IAM-Sicherheit: Definition und wissenswerte Einzelheiten

Der aktuelle Bericht des FBI zur Cyberkriminalität enthüllt einen alarmierenden Anstieg der Phishing-, Ransomware- und Malware-Angriffe auf US-amerikanische Unternehmen. Das Internet Crime Complaint Center (IC3) des FBI erhielt im vergangenen Jahr fast 20.000 Berichte über BEC/EAC-Ereignisse (Business Email Compromise/Email Account Compromise) – das Kompromittieren von E-Mail-Konten in Unternehmen mit Hilfe von Techniken der Intrusion und/oder des Social Engineering – durch welche den Unternehmen Verluste in Höhe von fast 2 Milliarden US-Dollar entstanden. Die Gesamtzahl der Beschwerden, die bei der IC3 eingehen, ist von rund 300.000 Beschwerden im Jahr 2016 sprunghaft angestiegen auf 790.000 im Jahr 2020.
 

Hacker daran zu hindern, in Unternehmen einzudringen, ist in der heutigen Zeit ein Vollzeitjob für die IT-Abteilungen. Die Cyberkriminellen haben über das Dark Web Zugang zu einer unbegrenzten Menge an Kenntnissen, Tools und Technologien. Die Raffinesse und Geschwindigkeit, mit der sie Unternehmen kompromittieren, nimmt nach wie vor rapide zu und ein Ende ist nicht in Sicht. 

Eines der wichtigsten Werkzeuge zur Bekämpfung von Cyberangriffen ist das Identitäts- und Zugriffsmanagement, denn es sorgt dafür, dass nur die richtigen Personen auf Unternehmensressourcen zugreifen können. Indem Unternehmen den autorisierten Anwendern einen sicheren, nahtlosen Zugriff auf alle ihre Anwendungen und Ressourcen von jedem Ort aus ermöglichen, ebnen sie den Weg für das Schaffen von Mehrwert bei zusätzlicher Sicherheit.

Das Identitäts- und Zugriffsmanagement ist eine Kombination von Lösungen, die Ihrem Unternehmen die Erfassung, Analyse und Verwaltung von Identitätsattributen und -daten ermöglichen, um auf diese Weise das passende Sicherheitsniveau für spezifische Situationen zu erreichen. Das IAM wertet Kontext-, Geräte- und Risikosignale aus, damit intelligentere Authentifizierungs- und Autorisierungsentscheidungen getroffen werden, und optimiert so Sicherheit und Komfort. So können Sie einerseits Ihr Unternehmen schützen, aber auch die Interaktionen für Ihre Mitarbeiter und Kunden vereinfachen.

Obwohl es beim IAM in der Regel um Authentifizierung und Autorisierung geht, kann das Identitäts- und Zugriffsmanagement als Ganzes eine ganze Reihe von Identitätssicherheitsfunktionen umfassen, z.B:

• Verzeichnisse

• Feststellung der Identität

• Erfassung von Einwilligungen und Datenschutzmanagement

• Risikomanagement

• Persönliche Identität

• API-Sicherheit

• Selfservice-Funktionen für Nutzer und Entwickler

Im Grundsatz verwaltet IAM-Sicherheit die digitalen Identitäten von Mitarbeitern, Partnern und Kunden bei gleichzeitiger sicherer Kontrolle des Zugriffs auf Unternehmensressourcen. Methoden für die Sicherstellung dieser Protokolle sind unter anderem:

• Authentifizierung und Verifizierung von Benutzern in Echtzeit, gestützt durch Faktoren wie beispielsweise das Gerät des Benutzers, sein Verhalten und weitere Kontextdaten (Tageszeit, geografischer Standort usw.)

