Zugriffsverwaltung plus IGA : Wie verhaltensgesteuerte Governance die Unternehmens-IT optimiert

Was Unternehmensanwendungen und den Zugriff darauf anbelangt, muss man einer traurigen Wahrheit ins Gesicht sehen: Viele Applikationen werden nicht ausreichend genutzt. Das hat Folgen. Patches und Updates rutschen auf der To-do-Liste eines ohnehin überlasteten IT-Servicedesks weiter nach unten. Das führt zwangsläufig zu mehr ausnutzbaren Schwachstellen. Das Risiko steigt weiter, wenn Benutzer Zugriffsberechtigungen halten, die sie nicht mehr benötigen und infolgedessen nicht mehr aktualisieren. Das gilt in verschärftem Maße, wenn es sich dabei um kritische und sensible Ressourcen handelt.

In hybriden Umgebungen ist es für Unternehmen schwierig, Aktivitäten und ein bestimmtes Verhalten nachzuverfolgen. Das trifft auch und gerade für unsichere Aktionen zu, die normalerweise eine Warnung auslösen oder Ressourcen sperren. Mit anderen Worten: Zero Trust lässt sich so nicht umsetzen, auch wenn es zunehmend komplexe Cloud-Infrastrukturen betrifft. Voraussichtlich werden bis 2027 50 % der kritischen Unternehmensanwendungen außerhalb zentralisierter öffentlicher Cloud-Standorte angesiedelt sein.

Parallel dazu suchen Cyberkriminelle online nach privilegierten Anmeldedaten. Dabei sind sie nicht besonders wählerisch: seien es Anmeldedaten für voll oder weniger ausgelastete Konten oder selbst solche, bei denen die Benutzer sich zwar angemeldet, aber niemals eingeloggt haben. Angreifer sind sich sehr wohl bewusst, dass viele Anwender dieselben Passwörter für verschiedene Konten verwenden. Tatsächlich räumen 78 % der befragten US-Amerikaner ein, Passwörter wiederzuverwenden, 4 % verwenden dasselbe Passwort sogar für bis zu elf Konten. Bei Vorfällen wie der „Mother of all Breaches“, bei dem über 26 Milliarden Datensätze geleakt wurden, haben Unternehmen keine andere Wahl, als sich größeren Angriffsflächen zu stellen. Wenn sich zusätzlich Lücken zwischen den unterschiedlichen Sicherheitsbereichen befinden, wie beispielsweise der traditionellen Identity Governance and Administration (IGA) und dem Access-Management (AM), werden auch diese Angriffsflächen sofort ausgenutzt.

Traditionelles IGA und Access-Management: Silos bleiben eine Herausforderung

In vielen Umgebungen stößt man auf Silos zwischen folgenden Bereichen:

• Identity Governance and Administration (IGA): Dem Management von Zugriffsrisiken bei Konten, Berechtigungen und Genehmigungen.
• Access-Management: Beschäftigt sich damit, wie Benutzer sich verhalten, wenn ihnen Zugriff gewährt wird und welche Aktivitäten damit verbunden sind.

Wenn man einen genauen Überblick darüber hat, was während eines Zugriffs geschieht, kann man das IGA-Tool und seine Governance-Entscheidungen entsprechend anpassen. Fehlt die nötige Konvergenz, ist es jedoch schwierig, das Benutzerverhalten mit den damit verbundenen Risiken in Beziehung zu setzen. Verhaltensgesteuerte Governance oder auch „Behavior Driven Governance“ (BDG) verspricht Abhilfe.

Was ist verhaltensgesteuerte Governance (BDG)?

Verhaltensgesteuerte Governance führt Access-Management und IGA zusammen. So lassen sich Silos überbrücken und Sicherheit gemäß dem Least-Privilege-Modell maximieren. Eine Integration verschafft Administratoren einen kompletten Überblick über Konten und Berechtigungen. In der Praxis bedeutet dies, dass die bereitgestellten Zugriffsinformationen als Orientierungshilfe und Informationsquelle für Maßnahmen im Rahmen von Governance-Richtlinien dienen.

