Identity & Access Management Archive - SITS

Resilienz durch Identität

Resilienz bezeichnet die Fähigkeit einer kritischen Entität, einem Vorfall vorzubeugen, sich dagegen zu schützen, darauf zu reagieren, ihm zu widerstehen, ihn abzumildern, ihn zu absorbieren, zu bewältigen und sich davon zu erholen.

Wie der Überblick über die neuen Rechtsvorschriften zu Themen der Cybersicherheit in der EU deutlich zeigt, fordern die Regulierungsbehörden mehr Aufmerksamkeit für die Krisenbewältigung. Damit soll das Gleichgewicht in der Sicherheitspraxis wiederhergestellt werden, die sich in erster Linie auf die Prävention konzentriert und die Reaktion vernachlässigt hat. Die Bemühungen sind Teil einer umfassenderen Entwicklung, wie wir sie auch beim amerikanischen NIST-Rahmenwerk beobachten können (siehe unten). Die neue Version, die 2.0, wird 2024 fertiggestellt und formalisiert.

Wenn Sie das NIST-Bild aufzeichnen, was im Bereich der Cyberverteidigung üblicherweise getan wird, werden Sie feststellen, dass der größte Teil der Industrie, des Budgets und der Aufmerksamkeit auf den Bereich “Protect” gerichtet ist, in dem präventive Tools angesiedelt sind. Das ist unausgewogen. Der Gesetzgeber fordert mehr Aufmerksamkeit auf Identify, Incident Response und Recovery. Die andere auffällige Ähnlichkeit ist die Aufmerksamkeit für die Lieferkette, sowohl in NIS2 als auch in NIST 2.0. Dies wird wahrscheinlich zu einer tektonischen Verschiebung in den Zuständigkeitsbereichen führen und die Verantwortung für Cybersicherheit von der traditionellen IT-Abteilung weg verlagern.

Abbildung 1: NIST 2.0 Framework

Dies ist ein aktueller Strategiewechsel – der Gamechanger ist die harte und teure Lektion von Ransomware, dass, sobald die Prävention umgangen wird, die Reaktionsfähigkeiten (Response) sich als weitgehend unterentwickelt erweisen und sich Vorfälle unnötigerweise zu ausgewachsenen Katastrophen entwickeln.

Dieses strukturelle Ungleichgewicht ist ein logisches, aber unbeabsichtigtes Ergebnis des risikobasierten Ansatzes, bei dem der Schwerpunkt auf der Identifizierung von Risiken im Zusammenhang mit bekannten Werten liegt, bevor eine spezielle Reaktion festgelegt wird. Dies führt dazu, dass unwahrscheinliche Risiken übersehen werden, die Lieferkette vergessen wird und es zu einer Voreingenommenheit gegenüber der Prävention und einer Zersplitterung der Bemühungen durch punktuelle Lösungen kommt.

Im Finanzrisikomanagement wird dies als ” Black Swan-Effekt” bezeichnet, der dazu führt, dass Unternehmen auf unvorhergesehene Ereignisse oder sogar auf eine Kombination von erwartbaren Ereignissen zur gleichen Zeit nicht vorbereitet sind. Mit NIST 2.0 in den USA und NIS2 in der EU (und dem derzeit in Vorbereitung befindlichen Nachfolgeprojekt) fordern die Gesetzgeber nicht, dass man bei der Prävention nachlässt oder die risikobasierte Vorgehensweise vergisst, aber sie fordern mehr Ausgewogenheit. Daher lenkt er die Aufmerksamkeit auf die Reaktion auf Vorfälle (incident response), die Kommunikation und die Krisenbewältigung – in Zusammenarbeit mit der Lieferkette und den Behörden. Themen, die für die Cyber-Resilienz von zentraler Bedeutung sind.

Eine kurze Einführung in Incident Response

Incident Response ist das, was Organisationen tun, wenn etwas schiefläuft. Feuerwehrleute löschen Brände, Sanitäter versorgen Verletzte, Soldaten schießen auf den Feind – vorbereitete und organisierte Reaktionen von spezialisierten und benannten Personen, den Incident Responders. Auch im Bereich der Cybersicherheit gibt es Vorfälle, die sich zu ausgewachsenen Katastrophen entwickeln können, wenn sie unbeachtet bleiben. Deshalb gibt es CSIRTs, Computer Security Incident Response Teams für Cyber-Vorfälle. Besser gesagt, viele Unternehmen behaupten, sie hätten “CSIRT-Fähigkeiten”, da sie ein Security Operating Centre haben. Oder sie haben die IT an einen Anbieter ausgelagert, der über ein SOC verfügt. Oder es handelt sich um einen virtuellen Prozess eines virtuellen Teams, das der IT untersteht. Oft ist der IT-Helpdesk in der Praxis das CSIRT, während sich der Rest in der Semantik und der Büropolitik verliert. Die meisten Unternehmen haben kein CSIRT und tun sich schwer, die “Gleichwertigkeit” dessen, was sie haben, zu erklären.

Der Begriff “Incident Response” ist für die Cybersicherheit vielleicht auch nicht die glücklichste Wahl, da es im IT-Support einen Prozess gibt, der fast den gleichen Namen trägt – Incident Management – mit einer marginalen und meist optischen Überschneidung. Dies führt häufig dazu, dass die IT-Abteilung in einen Topf geworfen wird und für den großen Bereich der Business Resilience verantwortlich gemacht wird, für den sie eigentlich gar nicht gerüstet ist.

Wesentlich für ein gutes Verständnis von NIS2 ist, dass die in diesem Gesetz geforderten Maßnahmen zum Management von Cybersecurity-Risiken auf einem “All-Hazard-Ansatz” zur Reaktion auf Vorfälle beruhen sollten und nicht auf identifizierbare IT-Vorfälle innerhalb der eigenen IT-Infrastruktur beschränkt sind: “Die von der Einrichtung ergriffenen Maßnahmen des Cybersicherheitsrisikomanagements sollten nicht nur die Netz- und Informationssysteme der Einrichtung, sondern auch die physische Umgebung dieser Systeme vor Ereignissen wie Sabotage, Diebstahl, Brand, Überschwemmung, Telekommunikations- oder Stromausfällen oder unbefugtem physischen Zugriff schützen, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder über diese Systeme zugänglichen Dienste beeinträchtigen können”.

Wenn man darüber nachdenkt, hat eine Organisation, die auf die Bewältigung von Vorfällen wie dem Tonermangel eines Druckers zugeschnitten ist, nur wenig mit dem gemein, was Sie für den Umgang mit einem ausgewachsenen Ransomware-Angriff oder einem Brand im Rechenzentrum Ihres Cloud-Anbieters benötigen.

Wir haben es hier mit einem Thema zu tun, das manche als “War Room” bezeichnen; ein Ausnahmezustand, bei dem alle Mann an Deck sein müssen. Der Begriff fasst die Relevanz, die Dringlichkeit und die chaotische Natur dieses Themas treffend zusammen. Der War Room ist das Herzstück von NIS2; wir müssen aus dem IT-Sicherheitsbereich in die reale Welt heraustreten und den Beschränkungen des Paradigmas der Cyberverteidigung entkommen.

