Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Identity-Governance-Frameworks: Die unsichtbare Mauer gegen Cyberangriffe

Die Mitarbeiterinnen und Mitarbeiter eines Unternehmens sind sein größtes Kapital - und gleichzeitig sein größtes Risiko. Denn Cyberangriffe zielen immer häufiger auf digitale Identitäten ab. Unser Autor beschreibt, wie sich Unternehmen vor identitätsbasierten Angriffen schützen können und welche Fehler sie dabei vermeiden sollten.

Robert ByrneSecurity-Management
Lesezeit 7 Min.

Das größte Kapital eines Unternehmens sind seine Mitarbeiter. Gleichzeitig ist mit deren digitalen Identitäten jedoch das höchste Risiko verbunden. Sie werden am häufigsten zum Ziel von Angriffen. Kein Wunder, denn eine Identität zu kompromittieren ist der schnellste Weg hinein, in die digitale Infrastruktur. Für Hacker ist dies besonders lohnenswert – mit fatalen Folgen. Die Zahl der identitätsbasierten Attacken wächst dramatisch, und die Auswirkungen sind weitreichend. Deshalb ist es umso wichtiger, Art und Umfang von Identitätsrisiken im eigenen Unternehmen zu verstehen.

Die schiere Zahl der Anwender und deren Identitäten, Benutzerkonten, Geräten, Daten, Anwendungen und Umgebungen erschweren es, Zugriffsberechtigungen zu verwalten und gleichzeitig Compliance-Anforderungen einzuhalten. Dieses organisatorische Ökosystem ist inzwischen sehr komplex geworden. Ohne ein Identity-Governance-Framework ist es kaum machbar, Compliance zu gewährleisten und das Risiko eines Verstoßes zu senken.

Aber es gibt auch eine gute Nachricht. Ein gut implementiertes Identitätsmanagement bietet erhebliche Vorteile innerhalb der Sicherheitsinfrastruktur.

Was ist ein Identity-Governance-Framework?

Ein Identity-Governance-Framework liefert die Struktur oder den Plan. Es zentralisiert die Governance für die verschiedenen Systeme, die ein Unternehmen für Identitäten, Berechtigungen, privilegierte Konten, Anwendungen und Daten nutzt. Dies ist der Raum der Menschen, Prozesse und Technologien integriert, um den Zugang zu IT-Systemen, Ressourcen und Anlagen zu überprüfen und zu verwalten. Das Rahmenwerk bildet die Grundlage für die „Identity Governance and Administration (IGA)“-Funktionen. Diese regeln den Zugriff für die gesamte Umgebung. Ein simples Beispiel: Zu Hause kann die gesamte Familie auf Streaming-Dienste für Videos, Musik, Videospiele usw. zugreifen. Der Zugang für die jüngeren Kinder lässt sich aber zum Beispiel über eine Altersfreigabe „frei ab 12 Jahren“ einschränken, so dass sie keine ungeeigneten Inhalte zu sehen bekommen.

Es ist schon schwierig genug, die Einschränkungen widerspruchslos für die eigenen Heimanwender umzusetzen. Stellen Sie sich vor, dass Sie einen solchen Ansatz auf tausende von Mitarbeitern ausweiten müssen, die eine komplexe Reihe von IT-Systemen und Zugangsmethoden nutzen. Die Kontrolle darüber, wer auf was zugreifen kann, wird dann beliebig komplex und mühsam. An diese Stelle kommt ein Identity-Governance-Framework ins Spiel.

Warum Identity-Governance so wichtig ist

Jedem Benutzer vollen Zugriff zu gewähren hätte katastrophale Folgen. Informationen zum Gesundheitszustand eines Mitarbeiters oder Gehaltsabrechnungen sind nur zwei von vielen Beispielen für hoch sensible Daten, die in IT-Systemen gespeichert sind. Benutzer sollten nur die Zugriffsrechte bekommen, die sie brauchen, um ihre beruflichen Aufgaben zu erledigen – nicht mehr und nicht weniger. Im Laufe der Zeit sollten die Zugriffsrechte auf das „richtige“ Niveau angehoben werden. Ein durchdachtes und ausgereiftes Identity-Governance-Framework fördert dieses sogenannte „Entitlement Right Sizing“ und macht es zu einer natürlichen Entwicklung. Standard-Workflows, Analysen und Intelligenz helfen dabei, genau den gewünschten „Just Enough Permissions“-Status zu erreichen.

