Identity-Security-Strategie mit IGA, IAM und PAM
Eine Identity-Security-Strategie ist eine Grundlage der modernen Cyber-Resilienz und kombiniert Identity- und Access-Management, Identity-Governance und -Administration sowie Privileged-Access-Management. Unser Beitrag stellt die Bestandteile des Konzepts vor.
Unternehmen sind in immer stärkerem Maße von verschärften Richtlinien und Regularien betroffen. Maßnahmen zur Stärkung der IT-Sicherheit und Verbesserung der Resilienz sind somit unverzichtbar. Dabei rücken vor allem identitätsbasierte Sicherheitsstrategien ins Blickfeld, schließlich ist ein Großteil der Sicherheitsverletzungen heute auf kompromittierte Anmeldedaten zurückzuführen.
Vor dem Hintergrund aktueller und zukünftiger Herausforderungen gewinnen Identity-Governance-and-Administration-(IGA)-Lösungen derzeit an Relevanz. Sie zielen auf die effiziente Verwaltung digitaler Identitäten und Zugriffsrechte über verschiedene Systeme hinweg ab und werden von Unternehmen in den Bereichen Informationssicherheit, Risikomanagement und Compliance eingesetzt. IGA-Lösungen tragen dazu bei, die Sicherheit zu erhöhen, den Betrieb zu vereinfachen, das Onboarding zu optimieren und die Einhaltung von gesetzlichen Vorschriften, Branchenstandards sowie Unternehmensrichtlinien zu gewährleisten.
Grundsätzlich stellt die Verwaltung digitaler Identitäten und Zugriffsrechte Unternehmen vor große Herausforderungen. Schließlich hat eine Vielzahl von Benutzern, darunter Mitarbeiter, Auftragnehmer, Zeitarbeitskräfte und Lieferanten, Zugriff auf eine breite Palette von Anwendungen und Systemen, die über lokale und cloudbasierte Infrastrukturen verteilt sind. Dennoch verlassen sich Unternehmen allzu oft auf manuelle Prozesse, um Benutzer einzubinden und ihre Zugriffsrechte zu verwalten – eine ressourcenintensive, fehleranfällige und zeitraubende Aufgabe. Hier setzen IGA-Lösungen an, die Unternehmen dabei unterstützen, die Übersicht zu verbessern, menschliche Fehler zu beseitigen und Risiken zu minimieren, indem sie Funktionen für die Verwaltung von digitalen Identitäten und Zugriffsrechten automatisieren. IGA-Anwendungen sind in verschiedenen Formen verfügbar: von traditionellen Softwarelösungen über Software-as-a-Service-(SaaS)- bis hin zu Managed-Service-Angeboten. Unternehmen haben zudem die Möglichkeit, eine Stand-alone-Lösung oder eine Identity-Security-Plattform zu nutzen, die neben IGA auch Identity- and Access-Management (IAM) und Privileged-Access-Management (PAM) umfasst.
Kernkomponenten der Identity-Security
Ein wesentlicher Bestandteil von Identity-Security ist das IAM zur Verwaltung von Benutzeridentitäten und zur Kontrolle des Zugriffs auf Unternehmensressourcen. IAM-Lösungen stellen sicher, dass die richtigen Personen aus den richtigen Gründen und zur richtigen Zeit Zugriff auf die richtigen IT-Ressourcen haben. Sie sind ein wesentlicher Bestandteil einer Defense-in-Depth-Sicherheitsstrategie und entscheidend für den Schutz von IT-Systemen vor Cyberangriffen und Datenverlusten.
Zentrale Elemente einer IAM-Lösung sind eine Single-Sign-on-(SSO)-Funktion und eine adaptive Multifaktor-Authentifizierung. SSO ermöglicht es den Benutzern, mit einer einmaligen Authentifizierung auf alle ihre Geschäftsanwendungen und -services zuzugreifen. Das Verfahren verbessert die Benutzerzufriedenheit, da es die Passwortmüdigkeit beseitigt. Darüber hinaus erhöht SSO die Sicherheit, indem es riskante Passwortverwaltungspraktiken eliminiert sowie Angriffsflächen und Sicherheitslücken reduziert. Durch die Aktivierung einer konsistenten adaptiven Multifaktor-Authentifizierung stellen Unternehmen zudem sicher, dass die Benutzer diejenigen sind, die sie vorgeben zu sein. Organisationen können so potenzielle Bedrohungen schneller erkennen und Benutzer erhalten einfach und sicher einen Zugriff auf Ressourcen.