Abbildung 2: Überblick über die Reaktion auf Vorfälle

Wie oben in der Übersicht über die Reaktion auf Vorfälle ersichtlich, gibt es drei Hauptgruppen von Prozessen, die kohärent funktionieren sollten, um eine Chance auf Erfolg zu haben:

  • Erkennen (detect) – die Prozesse und Akteure, die als Stolperdraht fungieren und Sie alarmieren, wenn etwas vor sich geht. Hier ist die Cybersicherheit in der Regel angesiedelt, entweder als internes SOC (Security Operating Center) oder bei einem Managed Security Provider als Outsourcing-Partner. Da alle Arten von Störungen in den Anwendungsbereich der NIS2 fallen, nicht nur solche, die als Cyber- oder IT-Störungen betrachtet werden, muss das, was heute vorhanden ist, wahrscheinlich neu geplant und gestaltet werden.
  • Handeln – das eigentliche Krisenmanagement; kontinuierliche Analyse alias Triage (im Wesentlichen Risikobewertung dessen, was vermutlich vor sich geht, und Abwägung der Reaktionsmöglichkeiten), Forensik, Geschäftskontinuität und Eindämmung und Beseitigung von Angreifern. Dies ist der Bereich des Blue Teams, der IT-Ingenieure, die den Sicherheitsanalysten erklären, was die Systeme tun und wie sie funktionieren (um zu entscheiden, was zu tun ist), die Dinge im Handumdrehen reparieren und Daten und Systeme verschieben – harte Arbeit, die allzu häufig übersehen und unterbewertet wird. Sie ist auch nicht in einer Dienstleistungsvereinbarung geregelt. Dies ist die Fähigkeit, die im Allgemeinen durch Outsourcing und technische Tiefe am schwächsten ist – eine Grenzlinie zu verteidigen, die man kennt, ist viel einfacher als eine, die man nicht kennt. Hier geht es darum, den Heimvorteil zu haben – oder eben nicht.
  • Kommunizieren – Stakeholder und Shareholder auf dem Laufenden halten und schwierige Fragen beantworten, ein weiterer unterentwickelter Teil, der in der NIS2 hervorgehoben wird. Es ist verpflichtend, die Behörden, die Kunden und die Lieferketten zu informieren. Hier werden harte Fragen gestellt werden – alles geheim zu halten ist keine Option mehr.

Dieses Post hat nicht den Anspruch, ein vollständiges Bild der Reaktion auf Cybervorfälle zu zeichnen, denn das würde ein ganzes Buch füllen. Es dient jedoch als Hintergrund für den kommenden Post, in dem es um die Überschneidungen mit den Themen und Möglichkeiten des Identitätsmanagements geht und darum, wie Sie diese nutzen können, um Ihre Erfolgschancen in der nächsten Cyber-Krise zu verbessern.

Die Herausforderung von Cyber Incident Response und Identity Management

Wenn Best Practices nicht praktikabel sind

Das SANS Institute definiert einen Rahmen mit sechs Schritten für eine erfolgreiche Incident Response:

  1. Preparation
  2. Identification
  3. Containment
  4. Eradication
  5. Recovery
  6. Lessons learned

Wenn Sie angegriffen werden, kommen Sie nicht über Schritt 2 hinaus, da es nahezu unmöglich ist, Angriffe jeglicher Komplexität zu erkennen. Doch selbst wenn Sie nicht wissen, was Sie getroffen hat, müssen Sie handeln.

Identification ist willkommen, aber nicht unbedingt notwendig

Das Schwierigste bei Cyber-Vorfällen ist nicht die Erkennung (detection), sondern die Erkenntnis, dass die Erkennung schwierig ist und die Tools nur sehr begrenzt einsetzbar sind. Wie von IBM berichtet, entdeckte nur ein Drittel der Unternehmen Datenschutzverletzung durch ihre eigenen Sicherheitsteams, erstaunliche 67 % der Verstöße wurden von einer gutartigen dritten Partei oder von den Angreifern selbst gemeldet. Es unmöglich zu sagen, wie viele Unternehmen völlig unbemerkt angegriffen und kompromittiert wurden, und wir wissen aus anekdotischen Beweisen (APT1, Sellafield, Buckshot Yankee), dass Verstöße jahrelang andauern können; daraus müssen wir schließen, dass die Erkennung in den meisten Fällen fehlschlägt und dass der Gesetzgeber mit seiner Forderung nach einer effektiveren Incident Response Recht hat.

 

Noch schwieriger ist es, angemessen zu reagieren und zu wissen, wie und wann die Sicherheitsverletzung beendet ist. Wie und wann kann man das Vertrauen wiederherstellen und sagen, dass der Geschäftsbetrieb wieder sicher ist, wenn man nur unvollständige und indirekte – und wahrscheinlich zweideutige – Informationen über das Ausmaß und die Mittel der Sicherheitsverletzung hat? Die zentrale Herausforderung besteht darin, wie ein Angreifer abgewehrt werden kann, einschließlich aller Arten von möglichen “Persistenzen” (Hintertüren), die in dem riesigen Heuhaufen Ihrer Infrastruktur versteckt sind. Vor allem, wenn man bedenkt, dass man wahrscheinlich nicht weiß, wie lange der Angriff andauerte und wie groß der Heuhaufen ist. Häufig gehen die Opfer von Sicherheitsverletzungen davon aus, dass die Angriffe “vorbei” sind, wenn kein verdächtiges Verhalten mehr beobachtet wird.  Da Sie beim ersten Einbruch praktisch blind waren, bedeutet dies ein großes Maß an blindem Vertrauen; Sie sollten zumindest nach Wegen suchen, die ein Angreifer möglicherweise geschaffen hat. In der Cybersicherheit wird dies als Persistenz bezeichnet.

 

Häufige Vektoren für Persistenz sind Malware, ungeschützte Zugangspunkte, erhöhte Berechtigungen für normalerweise harmlose Accounts und kompromittierte Anmeldeinformationen, vorzugsweise von der nicht rotierenden Art, wie Systemkonten, dauerhafte Cookies, API- und SSH-Schlüssel und nicht zuletzt PKI-Zertifikate. Die drei letztgenannten Arten von Anmeldeinformationen sind nur allzu häufig in Code-Repositories in der Cloud gespeichert – Github ist voll davon.

Abbildung 3: Die vier Vektoren der Wiederherstellung bei Sicherheitsverletzungen

Eine besondere Erwähnung verdient die Kategorie der externen Konten wie LinkedIn und Github, bei denen die Mitarbeiter die E-Mail-Adresse des Unternehmens als Benutzernamen verwenden und somit zur Wiederverwendung von Passwörtern verleitet werden, wodurch das Unternehmen Credential Stuffing-Angriffen ausgesetzt ist. Credential Stuffing ist laut OWASP eine der am häufigsten verwendeten Techniken, um Benutzerkonten zu übernehmen.

Auf dieser Grundlage sollte der Wiederherstellungsansatz aus vier Komponenten bestehen: Forensik, Anti-Malware-Tools, Wiederherstellung von Backups, die bekanntermaßen sauber sind, oder Neuaufbau von Grund auf sowie Identitätsmanagementsysteme.

Ein Blick auf das Diagramm macht deutlich, dass eine Ad-hoc-Reaktion nur bedingt erfolgreich sein wird und auch nicht sehr schnell erfolgen kann.

Um eine Chance auf eine rasche Wiederherstellung zu haben, können diese Fähigkeiten nicht unter Zwang improvisiert werden, sondern sollten im Voraus aufgebaut und durch Schulungen und Wissen (einschließlich Partnern) unterstützt werden.

Aber … haben wir das nicht schon, mit unserer Best-of-Breed-IAM-Lösung?

Das ist nicht sehr wahrscheinlich.

Identitätsmanagement-Prozesse und -Systeme sind nur selten für die Wiederherstellung bei Sicherheitsverletzungen ausgelegt – schauen Sie sich die Anwendungsfälle an, und Sie werden feststellen, dass Identitätsmanagement und Incident Response nur selten zusammenkommen. Die Tools, die umfangreiche Literatur, in der bewährte IAM-Verfahren beschrieben werden, und die seit langem etablierten Standards sollten dies abdecken. Das ist kaum der Fall.

Dabei sind sie von grundlegender Bedeutung für den Erfolg. Bedenken Sie, dass die IAM-Systeme auch der Hauptangriffsvektor und der Dreh- und Angelpunkt in den späteren Phasen eines Einbruchs sind, wenn die Privilegien des Angreifers zu Root-Rechten erweitert werden, da Konten die Schlüssel zum Königreich sind. In der Literatur zum Thema Identitätsmanagement wird dieses Thema im Allgemeinen völlig außer Acht gelassen. Dies ist eine große Lücke in der Cyberabwehr. Um diese Lücke zu schließen, werden im nächsten Kapitel die Anwendungsfälle aufgelistet, die in einer Cyber-Krise relevant sein könnten. Mit diesen Informationen sollte der IAM-Prozessverantwortliche in der Lage sein, die von NIS2 angestoßene Phase der Cyber Resilience mit Zuversicht zu betreten.

