Die ChannelPartner-Workshops haben eine lange Tradition - seit 25 Jahren laden wir etwa ein Dutzend Vertreter von Herstellern, Distributoren und Systemhäusern ein, damit sie sich während eines etwa zweistündigen Meetings zu einem bestimmten Thema austauschen können. Vor Corona schloss sich noch ein gemeinsames Mittag- oder Abendessen an die Diskussionsrunde an, das geht aktuell zwar nicht, dafür ist bei Online-Meetings die Teilnehmerzahl nicht begrenzt.
So haben an dem ChannelPartner-Workshop zum Thema IAM/PAM (Identity & Access Management/ Privileged Access Management) Ende 2020 fast 20 Systemhausvertreter (aktiv und passiv) teilgenommen. Zu Beginn der Diskussionsrunde haben die Vertreter der drei Anbieter CyberArk, RSA und Wallix ihre IAM/PAM-Konzepte für den Channel vorgestellt.
Zugriffe auf Ressourcen regeln
Michael Kleist, DACH-Chef bei CyberArk, führte in seinem Eröffnungsvortrag gleich sehr verständlich in das Thema ein. Demnach sollte man in Kundengespräch zuallererst auf die digitalen Identitäten eingehen: Welche Personen haben Zugriff auf welche Ressourcen? "Denn beim Thema Identity Management geht es auch um Access Management - bis hin zur Zutrittskontrolle und Zeiterfassung", so Kleist in seinem Eröffnungsstatement. "Das Feld, das wir hier bestellen, ist schon sehr groß".
Danach ging der CyberArk-Manager auf den Begriff "Privilegien" ein: "Wer mehr darf als der 'normale' Anwender, der hat einen privilegierten Zugang". Und über derart privilegierte Zugriffsmöglichkeiten können auch die Identitäten von Maschinen oder Applikationen verfügen.
Und es gibt eine Menge derartig privilegierter Identitäten, laut Kleist, sind es bei einem Unternehmen mit 10.000 Mitarbeitern 40.000 bis 50.000 Accounts "privilegiert", so zum Beispiel auch jeder PC-User, der über gewisse Admin-Rechte an seinem Endgerät verfügt. Und der CyberArk-Deutschland-Chef legt großen Wert auf die Unterscheidung zwischen den Identitäten, den Zugängen ("Access") und den Systemen zur Überwachung all der damit einhergehenden Aktivitäten.
"Die Identität ist der neue Perimeter", so plakativ stellt Kleist den Paradigmenwechsel dar. Deswegen ist es seiner Meinung nach essentiell, diese Identitäten, die fast alle auch über gewisse Privilegien verfügen, auch wirksam von Missbrauch zu schützen. Hierbei könnten passwortlose Konzepte und als reine Services angebotene Systeme helfen, denn dann müssten sich Kunden selbst damit nicht mehr befassen.
Nachfrage nach Authentifizierungssystemen steigt
Patrick Schmidt, Distribution Account Manager bei RSA, wand sich in seine Präsentation explizit dem Thema "Access Management" zu. Hier bezog er sich auch auf den ersten Corona bedingten Lockdown im März 2020: "Damals stieg die Nachfrage nach Authentifizierungssystemen exorbitant an, weile viele Firmen und Behörden ins Homeoffice schickten. Mittlerweile sind die Unternehmen diesbezüglich besser aufgestellt und daher für Anforderungen des zweiten Lockdowns besser gewappnet", so Schmidt weiter.
Seiner Ansicht nach sind die Anfang 2021 zu Hause arbeitenden User besser und sicherer ans Unternehmensnetzwerk angebunden, als es noch zu Beginn des Jahres 2020 der Fall war. Die Risiken bei der Einbindung der 3rd-Party-Akteure, etwa der Lieferanten, bleiben hingegen hoch. Dies gilt natürlich auch bei der Integration der eigenen Mitarbeiter über neue mobile Endgeräte: "Das alles sind neue digitale Identitäten, die prinzipiell neue Bedrohungen darstellen", meint der RSA-Manager. Auf jeden muss seiner Meinung der sichere Zugriff auf die Unternehmensressourcen stets gewährleistet sein, um das Kerngeschäft nicht zu gefährden.
