wladimir1804 - stock.adobe.com
Identitäten von Personen, Geräten und Anwendungen schützen
Ein modernes Identitätsmanagement in Unternehmen setzt Kenntnisse über alle drei Kategorien von digitalen Identitäten voraus, mit denen sich die IT-Abteilung beschäftigen muss.
Eine Digital Identity beziehungsweise eine digitale Identität besteht im Grunde nur aus allen über eine Person, ein Gerät oder eine Anwendung zur Verfügung stehenden Daten.
Bei einem Menschen kann dazu alles Mögliche gehören, wie etwa Informationen über die von ihm durchgeführten Suchen im Internet, aber auch Daten über seine Gesundheit, seine Adresse, seinen Geburtsort oder über seine finanzielle Situation. Bei einem Gerät kann es etwa die IP-Adresse oder eine andere Art von Daten sein, mit denen es eindeutig identifiziert werden kann.
Für Unternehmen ist es essentiell, sich auf die Verifizierung und Authentifizierung seiner Nutzer, Geräte und Anwendungen jederzeit und in vollem Umfang verlassen zu können. Deswegen ist es auch unvermeidlich, das Thema digitale Identitäten in die IAM-Strategie (Identity and Access Management) zu integrieren. Allerdings ist es nicht immer leicht, in einer Zeit zunehmend schärfer werdender Datenschutzregeln und gestiegener Ansprüche der Anwender das Vertrauen der Kunden nicht nur zu gewinnen, sondern auch zu behalten.
Das Konzept der digitalen Identitäten hängt eng mit den täglichen Gegebenheiten zusammen, die Menschen erleben und den Ereignissen, denen die von ihnen genutzten Geräte und Anwendungen ausgesetzt sind. Daher ist es so wichtig, dass geeignete Maßnahmen zu ihrer Sicherheit und dem Schutz der Daten ergriffen werden.
Die im Folgenden beschriebenen Schritte zum Management von digitalen Identitäten eignen sich für Unternehmen aller Größen und über alle Branchen hinweg. Mit ihnen können Sie sicherstellen, dass Ihre digitalen Identitäten in allen drei wichtigen Kategorien geschützt werden und dass damit den ausgewählten Maßnahmen auch ein Vertrauen entgegengebracht werden kann.
1. Digitale Identitäten von Menschen
Die in Unternehmen eingesetzten IAM-Lösungen werden kontinuierlich weiter einwickelt. Anfangs wurde meist nur die übliche Kombination aus Benutzername und zugehörigem Passwort genutzt, das für eine Anmeldung zwingend benötigt wird. Später wurde dieses Verfahren unter anderem um Sicherheitsfragen ergänzt. Heutzutage werden häufig moderne biometrische Lösungen zur etwa Gesichtserkennung eingesetzt.
Unabhängig davon, für welches Verfahren sich ein Unternehmen letztlich entscheidet, gibt es mehrere grundlegende Prinzipien, die dabei beachtet werden müssen:
- So sollte ein Wechsel der verwendeten Passwörter nach einer gewissen Zeitspanne erzwungen werden.
- Ebenso sollte die Nutzung einer Multifaktor-Authentifizierung vorgeschrieben werden.
- Biometrische Methoden zur Authentifizierung, die auf physischen oder verhaltensbasierten Charakteristiken der Mitarbeiter beruhen, müssen ebenfalls regelmäßig überprüft und aktualisiert werden. Das gilt sowohl für Verfahren, die auf Fingerabdrücken, Iris-Scans, anderen Eigenschaften im Gesicht einer Person oder auch auf bestimmte Charakteristiken etwa bei Eingaben auf einer Tastatur setzen.
Ein wichtiger Punkt, der immer wieder übersehen wird, betrifft alle Fälle, bei denen eine Person nicht mehr existiert, weil sie etwa verstorben ist. So ist es immer häufiger zu beobachten, dass die digitale Identität von Menschen gestohlen wird, die vor kurzem verschieden sind.
Die Cyberkriminellen nutzen diese Daten für synthetische Identitäten, mit denen sie dann verschiedene Betrügereien begehen. Eine Möglichkeit, mit der sich Unternehmen dagegen schützen können, ist ein zumindest gelegentliches Verlangen von Live-Bildern, um eine Person eindeutig identifizieren zu können.
Denkbar sind auch regelmäßige Erinnerungen, einen Account auch wirklich zu schließen, wenn eine Person verstorben ist. Dafür werden aber vordefinierte Prozesse benötigt, um zum Beispiel die Autorisierung für eine verstorbene Person widerrufen zu können oder wenn ein potentieller Missbrauch bestimmter Daten bemerkt wird.
2. Digitale Identitäten von Geräten
Das Vertrauen in Geräte muss bereits bei ihrer Produktion in der Fabrik beginnen. Techniken wie Root of Trust, die auch für die Hardware gelten, können hier für eine sichere Basis sorgen. Sobald ein Gerät jedoch erst Mal in der Cloud oder bei einem Privatanwender zu Hause eingesetzt wird, benötigt es Software-Updates, die etwa Sicherheitslücken schließen sollen. Dadurch verändert sich die Ausgangssituation. Außerdem wird oft die Konfiguration geändert oder das Gerät in ein anderes Rechenzentrum transferiert. Diese Änderungen müssen beim „digitalen Fußabdruck“ des Geräts und bei seiner Autorisierung berücksichtigt werden.
Um jederzeit für die Integrität der Geräte garantieren zu können und um die für sie geltenden Risiken zu reduzieren, wird ein Einsatz von standardisierten, sicheren Tokens anstelle von hardwarecodierten Nutzernamen und Passwörtern empfohlen. Das gilt auch für die Nutzung Tausender PKI-basierter (Public Key Infrastructure) Zertifikate.
3. Digitale Identitäten von Anwendungen
Wenn Nutzer auf eine Anwendung nach der ersten Authentifizierungsphase zugreifen wollen, können ihre Sessions meist ohne eine zwingend erforderliche Re-Authentifizierung wieder aktiviert werden. Dafür werden in der Regel entweder Cookies oder so genannte Session Secrets verwendet.
Diese Vorgehensweise ist nützlich, um zumindest für einen begrenzten Zeitraum eine unterbrechungsfreie Nutzererfahrung bieten zu können. Es kommt jedoch zunehmend zu Versuchen von Cyberkriminellen, diese Verbindungen zu unterbrechen oder zu übernehmen. Damit reduzieren sie nicht nur die Sicherheit der Verbindungen, sondern letztlich auch das Vertrauen der Anwender.
Programmierer sollten daher auf MitM-resistente (Man-in-the-Middle) Protokolle setzen, um sichere Authentifikatoren und Keys integrieren zu können. Auf diese Weise lassen sich die Risiken sowohl bei der Authentifizierung als auch bei einer späteren Re-Authentifizierung senken. Das Einschleusen von Schadcode auf den Endgeräten lässt sich zudem verhindern, indem die Entwickler softwarebasierte Schlüssel nur in besonders geschützten Bereichen aufbewahren. Ebenfalls interessant sind hardwarebasierte Authentifikatoren, die einen physischen Zugriff durch den Endanwender erforderlich machen.