Verschlüsselung in den Griff bekommen

Kryptografie gilt normalerweise nicht als „sexy“ Thema im komplexen Bereich der Cybersicherheit. Wenn Kryptografie in einer IT-Sicherheits-Roadmap auftaucht, ist sie oft nur ein Kästchen, das abgehakt werden muss; ein Hinweis im Rahmen eines Audits oder ein überfälliges Update für eine Komponente, die nicht zu einem früheren Standard „zurückfallen“ soll. Und immer häufiger stoßen wir in der Cloud auf etwas, das einfach nicht funktionieren will, wenn man die Kryptografie unberücksichtigt lässt. Dieser Fall scheint immer häufiger aufzutreten, und wenn man das Problem heute aufschiebt, wird es nicht verschwinden. Dieses Thema bereitet in allen Ecken der Sicherheitswelt viel Kopfzerbrechen, was zum Teil auf verwirrende Vorschriften und unverständliche technische Anweisungen zurückzuführen ist. Es ist immer eine lästige Pflicht, ohne offensichtlichen Mehrwert, was es nicht einfacher macht, Entscheidungsträger zu überzeugen, dafür Geld locker zu machen.

Das Lamento der Sicherheitsexperten ist meist berechtigt. Aber… Wenn man bedenkt, dass fast jedes moderne Sicherheitsprodukt eine Menge Kryptografie unter der Haube hat – mit all der Komplexität, die das mit sich bringt – dann ist es nur logisch, dass das Thema immer wieder auftaucht. Und jetzt, wo Sie Ihre Infrastruktur in die Cloud verlagert haben, können Sie nicht einfach etwas Unzureichendes zusammenschustern – oder die Kryptografie ganz weglassen, wie früher. Es ist noch gar nicht so lange her, dass Unternehmen Verschlüsselung in ihrem eigenen Netzwerk „aus Sicherheitsgründen“ verboten haben. Bis zum Jahr 2015 war das fast schon gängige Praxis. Der Gedanke hält sich bis heute in einigen Köpfen, denn Verschlüsselung macht eine Überprüfung unmöglich. Das war’s dann mit Ihrem Virenschutz und Ihrer Intrusion Protection.

Es ist ein kompliziertes Puzzle, und wenn man denkt, dass man fertig ist, bleiben immer noch einige Teile übrig. Das Thema ist so universell, dass man es fast als lebenswichtige Technologie bezeichnen kann. Das bedeutet, dass die Kenntnis und Beherrschung der Kryptografie für eine wirksame Sicherheit unerlässlich ist.

Im Bereich der Computersicherheit ist die Kryptographie de facto eines der wichtigsten Themen, weil sie an so vielen Stellen unter der Oberfläche schlummert, es aber nur wenige Organisationen gibt, die ihr einen ausdrücklichen administrativen Verantwortlichen zuweisen. Die Zuständigkeit wird daher häufig zwischen Sicherheit und IT verlagert. Das führt zu Reibung und Trägheit, und die Dinge beginnen zu scheitern.

In Anbetracht dessen ist es jetzt an der Zeit, dass wir alle diese bittere Pille schlucken und uns in das Thema vertiefen.

Was wir dabei beobachten, sind die Nebeneffekte von drei grundlegenden Entwicklungen:

  1. Upscaling: Die Zahl der Anwendungsgebiete von Kryptografie nimmt aufgrund von Zero Trust und der Ausweitung von mobilem Arbeiten, Telearbeit und der Cloud ständig zu; Daten, die außerhalb der eigenen Infrastruktur gespeichert werden, müssen für die Speicherung und den Transport verschlüsselt werden (in unserem typischen Fachjargon: Deperimiterisation). Gleichzeitig sind kryptografische Schlüssel für immer kürzere Zeiträume gültig, was eine häufiger erfolgende Rotation und andere Wartungsarbeiten erforderlich macht, allein schon aus Gründen der Verfügbarkeit. Diese wachsende Bedeutung hat dazu geführt, dass das Thema für die Aufsichtsbehörden (und damit für Compliance-Verpflichtungen wie NIS2 und DORA) und für die betriebliche IT (gezwungen durch Störungen und Migrationen) unausweichlich geworden ist.
  2. Verlagerung der Sicherheit von der Netz- und Infrastrukturebene (Anwendungen, Verzeichnisse, RBAC, Firewalls und Proxys) zunehmend auf die Datenebene (Speicherung und Transport). Dieser Prozess beschleunigt sich, weil ein größerer Teil der Daten in separaten Ordnern gespeichert wird, anstatt in einer logischen Sammlung in Anwendungen und Datenbanken. Da wir nicht genau wissen, was und/oder wo diese „unstrukturierten“ Daten liegen (und somit die Risiken nicht quantifizieren können), müssen wir die allgemeinen Sicherheitsnetze verstärken: Wir verschlüsseln die Speicherorte der Daten („data at rest“, oder das Dateisystem) und die Orte, durch die sie sich bewegen (das Netz, oder „data in transit“). Noch mehr Komplexität.Die Sicherheitsindustrie verspricht auch eine zukunftsweisende Verschlüsselung von „Data in Use“, manchmal in Kombination mit einer Verschlüsselung auf der Ebene der einzelnen Datei; in DLP, Kapselungen und vor allem der „Sovereign Cloud“ – um ausländische Geheimdienste und Big Tech davon abzuhalten, uns auszuspionieren. Sie sprechen auch gerne über C2PA – eine neue Kryptotechnik zum Nachweis der Authentizität digitaler Inhalte; eine logische Lösung in Zeiten von Deepfakes und KI-Desinformation. Das klingt kompliziert und ist es auch: Es garantiert zusätzliche Komplexität, die Ihr Unternehmen bewältigen muss.
  3. Überfällige Wartung. Wir durchlaufen derzeit den Übergang von der ersten Generation der Kryptotechnologie (ab etwa 2000) zur Einführung der zweiten Generation (ab etwa 2015, jedoch bei weitem heute noch nicht abgeschlossen). Der Übergang geht langsam vonstatten, weil er äußerst anspruchsvoll ist, und wir beginnen bereits mit den ersten Migrationen zur dritten Generation der Kryptotechnik. Bei dieser dritten Generation geht es vor allem um kurzlebige Kryptoschlüssel und modernere „Post-Quantum“-Algorithmen. Apropos kompliziert: Der sich abzeichnende Durchbruch von Quantencomputern macht es möglich, die Schlüssel für ältere Algorithmen zu knacken, so dass wir im Grunde alles, was wir heute verwenden, durch die neue Post-Quantum-Kryptografie ersetzen müssen.

Oh Mann.

Kryptographie in den Griff kriegen

Noch nicht jeder ist zu der Einsicht gelangt, dass das Management und das Beherrschen von Kryptographie („Krypto-Transparenz“) eine absolute Notwendigkeit für jede sinnvolle kryptographische Anwendung im Sicherheitsbereich ist. Um es ganz klar zu sagen: Wenn man die Kryptographie falsch einsetzt, ist die Sicherheit der eigenen Projekte wahrscheinlich nicht mehr gewährleistet. Sie wird oft als eine wartungsarme Technologie dargestellt, insbesondere von den Tool-Verkäufern. Aber die Sicherheit, die sie bietet, ist in Wirklichkeit das Ergebnis des sicheren Umgangs mit Keys und der richtigen Organisation von Prozessen und Systemen. In dem Maße, in dem der Umfang zunimmt und immer breitere Anwendung findet, ist ein gründliches Verständnis der Technologie von entscheidender Bedeutung. Und das erfordert ein kreatives und spezialisiertes Team, das Improvisationen beherrscht. Leider haben nur die wirklich großen Unternehmen die nötige Kapazität, um dies zu bewältigen. Der Rest muss mit einem Langzeitanbieter zusammenarbeiten, der über ein solches Team verfügt.