   

• Die Anwendung dynamischer Autorisierung, um den Zugriff auf Ressourcen zu gewähren oder einzuschränken, bestimmte Daten freizugeben oder sensible Aktionen zu autorisieren

   

• Die nahtlose Verwaltung von Zugriffsrechten (Zuweisen, Entfernen und/oder Aussetzen von Benutzerprivilegien)

Cloud-IAM bzw. Identity as a Service (IDaaS) ist eine Kombination von IAM-Lösungen, die in gehosteten Umgebungen eingesetzt und von den Unternehmen zunehmend bevorzugt werden. Das IAM in der Cloud bietet nicht nur sehr wirkungsvollen Schutz gegen Hacker, sondern erlöst die IT-Teams außerdem von der operativen Aufgabe, selbst eine Lösung zu hosten und zu verwalten. Damit können die Mitarbeiter mehr Zeit für die Entwicklung von IT-Erweiterungen einplanen, die den Erfolg des Unternehmens fördern.

In der heutigen hypervernetzten Welt ist der Fernzugriff nicht mehr wegzudenken. Kunden und Mitarbeiter sind mobil und die Geschäftsanwendungen liegen in der Cloud. Der traditionelle, netzwerkbasierte Sicherheitsperimeter lässt jedoch sensible digitale Werte ungeschützt und hemmt die Produktivität der Mitarbeiter mangels Zugriffs. Digitale Unternehmen eröffnen einen nie dagewesenen Zugang zu Ressourcen und müssen sich daher notgedrungen mit einer dynamischen und kontinuierlichen Authentifizierung und Autorisierung anfreunden, um ihre Apps und Daten zu schützen.

Der identitätszentrierte Ansatz gibt den Sicherheitsteams die Freiheit, sich auf diejenigen sicheren Prozesse und Technologien zu konzentrieren, die direkt auf Unternehmensressourcen angewendet werden können – ganz gleich, wo sich diese befinden. Bei modernen Unternehmen recht verbreitet ist das Zero-Trust-Sicherheitsmodell, das auf Authentifizierungs- und Autorisierungskontrollen und nicht auf Netzwerkperimetern aufbaut.

Das IAM bietet eine identitätsgesteuerte Sicherheit mithilfe von Tools wie beispielsweise der kontextbezogenen Multifaktor-Authentifizierung (MFA), dem föderierten Single Sign-On (SSO), einer standardbasierten Zugriffskontrolle, die sich dynamisch an Benutzer und Geräte anpasst, einem verschlüsselten Datenspeicher mit konsolidierten Benutzerdaten sowie der Daten-Governance mit einem einzigen Satz von Richtlinien für eine optimierte Compliance. Mit Identität im Mittelpunkt der Sicherheitsstrategie haben Unternehmen eine zentrale, richtliniengesteuerte Kontrolle und damit einen starken Schutz ihrer Anwendungen, Dienste und APIs.

Folgende Tools sind grundlegend wichtig für eine durchgängige Sicherheit mit IAM. Dazu gehören beispielsweise:
 

Single Sign-On (SSO)

Single Sign-On ist eine Art von IAM-Kontrolle, die es Benutzern ermöglicht, sich bei zahlreichen Ressourcen mit nur einem Satz von Anmeldedaten zu authentifizieren. Wenn sich ein Nutzer zum ersten Mal anmeldet, werden der Benutzername und das Passwort an den Identitätsprovider zur Verifizierung weitergeleitet. Der Authentifizierungsserver gleicht die Anmeldedaten mit dem Verzeichnis ab, in dem die Nutzerdaten hinterlegt sind und startet eine SSO-Session im Browser des Benutzers. Wenn der Nutzer den Zugriff auf eine Anwendung innerhalb einer vertrauten Gruppe anfordert, fragt der Serviceprovider nicht nach einem Passwort, sondern fordert den Identitätsprovider auf, die Identität des Benutzers zu authentifizieren.