Eine umfassende Cybersicherheitsstrategie muss darüber hinaus ein PAM zur Verwaltung, Sicherung und Überwachung aller privilegierten Identitäten und Aktivitäten in einer geschäftlichen IT-Umgebung umfassen. Ein privilegierter Zugriff kann sowohl menschlichen Benutzern als auch nicht-menschlichen Benutzern wie Anwendungen und Maschinenidentitäten gewährt werden.
PAM beruht auf dem Least-Privilege-Prinzip, wonach Benutzer nur die für ihre jeweiligen Aufgaben erforderliche Mindestzugriffsebene erhalten. Das Least-Privilege-Prinzip gilt als Best Practice in der Cybersicherheitsbranche und ist ein wesentlicher Schritt zum Schutz privilegierter Zugriffe auf sensible Daten und Ressourcen. Die konsequente Umsetzung des Prinzips verringert die Angriffsfläche und senkt die Gefahr kostspieliger Datenschutzverletzungen durch böswillige Insider oder externe Cyberangriffe.
Kontrolle privilegierter Zugriffe
Mit einer Identity-Security-Lösung, die IGA, IAM und PAM bietet, können Unternehmen somit Cybergefahren zuverlässig abwehren. Wichtig ist dabei, dass eine solche Lösung nicht nur auf die Verwaltung von Identitäten abzielt, sondern auch privilegierte Zugriffe durch intelligente Kontrollen absichert. Neben der Etablierung des Least-Privilege-Prinzips sind das vor allem die Kontrollverfahren Just-in-Time-Zugriff, Session-Isolierung sowie Credential- und Secrets-Management:
- Mit der Methode Just-in-Time gewähren Unternehmen den Benutzern in Echtzeit erweiterte Zugriffsrechte, damit sie erforderliche Aufgaben ausführen können. Das heißt, ein Endanwender kann für eine bestimmte Dauer auf die benötigten Ressourcen zugreifen, um eine bestimmte Tätigkeit durchzuführen. Anschließend werden ihm die Rechte wieder entzogen.
- Bei der Session-Isolierung wird der Datenverkehr zwischen dem Endgerät eines Benutzers und den Ressourcen, auf die er zugreifen möchte, über einen Proxy-Server geleitet. Dadurch wird im Fall eines Angriffs auf einen Endbenutzer das Risiko einer Kompromittierung des Zielsystems verringert und ein zusätzlicher Kontrollpunkt für die Angriffserkennung eingerichtet.
- Das Credential-Management schließlich beinhaltet neben der dynamischen Einsetzung von Credentials zur Laufzeit vor allem die Rotation von Passwörtern und Keys sowie die Durchsetzung von Passwortrichtlinien.
- Das Secrets-Management ermöglicht es Unternehmen, ähnliche Sicherheitsrichtlinien für nicht-menschliche (maschinelle) Identitäten durchzusetzen, wie sie für menschliche Identitäten bereits Standard sind.
Fazit
Prinzipiell sind Unternehmen mit einem dynamischen Wachstum von Identitäten konfrontiert: sowohl von Maschinen als auch von Menschen. Derzeit kommen auf jede menschliche Identität 45 maschinelle – 2023 wird sich die Gesamtzahl der Identitäten voraussichtlich mindestens verdoppeln. Parallel zu dieser Entwicklung nimmt auch die Anzahl identitätsbezogener Angriffe, etwa mit Ransomware oder Phishing, dramatisch zu. Diese komplexe Gefahrenlage kann ein Unternehmen durch eine integrierte Identity-Security-Strategie in den Griff bekommen. Identity- and Access-Management, Identity-Governance and Administration sowie Privileged-Access-Management sind dabei elementare und unverzichtbare Bausteine.
Christian Goetz ist Director Presales Success bei CyberArk.
Typische Funktionen einer IGA-Lösung:
- Identity-Lifecycle-Management zur Automatisierung und Vereinfachung der Prozesse im Zusammenhang mit dem On- und Offboarding von Benutzern, mit der Zuweisung und Verwaltung von Zugriffsrechten sowie mit der Überwachung von Zugriffsaktivitäten
- Self-Service-Funktionen, mit denen Benutzer ad hoc und ohne oder mit nur geringer Beteiligung der IT-Abteilung Zugriff auf bestimmte Systeme, Anwendungen oder Services beantragen können
- Standard-Workflows zur intelligenten Weiterleitung von Zugriffsanfragen an Vorgesetzte zur Genehmigung und zur automatischen Bereitstellung von Berechtigungen
- Funktionen zur automatischen Identifizierung aller Benutzeraccounts und Berechtigungen
- Analyse- und Reporting-Funktionen zum Nachweis der Einhaltung von Compliance-Grundsätzen und zur Vereinfachung forensischer Untersuchungen und Audits.