Dies ist der wichtigste Faktor, der unseren Kryptodienstleistungen zugrunde liegt: Wir sind ein Sparringspartner für Innovation und Wachstum, mit einer klaren und vertrauten Prozessorganisation, gestützt durch eine geeignete Prozessautomatisierung.

Unser Ansatz

Um die Kryptographie in einer Organisation in den Griff zu bekommen, ist ein struktureller Ansatz erforderlich. Unserer Erfahrung nach besteht dieser Ansatz aus Discovery, Onboarding (Übernahme der Kontrolle) und Governance (gutes Management).

Discovery

Ohne Einblick in die Bereiche, in denen Sie Verschlüsselung einsetzen (und in denen Sie dies noch nicht tun, aber tun sollten), werden Sie nicht in der Lage sein, eine angemessene, zeitgemäße Sicherheit zu erreichen, geschweige denn aufrechtzuerhalten. Discovery ist ein hybrider Prozess zwischen einem technischen Scan Ihres eigenen Netzes, der Abfrage maßgeschneiderter Internetdienste (die von der OSINT-Welt bereitgestellt werden), der Befragung von IT-Spezialisten und Lieferanten sowie der Analyse von Designs. Discovery hilft Ihnen dabei, Folgendes zu ermitteln:

  • Wo Sie Verschlüsselung verwenden – und wie
  • Wo Sie keine Verschlüsselung verwenden, dies aber auf der Grundlage Ihrer Sicherheitsrichtlinien und Architekturprinzipien tun sollten

Das Wort „Orchestration“ bei einem SIEM/SOAR kommt nicht von Ungefähr: In einem Orchester arbeiten viele verschiedene Instrumente harmonisch zusammen, um ein beeindruckendes musikalisches Werk zu schaffen. Ähnlich verhält es sich mit der Orchestrierung in der IT-Sicherheit: Hier koordiniert Sentinel die Daten eines SIEM, reagiert per SOAR automatisch darauf und sorgt per Defender sofort für die Gefahrenbeseitigung. Jedes Tool kennt seinen Part und setzt zum richtigen Zeitpunkt an. Und das funktioniert wie folgt:

  • Zentralisierte Datenerfassung: Sentinel aggregiert mit SIEM-Funktionen sämtliche Daten (nicht nur Sicherheitsdaten) aus einer Vielzahl von Quellen – von Endpunkten über Cloud-Dienste bis hin zu Log-Dateien von Anwendungen. Beispielsweise überwacht das Microsoft SIEM Anmeldedaten über verschiedene Plattformen hinweg, um ungewöhnliche Zugriffsversuche, die etwa auf Credential Stuffing hindeuten könnten, frühzeitig zu erkennen.
  • KI-basierte Erkennungsalgorithmen: Durch die Einbindung von Defender XDR profitiert das Sentinel SIEM von fortgeschrittenen Erkennungsmechanismen, die auf KI und maschinellem Lernen basieren. So identifiziert und priorisiert Sentinel automatisch komplexe Angriffsketten, die herkömmliche Erkennungsmethoden umgehen könnten.

Onboarding

Onboarding umfasst die verschiedenen Schritte, die Sie auf der Grundlage der Erkenntnisse aus der Discovery ergreifen. Je nachdem, was Sie feststellen, kann dies die Registrierung (im Asset Management), die Einbindung in die Monitoring- und Kontinuitätsplanung, das Einleiten von Optimierungsmaßnahmen oder das Hinzufügen von Verschlüsselungsmaßnahmen umfassen – alles Schritte, die auch zum Security Management gehören. Onboarding besteht aus den folgenden Schritten:

  1. Aufnahme in das Asset-Inventar – die CMDB, mit dem Status (in use/in management ( oder nicht) /sollte Verschlüsselung verwenden, tut es aber nicht (oder verwendet sie falsch), plus das Datum der Einbindung.
  2. Eingabe der Basisdaten.
  3. Der Budget-Owner: Wer zahlt?
    1. Der verantwortliche Administrator (und die Organisation): Wer betreut?
    2. Die Funktion des Systems („landscape“): wer und was verwendet es??
  4. Abschluss der Verwaltung und Behebung von Schwachstellen.
    1. Behebung von Fehlern und Mängeln
    2. Monitoring und regelmäßige Inspektionen
    3. Automatisieren, wo dies rentabel und machbar ist
    4. Kostenverteilung

 

Im Idealfall bräuchte man Discovery nicht, da die korrekte Organisation der Nutzung kryptografischer Ressourcen in den Erstellungsprozess der IT-Tools eingebettet ist. Aber in der realen Welt … ist das normalerweise nicht der Fall. Und genau deshalb brauchen Sie Discovery.

In größeren Unternehmen führt angesichts des raschen Anstiegs der Arbeitsbelastung kein Weg daran vorbei, auch kurzfristig einen Factory-Line-Ansatz zu verfolgen. Bei der Optimierung dieses Prozesses gilt es, keine Zeit zu verlieren. Die Festlegung eines Standards für das Onboarding ist ein guter Anfang.

Governance: die Kontrolle behalten

In den Turbulenzen der heutigen Technologie ist es das Wichtigste, für die Kundenorganisation relevant zu bleiben, indem geeignete Produkte, robuste Dienstleistungen und die richtige zukunftssichere Supportleistungen angeboten werden. Der Begriff dafür lautet heute „Krypto-Agilität“: die Fähigkeit, durch Antizipation, Planung und Expertise am Puls der neuen Entwicklungen zu bleiben.

Um Kryptografie in den Griff zu bekommen – und zu behalten – sind alle Serviceebenen gefragt:

Der CA Landscape Level

Die gängigsten PKI- Betreiber haben sowohl interne als auch öffentliche Zertifizierungsstellen (CAs). Die Erstere bedient den internen Name Space – das LAN – und ist oft ein „Nebenjob“ der IT-Abteilung. Die Letztere befasst sich mit Zertifikaten, die für das Internet beschafft werden, und wird extern vergeben. Das bedeutet aber nicht automatisch, dass es korrekt ausgeführt wird und auch nicht, dass es immer sicher abläuft. Oft machen es Abteilungen und Projektträger nebenbei. Sie nennen das ‘best effort’, was bedeutet, dass es manchmal gut läuft.

Aber meistens klappt das nicht.

Die interne CA ist für die Konsolidierung, Einbettung und Verbesserung zuständig, wo dies erforderlich ist. Ein Austausch ist nur dann erforderlich, wenn eine Verbesserung nicht mehr möglich ist, das Ende der wirtschaftlichen Nutzungsdauer naht oder der Anbieter keinen Support mehr anbietet. Die Konsolidierung zu einer einzigen Infrastruktur kann ein guter Plan sein, wird aber zu oft als Ziel und nicht als Mittel gesehen. Es kann praktischer sein, den verschiedenen CAs ein einziges Frontend in einem Portal zu geben. Dabei kann es sich um eine separate Website handeln, aber Sie könnten auch in Erwägung ziehen, sie zum Bestandteil einer Identity Governance-Anwendung oder eines Helpdesk-Portals zu machen.