Das SSO bietet unter anderem folgende Vorteile:

• Die Angriffsfläche vieler Anmeldedaten wird auf eine Kombination reduziert

• Eine optimierte Benutzererfahrung und eine Minimierung der Passwortmüdigkeit

• Geringere Sicherheitsrisiken bei Partnern, Kunden und anderen, mit dem Unternehmen verbundenen Instanzen

Multifaktor-Authentifizierung (MFA)

Wenn ein Hacker auf ein Konto stößt, das von nur von einem Passwort und einem Benutzernamen geschützt wird, weiß er sofort, dass er ins Schwarze getroffen hat. Cyberkriminelle haben Zugang zu einer im Dark Web angebotenen Software, die in weniger als einer Minute Hunderttausende von Passwörtern und Benutzernamen an dieses Konto senden kann. Sobald das Konto die richtige Kombination aus Buchstaben, Zahlen und Symbolen erkennt, kann der Hacker auf das Konto zugreifen und bekommt möglicherweise empfindliche Unternehmensdaten in die Hände.

Die Multifaktor-Authentifizierung sorgt für eine wahrheitsgetreue Identifizierung der digitalen Nutzer, indem sie von ihnen mindestens zwei Nachweise für ihre Identität verlangt. Die einzelnen Nachweise müssen unterschiedlichen Kategorien entstammen: Etwas, das sie kennen, etwas, das sie haben oder etwas, das sie sind. Wenn einer der Faktoren kompromittiert wurde, besteht nur eine geringe Wahrscheinlichkeit, dass ein weiterer Faktor ebenfalls kompromittiert wurde. Auf diese Weise bietet das Anfordern mehrerer Authentifizierungsfaktoren einen höheren Grad der Gewissheit über die Identität des Benutzers. Diese zusätzlichen Faktoren können in verschiedenen Formen vorliegen: als an ein Mobiltelefon gesendete numerische Codes, Schlüsselanhänger, Smartcards, Standortprüfungen, biometrische Informationen oder sonstige Faktoren.

So funktioniert eine Zugriffsanfrage mit einer MFA

Verzeichnisse

Die Benutzeridentitätsdaten sind ein bevorzugtes Ziel von Angreifern, vor allem wenn sie in dezentralen Datenspeichern liegen, deren Sicherheitsrichtlinien nicht einheitlich sind. IAM-Sicherheit kann Mitarbeiter-, Partner- und Kundendaten über ein Verzeichnis schützen, das Identitätsdaten zentralisiert und verschlüsselt, um sie vor Angriffen zu bewahren. Eine solide Verzeichnislösung kann auch dem Schutz vor Insider-Angriffen dienen, wenn Unternehmen den Administrator-Zugriff einschränken und bei verdächtigen Aktivitäten aktive wie auch passive Warnmeldungen senden können.

Passwortrücksetzungen als Selfservice-Funktion

Eine wichtige, aber häufig unterschätzte Funktion einer IAM-Sicherheitslösung ist die Möglichkeit, die Anfragen der Nutzer an die Helpdesks der IT-Abteilung wegen Passwortrücksetzungen durch eine Selfservice-Funktion zu ersetzen. Wenn die Mitarbeiter ihre Identität mit einer MFA nachweisen können, reduzieren Sie nicht nur die Anzahl der kostspieligen Passwortrücksetzungen, sondern können auch die Gefahr, dass Hacker durch ihr Monitoring-System „Chatter“ die Passwörter „hijacken“ erheblich eindämmen.

Wir bei Ping sehen das moderne Identitätsmanagement als roten Faden, der sich durch die ganze digitale Welt zieht, und erkennen es als einen entscheidenden Faktor für die Umsetzung der digitalen Transformation. Noch nie haben Kunden so vehement Datenschutz und -sicherheit gefordert wie heute, und durch die globale Gesundheitskrise ist der sichere Fernzugriff ins Zentrum des Interesses gerückt, da das ortsunabhängige Arbeiten eine unbestrittene Notwendigkeit darstellt. Dies bedeutet auch, dass die richtige IAM-Sicherheitsstrategie die Liste Ihrer Prioritäten bei der digitalen Transformation anführt. 

Wenn Sie mehr darüber erfahren möchten, warum sich die größten Unternehmen der Welt für IAM-Lösungen von Ping Identity entscheiden, um ihre wichtigsten Ressourcen zu schützen und Mitarbeitern, Kunden und Partnern einen sicheren Zugang zu ermöglichen, möchten wir Ihnen dieses Video empfehlen..