IT-Führungskräfte und Administratoren können Zugriffsberechtigungen und Berechtigungen für Ressourcen etwa auf Basis der Nutzungsfrequenz verwalten. Durch diese Verknüpfung lässt sich das Least Privilege-Prinzip durchsetzen. Benutzer verfügen dann nur über ein Mindestmaß an Zugriffsrechten über die Zeit. Im Rahmen einer erweiterten Nutzungsüberwachung lassen sich unnötige Berechtigungen und Konten identifizieren und gegebenenfalls automatisch entfernen. Wenn eine Benutzeridentität etwa eine Anwendung nicht verwendet, kann man den Zugriff nur bedingt bescheinigen oder automatisch widerrufen.

Wie BDG die IT-Administration unterstützt

BDG stellt Governance-fähige Daten bereit,

• zum Zeitraum seit der Anmeldung an einem Konto (Konnektoren, die diese Informationen bereitstellen, sind Azure AD (AAD), Active Directory (ADS), Google (GAP), OneLogin (OLG), Oracle EBS (EBS), Safeguard (PAG), SAP (SAP), SCIM (UCI/CSM) mit einigen Starling Connect-Konnektoren, UNIX (UNX),
• zu Protokoll- und Ereignisdetails zu Identity-Providern und SSO sowie
• zu Protokoll- und Ereignisdetails zu Anwendungen.

In Bezug auf Berechtigungen bietet BDG Vorteile in vier Schlüsselbereichen:

Höhere Sicherheit

Credential Stuffing ist nach wie vor ein Problem, und „der Missbrauch gültiger Anmeldedaten in 2023 macht 44,7 Prozent aller Datenschutzverletzungen aus“. Dies ist teilweise auf schwache Passwörter zurückzuführen oder darauf, dass Nutzer ein und dasselbe Passwort für mehrere Konten wiederverwenden (das räumten 65 % der Nutzer in einer Google-Umfrage ein). Firmen können nicht immer nachvollziehen, inwieweit ihre Mitarbeiter starke Passwörter verwenden, aber BDG trägt dazu bei, die potenziellen Auswirkungen zu begrenzen, wenn dies nicht der Fall ist. Nicht genutzte Berechtigungen werden beispielsweise zusammen mit Anmeldungen über unsichere Passwörter entfernt. Auch wenn die Anmeldedaten eines Benutzers kompromittiert worden sind, kann man das lange nicht genutzte Konto deaktivieren und absichern. So lassen sich alle damit verbundenen Risiken, wie eine schleichende Rechteausweitung, eindämmen.

Compliance stärken

BDG unterstützt Firmen dabei, Compliance-Anforderungen zu erfüllen, bei denen der Schwerpunkt auf Regelungen zur Zugriffsbeschränkung liegt. PCD-DSS-Anforderung 7 besagt beispielsweise, dass „auf kritische Daten nur autorisiertes Personal zugreifen sollte sowie Systeme und Prozesse vorhanden sein müssen, um den Zugriff auf Grundlage des Need-to-know-Prinzips einzuschränken“. NIST SP 800-53 enthält Anforderungen an die Zugriffskontrolle, um ein Least-Privileg-Prinzip bei den Zugriffsberechtigungen durchzusetzen. Die Richtlinien der ISO 27001 sehen vor, dass nur Personen mit den entsprechenden Berechtigungen Zugriff auf die entsprechenden Zugriffsebenen erhalten.

Indem sichergestellt wird, dass nur die erforderlichen Berechtigungen erteilt werden, ermöglicht BDG es Unternehmen, die Anforderungen von Auditoren im Zusammenhang mit Gesetzen und Vorschriften zu erfüllen.

Bessere Governance

Starre Formen der Zugriffskontrolle sind für dynamische Unternehmensumgebungen wenig geeignet, weil sich Rollen ändern und Attribute überlappen. Das hat oft eine schleichende Ausweitung von Berechtigungen zur Folge. Ohne eine detaillierte Übersicht können beim Offboarding Lücken entstehen – wenn etwa bereits aus dem Unternehmen ausgeschiedene Mitarbeiter weiterhin Zugriff haben.

