Maksim Kabakou - stock.adobe.com

Proaktiv oder Reaktiv: Security nicht dem Zufall überlassen

Mit einer proaktiven Strategie werden Entscheidung vorab besser durchdacht und das Security-Team entlastet. Was bedeutet dies für die Verwaltung von Identitäten in Unternehmen?

Wie die aktuelle PwC-Studie Global Digital Trust Insights 2021 zeigt, haben weltweit ganze 96 Prozent der befragten Unternehmen ihre IT-Sicherheitsstrategie aufgrund der aktuellen Pandemie geändert. In Deutschland liegt die Zahl sogar bei 98 Prozent. Bemerkenswert ist auch, dass 51 Prozent der Betriebe planen, ihr Cyberbudget zu erhöhen – und dies, obwohl 80 Prozent zum Zeitpunkt der Erhebung im Sommer letzten Jahres Umsatzeinbußen von bis zu 50 Prozent für 2020 erwarteten.

Die Ergebnisse sind insofern erfreulich, als dass sich Entscheider der aktuell massiv erhöhten Bedrohungslage bewusst zu sein scheinen und hier handeln, anstatt abzuwarten. Um proaktiv gut für ein weiteres, angespanntes Jahr 2021 in Sachen Cybersicherheit gerüstet zu sein, wurden Ressourcen geschaffen und Budgets für dieses Thema freigemacht.

Trotzdem könnte man natürlich argumentieren, dass Firmen auch vor der aktuellen Krise mehr Proaktivität hätten zeigen können; schließlich ist IT-Sicherheit ein Kernthema für Betriebe jeder Größe und Branche und kann über wirtschaftlichen Erfolg oder Misserfolg eines Unternehmens unterscheiden – und eine Verschärfung der Bedrohungslage konnte schon vor der Pandemie beobachtet werden. Aber positiv formuliert scheint das Bewusstsein für das Thema IT-Security deutlich gestiegen zu sein.

Eine proaktive Strategie war und ist hier immer einer reaktiven vorzuziehen. Das Management von Zugangsberechtigungen und digitaler Identitäten ist von entscheidender Bedeutung für eine solche Strategie. Im Folgenden werden einige Best Practices erläutert, die es im Zuge einer effektiven Identity Security zu beachten gilt.

Zugänge und Berechtigungen im Zaum halten

Eine zentrale Gefahr für Unternehmen ist der sogenannte Permissions Creep oder auch Privilege Creep, bei dem ein Mitarbeiter im Laufe seiner Karriere immer mehr Zugriffsrechte erhält, während er im Betrieb anfängt, die Abteilungen innerhalb wechselt, aufsteigt und schließlich ausscheidet.

Wenn eine Firma die schleichende Ausweitung der Zugriffsrechte nicht sorgfältig überwacht, kann ein Risiko entstehen. Nutzer mit alten, für die IT nicht mehr sichtbare Rechten sind für Cyberkriminelle ein lohnendes Ziel.

Um den Gesamtbestand an Berechtigungen unter Kontrolle zu halten und hier eine schleichende Entwicklung zu erkennen, bevor sie zu einem Sicherheitsrisiko wird, sollten IT-Entscheider technische Hilfsmittel in Betracht ziehen. Hier haben sich Lösungen bewährt, die den Zugriff identitätsbasiert verwalten können. Dies bedeutet auch, eine starke Kultur der regelmäßigen Zugriffsevaluierung und die Förderung eines wichtigen Grundsatzes in den Vordergrund zu stellen: „Jeder Mitarbeiter erhält die geringste mögliche Anzahl an Berechtigungen, die zur Arbeit notwendig sind“.

Den richtigen Nährboden schaffen

Wichtig ist hier, eine geeignete Umgebung und Sicherheitskultur im Unternehmen zu etablieren, die das effektive Management von Identitäten ermöglicht. Eine solche Kultur sollte von Entscheiderseite aktiv gefördert und bewahrt werden.

Eine proaktiv auf Sicherheit ausgerichtete Umgebung macht es IT-Abteilungen leicht, Genehmigungen mit höherem Risiko zu prüfen und freizugeben, während Berechtigungsanfragen mit geringerem Risiko automatisiert werden. Dies hilft dabei, die menschlichen Arbeitsressourcen auf solche Aufgaben zu richten, die ihre Fähigkeiten und ihre Aufmerksamkeit am meisten benötigen. Durch gezielte Entlastung der Cybersecurity-Profis und eine Umverteilung von Verantwortlichkeiten wird also das Sicherheitsniveau einer Firma insgesamt deutlich erhöht.

Eine Gefahrenquelle, die hier nicht außer Acht gelassen werden sollte, ist die steigende Komplexität innerhalb der IT-Umgebung von Unternehmen. Wenn ein Betrieb tausende von Angestellten über komplexe und miteinander verknüpfte Betriebssysteme verwaltet, kann dies einen Angriffsvektor für Cyberkriminelle darstellen.

