Die Dreifaltigkeit der Zugangssicherheit: Identifizieren, Authentifizieren und Autorisieren

Eine Ingenieurin beginnt ihren ersten Tag in einem Cybersicherheitsunternehmen. Wie groß ist die Wahrscheinlichkeit, dass sie direkt ins Büro geht, ohne jemanden anzusprechen, und dann beginnt, vom nächstgelegenen Arbeitsplatz aus auf Informationen zuzugreifen?

Ein weitaus plausibleres Szenario beginnt damit, dass sich die Ingenieurin bei Ankunft vorstellt und vom Sicherheitspersonal auf einer Mitarbeiterliste identifiziert werden würde. Anschließend, würde Sie sich mit einem Lichtbildausweis oder durch eine visuelle Erkennung durch einen vertrauenswürdigen Mitarbeiter authentifizieren. Der Sicherheitsbeamte könnte ihr dann den Zutritt zum Büro gestatten.

Dieser soeben beschriebene dreistufige Sicherheitsprozess – Identifizierung, Authentifizierung, Autorisierung – ist in unserem täglichen Leben gang und gäbe; egal ob wir nun einen Flug nehmen oder uns im Büro eines Geschäftspartners anmelden. Das Gleiche sollte für die IT-Infrastruktur gelten, um sicherzustellen, dass die Personen, die auf Unternehmensressourcen zugreifen, auch wirklich die sind, für die sie sich ausgeben, und dass sie über die entsprechenden Zugriffsrechte verfügen. Innerhalb eines wirksamen Rahmens für die Zugriffssicherheit arbeiten diese drei Stufen zusammen, um die sensiblen Daten in den IT-Infrastrukturen zu schützen.

Identifizierung

Die Identität ist der Ausgangspunkt der Zugriffssicherheit. In einer virtuellen Umgebung wäre die Ingenieurin aus unserer Analogie ein Nutzer, der versucht, auf ein IT-Netzwerk zuzugreifen. Genauso wie der Wachmann einen Beweis dafür benötigt, dass die Ingenieurin tatsächlich diejenige ist, für die sie sich ausgibt, muss auch ein virtuelles System einen Identitätsnachweis erbringen. Bei so vielen sensiblen Daten, die in der IT-Infrastruktur eines Unternehmens gespeichert sind, ist es von entscheidender Bedeutung, digitale Benutzer mit demselben Grad an Genauigkeit unterscheiden zu können wie bei physischen Identitäten.

Wenn Unternehmen ein Identitätsmanagementsystem einrichten, sollte ihr Hauptziel darin bestehen, jeden Nutzer, der sich mit dem IT-System des Unternehmens verbinden möchte, ordnungsgemäß und mit einem Höchstmaß an Sicherheit zu identifizieren. Die Nutzer erhalten eindeutige Identifikatoren. Anstatt durch ihr Gesicht oder Namen auf einer Papierliste, werden sie also durch diese persönlichen Anmeldeinformationen, beispielsweise in Form von Benutzernamen und Kennwort, erkennbar.

Allerdings reichen einfache Anmeldedaten allein nicht aus, um ein Netzwerk sichern zu können. Das System wäre dadurch anfällig für unehrliche Benutzer, die die Identität einer anderen Person vorgeben. Verlorene oder gestohlene Benutzeranmeldedaten sind keine Seltenheit, weshalb die genaue und zuverlässige Identifizierung von Nutzern der Schlüssel zur Durchsetzung von Sicherheitsrichtlinien und zum Schutz von Daten ist. Daher ist der nächste Schritt die Authentifizierung.

Authentifizierung

Die Authentifizierung ist die Phase im Sicherheitsprozess, in der ein Benutzer seine angegebene Identität nachweisen muss. In unserem physischen Beispiel wäre dies der Moment, in dem die Ingenieurin ihren Lichtbildausweis vorlegt, um die von ihr angegebene Identität zu bestätigen. Die Authentifizierung vor dem Zugriff auf Ressourcen folgt dem Zero-Trust-Modell der Cybersicherheit. Zero Trust bedeutet, dass Identität und Berechtigungen niemals vorausgesetzt oder angenommen werden, sondern immer durch strenge Sicherheitsprotokolle überprüft werden müssen.

Es gibt hierbei drei Arten von Authentifizierungsfaktoren, die zur Verifizierung einer virtuellen Identität verwendet werden können:

• Etwas, das Sie kennen: Das gebräuchlichste Beispiel für diese Art von Information ist ein Passwort. Es ist die einfachste Form der Zugangssicherung und birgt Risiken wie die Weitergabe von Passwörtern oder visuelles Hacking.
• Etwas, das Sie besitzen: Dies könnte ein einzigartiger physischer Gegenstand sein, z. B. ein Smartphone oder eine Zugangskarte oder ein Anhänger/RSA-Token, der einen temporären Code empfängt oder erzeugt.
• Etwas, das Sie sind: Biometrische Authentifizierungsfaktoren können verwendet werden, um die Identität des Benutzers anhand eines inhärenten physischen Identifikators wie der Iris oder des Fingerabdrucks zu bestätigen. Es können auch verhaltensbiometrische Faktoren verwendet werden wie beispielsweise Stimmerkennung, das Tippen einer Person oder ihre Unterschrift.