BDG adressiert diese Herausforderungen, indem es Berechtigungen mithilfe anpassungsfähiger Richtlinien verwaltet. Diese lassen sich auf der Grundlage realer Kennzahlen zum Identitätsverhalten anpassen, wie der Auswertung von Ereignisdaten oder wie oft auf eine Anwendung zugegriffen wurde. Wird eine Anwendung eher selten genutzt, kann BDG dieses Verhalten als potenziell unnötigen Zugriff kennzeichnen. Administratoren können den Zugriff dann widerrufen oder andere Maßnahmen ergreifen.

Kosten senken

Ungenutzte und unnötige Lizenzen zu entziehen, senkt naturgemäß die damit verbundenen Kosten. Das betrifft beispielsweise Abogebühren, aber auch den Aufwand für die Lizenzverwaltung. Auf Basis der aktuellen Nutzungsauswertung lässt sich ein überprüfbarer Datensatz der ergriffenen Maßnahmen erstellen, mit dem sich Sicherheit, Governance und Compliance nachvollziehen und stärken lassen.

Was unterscheidet BDG von anderen Lösungen im Markt?

„Nahtlos“ ist ein Wort, das in der IT inflationär gebraucht wird. Hier hat es aber seine Berechtigung. Die Hauptunterschiede betreffen vier Schlüsselbereiche:

1. Alles, was Unternehmen benötigen, an einem Ort: Alle notwendigen technischen Komponenten werden vom Anbieter bereitgestellt.
2. Die Lösung ist Teil einer Unified Identity Platform: Dadurch minimiert man ausufernde Identitäten und die damit verbundenen Risiken fragmentierter Zugriffsrechte, Authentifizierung, Verifizierung, Analyse und Compliance-Metriken.
3. Schnellere Lernkurve: Die Benutzer sind mit dem Ökosystem vertraut und haben bereits ein Verständnis für Charakteristika, Funktionen und Arbeitsabläufe.
4. Integration statt Fragmentierung: Ein einheitliches System für lokale oder cloudbasierte Set-ups sorgt für höhere Sicherheit und Compliance und bietet gleichzeitig einen klaren Prüfpfad. Das senkt den Verwaltungsaufwand und spart Kosten.

Risiken und Kosten senken

BDG schließt die Observability-Lücke und adressiert eine der wichtigsten geschäftskritischen Herausforderungen. Eine konsistente Sicht auf die Identität ermöglicht den Widerruf unnötiger Zugriffe, indem das Prinzip der minimalen Rechtevergabe durchgesetzt wird, wodurch die Angriffsfläche minimiert und die Wahrscheinlichkeit erhöht wird, typische laterale Bewegungen durch das Netzwerk zu erkennen oder von vornherein zu verhindern. Zugriffs-Attestate werden vereinfacht, indem ruhende, abgelaufene oder unnötige Zugriffe beseitigt werden, sodass der Fokus auf der Überprüfung der Rechte und Privilegien existierender Benutzer liegt. Wenn ein Konto nicht erstellt oder eine Zugriffsberechtigung nicht erteilt werden soll, können zusätzliche Informationen abgerufen werden. Compliance-Richtlinien sorgen dafür, dass bei mangelnder Nutzung eine Warnung ausgelöst wird, wodurch Ressourcen auf wichtige Vorkommnisse konzentriert werden können. Die Optimierung der Lizenzkosten wird durch das Löschen nicht angemessen genutzter Konten erreicht, was Unternehmen ermöglicht, Lizenz- und Betriebskosten zu senken. Ferner werden Schwachstellen abgesichert, indem bestehende Kompromittierungen erkannt und beseitigt werden, um weitere zugriffsbezogene Schwachstellen zu verhindern.

Autor

Bruce Esposito ist Senior Manager IGA Strategy and Product Marketing bei One Identity. 

Weitere Artikel:

Identity-Security-Strategie mit IGA, IAM und PAM

Tief verwurzelt (1)

Die richtige Kurve kriegen