Prostock-studio - stock.adobe.co
Mit Identity Security in eine sichere digitale Zukunft
Welche Nutzer und welche Geräte haben mit welchen Anwendungen Zugriff auf Unternehmensressourcen? Identitätssicherheit ist unabdingbar, aber eine Herausforderung für Unternehmen.
Ein großes Hamburger Tanklogistikunternehmen, ein Flughafen- und Gebäudedienstleister in Frankfurt und eine internationale Hilfsorganisation sind nur einige der jüngsten Beispiele schwerwiegender Hackerangriffe, bei denen der operative Betrieb lahmgelegt und wertvolle Daten gestohlen wurden.
Doch auch kleinere und weniger prominente Organisationen sind gefährdet. Die CEOs unterschiedlichster Branchen sind sich der aktuellen Gefahren durchaus bewusst. Den Ergebnissen der 25. Auflage der PwC Global CEO Survey (PDF) zur Cybersicherheit zufolge, betrachten 59 Prozent der deutschen CEOs Cyberangriffe als größtes Geschäftsrisiko. Auf mangelndes Risikobewusstsein sind die erfolgreichen Angriffe also nicht zurückzuführen. Fragt sich nur, was jetzt zu tun ist.
Kein Thema beschäftigt die CEOs weltweit derzeit so sehr wie die angespannte Sicherheitslage. Die Geschäftsführer sehen durch die steigende Zahl an IT-Sicherheitsvorfällen insbesondere ihre geschäftliche Handlungs- und Innovationsfähigkeit bedroht.
Und das nicht zu Unrecht: Insbesondere durch die fortschreitende Digitalisierung, die mit der Pandemie nochmals deutlich mehr Geschwindigkeit aufnahm, hat sich die Angriffsfläche für Unternehmen stark vergrößert und stellt einen kritischen Faktor beim Risikomanagement dar.
Die betrieblichen Auswirkungen von Sicherheitsfällen können in der Tat gravierend sein – sowohl für das Unternehmen selbst als auch für dessen Kunden und Partner. Stillgelegte Fabriken, Büros und Filialen waren im vergangenen Jahr immer wieder die Folge raffinierter Cyberattacken, so dass Unternehmen gezwungen sind, ihre betriebliche Sicherheit einer umfassenden Analyse zu unterziehen und den Schutz digitaler Werte kontinuierlich neu bemessen.
Digitalisierung als Schlüsselfaktor für die bedrohliche Gefahrenlage
Fest steht: Deutschland befindet sich inmitten einer digitalen Aufholjagd, die durch die Pandemie verstärkt wurde. Die PwC-Studie verdeutlich, dass CEOs sich Sorgen über die neuen Sicherheitsrisiken und Gefahren machen, die sich aus der Telearbeit, der Einführung der Cloud, den neuen digitalen Vertriebskanälen und den intelligenten Fabriken ergeben, sowie über die Auswirkungen dieser Faktoren auf ihre Fähigkeit, Geschäftsergebnisse zu erzielen. Hinzu kommen die zunehmenden Bedrohungen, insbesondere die fast existenziellen Bedrohungen durch Ransomware.
Vor diesem Hintergrund erscheint es sinnvoll, das Thema IT-Sicherheit zur Chefsache zu erklären und ganz oben auf die Prioritätenliste der Unternehmensziele zu setzen. Die Installierung eines CISO (Chief Information Security Officer), der nicht nur die Verantwortung trägt, sondern auch funktionsübergreifende Teams bildet, wäre hier der erste Schritt. In der Folge müssten Sicherheitsüberlegungen in jede wichtige Entscheidung einfließen – seien es Akquisitionen oder die Einführung neuer Produkte. Mittelfristig sollte auch die Reduktion komplexer IT-Infrastrukturen auf der Agenda stehen, um die Sicherheit dauerhaft zu erhöhen und mögliche Schäden vom Unternehmen abzuwenden.
Betrachtet man jedoch die akute Bedrohungslage, besteht ein direkter Zusammenhang zwischen der Einführung neuer Technologien beziehungsweise der Digitalisierung von Geschäftsprozessen und der wachsenden Gefährdung durch Cyberattacken mit all ihren dramatischen Folgen. Hierbei darf nicht vergessen werden, dass es den Angreifern in erster Linie darum geht, Identitäten zu stehlen, um auf diesem Wege an Berechtigungen zu kommen und sich frei im Unternehmensnetzwerk bewegen zu können. Identity Security ist daher das Gebot der Stunde.
Identity Security als Grundpfeiler der IT-Sicherheit
Die effiziente Verwaltung von Benutzerlebenszyklen ist für viele Unternehmen eine ebenso große Herausforderung wie die Einhaltung sich ständig ändernder Vorschriften und Standards, ganz zu schweigen von den bereits angesprochenen Risiken durch Angriffe von außen oder innen. Gerade im Zuge der Digitalisierung ist es von zentraler Bedeutung zu wissen, welcher Nutzer mit welchen Geräten und Applikationen Zugriff auf welche Unternehmensressourcen und Daten hat. Eine gute Identity-Security-Strategie kann diese Fragen beantworten.