Für einen Hacker ist es deutlich schwieriger, an zwei vertrauliche Informationen zu kommen als an eine. Das Hinzufügen zusätzlicher Faktoren zu einer grundlegenden Kombination aus Benutzername und Passwort, bekannt als Multi-Faktor-Authentifizierung (MFA), kann einer Organisation mit höherer Sicherheit und Gewissheit bestätigen, dass die Person, die auf Server und andere Informationen zugreifen will, wirklich diejenige ist, die sie vorgibt zu sein. Und diese Gewissheit ist beim Zugriff auf sensible Daten unerlässlich.

Identitäts- und Zugriffsmanagementlösungen wie WALLIX Trustelem bieten Unternehmen eine Möglichkeit zur intelligenten Authentifizierung und Verwaltung von Identitäten. Zunächst kann hierdurch die Identität von Anwendern durch MFA garantiert und dann über ein zentrales Dashboard (in einem für Administratoren möglichst einfachen Prozess) kontrolliert werden.

Sobald die Benutzer innerhalb eines Netzwerks sicher identifiziert und authentifiziert werden können, ist es ebenso wichtig, dass sie über die entsprechenden Berechtigungen verfügen.

Autorisierung

Darf ich hier überhaupt rein?

Die Autorisierung beantwortet diese letzte Frage im Prozess der Zugriffssicherheit. Der Sicherheitsbeamte mag die Identität der Ingenieurin bestätigt haben, aber er würde sie trotzdem nur in die Cybersecurity-Firma lassen – nicht in das Büro nebenan. Selbst wenn die digitale Identität eines Benutzers durch MFA authentifiziert werden kann, bedeutet das Prinzip der geringsten Privilegien (Principle of Least Privilege), dass ihm niemals uneingeschränkter Zugang innerhalb eines IT-Netzwerks gewährt werden sollte. Eine unzureichende Autorisierung kann zu übermäßig privilegierten Benutzern führen und das Risiko eines versehentlichen oder absichtlichen Missbrauchs von Root-Rechten bergen. Dies wiederum kann dazu führen, dass ein Unternehmen dem Risiko von Betrug, Datendiebstahl und Rufschädigung ausgesetzt ist.

Unternehmen, die eine robuste Privileged Access Management (PAM)-Lösung einsetzen, stellen sicher, dass nur autorisierte Benutzer zur richtigen Zeit auf sensible Ressourcen zugreifen können. IT-Administratoren können Benutzer und Zielsysteme zentral verwalten und anschließend Autorisierungsregeln und -bedingungen einrichten, um den Zugriff auf wichtige Ressourcen automatisch zu gewähren oder zu verweigern. Außerdem können sie die Aktionen privilegierter Benutzer innerhalb einer Sitzung zu Audit-Zwecken überwachen und aufzeichnen oder verdächtige Aktivitäten in Echtzeit unterbinden.

Eine PAM-Lösung wie WALLIX Bastion bietet eine sichere, rationalisierte Möglichkeit, alle privilegierten Benutzer innerhalb des IT-Netzwerks eines Unternehmens zu autorisieren und zu überwachen. Zusätzlich zur Verwaltung der privilegierten Zugriffsebenen der Benutzer ermöglicht sie einem Unternehmen Folgendes:

• Es besteht keine Notwendigkeit mehr, dass privilegierte Benutzer lokale Systempasswörter haben oder benötigen
• Es ist möglich einen unveränderlichen Prüfpfad für jede privilegierte Operation zu erstellen
• Die Einhaltung von Zugriffskontroll-, Überwachungs- und Prüfungsvorschriften wie GDPR, NIS, ISO 27001, HIPAA und PCI DSS.
• Es ist möglich eine Endpoint Privilege Management (EPM)-Lösung wie WALLIX BestSafe zu integrieren, um das Prinzip der geringsten Privilegien auf den Endgeräten eines Unternehmens durchzusetzen.

Zusammenfassend lässt sich also sagen, dass die drei Zauberworte Identifizierung, Authentifizierung und Autorisierung lauten, da sie die Schlüsselaspekte eines starken Zugangssicherheitsrahmens sind. Sie werden zusammen eingesetzt, um den Zugriff auf das Unternehmensnetzwerk zu sichern und sensible Informationen mit einem umfassenden, durchgängigen Ansatz für die Zugriffssicherheit zu schützen.

Einen noch detaillierteren Überblick über Zugangssicherheitslösungen und die ihnen zugrundeliegenden Konzepte finden Sie in unserem Whitepaper „Access Security für Einsteiger„.