Ein Identity-Governance-Framework reduziert die Berechtigungen nach dem Prinzip der minimalen Rechtevergabe. Jeder Benutzer kann weiterhin seine Arbeit erledigen, ohne die Angriffsfläche zu vergrößern. Je weniger Berechtigungen ein Benutzer innehat, desto weniger Möglichkeiten hat ein Hacker, Schaden anzurichten, wenn er ein Konto infiltriert oder kompromittiert. Dieser simple Schritt verbessert die Zugriffshygiene und stärkt die Widerstandsfähigkeit gegen Sicherheitsverletzungen. Es wird für einen unbefugten Eindringling so deutlich schwerer, Berechtigungen anzuheben. Ebenso ist es schwieriger sich mit beschränkten Berechtigungen seitwärts zu bewegen.

Die Vorteile eines Identity-Governance-Frameworks

Ein Identity-Governance-Framework hat eine Reihe von Vorteilen:

  • Betriebskosten senken: IT-Administratoren vergeben Zugriffsberechtigungen oft manuell. Dafür braucht man ein großes Team – und das kostet. Automatisiert man einen Großteil des Prozesses, setzt das Arbeitskräfte für andere Bereiche frei. Schließt man zudem Identitäten/Konten, die nicht mehr verwendet werden, spart das Unternehmen Geld.
  • Risiken senken, Sicherheit erhöhen Menschen machen Fehler. Vor allem, wenn sie unter Druck stehen und viele gleichzeitig eingehende Anfragen beantworten müssen. Dabei passiert es leicht, dass Administratoren Zugriffsberechtigungen zu eng oder zu weit fassen. Dies führt zu Reibungsverlusten im Unternehmen und erhöht das Sicherheitsrisiko der Benutzer. Automatisierung und KI-generierte Empfehlungen retten so manchem Admin den Tag. Identity-Governance-Frameworks weisen einen IT-Administrator auf Anomalien im Benutzerverhalten hin. So lassen sich Probleme schneller analysieren und lösen.
  • Compliance aufrechterhalten, Audit-Ergebnisseverbessern: Das Framework kontrolliert alle Systeme mittels im Vorhinein festgelegter und sich ständig verbessernder Richtlinien. Das erleichtert Auditoren die Kontrolle wichtiger Systeme und die Dokumentation von Berechtigungen.
  • Schnell und effizient auf Unternehmens-Ressourcen zugreifen: Identity-Governance-Frameworks automatisieren Prozesse und verbessern die Benutzererfahrung. IT-Administratoren bekommen schnelle Entscheidungshilfe bei der Vergabe von Zugriffsberechtigungen. Das beschleunigt und vereinfacht den gesamten Prozess.

Best Practices bei der Implementierung eines Identity-Governance-Frameworks

Wenn Sie einen Geschäftspartner überzeugen wollen, gibt es einige taktische Argumentationshilfen. Diese zeigen wie wichtig ein solches Rahmenwerk ist:

  • Verstehen Sie die grundlegenden unternehmerischen Probleme. Lernen Sie, wie ein Identity-Governance-Framework hilft, diese Probleme zu lösen. Herzlichen Glückwunsch! Die Lektüre dieses Beitrags ist ein guter Anfang.
  • Suchen Sie sich einen Projektleiter, der die Anforderungen an die Identity-Governance versteht. So stellen Sie sicher: Das Unternehmen setzt genau die Schritte um, die es auf einen erfolgreichen Weg bringen. Gleichzeitig wissen alle Teammitglieder, was sie zu tun haben. Projektleiter, die Identity Governance verstanden haben, wirken außerdem als Multiplikatoren und machen das Framework in den verschiedenen Abteilungen bekannt.
  • Im Dienste der Unternehmensinteressen. Was ist wichtig für das Unternehmen? Ist es die Sicherheit? Ist es die operative Effizienz? Finden Sie heraus, welche die treibenden Kräfte sind. Richten Sie die Einführung des Identity-Governance-Frameworks daran aus.
  • Mehr als IT-Sicherheit. Machen Sie deutlich, wie ein Identity-Governance-Framework den verschiedenen Abteilungen zugutekommt, zum Beispiel der Personalabteilung, der Logistik, der Technik, dem Bereich Finanzen usw. Wenn Sie Mittel für das Programm beschaffen wollen, sollte das Vorhaben für das ganze Unternehmen attraktiv sein.