Doch der Studie von SailPoint „Herausforderungen und Chancen beim Einsatz von Identity Security – der Leaver als Gefahrenquelle“ zufolge, verfügt weniger als die Hälfte der Unternehmen über eine umfangreiche Identitätsstrategie, mit welcher sich etwa vollautomatisiert rollenbasierte Zugänge zu Daten und Ressourcen vergeben lassen. Damit jedoch digitale Initiativen nicht nach hinten losgehen, sollten Unternehmen die unzureichende Sicherung von Identitäten erkennen und sich keinesfalls auf manuelle, fehleranfällige Prozesse verlassen. Allerdings dürfen hierdurch weder die Agilität des Betriebs noch der Zugriff beeinträchtigt werden.
„Angesichts der Komplexität dezentraler Arbeitsmodelle und des Technologien-Mix ist die Bereitstellung eines sicheren Zugriffs entscheidend für das Risikomanagement und die Produktivitätsoptimierung.“
Arne Ohlsen, SailPoint
Eine ganzheitliche Identity-Plattform, die mit Hilfe von maschinellem Lernen, autonomer Risikoerkennung und -minderung, intelligenter Prozessorganisation und Erweiterbarkeit sowie mit wenig beziehungsweise keinem Programmieraufwand das Unternehmen nahtlos befähigt und dynamisch schützt, ist hier eine mögliche Lösung. Dabei sind folgende Funktionen von Bedeutung:
- Der richtige Zugriff zum richtigen Zeitpunkt. Eine gute Zugriffsverwaltung ist entscheidend für eine gute Balance zwischen Agilität und Sicherheit. „Zu viel“ Zugriff kann das Unternehmen ernsten Sicherheitsrisiken aussetzen. Hier empfiehlt sich eine Lösung, die eine automatisierte Zugriffsverwaltung, basierend auf den individuell festgelegten Richtlinien, bietet. Gleichzeitig sollten IT-Teams über eine vollständige Transparenz verfügen, um Zugriffe in Echtzeit überwachen und verwalten zu können.
- Compliance-Verwaltung. Agilität darf nicht zu Lasten von Compliance-Verletzungen gehen. Eine adäquate Identity-Security-Lösung reduziert die Komplexität der Compliance-Verwaltung über ein einheitliches Identity Security Framework.
- Cloud Governance. Cloud-Infrastrukturen, wie AWS, Microsoft Azure oder Google Cloud Platform, bringen viele Vorteile mit sich. Allerdings können Unternehmen rasch anfällig für Risiken werden, wenn es ihnen an der nötigen Transparenz und Kontrolle fehlt. Daher ist der Schutz der Cloud-Plattformen und -Ressourcen mithilfe von KI und maschinellem Lernen von großer Bedeutung.
- File Access Management. Filesharing-Dienste erfreuen sich heute großer Beliebtheit – sowohl bei Unternehmen als auch bei Hackern. Daher ist es von Vorteil, den Zugriff auf sensible Daten auf sichere und effiziente Weise über eine intuitive Plattform verwalten zu können.
- Passwortverwaltung. Self-Service-Passwortrücksetzungen entlasten das Budget und die Ressourcen. Mit einer intelligenten Passwortverwaltung können Nutzer auf einfache und intuitive Weise Passwörter selbst ändern oder zurücksetzen, während gleichzeitig starke Passwortrichtlinien über alle Anwendungen und Systeme hinweg durchgesetzt werden.
- Zugriffsrisiko-Management. Unangemessene Zugriffskombinationen für geschäftskritische Systeme können eine erhebliche Bedrohung für Unternehmen darstellen. Ein Siloansatz bei der Verwaltung und Steuerung des Zugriffs für mehrere Systeme schafft unnötige Risiken. Ein intelligentes Zugriffsrisiko-Management automatisiert die Echtzeit-Analyse von Zugriffsrisiken, vereinfacht GRC-Prozesse (Governance, Risk & Compliance) und identifiziert potenzielle Risiken, bevor Nutzern der Zugriff gewährt wird.
Fazit
In der heutigen digitalen Welt werden ohne Technologie keine Geschäfte mehr gemacht – und Technologie lässt sich (sicher) nur mit Identity Security nutzen. Angesichts der Komplexität dezentraler Arbeitsmodelle und des Technologien-Mix ist die Bereitstellung eines sicheren Zugriffs entscheidend für das Risikomanagement und die Produktivitätsoptimierung. Indem manuelle Prozesse automatisiert werden, der Sicherheitsansatz seinen Fokus von der Technologie auf den Menschen verlagert und statische Richtlinien insofern weiterentwickelt werden, dass sie selbstlernend und adaptiv sind, lassen sich die gesteckten Ziele erreichen.
Über den Autor:
Arne Ohlsen ist Senior Field Marketing Manager bei SailPoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.