheinlichste Ursache für Datenschutzverletzungen nachlässige Insider, gefolgt von bösartigen Insidern, gefolgt von externen Hackern.
Laut DSGVO müssen all diese Bedrohungen für den Datenschutz sorgfältig gehandhabt werden. Obwohl die Verordnung in Bezug auf IAM wenig explizit ist, fordert die DSGVO, dass „Privacy by Design“ durch technische Implementierung, die „Benutzerauthentifizierung“ beinhalten muss, bereitgestellt wird. Das erfordert eine IAM-Strategie und -Plattform, die einen kontrollierten Zugriff auf die sensiblen personenbezogenen Daten ermöglicht – und sie muss für alle Personen gelten, die auf diese Daten zugreifen. Also vom Zeitpunkt des ersten Zugriffs des Benutzers, wenn sich seine Rollen ändert, bis hin zu dem Zeitpunkt, an dem er keinen Zugriff mehr auf die Daten benötigt.
Keine DSGVO ohne IAM
Um die DSGVO einzuhalten, müssen Unternehmen sicherstellen, dass personenbezogene Daten nur von den richtigen Personen eingesehen werden können, für den ausdrücklichen Zweck, zu dem sie erhoben wurden, und nur für den Zeitraum, für den sie benötigt werden. Die Datenminimierung ist dabei ein Kernthema der Verordnung. Unternehmen müssen sicherstellen, dass sie so wenig Daten wie möglich über eine Person haben.
„Es reicht nicht aus, zu wissen, welche personenbezogenen Daten Unternehmen haben und welche Mitarbeiter und Abteilungen Zugriff darauf haben. Für die DSGVO muss IAM viel granularer sein.“
John Notman, OpenText
Während der Zugriff und die Menge jedoch auf ein Minimum beschränkt werden müssen, gilt dies nicht für die angewandte Authentifizierung und Autorisierung. So erstellen viele Unternehmen zentrale Single-Sign-On-Funktionen (SSO) für alle Unternehmenswerte. Das scheint sowohl Komfort für den Benutzer als auch Sicherheit für das Unternehmen zu bieten, aber allgemein angewendet, ist das vor dem Hintergrund der DSGVO ein rotes Tuch.
Denn so besteht die Gefahr, dass Benutzer allgemeinen Zugriff auf Assets erhalten, für die sie keine Berechtigung haben. Wo es möglich ist, diese Art von allgemeinem Zugang zu gewähren, wenn es sich nicht um personenbezogene und sensible Daten handelt, ist eine mehrstufige Authentifizierung erforderlich. Nur so kann sichergestellt werden, dass die Person diejenige ist, für die sie sich ausgibt, und dass sie beim Umgang mit personenbezogenen Daten über Zugangsrechte verfügt.
Eine IAM-Strategie entwickeln
Für die meisten Unternehmen wird es drei Elemente in ihrer IAM-Strategie geben:
- Mitarbeiter: Es reicht nicht aus, zu wissen, welche personenbezogenen Daten Unternehmen haben und welche Mitarbeiter und Abteilungen Zugriff darauf haben. Für die DSGVO muss IAM viel granularer sein. Die Verantwortlichen müssen also wissen, wo ihre sensiblen Daten gespeichert sind, wer Zugriff auf die Daten und welche Zugriffsrechte hat. Unternehmen müssen in der Lage sein, Statusänderungen schnell zu verwalten, um ein „schleichendes Berechtigungssammeln“ zu verhindern, wenn sich also die Rolle eines Benutzers ändert und ihm ein neuer Zugriff gewährt wird, ohne seine alten Zugriffsrechte auszuschalten. Darüber hinaus müssen sie „Ghost Accounts“ identifizieren und eliminieren. Branchenstudien deuten darauf hin, dass bis zu einem Viertel aller Konten inaktiv sind – und diese zu einem begehrten Ziel für Hacker werden.
- Partner und Auftragnehmer: In kaum einem Unternehmen bleiben personenbezogene Daten noch in den eigenen vier Wänden. Der Austausch und die Zusammenarbeit an Daten ist für viele Unternehmen, die mit komplexen Partner-Ökosystemen arbeiten, unerlässlich. Darüber hinaus setzen diese Unternehmen zunehmend auch auf Vertragspersonal und mobile Mitarbeiter. Insbesondere Datenverantwortliche – also Personen, die den Zweck und die Art und Weise der Verarbeitung personenbezogener Daten bestimmen – müssen in der Lage sein, einen ordnungsgemäßen Zugriff auf Daten zu gewährleisten, die außerhalb der Unternehmens-Firewall gespeichert sind. Das beinhaltet eine „föderierte“ Authentifizierung, so dass Unternehmen nicht nur alle personenbezogenen Daten verwalten, sondern auch die Interaktionen zwischen den Benutzern mit Zugriff auf diese Daten.
- Kunden: Nicht nur bei großen eCommerce-Unternehmen erhalten Kunden einen direkteren Zugang zum Unternehmensnetzwerk. Jedes Unternehmen, das Online-Dienste anbietet – egal, ob behördlich oder privat – ermöglicht es seinen Kunden, digitale Identitäten zu erstellen. Sie laufen meist über Self-Service-Funktionen und funktionieren häufig mittels einfacher Passwortauthentifizierung. Das ist eine mögliche Schwachstelle, daher müssen Unternehmen dieselben DSGVO-Konzepte zur Datenminimierung und sicheren Benutzerauthentifizierung anwenden.
Traditionelle Ansätze des Access-Managements basierten dabei in der Vergangenheit oft auf einfachen manuellen Zugriffskontrollprozessen wie der Verwendung von Active Directory zur Gruppenbildung. Der Nachteil ist, dass diese Prozesse langsam, umständlich und kostspielig sind. Außerdem sind sie nicht gut skalierbar und können meist den tatsächlichen Benutzerzugriff weder zuverlässig überwachen noch verwalten.
Das ist im Angesicht der DSGVO nicht mehr akzeptabel. IAM muss zu einer strategischen Notwendigkeit für alle Unternehmen werden. Sie müssen ein Identitätsverwaltungsprogramm erstellen und kontinuierlich aktualisieren, das von einer IAM-Plattform des Unternehmens unterstützt wird, die dynamische und umfassende Autorisierungs- und Authentifizierungsfunktionen sowohl intern als auch innerhalb des Handelspartnernetzes bereitstellt.
Auf diese Weise können Unternehmen den Zugriff auf personenbezogene Daten schützen, das Risiko von Datenschutzverletzungen minimieren und die Gefahr von Geldbußen verringern.
Über den Autor:
John Notman ist Director Product Marketing, Identity & Access Management bei OpenText.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!