Welche Fehler man bei der Implementierung vermeiden sollte

  • Das Governance-Programm als rein IT-bezogen positionieren:
    Bewerben Sie das Programm als eine Möglichkeit, die Sicherheit zu verbessern und die gesamte betriebliche Effizienz zu steigern. Das hilft, die erforderlichen Ressourcen freizusetzen. Interessanterweise kommt es einem Governance-Programm genauso wenig zugute, wenn Sie einzelnen Geschäftsbereichen wie beispielsweise der Personalabteilung zu viel Spielraum lassen. Denn auch dann verkennen Sie, dass erfolgreiche Identity Governance ein stetiger, konstruktiver Dialog zwischen geschäftlichen Anforderungen, den technischen Möglichkeiten und Beschränkungen ist.
  • Fehlende Strategie bei der Einführung eine Identity-Governance-Frameworks in großen Unternehmen:
    Finden Sie heraus, welcher Teil des Programms am meisten Anklang findet. Falls Sicherheit am wichtigsten ist, beginnen Sie mit den risikoreichsten Anwendungen. Falls betriebliche Effizienz entscheidend ist, wählen Sie die Anwendungen aus, die bei Mitarbeitern und Kunden am beliebtesten sind.
  • Falsche Zurückhaltung beim Einbinden von Interessengruppen, die den Wandel fördern:
    Ein Identity-Governance-Framework sollte sich auf die geschäftlichen Triebkräfte konzentrieren, die zu seiner Einführung geführt haben. Das hilft, den Wert der Veränderung zu artikulieren und zu fördern.

Identity- and Access-Governance als Bestandteil der Sicherheitskultur

Von Identity-Governance-Systemen erwartet man gemeinhin, dass sie geschäftskritische Aufgaben übernehmen, schnell reagieren und schnell implementiert werden können. Diese Systeme sollen einfach und selbsterklärend zu handhaben sein sowie eng in die übrige IT-Sicherheitslandschaft integriert.

Das Ziel ist es, das Entstehen der typischen IT-Silos zu verhindern. Damit sollen auch potenzielle Schwachstellen und Lücken zwischen den Systemen verhindert werden. Wenn das Identity-Governance-Framework gut mit den anderen Sicherheitssystemen des Unternehmens integriert ist, erhält man einen Warnhinweis, sobald irgendwo im Unternehmen eine Identität gefährdet ist. So können Sie Schwachstellen umgehend ausmerzen, bevor weitere Bereiche in Mitleidenschaft gezogen werden. Sie müssen sich nicht darauf verlassen, dass die lokalen Verteidigungsmechanismen schon greifen werden.

Das finale Ziel ist ein Identity-Governance-Framework, das Daten und Signale mit allen anderen Systemen in einer Umgebung austauscht. So bildet es einen zentralen Knotenpunkt für Identity Management und ‑Transparenz. Dieser Hub wird damit zum zentralen Ort, an dem Zugriffssteuerungs- und Sicherheitsrichtlinien definiert und durchgesetzt werden. Deshalb muss Identity Governance and Administration (IGA) als zentraler Arbeitsablauf in das gesamte IT-Sicherheitsprogramm eines Unternehmens integriert werden. Viele Firmen verfolgen bereits heute bewusst einen identitätsorientierten Ansatz beim Thema Cybersicherheit.

Maximale Sicherheit durch Identity-Management

In einer sich ständig weiterentwickelnden Cybersicherheitslandschaft bleiben Identitäten im Fokus der Angreifer. Robuste Identity Risk Management-Lösungen leisten deshalb einen wichtigen Beitrag für mehr Sicherheit. Prävention, Erkennung, Behebung und Prognosen sind zentrale Bausteine, wertvolle Systeme und Daten zu schützen sowie Angreifer auszubremsen. Ein gut implementiertes Identity Governance-Framework ist weit mehr als eine Sicherheitsmaßnahme. Es bedeutet einen strategischen Vorteil zu haben. Dieser steigert die betriebliche Effizienz, gewährleistet Compliance und stärkt die allgemeine Sicherheitslage.

 

Robert Byrne ist Field Strategist bei One Identity.

Weitere Artikel zum Thema:

Self-Sovereign Identity (SSI)

ID-Gefahren behandeln

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.