•  

Identitätsmanagement in der Cloud ist ein Risiko

Marc Vanmaelen, CEO von Trustbuilder

Marc Vanmaele, CEO von TrustBuilder, untersucht, wie Unternehmen ihren Benutzern die benötigten Zugriffe ermöglichen, trotzdem aber Cyberkriminelle fernhalten können

Die Digitalisierung verbindet uns immer stärker. Unternehmen sind heute in der Lage, mit Tausenden oder gar Millionen von Kunden und Partnern pro Tag zu interagieren. Zugleich aber zwingt die Digitalisierung die Unternehmen zunehmend zum Schritt in die Cloud, und das macht die Situation kompliziert. Mitarbeiter und Konsumenten melden sich bei zahlreichen Diensten an, die auf unterschiedlichen Plattformen gehostet werden – lokal im Unternehmen, in Public Clouds, Private Clouds und auf Systemen von Drittanbietern. 

Auf diese Weise stehen den Nutzern Daten und Anwendungen überall zur Verfügung, doch zugleich wurde den Cyberkriminellen Tür und Tor geöffnet. Laut Verizons Data Breach Investigations Report 2018 dringen 73 % der Bedrohungen von außen ein; Insider-Bedrohungen sind ein weiteres gravierendes Problem. Und in einer Umfrage, die Cybersecurity Insiders im Jahr 2017 durchführte, gaben 52 % der befragten Unternehmen an, bereits von Innentätern angegriffen worden zu sein. Es wird immer deutlicher, dass traditionelle Abwehrmaßnahmen wie Firewalls allein nicht mehr ausreichen, um die Daten eines Unternehmens zu schützen – oder die seiner Kunden.

Eine Benutzererfahrung, die nicht reibungslos und sicher ist, kann die Mitarbeiterproduktivität verringern und zum Verlust von Kunden führen. Es liegt auf der Hand, dass die verschiedenen IT-Umgebungen überbrückt werden müssen, um das Benutzererlebnis zu optimieren und gleichzeitig die Sicherheit sensibler Informationen zu gewährleisten. Sehen wir uns an, wie Unternehmen dies erreichen können.  

Die Zeit vor der Cloud 

Früher konnten die IT-Abteilungen von Unternehmen die Identitäten und Zugriffe ihrer Benutzer selbst verwalten. Anwendungen wurden vor Ort bereitgestellt, und die Unternehmen waren vor Cyberkriminellen geschützt, wenn ihre Endpunkte durch Firewalls geschützt waren. Die Situation war zwar nicht direkt einfach, aber doch überschaubar. 

Als die Internetverbindungen mit zunehmendem Ausbau immer zuverlässiger, schneller und umfassender wurden, begann man jedoch, Anwendungen in die Cloud zu verlegen. Dies ermöglichte es, von jedem beliebigen Ort aus bequem auf Geschäftsanwendungen und Daten zuzugreifen, schuf aber zugleich eine vergrößerte Angriffsfläche außerhalb der Reichweite der IT-Abteilungen von Unternehmen. Die zahlreichen Anwendungen, von denen viele extern von Dritten verwaltet werden, machen die IT-Landschaft kompliziert. Es ist schwierig geworden, sämtlichen Mitarbeitern, Partnern und Kunden Zugriff auf alle benötigten Ressourcen zu gewähren, ohne damit die Sicherheit zu gefährden – zumal offsite auf Anwendungen zugegriffen werden kann.

Und die Evolution geht weiter. Die digitale Revolution verändert zunehmend unsere Arbeitsweisen. Wir müssen unser Denken, unsere Dienstleistungen und unsere Geschäftsabläufe anpassen. Dennoch kann sich die Wirtschaft nicht von heute auf morgen umstellen. Inzwischen gibt es Tausende von Elementen in der IT-Umgebung, die ein Unternehmen unter einen Hut bringen muss, um eine einfache, nahtlose und sichere Kundenreise zu ermöglichen. Die Cyberkriminellen halten unterdessen mit dieser komplexen und schnell veränderlichen Umgebung Schritt – weshalb es auf absehbare Zeit fundamental wichtig bleiben wird, einfache und sichere Benutzerzugriffe zu gewährleisten. 

