Wenn Windows 7 und Office 2010 demnächst ans Ende ihres Produktlebens-Zyklus (14. Januar 2020) kommen, stehen für viele IT-Entscheider wichtige Endscheidungen an: Wie betreibe ich in Zukunft meine Desktops? Wie spielt dies mit meinen Infrastruktur-Komponenten zusammen? Welche Lösung ist die richtige bzw. die geeignetste für mein Unternehmen? Betreibe ich alles lokal (on-premises) oder gehe ich teilweise (hybrid) oder ganz in die Cloud? Wir sehen uns an, wie eine effektive Sicherheitsstrategie aussehen könnte, in deren Mittelpunkt die Benutzer-Identität steht.
Vieles hat sich sehr geändert, seit Windows 7 im Jahr 2009 auf den Markt kam. Zwar gab es damals schon Cloud Computing, dies wurde aber eher auf einer „akademischen“ Ebene beschrieben (siehe Artikel nyt.com). Doch auch die Bedrohungslage war eine andere – eine, die auf das Betriebssystem und Anwendungs-Software hin ausgerichtet war. Zu dem Zeitpunkt ging es primär darum, Geräte und Anwendungen abzusichern, weil diese im Visier von Angriffen standen, nicht der einzelne Nutzer.
All das hat sich geändert und heute sind im Wesentlichen Anwender und ihre Zugangsdaten einer vielschichtigen Bedrohung ausgesetzt. Berichte sprechen davon, dass im Jahr 2018 81 Prozent der Sicherheitsverstöße durch kompromittierte Anmeldeinformationen verursacht wurden.
Wie sehen die Möglichkeiten im Identitätsschutz aus?
Die Daten eines Unternehmens können heute über verschiedenste Anwendungen verbreitet werden – ob lokal oder in der Cloud –, damit Benutzer an verschiedensten Standorten und mit verschiedensten Geräten darauf zugreifen können. Identitäten werden damit zum zentralen Knotenpunkt, der Daten, Benutzer und Geräte miteinander verbindet. Tatsache ist jedoch auch, dass meist der Benutzer die „Schwachstelle“ jeder Sicherheitsstrategie ist: Es ist einfacher, einen Benutzer zu hacken, als ein physisches Gerät und die damit verbundene Infrastruktur zu kompromittieren. Und sobald ein bösartiger Akteur eine Benutzeridentität gestohlen hat, kann er sich damit am Gerät und der Infrastruktur anmelden (z.B. VPN) und die Kontrolle bzw. sensible Daten übernehmen.
Was eine effektive Sicherheitsstrategie ausmacht
Die Absicherung von Systemen, Anwendungen und Daten beginnt mit einer identitätsbasierten Zugriffssteuerung. Identitäts- und Zugriffsverwaltung schützen Ihre Unternehmensdaten und privaten Daten vor einem nicht autorisierten Zugriff. Gleichzeitig steht den legitimen Benutzern jederzeit und an jedem Ort ein entsprechender Zugriff zur Verfügung.
Eine Sicherheitsstrategie für das Identitäts- und Zugriffsmanagement sollte im Wesentlichen drei Komponenten beinhalten: Identitätssysteme, Konten und Identitätsperimeter.
Im Mittelpunkt der Sicherung von Identität und Zugriff stehen die Identitätssysteme selbst (einschließlich Verzeichnissen, Synchronisation und administrativer Konten). Angreifer zielen vornehmlich auf diese Systeme ab, um einen schnellen Zugriff auf alle oder einen Teil der IT-Ressourcen des Unternehmens zu finden und die Kontrolle zu erlangen.
Die nächste Komponente, die geschützt werden muss, sind die Konten. Privilegierte Administratoren sind dabei eine eigene Kategorie. Ihnen obliegt die Kontrolle über die Identitätssysteme, weswegen sie Teil dieser Strategie sein sollten. Die weiteren Kontenkategorien, die üblicherweise geschützt werden müssen, sind die Standardbenutzer, Kunden (B2C) und Partner (B2B).
Die dritte Komponente der Sicherheitsstrategie für Identitäts- und Zugriffsmanagement ist schließlich der Identitäts-Perimeter. Er setzt sich aus den Authentifizierungs- und Zugriffskontrollen im Unternehmen zusammen, also Anwendungen, Geräten und Infrastruktur.
Schutz und Zugang gewährleisten
Das traditionelle Konzept des Schutzes mithilfe von Passwörtern, Firewalls, Virenfiltern oder virtuellen privaten Netzwerken hat gegen Sicherheitsverletzungen von innen wenig bis gar nichts zu bieten. Dabei geht die größte Gefahr von Passwörtern aus. So begannen 86 Prozent der Fälle, in denen personenbezogene Daten (PII) gefährdet waren, mit einem Phishing-Angriff. Außerdem ist klar, dass Innen heute zunehmend gleichgesetzt mit dem Außen. Denn der Geschäftsalltag ist geprägt von kollaborativen, unternehmensübergreifenden Prozessen, in denen neben den eigenen Mitarbeitern auch Kunden und Partner einen zuverlässigen Zugang zu IT-Ressourcen erwarten. Daher ist es notwendig, geeignete Mechanismen und Kontrollen zu finden, die den Schutz von und den geregelten Zugang zu kritischen Informationen und Ressourcen gewährleisten.
Die gute Nachricht ist, dass eine Vielzahl dieser Angriffe durch moderne Sicherheitsmaßnahmen vereitelt werden kann. Ein einfaches Beispiel: Ein Mitarbeiter (Konto), der sich in der Regel nur in Deutschland einloggt, gibt sein Passwort weiter (bewusst oder unbewusst); mit diesem Passwort erfolgt kurz nach dem letzten Login in Deutschland an einem räumlich sehr weit entfernten Ort eine Anmeldung. Das System (modernes Identitätssystem) erkennt dies als ungewöhnlichen bzw. unmöglichen Vorgang (Identitäts-Perimeter) und verhindert automatisch den Login. Ein weiteres Beispiel könnte sein, dass dieses Konto auf eine Ressource versucht zuzugreifen, die außerhalb des Aufgabengebietes ist, was vom System automatisch als ungewöhnlich eingestuft wird.
Wenn Sie heute darüber nachdenken, Windows 7 abzulösen, kann im Gegensatz zum Jahr 2010 auch Cloud-Computing helfen. Umso mehr Bedeutung erhalten damit die integrierten Sicherheitsmaßnahmen in Microsoft 365 und Office 365, bereitgestellt in einem Service aus der Cloud. Das erlaubt auch die Definition komplexer Richtlinien (Policys) für den Zugang zu Geräten, Plattformen und Applikationen. Damit können firmenweit und verbindlich unter anderem die Rechte einzelner Benutzer, die Sicherheitsfunktionen oder Zugriffsrechte für Geräte, Anwendungen, Netzwerke und einzelne Dateien festgelegt werden. Die beiden 365-Lösungen spielen insofern zusammen, als Office 365, als Produktivitäts- und Kollaborationslösung, ein Teil von Microsoft 365 ist. Microsoft 365 bietet sich dann an, wenn ein Unternehmen zusätzliche Anforderungen an Geräte-Management und Sicherheitsfunktionen hat.