Der RA Facilities Level

Wir bezeichnen die Prozessseite der Kryptografie manchmal als Registrierungsstelle (RA) und den Bereich als Certificate Governance. Die RA ist der Ort, an dem die Security, die IT und das Business für den täglichen Betrieb zusammenkommen – wo Keys angefordert und ausgestellt werden und wo die notwendigen Autorisierungen, wenn möglich, in einem Online-Workflow („Request and Attestation“) verarbeitet werden.
Das Backend der RA sollte so weit wie möglich automatisiert werden. Das bedeutet, dass die kryptografischen Schlüssel nach dem Einschalten eines Client-Systems automatisch und pünktlich ersetzt werden sollten. Das spart eine Menge Zeit und Mühe, besonders jetzt, wo die Gültigkeitsdauer der Schlüssel immer kürzer wird. Leider geschieht diese Integration nicht von selbst, daher sollte sie ein Standardschritt im Onboarding-Prozess sein. Die Unterstützung der verfügbaren Protokolle wird zwar immer üblicher, ist aber sicherlich noch nicht die Normalität. Der kryptografische Dienstleister wird seinen Teil der Arbeit in diesem Bereich übernehmen müssen.
Ein fester Bestandteil des Onboarding-Prozesses ist die Organisation des Monitoring-Service („Red und Blue Teams“ aus IT und Sicherheit) für den Krypto-Nutzer. Auf diese Weise können Sie ein strukturelles Augenmerk auf die aktuelle Nutzung legen, Benutzer benachrichtigen, wenn Zertifikate, die nicht automatisch erneuert werden, ablaufen, und Zertifikate und den Zugang zu Fachwissen zur Unterstützung von SOC-Analysten widerrufen.
Und schließlich – insbesondere im Hinblick auf NIS2 – weist das Onboarding den Kryptographie-Benutzer dem Disaster Recovery und dem Notfallmanagement zu. Das gilt natürlich sowohl für die zentralen internen Systeme (CA und RA) als auch für die angeschlossenen Clients. Das ist alles andere als trivial: Zertifikate gewähren privilegierten Zugang zu Systemen wie APIs, RDP und SSH, sind aber bei vielen Sicherheitsexperten selten im Fokus, was sie zu einem primären Ziel von Angriffen macht. Es ist daher von entscheidender Bedeutung, dass Sie wirksame Notfallverfahren implementieren, sie pflegen und testen.

Fazit

Es ist offensichtlich, dass wir eine Menge Arbeit vor uns haben. Stellen Sie also einen Plan auf, wählen Sie einen effektiven Verantwortlichen und machen Sie sich darauf gefasst, dass dies eine anspruchsvolle Angelegenheit ist, bei der Sie mit Sicherheit eine Menge Leichen aus dem Keller holen werden. Aber es führt kein Weg daran vorbei, und wenn Sie es heute aufschieben, wird es morgen nur noch dringlicher.

Wenn Sie Hilfe brauchen, scheuen Sie sich nicht, sich bei uns zu melden!

Biometrie – Sicherheit fast ohne Passwort

  • Identifikationssysteme auf Basis biometrischer Daten bieten eine gute Mischung aus Sicherheit und Komfort.
  • Bei der Einführung biometrischer Systeme sind erhöhte Anforderungen an den Schutz personenbezogener Daten zu beachten.
  • Biometrische Merkmale sind schwer zu fälschen, sollten jedoch niemals als alleinige Authentifizierung für den Zugang zu kritischen Systemen verwendet werden.

Moderne IT-Sicherheit ist ohne Biometrie nicht mehr denkbar. Ob am Handy oder am PC – biometrische Merkmale wie Fingerabdruck und Gesichtsstruktur werden täglich milliardenfach zur Anmeldung an Geräten genutzt. Sie versprechen Sicherheit und Bequemlichkeit, ersparen sie dem Nutzer doch die umständliche Eingabe komplexer Logins und Passwörter. Doch wie sicher ist die Technik wirklich? Welche Grundlagen sind nötig und was muss beachtet werden, wenn man Biometrie in der IT-Sicherheit einsetzen will? Dieser Post gibt einen Überblick.

Wie funktioniert Biometrie?

Unter dem Begriff Biometrie werden verschiedene Verfahren zusammengefasst. Am bekanntesten ist wohl die Erkennung von Fingerabdrücken, wie sie in vielen Smartphones zum Einsatz kommt. Spätestens seit Apple das FaceID-System in seinen Produkten eingeführt hat, ist auch die Erkennung der Gesichtsgeometrie über Kameras weit verbreitet.

Darüber hinaus gibt es weitere Verfahren, die eine biometrische Erkennung ermöglichen. So können beispielsweise die Iris oder die Netzhaut des Auges zur Identifikation genutzt werden. Ebenso eignet sich das Venenmuster der Hand und auch die Analyse der DNA ermöglicht eine genaue Identifikation.

Neben diesen gängigen Methoden gibt es auch exotischere Ansätze: So gibt es Verfahren, die Menschen anhand ihres Gangs, ihres Körpergeruchs, ihrer Unterschrift oder ihres Tippverhaltens auf einer Tastatur erkennen können.

Diese vier Faktoren sind wichtig

Egal welches Verfahren angewandt wird – es muss vier Voraussetzungen erfüllen:

  • Eindeutigkeit: Die Merkmale dürfen tatsächlich nur bei jeweils einer Person auftauchen.
  • Konstanz: Die Ausprägung des Merkmals darf nicht vom Alter oder der Umgebung abhängen.
  • Messbarkeit: Es muss klar definierte Messgrößen und -verfahren geben.
  • Universalität: Möglichst viele Personen sollen das betreffende biometrische Merkmal aufweisen.

Sind Fingerabdrücke wirklich einzigartig?

Seit weit über 100 Jahren gilt der Fingerabdruck als ideales Mittel zur eindeutigen Identifizierung von Personen. Die Methode beruht auf der bislang unbewiesenen Annahme, dass jeder Fingerabdruck absolut einzigartig ist.

Eine Studie aus dem Jahr 2024 stellt diese Annahme infrage. Eine KI-basierte Analyse von über 60.000 Fingerabdrücken hat ergeben, dass es signifikante Ähnlichkeiten zwischen den Mustern verschiedener Finger gibt.

Für die Biometrie stellt dies jedoch kein Problem dar. Denn die gefundenen Ähnlichkeiten bestehen zwischen den verschiedenen Fingern ein und derselben Person. Eine Verwechslung zweier Personen anhand eines Fingerabdrucks ist daher nach wie vor praktisch ausgeschlossen.

Die notwendige Technik

Grundsätzlich funktioniert jede biometrische Erkennung nach dem gleichen Prinzip.

  1. Zunächst muss der Nutzer registriert werden. Bei diesem Enrolment werden alle relevanten Merkmale erfasst, die zu seiner eindeutigen Identifizierung notwendig sind.
  2. Aus diesen Daten werden mit einem Algorithmus sogenannte Templates Sie enthalten nicht mehr die vom jeweiligen Sensor erfassten Rohdaten, sondern nur die für den späteren Vergleich notwendigen Informationen. Diese Templates werden verschlüsselt gespeichert.
  3. Soll eine Person später biometrisch identifiziert werden, wird beim sogenannten Matching der neue Datensatz (also zum Beispiel der Finger auf dem Sensor) mit den gespeicherten Daten im Template verglichen. Dabei kommt es praktisch nie zu einer exakten Übereinstimmung der Daten. Sie werden also nicht auf absolute Gleichheit, sondern auf hinreichende Ähnlichkeit im Rahmen einer vorher definierten Toleranz geprüft.

Um diese Methode umzusetzen, ist neben einem entsprechenden Scanner, etwa einem Kamerasystem, auch ein leistungsfähiger Computer nötig. Der muss nicht nur fähig sein, das Matching durchzuführen, er muss gleichzeitig auch sensible Daten schnell und sicher verschlüsseln können.

Voraussetzung in Unternehmen

Für den Einsatz biometrischer Verfahren in Unternehmen ist es wichtig, dass die erhobenen Daten tatsächlich nur für den geplanten Zweck ) genutzt werden, beispielsweise zur Zugangskontrolle oder zur Anmeldung an Systemen. Weitere Daten müssen aus den Rohdaten entfernt werden – es dürfen also nur Template-Daten gespeichert werden.

Optimal ist eine Speicherung der biometrischen Daten beim Mitarbeiter, also etwa auf einer Chipkarte oder innerhalb einer Smartphone-App. Müssen biometrische Daten zentral gespeichert werden, sollten sie pseudonymisiert und verschlüsselt werden.