Wolken am Horizont

Die CIOs sind bestrebt, die Benutzeridentitäten und -zugriffe zu verwalten und dabei ein komfortables Single Sign-on für alle Anwendungen und Daten zu ermöglichen, unabhängig davon, ob diese online oder vor Ort gehostet werden. Gleichzeitig müssen die CIOs aber auch die Daten und Zugangsnachweise der Benutzer schützen. Da diese beiden Anforderungen nicht leicht zu vereinen sind, wird es für die IT-Abteilungen zunehmend schwierig, Identitäten und Zugriffe noch allein zu verwalten. Unternehmen mit großen Benutzerzahlen setzen Lösungen für Identity and Access Management (IAM) ein, um sowohl die Zugriffe zu erleichtern als auch die Sicherheit in hybriden Umgebungen zu gewährleisten. Einige dieser Lösungen sind cloudbasiert, und wer einfache Zugriffe und optimale Sicherheit miteinander verbinden will, sollte sich der Risiken der Cloud bewusst sein. 

CIOs zögern oft, sensible Daten in eine Cloud-Umgebung zu stellen. Denn sind die Daten erst einmal dort, stehen sie nicht mehr unter der Kontrolle des Unternehmens, das für sie verantwortlich ist. Die gefühlte Sicherheit ist geringer, als wenn man die Daten selbst unter Kontrolle behält – und das aus gutem Grund. Laut Verizon wurden 2017 gestohlene Anmeldeinformationen als wichtigstes Mittel bei Sicherheitsverletzungen eingesetzt, und Webanwendungen waren das Hauptziel der Angreifer. Bis auf Weiteres scheint es am sichersten zu sein, Zugangsdaten aus der Cloud herauszuhalten. 

Und die CIOs sind nicht die einzigen, die Bedenken hinsichtlich der Speicherung von Anmeldedaten in der Cloud haben. Avivah Litan, Expertin für Finanzbetrug bei Gartner, rät Unternehmen davon ab, Single-Sign-on-Dienste in der Cloud zu nutzen, und meint: „Sie sind ganz einfach ein massiver Single Point of Failure“. Die Maßnahmen zur Problembeseitigung, die nach einer Sicherheitspanne auf den Dienstleister und seine Kunden zukommen, bereiten laut Litan erhebliche Unannehmlichkeiten, die das gravierende Risiko noch zusätzlich verschlimmern. 

Es ist daher wichtig, dass CIOs sensible Daten in einer Umgebung speichern, die sie kontrollieren können. Trotzdem müssen sie jedoch einen Weg zum Umgang mit der Cloud finden. Wie lässt sich dies am einfachsten, sichersten und flexibelsten bewerkstelligen?

Den Benutzerkontext berücksichtigen

Der Benutzerkontext ist ein entscheidender Faktor. Immer mehr Mitarbeiter arbeiten aus der Ferne und können es Cyberkriminellen unwissentlich leicht machen, Informationen zu stehlen. Daher sollten die Benutzer auf die arbeitsrelevanten Informationen nur dann Zugriff erhalten, wenn er auf sichere Weise hergestellt werden kann. In der heutigen veränderlichen IT-Umgebung reicht eine Antiviren-/Firewall-Lösung allein nicht mehr aus, um einfache und flexible Benutzerzugriffe zu ermöglichen. Ebenso wenig kann eine reine IAM-Lösung für sich genommen die Umgebungen eines Unternehmens absichern. Für optimale Sicherheit sollte eine IAM-Lösung in Kombination mit dem Virenschutz, der Firewall und der übrigen Sicherheitsarchitektur des Unternehmens eingesetzt werden.

Dabei ist zu beachten, dass auch registrierte Benutzer nicht immer gute Absichten haben. Eindringlinge können auch von innen kommen – laut Verizon wurden 28 % aller Datenverstöße nicht von unbekannten externen Angreifern verübt, sondern von internen Akteuren. Unternehmen müssen die Zugriffe deshalb effektiv verwalten, damit jeder Benutzer nur das sehen kann, was er für legitime Aktionen benötigt. 

Wenngleich die Sicherheit von höchster Bedeutung ist, sollten legitime Benutzer aber nicht durch eine zu komplexe Authentifizierung behindert werden. Es ist bekannt, dass Kunden Transaktionen abbrechen, wenn sie sich zu schwierig gestalten. Laut einer Studie von American Express stellen bei einem schlechten Serviceerlebnis 78 % der Online-Käufer die Transaktion ein. Die richtige Balance zwischen Sicherheit und Einfachheit lässt sich durch eine dynamische Benutzeridentifikation erreichen, die nicht nur berücksichtigt, wer die Benutzer sind, sondern auch den Kontext einbezieht, in dem die Transaktion oder Sitzung stattfindet. IAM-Lösungen können Ihnen helfen, den Benutzerkontext zu verstehen, der benötigt wird, um einen durchgehend einfachen und sicheren Zugriff zu ermöglichen. 

