Neue Herausforderungen für das Identitäts- und Zugangsmanagement durch Homeoffice und mobiles Arbeiten.
Die klassische IT-Sicherheit unterscheidet bei der Einstufung von Risiken zwischen „drinnen“ und „draußen“. Datenverkehr, der von außen aus dem Internet ins Firmennetz kommt, gilt als gefährlich und wird mit entsprechenden Sicherheitsmaßnahmen wie Firewalls oder IDS/IPS (Intrusion Detection / Prevention System) durchsucht, gefiltert und gegebenenfalls geblockt. Greifen Mitarbeiter dagegen aus dem internen Netz oder per geschützter VPN-Verbindung (Virtual Private Network) auf interne Ressourcen zu, gilt dies als sicher.
Dieses Paradigma ist nicht erst seit der Homeoffice-Welle im vergangenen Jahr überholt, bei der sich in Deutschland der Anteil heimischer Arbeitsplätze mehr als verdoppelt hat. Die zunehmende Mobilität der Mitarbeiter, aber auch die Nutzung von Cloud-Diensten und mobilen Endgeräten ließen die Grenzen zwischen internem und externem Netz schon vor der Pandemie immer mehr verschwimmen. Diese Konstellation wird oft als „New Work“ bezeichnet.
Die Situation hat sich aber 2020 deutlich verschärft, wie der aktuelle Data Breach Investigations Report des Telekommunikationsunternehmens Verizon zeigt, für den mehr als 5.000 Fälle von Datenverlust und Datendiebstahl untersucht wurden. Demnach stieg die Zahl der Phishing-Attacken im vergangenen Jahr um elf Prozent, die der Ransomware-Angriffe um sechs Prozent. Bei 61 Prozent der erfolgreichen Angriffe waren gestohlene oder geknackte Anmeldedaten beteiligt. Hacker gehen dabei oft mit roher Gewalt vor und bombardieren Unternehmen so lange mit erbeuteten oder randomisierten Nutzername/Passwort-Kombinationen, bis sie Erfolg haben. Betroffene Firmen verzeichneten bis zu 3,3 Milliarden böswillige Login-Versuche pro Jahr!
IT-Security, die sich vornehmlich auf den Schutz des Firmen-Perimeters konzentriert, ist gegen solche Angriffe weitgehend machtlos. Hat der Cyberkriminelle erst einmal das Konto eines legitimen Anwenders übernommen, kann er sich im internen Netz nahezu ungehindert bewegen. Noch gravierender sind die Schäden, wenn Hacker die Anmeldedaten privilegierter Accounts erbeuten können und so auch auf Server, Datenbanken und andere Ressourcen Zugriff erhalten, die für Standardnutzer gesperrt sind.
In drei Schritten zu mehr Sicherheit
Es braucht daher neue Konzepte und ein modernes Identitäts- und Zugangsmanagement (Identity and Access Management; IAM), um Anwender und Firmennetze zuverlässig vor Hackern zu schützen, egal von wo und mit welchen Geräten Mitarbeiter auf das Firmennetz zugreifen. Dabei sollten Unternehmen in folgenden drei Schritten vorgehen:
1. Zentrale Verwaltung aller Identitäten mit Single-Sign-on und Multi-Faktor-Authentifizierung einrichten
Laut dem Report „The State of Zero Trust Security in Global Organizations“ des IAM-Spezialisten Okta haben rund 65 Prozent der IT-Sicherheitsverantwortlichen kein einheitliches Verzeichnis, das alle Benutzer und Anwendungen (lokal und in der Cloud) zusammenführt. In vielen Unternehmen sind Zugänge nach wie vor nur per Nutzername und Passwort geschützt. Oft benötigen Anwender eine Vielzahl dieser Kombinationen, um auf alle Ressourcen zugreifen zu können. Schwache Kennwörter oder das mehrfache Verwenden desselben Passworts sind die Folge.
Um diese Gefahren zu reduzieren, sollten Unternehmen so schnell wie möglich ein einheitliches IAM installieren, das sämtliche Zugänge und Ressourcen zusammenführt, Mitarbeiter, Dienstleistern und Partnern einen einfachen Zugriff per Single-Sign-on ermöglicht, Accounts über eine Multi-Faktor-Authentifizierung (MFA) schützt und einheitliche Richtlinien für Anwendungen und Server festlegt.
2. Richtlinien für kontextabhängige Zugriffe definieren und die Rechteverwaltung automatisieren
Mit diesem Schritt beginnt die Reise zu „Zero Trust“, einem Konzept, das vor mehr als zehn Jahren vom Analystenhaus Forrester Research entwickelt wurde. Es geht davon aus, dass grundsätzlich jedem Zugriff misstraut wird, egal ob er von außen oder innerhalb des Firmennetzes erfolgt. Der Zugang wird nicht mehr allein aufgrund von Anmeldedaten gewährt, sondern auf Basis von kontextbasierten Richtlinien. So könnte beispielsweise ein Mitarbeiter, der sich über eine bekannte IP-Adresse zu den üblichen Bürozeiten einloggt, nur das Passwort zur Authentifizierung benötigen und dann Zugriff auf sensible Daten erhalten. Erfolgt der Zugriff nachts oder aus einem unbekannten Netz, wird zusätzlich ein zweiter Faktor angefordert und der Zugriff eingeschränkt.
Ein wesentlicher Faktor für mehr Sicherheit ist darüber hinaus eine weitgehend automatisierte Rechteverwaltung, die beispielsweise einem Mitarbeiter oder Dienstleister beim Dienstantritt rollenbasiert die notwendigen Zugänge gewährt und beim Ausscheiden alle Berechtigungen auch wieder entzieht.
3. Zugriffe und Nutzerrechte kontinuierlich überwachen, bewerten und anpassen.
Im dritten Schritt sollten Unternehmen eine adaptive Rechte- und Zugriffsverwaltung einführen, die Risiken kontinuierlich bewertet und situativ Maßnahmen ergreift. Systeme wie die Adaptive-Multi-Faktor-Authentifizierung (AMFA) von Okta nutzen Big-Data-Analysen, künstliche Intelligenz und maschinelles Lernen, um das Sicherheitsniveau von Anmeldungen jederzeit flexibel an veränderte Risikosituationen anzupassen.
Fazit
Der Trend zu Homeoffice und New Work hat die Angriffsfläche für Cyberkriminelle weiter vergrößert und Sicherheitsprobleme verschärft, die bereits durch Cloud-Nutzung und Mobilität entstanden waren. Unternehmen müssen daher von einem reinen Zugriffsmanagement weg und hin zu einer Rechtevergabe kommen, welche den Kontext des Zugriffs bewertet und Authentifizierung und Autorisierung entsprechend den erkannten Risiken anpasst. Nur so lässt sich die Sicherheit in Zeiten von New Work erhöhen, ohne Produktivität und Nutzerzufriedenheit zu gefährden.
kommentar field