Wichtig: Bei der Einführung biometrischer Verfahren sollten sowohl der Betriebsrat als auch Datenschutzbeauftrage frühzeitig eingebunden werden. Eine verdeckte Erfassung der Mitarbeitenden ist nicht zulässig.

Wie sicher sind biometrische Verfahren?

Je nach eingesetztem Verfahren ist das Sicherheitsniveau sehr unterschiedlich. So gibt es Gesichtserkennungssysteme, die nur mit einer Kamera arbeiten. Diese können zum Teil mit einem einfachen Foto überlistet werden. Fortgeschrittene Gesichtserkennungssysteme (wie z.B. FaceID von Apple oder Hello von Microsoft) verwenden daher bis zu drei Kameras und eine damit verbundene Erfassung der Gesichtsgeometrie – und erreichen so ein sehr hohes Sicherheitsniveau.

Ähnlich sieht es bei Fingerabdruck-Scannern aus. Einfache Systeme erkennen nur das Muster der Fingerkuppe, bessere Sensoren messen, ob es sich tatsächlich um einen Finger oder nur um einen Gegenstand mit einem Muster darauf handelt.

Generell bieten biometrische Verfahren einen guten Kompromiss zwischen Sicherheit und Komfort. Die meisten Systeme können umgangen werden, allerdings ist der Aufwand dafür hoch.

Bei kritischen Systemen sollte die Biometrie nie allein, sondern immer in Kombination mit anderen Authentisierungsfaktoren (wie Passwörtern, Schlüsselgeneratoren etc.) eingesetzt werden.

Stellt Biometrie ein Datenschutz-Risiko dar?

Biometrische Daten ermöglichen die direkte Identifizierung von Personen. Ihre Speicherung unterliegt daher dem Bundesdatenschutzgesetz. Lassen die erhobenen Daten Rückschlüsse auf die ethnische Herkunft oder den Gesundheitszustand zu (z.B. Iris-Scan, Gesichtserkennung etc.), gelten sie als besonders schützenswert. Für ihre Erhebung ist die ausdrückliche Einwilligung der Betroffenen erforderlich. Unabhängig von der Art der erhobenen biometrischen Daten sollten die Informationen nur verschlüsselt und bestenfalls nie zentral auf einem Server, sondern dezentral beim jeweiligen Nutzer gespeichert werden.

Das Bundesamt für Sicherheit in der Informationstechnik rät, biometrische Systeme nur sparsam einzusetzen. Anders als ein verlorenes Passwort können Fingerabdruck, Gesichtsgeometrie & Co. nicht einfach ausgetauscht werden, wenn sie einmal kompromittiert sind. Biometrische Daten sollten daher nur bei vertrauenswürdigen Anbietern hinterlegt werden.

Wichtig bei der Implementierung ist auch: Biometrische Daten sollten nie als alleinige Zugangsinformation hinterlegt werden. Die Kombination mit Passwörtern, PINs etc. erhöht Sicherheit und Zuverlässigkeit der Anmeldung.

Fazit: Biometrie als guter Kompromiss aus Sicherheit und Bequemlichkeit

Richtig eingesetzt kann Biometrie die Sicherheitsarchitektur einer Organisation sinnvoll erweitern. Die Benutzerakzeptanz ist hoch, die Handhabung einfach und die Erkennungsqualität sehr gut. Dennoch müssen bei der Einführung wichtige Punkte wie Datenschutz, Verschlüsselung, Einwilligungspflicht und eine gründliche Schulung der Mitarbeitenden beachtet werden. Sind diese Faktoren erfüllt, ist die Biometrie sicherer und komfortabler als viele andere Authentifizierungsverfahren.

Privileged Access Management – mehr Sicherheit für die wichtigsten Nutzer

  • PAM erhöht die IT-Security durch die konstante Überwachung sensibler Daten und Just-in-Time- und Just-Enough-Einschränkung von Zugriffsrechten.
  • Die Implementierung erfordert Sachverstand und eine umfassende Beurteilung der IT-Systeme und der gesamten Sicherheitsarchitektur.
  • Richtig eingesetzt minimiert PAM Risiken, unterstützt beim Reporting, schafft mehr Transparenz und hilft, Compliance-Vorgaben zu erfüllen.

Neben den Zugangsdaten für normale Benutzer gibt es in Unternehmensnetzwerken auch Accounts mit sehr weitreichenden Berechtigungen für Mitarbeitende, die Systeme administrieren oder auf sensible Daten zugreifen müssen. Wird einer dieser Accounts kompromittiert, kann schnell erheblicher Schaden entstehen. Ein Privileged Access Management (PAM) hilft, diese kritischen Accounts umfassend zu schützen. Wie PAM funktioniert, wie es implementiert wird und welche Vorkehrungen ein Unternehmen dafür treffen sollte, erfahren Sie in diesem Post.

Was leistet ein Privileged Access Management?

PAM ist eine moderne Form des Identitätsmanagements. Es wird im Wesentlich aus zwei Gründen eingesetzt: Zum einen, weil es die Sicherheit kritischer Daten steigert, indem es den Diebstahl von Anmeldeinformationen verhindert, Daten absichert und Angriffe erkennt, bevor Schaden entsteht. Wie wichtig dies ist, zeigt eine Untersuchung von Gartner, nach der rund 70 Prozent aller relevanten Sicherheitsvorfälle auf die Kompromittierung privilegierter Zugänge zurückzuführen sind.

Darüber hinaus kann der Einsatz von PAM notwendig sein, um Compliance-Standards einzuhalten oder entsprechende Vorgaben zu erfüllen. So erstellen PAM-Lösungen auch unveränderliche Audit-Trails, die nachweisen, dass erforderliche Zugriffskontrollen vorhanden und wirksam sind.

Was sind privilegiert Konten?

Privilegierte Konten sind im PAM-Kontext Nutzer-Zugänge, die weitreichende Zugriffsrechte auf Daten, Systeme und Dienste haben.

Das wohl naheliegendste Beispiel für ein privilegiertes Konto ist der Administrator, der Zugang auf sämtliche Systeme haben muss. Daneben gibt es aber auch Konten, die vollen Datenzugriff haben, weil ihre Nutzer Teil der Geschäftsführung sind, Accounts von Anwendern, die Apps verwalten und dafür Zugriff auf spezielle Administrations-Interfaces brauchen oder Konten von Nutzern, die Zugriff auf sensible Daten wie Zahlungsinformationen, Gesundheitsdaten, etc. haben. Sie alle werden vom Unternehmen mit Credentials ausgestattet, die mehr Rechte haben als Standardnutzer.

Wie wird PAM implementiert?

PAM kann entweder als Software-as-a-Service oder mit lokalen IT-Mitteln umgesetzt werden. In beiden Fällen ist ein umfassender Ansatz für die Verwaltung und Kontrolle von Konten, Zugängen, Systemen, Diensten und Prozessen erforderlich. Dabei kommt eine Zero-Trust-Architektur zum Einsatz, die Zugriffsrechte nach dem Least-Privilege-Prinzip verteilt. Das bedeutet, dass alle Zugriffe ständig überprüft werden und jeder Nutzer nur auf die Daten zugreifen kann, die er zur Erfüllung seiner Aufgaben tatsächlich benötigt.