Um optimale Sicherheit zu gewährleisten, sollte Ihre IAM-Lösung in der Lage sein, mit jeder Art von Attributen umgehen zu können. Folgende Faktoren sollten beispielsweise bei der Entscheidungsfindung berücksichtigt werden: 

Den Standort des Benutzers – An welchem Ort befindet sich der Benutzer? In den Räumlichkeiten des Unternehmens oder an einem entfernten Standort? Zu Hause oder an einem öffentlichen Ort? 

Den Standort der Anwendung oder Daten, auf die der Benutzer Zugriff anfordert – Sind sie intern gespeichert oder extern in der Cloud? Werden sie mithilfe eines Drittanbieters bereitgestellt? 

Das Gerät, mit dem der Benutzer arbeitet – Ist es ein bekanntes Gerät oder eines, über das bisher noch nicht auf die angeforderten Assets zugegriffen wurde? 

Merkmale des Benutzers – Hat er zum Beispiel das richtige Alter? 

Diese vielfältigen Faktoren können wesentlichen Einfluss auf die Entscheidung haben, wie ein Benutzer validiert werden soll, worauf er Zugriff haben darf und welche Art von Zugang er erhalten soll. 

Richtlinien verwalten 

Um alle genannten Aspekte des Benutzerkontexts überprüfen zu können, ist ein robustes Management erforderlich. Es müssen Richtlinien geschaffen werden, die dafür sorgen, dass nur die „Guten“ durchs Tor gelassen werden. Indessen wird die digitale Evolution allerdings nicht zum Stillstand kommen. Wenn wir neue Technologien integrieren und den Benutzern unterschiedliche Schnittstellen anbieten, wird sich die Art und Weise verändern, wie wir Systeme nutzen. Die Regeln müssen dann entsprechend angepasst werden. 

So wird beispielsweise mit der Einführung der zweiten EU-Richtlinie für Zahlungsdienste (PSD2) die Multi-Faktor-Authentifizierung europaweit bald stärker in den Fokus rücken. Wie Visa in seiner Studie Securing Internet Payments: The current regulatory state of play darlegt, wird PSD2 im Verein mit den Richtlinien der Europäischen Bankenaufsicht eine „starke Kundenauthentifizierung“ für bestimmte Online-Zahlungsvorgänge verbindlich machen. Wenn PSD2 ab September 2019 umgesetzt wird, werden die Banken daher dazu übergehen, die Kunden aufzufordern, ihre Identität mit zusätzlichen Authentifizierungsfaktoren nachzuweisen. Die Banken könnten dann biometrische Informationen wie etwa einen Fingerabdruck abfragen oder ein Einmal-Passwort, das an das Mobilgerät des Kunden gesendet wird. 

Auch einige Unternehmen aus anderen Bereichen als dem Banken- oder Finanzsektor haben bereits begonnen, die Authentifizierung zu verstärken. Google, Facebook, Twitter, Dropbox und andere bieten ihren Kunden mittlerweile die Möglichkeit, beim Einloggen bestimmte zusätzliche Faktoren zu verwenden. Derzeit ist dies zwar noch ein optionales Extra, das den Benutzern ein besseres Sicherheitsgefühl vermitteln soll, doch künftig könnte es obligatorisch und alltäglicher werden. Eine weitere Herausforderung für Unternehmen wird sein, sich an diese Veränderungen anzupassen, ohne übermäßig viel Zeit und Geld in Änderungen an ihrer vorhandenen Architektur investieren zu müssen. 

Angesichts von Entwicklungen dieser Art sollten Unternehmen, die IAM-Lösungen einführen möchten, unbedingt eine Lösung wählen, mit der der CIO ohne komplexe Integration in jeder Phase die nötigen Anpassungen durchführen kann. Optimal ist eine IAM-Lösung, mit der Sie Ihre Identitäts- und Zugriffsrichtlinien verwalten können, ohne bestehende Systeme ändern oder aufgeben zu müssen. Flexible IAM-Lösungen geben dem CIO die Möglichkeit, Zugriffsrichtlinien ohne größere Umprogrammierungen oder Systemänderungen zu definieren. So kann das Unternehmen ohne erhebliche Anstrengungen und Investitionen mit der fortlaufenden technologischen Revolution Schritt halten. 

Das mag alles ziemlich kompliziert klingen, und für Organisationen mit einer großen Benutzerbasis ist es das auch. Tatsächlich ist es für die IT-Abteilungen solcher Unternehmen zu komplex geworden, die Benutzeridentitäten und Zugriffe selbstständig zu verwalten. Gefragt ist eine flexible IAM-Lösung, die mehrere Umgebungen umspannen kann und eine einfache, sichere Kundenerfahrung ermöglicht, während sensible Daten da vorgehalten werden, wo die IT-Abteilung sie unter Kontrolle hat. 

Autor: Marc Vanmaelen

Diesen Artikel empfehlen