Pflegt das Unternehmen zudem eine ausufernde Remote-Arbeitskultur mit KI-, Data Definition- und Machine-Learning-Technologien, wächst dieser Vektor noch weiter. Betriebe müssen also akzeptieren, dass sich die Technologien ständig ändern werden, die Geschäftsanwender benötigen, um produktiv zu sein. Dies wirft gleichzeitig die Frage auf: Wie können Sicherheitsexperten effektiv planen, um eine ausufernde IT-Infrastruktur zu verwalten?

Veränderungen vorhersehen und entsprechend planen

Für viele Unternehmen hat COVID-19 im Jahr 2020 zu einer unerwarteten und plötzlichen Migration zu Cloud- und Remote-Technologien geführt. Die Pandemie war und ist hier der Treiber, der alles beschleunigt – sowohl das Gute als auch das Schlechte.

Bekanntermaßen führte und führt diese Entwicklung zu einem erhöhten Risiko für Betriebe, die versuchen, die Geschäftskontinuität unter sich ändernden Vorschriften und Einschränkungen aufrechtzuerhalten.

Während im letzten Jahr, mit Beginn des Lockdowns, ein Großteil der Unternehmen den Betrieb innerhalb weniger Tage und Wochen auf Remote Work umgestellt hat, führte dies zu einem massiven Anstieg von Phishing-Angriffen und anderen Betrugsversuchen. Insgesamt war 2020 das Jahr, in dem Cybersicherheit und Identity Security sich von einer praktischen Herausforderung innerhalb der IT zu einem Eckpfeiler der Geschäftsstrategie im gesamten Unternehmen entwickelt haben.

Volker Sommer, SailPoint

„Um ein hohes Sicherheitsniveau im Betrieb zu halten und weiterhin proaktiv zu agieren, bedarf es einer kontinuierlichen Bemühung und einer genauen Beobachtung der IT-Landschaft.“

Volker Sommer, SailPoint

Viele Situationen und Entwicklungen sind schwer, wenn nicht gar unmöglich vorherzusehen – wie etwa der Verlauf der aktuellen Pandemie. Doch wichtig ist hier, sich vor Augen zu halten: Selbst die Entwicklungen, die sich weder prophezeien noch verhindern lassen, können für Betriebe eine wichtige Lernerfahrung sein.

Konkret können Unternehmen lernen, die Art und Weise zu ändern, wie sie in ähnlichen Situationen reagieren. Firmen, die ihre IT-Umgebung bereits aktiv verwalten und digitale Identitäten regeln, sind bereits näher dran, als sie unter Umständen denken, eine Migration proaktiv zu planen – egal, ob es sich um eine Abwanderung oder eine Rückkehr ins Büro handelt.

Den richtigen Weg wählen – proaktiv oder reaktiv?

Wenn Betriebe ihre Identitäten genau verwalten, eine starke IT-Umgebung schaffen sowie Evolution und Veränderung von Vornherein mit einplanen, stehen die Chancen gut, dass 2020 kein Schock für die IT-Abteilung bedeutete und auch 2021 erfolgreich und sicher verläuft. Gleichzeitig sollten diese Unternehmen sich nicht auf ihrem Status ausruhen und dazu verleitet werden, „einfache“ Entscheidungen zu treffen. Um ein hohes Sicherheitsniveau im Betrieb zu halten und weiterhin proaktiv zu agieren, bedarf es einer kontinuierlichen Bemühung und einer genauen Beobachtung der IT-Landschaft.

Betriebe, die keine durchdachte Cybersicherheitsstrategie fahren und eher reaktiv agieren, sollten dies spätestens im Jahr 2021 dringend überdenken, denn dieser Ansatz führt dazu, dass mehr Gewicht auf einzelnen Entscheidungen liegt, da diese nicht in einer Strategie eingebettet sind.

Ein einzelner, schlecht durchdachter Entschluss, der nicht mehr rückgängig gemacht werden kann, kann somit fatale Auswirkungen haben. Man kann die Folgen im Nachhinein lediglich verwalten und abmildern. Ist hingegen eine prädiktive, allumfassende Strategie die Basis der Cybersicherheit eines Unternehmens, sind die einzelnen Entscheidungen von Vornherein besser durchdacht und betreffen die geeigneten Personen. Diese werden befähigt und verbessern sich kontinuierlich, indem sie sich auf ihre Kernaufgaben fokussieren – was wiederum positive Auswirkungen auf den Geschäftserfolg mit sich bringt.

Zeit also, sich die Frage zu stellen: „Handelt mein Unternehmen proaktiv oder reaktiv, wenn es um die IT-Sicherheit geht?“

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Identity and Access Management (IAM)