Die Implementierung einer PAM-Architektur sollte die folgenden Schritte umfassen:

  • Privilegiert Konten identifizieren: Im ersten Schritt wird ermittelt, wer überhaupt Credentials benötigt, die über die Rechte eines Standardnutzers hinausgehen. In der Regel werden hier zwei Gruppen unterschieden: Nutzern, die Zugriff auf sensible Informationen benötigen und IT-Administratoren, die Systeme und Dienste verwalten müssen.
  • Risiken bewerten: Wenn die erforderlichen Nutzer definiert sind, sollte für jeden Satz von Rechten eine Risikobewertung durchgeführt werden.
  • Kontrollen implementieren: Die Systeme müssen darauf vorbereitet werden, privilegierte Konten einzuschränken und zu überwachen. Mit welchen Mitteln dies geschehen kann, wird im Folgenden erläutert.
  • Die Kontrollen beziehen sich nicht nur auf Konten oder Benutzer. Auch Geräte und Dienste müssen mit entsprechenden Privilegien oder Einschränkungen versehen werden können.
  • Überwachung und Monitoring: Alle Aktivitäten der Mitarbeitenden im Netzwerk müssen überwacht und protokolliert werden. Diese Log-Daten werden ständig auf ungewöhnliche Aktivitäten oder auffällige Nutzungsmuster überprüft. Um Datenschutzprobleme zu vermeiden, sollten die gesammelten Daten so weit wie möglich pseudonymisiert werden.
  • Mitarbeitende schulen: Wenn alle Maßnahmen in Kraft sind, müssen die Mitarbeitenden für die Bedeutung von PAM sensibilisiert und in der Anwendung des Systems geschult werden.

Welche Elemente braucht ein PAM-System?

Ein PAM-System muss als Teil einer Sicherheits- und Risiko-Managementstrategie die Möglichkeit bieten, Personen, Dienste und Systeme zu identifizieren, die privilegierte Zugriffsrechte benötigen. Diese Zugriffe müssen gesichert, protokolliert und überwacht werden. Um diese Aufgaben erfüllen zu können, sind folgende Elemente erforderlich:

  • Privileged Password Management: Eine automatisierte Passwortverwaltung, die Credentials rollenbasiert mit Zugriffsrechten ausstattet. Optimal sind hier Lösungen, die es erlauben, sensible Zugriffsrechte auch zeitlich begrenzt zu vergeben. Darüber hinaus sollte das System ermöglichen, auch externen Partnern oder Gastbenutzern (zeitlich begrenzte) Berechtigungen zu erteilen.
  • Privileged Session Management: Ist ein System, das den Zugriff auf privilegierte Konten überwacht und protokolliert. Es kann auch Audit-Protokolle und Sitzungsaufzeichnungen zur Erfüllung von Compliance-Vorgaben erstellten.
  • Nutzungs-Analyse: Ein Analysesystem erfasst alle Aktivitäten und kann so frühzeitig auffällige Nutzungsmuster erkennen.
  • Flexible Rechte-Vergabe: Das System erkennt, ob Benutzer mit erweiterten Zugriffsrechten ihre Privilegien aktuell benötigen – und stuft diese Rechte gegebenenfalls auf eine niedrigere Sicherheitsklasse herab, wenn keine sensiblen Daten benötigt werden. Kritische Daten werden “just in time” angeboten und nicht ständig verfügbar gehalten.
  • Multi-Faktor-Authentifizierung (MFA): Alle privilegierten Credentials sollten nur mit einer vorherigen MFA-Anmeldung verwendet werden können.
  • Konten-Sparsamkeit: Privilegierte Zugriffsrechte sollten nur an die Nutzer vergeben werden, die diese auch wirklich benötigen. Die Liste dieser Nutzer sollte regelmäßig überprüft und die gewährten Rechte entsprechend angepasst werden.

Unterschied zu PIM

Privileged Identity Management (PIM) hat auf den ersten Blick viele Ähnlichkeiten mit PAM. PIM konzentriert sich jedoch auf die Verwaltung von Accounts, während PAM zusätzlich dazu auch den Zugriff auf Ressourcen überwacht und sichert.

PAM – mehr Sicherheit durch individuellere Nutzer-Rechte

Richtig eingesetzt kann ein PAM nicht nur die Qualität der IT-Sicherheit verbessern, sondern auch die Erstellung von Berichten und Sicherheitsaudits erleichtern. Gleichzeitig steigert die Verwaltung von Zugriffsrechten für das Unternehmen selbst die Transparenz. Die Implementierung eines Preferred Access Managements lohnt sich daher überall dort, wo in Unternehmen mit sensiblen Daten gearbeitet wird und ein Verlust dieser Daten einen signifikanten Schaden für das Unternehmen bedeuten würde.

Die wichtigsten Vorteile von Single Sign-on und seine Bedeutung für Firmen

Was ist Single Sign-on (SSO)?

Single Sign-On, kurz SSO, ist eine Lösung für Unternehmen, die dazu beiträgt, die IT-Sicherheit zu erhöhen, die Benutzerfreundlichkeit zu verbessern und Kosten zu senken. Denn sich unzählige, komplizierte Passwörter zu merken ist nahezu unmöglich und das Hantieren mit Passwort-Managern kostet Zeit. SSO, frei übersetzt „Einmalanmeldung“, bietet einen Ausweg aus diesem Konflikt. Dabei handelt es sich um Sitzungs- und Benutzerauthentifizierungsdienste, der es ermöglicht, mit nur einem einzigen Satz Anmeldedaten aus Nutzernamen und Kennwort auf mehrere Anwendungen zuzugreifen.

Wie funktioniert SSO?

Ohne SSO erfolgt die Authentifizierung bei jeder Website oder Anwendung separat. Dazu muss die Website ihre eigene private Datenbank mit Benutzeranmeldeinformationen vorhalten und diese entsprechend gepflegt werden. Für Unternehmen, die Cloud-Anwendungen und lokale Netzwerke kombinieren, stellt die schiere Menge an Benutzerdaten einen erheblichen Verwaltungsaufwand dar. Die IT-Abteilung muss für jeden Account (z. B. Mitarbeitende, Auftragnehmer oder Kunden) separate Anmeldedaten für jede einzelne Website, jedes Programm oder jede Anwendung im System speichern und verwalten. Dies führt zu Sicherheitsrisiken, hohen Verwaltungskosten und Ineffizienz. SSO vereinfacht den Anmelde- und Authentifizierungsprozess. Konkret funktioniert ein SSO-Anmeldevorgang wie folgt:

  1. Angestellte rufen die Internetseite oder Anwendung des Service Providers (SP) auf, auf die sie zugreifen möchten.
  2. Der Service Providersendet diese Anfrage und leitet den Mitarbeiter an den Identity Provider (IdP) des SSO-Systems weiter.
  3. Der Mitarbeiter wird aufgefordert, sich zu authentifizieren, indem er die vom Identity Provider angeforderten Anmeldedaten für das SSO wie Benutzername und Passwort eingibt.
  4. Sobald der Identity Provider die Anmeldedaten des Mitarbeiters überprüft hat, sendet er eine Bestätigung an den Service Provider zurück, um die erfolgreiche Authentifizierung zu bestätigen. Der Mitarbeiter erhält daraufhin Zugriff auf die gewünschte Anwendung.
  5. Andere Service Provider, auf die der Mitarbeiter zugreift, bestätigen die Authentifizierung des Benutzers beim Identity Provider. Diese Service Providerbenötigen keinen Benutzernamen und kein Passwort.

Wie SSO Sicherheit und Produktivität steigert

Jedes Mal, wenn sich ein Nutzer bei einem Dienst anmelden, entsteht ein potenzielles Risiko. Denn Login-Daten gehören zu den beliebtesten Angriffszielen von Cyber-Kriminellen. SSO reduziert die Angriffsfläche, da sich Beschäftige zum Beispiel nur einmal am Tag anmelden müssen und dabei nur einen Satz von Anmeldedaten verwenden. Die Beschränkung der Logins auf einen Satz von Anmeldedaten erhöht somit die Sicherheit der Unternehmen. Denn wenn die Mitarbeitende für jede Anwendung ein eigenes Passwort verwenden müssen, machen sie es häufig gar nicht oder verwenden leicht merkbare Passwörter. Laut einer aktuellen Studie beziehen sich zum Beispiel 32 Prozent aller Passwörter direkt auf das Unternehmen, etwa den Firmennamen oder eine Abwandlung desselben). Single Sign-On reduziert die kognitive Belastung. Durch den Einsatz sinkt zudem die Gefahr, dass Angestellte die gleichen Passwörter wiederverwenden oder aufschreiben, was wiederum das Risiko eines Diebstahls verringert.

Verringerung von Sicherheitsrisiken

In der Regel ist der Einsatz von SSO-Diensten auch technisch sicherer als die „normale“ Anmeldung per Nutzername und Passwort. Denn die Anmeldedaten sind deutlich besser geschützt. SSO basiert auf einer Vertrauensbeziehung zwischen der Partei, die über die Identitätsinformationen verfügt und Logins authentifizieren kann, dem Identity Provider (IdP), und dem Dienst oder der Anwendung, auf die zugegriffen werden soll, dem Service Provider (SP). Anstatt sensible Daten über das Internet hin und her zu schicken, sendet der Identity Provider eine Bestätigung – oft über einen Identitätsstandard wie SAML –, um den Anmeldung gegenüber dem Service Provider zu authentifizieren.

Ein weit verbreiteter Mythos über SSO-Lösungen ist, dass sie die Sicherheit von IT-Systemen gefährden. Dieser Irrglaube beruht auf der Vorstellung, dass bei Diebstahl des Masterpassworts alle zugehörigen Konten zugänglich sind. Das lässt sich allerdings effektiv vermeiden. Eine bewährte Strategie, um eine zusätzliche Sicherheitsebene zu schaffen, ist zum Beispiel die Kombination von SSO mit Multi-Faktor-Authentifizierung (MFA). MFA erfordert, dass ein Mitarbeiter bei der Anmeldung zwei oder mehr Nachweise seiner Identität vorlegt. Dabei kann es sich um einen Code handeln, der zum Beispiel an das Smartphone gesendet wird.

Risikobasierte Authentifizierung (RBA) ist eine weitere erprobte Sicherheitsfunktion zum Schutz von SSO. RBA ermöglicht IT-Verantwortlichen den Einsatz von Tools zur Überwachung der Benutzeraktivitäten und des Kontexts. Dadurch kann sie ungewöhnliches Verhalten erkennen, das auf nicht autorisierte Nutzer oder einen Cyberangriff hindeutet. Wenn beispielsweise mehrere Anmeldungen fehlschlagen oder falsche IPs verwendet werden, kann die IT eine MFA anfordern oder den Benutzer vollständig sperren.

SSO verhindert Schatten-IT

Der Begriff “Schatten-IT” ist in der Welt der Cyber-Sicherheit nicht neu. Sie bezieht sich auf nicht autorisierte Downloads am Arbeitsplatz. In der Vergangenheit beschränkte sich Schatten-IT hauptsächlich auf Angestellte, die nicht lizenzierte oder unautorisierte Software nutzten. Mit der zunehmenden Beliebtheit von Cloud-basierten Downloads steigt auch das Risikopotenzial. Um dieses Problem zu lösen, können IT-Administratoren mithilfe von SSO überwachen, welche Anwendungen die Mitarbeitende verwenden. Auf diese Weise wird das Risiko des Identitätsdiebstahls minimiert, was ein weiteres Plus an Sicherheit darstellt.

SSO senkt Kosten und steigert die Zufriedenheit

Single Sign-On steigert nicht zuletzt die Produktivität der Beschäftigten, da sie weniger Zeit mit der Anmeldung und der Verwaltung von Passwörtern verbringen müssen. Angesichts der Tatsache, dass viele Angestellte mehrmals pro Stunde zwischen verschiedenen Anwendungen wechseln, ist dieser Zeitfaktor nicht zu unterschätzen. Nach Schätzungen von Gartner sind Passwortprobleme für 40 % aller Anrufe beim Helpdesk verantwortlich. Eine weitere Studie von Forrester zeigt, dass das Zurücksetzen von Passwörtern Unternehmen bis zu 70 US-Dollar pro Problemlösung kostet. SSO senkt somit auch die Support-Kosten, da das Verfahren die Anzahl der benötigten Passwörter auf ein einziges reduziert. Darüber hinaus vereinfacht SSO die Arbeit der Administratoren, da sie Benutzerkonten und Zugriffsrechte zentral verwalten können. Nicht zuletzt erhöht es die Arbeitszufriedenheit generell, da die Mitarbeiter unterbrechungsfrei arbeiten und schneller auf alle Dienste zugreifen können, die sie benötigen. Besonders wertvoll ist der einfache Zugang für Mitarbeiterinnen und Mitarbeiter, die im Außendienst tätig sind oder von mehreren Geräten aus arbeiten.

Welche Arten von SSO gibt es?

Bei Single Sign-On (SSO) kommen verschiedene Verfahren zum Einsatz. Das derzeit am häufigsten verwendete Verfahren ist das SAML-basierte SSO. Dieses System ist aus verschiedenen Gründen populär:

  • Weit verbreitet: SAML ist seit vielen Jahren auf dem Markt und wird von einer Vielzahl von Identity Providern und Service Providern unterstützt. Viele Unternehmen haben bereits in SAML-Infrastruktur investiert und setzen diese erfolgreich ein.
  • Sicherheit: SAML bietet robuste Sicherheitsmechanismen für die Übertragung von Authentifizierungs- und Autorisierungsdaten zwischen Identity Providern und Service Providern. Beispielsweise werden digitale Signaturen und Verschlüsselung verwendet, um die Integrität und Vertraulichkeit der übertragenen Daten zu gewährleisten.
  • Benutzerfreundlichkeit: SAML ermöglicht es, sich einmal bei einem Identity Provider anzumelden und dann nahtlos auf verschiedene Service Provider zuzugreifen, ohne sich erneut anmelden zu müssen. Dies verbessert die Benutzerfreundlichkeit und reduziert den Anmeldeaufwand.
  • Interoperabilität: SAML ist ein offener Standard, den viele Organisationen unterstützen. Dadurch arbeiten Systeme und Anwendungen verschiedener Anbieter nahtlos zusammen, was die Zusammenarbeit erleichtert.

Obwohl SAML das am weitesten verbreitete SSO-Verfahren ist, gewinnen auch moderne Protokolle wie OpenID Connect (OIDC) zunehmend an Bedeutung, insbesondere in Webanwendungen und Cloud-Szenarien. OIDC bietet zusätzliche Funktionen wie die Unterstützung von OAuth 2.0 und eine verbesserte Benutzererfahrung für moderne Anwendungen und APIs.

Hat SSO auch Nachteile?

SSO weist systembedingt auch Nachteile auf. Wenn zum Beispiel das SSO-System ausfällt oder nicht verfügbar ist, können Nutzer den Zugriff auf angeschlossenen Anwendungen und Dienste verlieren. Dies kann zu Beeinträchtigungen und Produktivitätsproblemen führen. Bei der Nutzung von SSO müssen Unternehmen darüber hinaus darauf vertrauen, dass ihr SSO-Anbieter die Anmeldedaten angemessen schützt. Ansonsten besteht das Risiko, dass Angreifer Authentifizierungsdaten kompromittieren oder missbrauchen.

Fazit Single Sign On

Wie wird SSO implementiert?

Die Implementierung und Wartung von SSO ist eine komplexe Aufgabe. Sie erfordert sorgfältige Planung, die Integration in bestehende Systeme und die Gewährleistung der Kompatibilität mit verschiedenen Plattformen und Authentifizierungsprotokollen.

Authentifizierungsprozesse spielen eine wichtige Rolle im Ökosystem eines Unternehmens. Je größer die Organisation, desto mehr Authentifizierungsdaten muss es verarbeiten und speichern. Die Vorteile von SSO in diesem Kontext sind beachtlich: erhöhte Sicherheit, verbesserte Benutzerfreundlichkeit, geringere Kosten und Aufwand für die Verwaltung von Passwörtern. Es kann jedoch auch Nachteile geben, wie eine erhöhte Abhängigkeit von externen Diensten. Eine gründliche Bewertung Ihrer geschäftlichen Anforderungen hilft Ihnen zu entscheiden, ob SSO die richtige Wahl für Unternehmen ist.