Selbstredend ist dieser sichere Zugriff am besten und einfachsten mit einer Multifaktor-Authentifizierung realisierbar. Der Authentifizierungsprozess sollte für den User aber möglichst einfach zu erfüllen sein. Hier könne RSA helfen. Wer etwa kein Smartphone für den Empfang des Einmalpassworts nutzen möchte, kann auf das Hardware-Token oder eine biometrische Identifizierungsmethode zurückgreifen. Für Partner ergeben sich hier als vielfältige neue Geschäftsmöglichkeiten. Und RSA arbeite hier mit vielen anderen Security-Anbietern zusammen, um für eine ausreichend tiefe Interoperabilität zu sorgen.
Systeme zur Absicherung von Endgeräten nicht außer Acht lassen
Stefan Rabben, Area Sales Director DACH and Eastern Europe bei Wallix, ging in seinem Vortrag explizit auf das Thema "Access" ein, also auf die Absicherung der Zugänge. Unter "Access Management" versteht er die sichere Verknüpfung zwischen Usern und Systemen, wobei "User" die ganz normalen Anwender, die Administratoren, aber auch Applikationen oder "Robots" ("Maschinen" beziehungsweise DevOps) sein können. Und selbstverständlich müssen all diese "User" starke Authentifizierungsmethoden verwenden.
Davon getrennt ist die Autorisierung, also der Vorgang, bei dem eine übergeordnete Instanz den "Usern" die gewünschten Berechtigungen zuteilt: "Auf welche Ressourcen dürfen sie mit welchen Möglichkeiten zugreifen?" Hierbei sollten die "privilegierten User" dann doch genauer kontrolliert werden als die Standard-Anwender, meint Rabben. Für die Autorisierung der menschlichen User bietet Wallix einen Web-basierten Access Manager, bei "Maschinen" kommt vollautomatisiertes Tool zum Zuge.
Die Zugriffe all dieser User auf die ihnen bereitgestellten Ressourcen müssen laut dem Wallix-Manager fortlaufend geregelt und überwacht werden: "Die einmal vorgegebenen Richtlinien müssen dabei stets eingehalten werden", so Rabben weiter. Auch hierfür bietet Wallix passender Weise spezielle Lösungen an, um auf diese Weise die Gefahr des Identitätsdiebstahls zu minimieren.
Ebenso wichtig sind für den Wallix-Manager Systeme zur Absicherung von Endgeräten (Clients und Servern) und von Perimetern. Bei letzteren stellen vor allem die Fernzugriffs-Schnittstellen derzeit die größte Sicherheitsbedrohung dar - bedingt durch die rapide angestiegene Zahl der VPN-Zugänge. Ein zentrales Access-Management ist da schon sehr hilfreich, um Sicherheitslücken zu schließen.
Das bestätigt auch CyberArk-Deutschland-Chef Michael Kleist: "80 bis 90 Prozent der erfolgreichen Angriffe basieren auf dem Missbrauch von Zugangsdaten. Dieses Problem gilt es nun anzugehen." Hier berichtet Kleist, dass man aus diesen Angriffen lernen und Kunden besser absichern könne, etwa mit der Multi-Faktor-Authentifizierung beim Windows-Zugang. Der CyberArk-Manager empfiehlt den Systemhäusern, die Sicherheitsanforderungen ihrer Kunden mit der vorhandener IT-Architektur in Einklang zu bringen und diese gegebenenfalls zu ergänzen.
Covid-19 als Digitalisierungsbeschleuniger im Mittelstand
Rabben erwähnt die gestiegene Bedeutung der Zugangssicherung. Covid-19 war seiner Ansicht nach ein Digitalisierungsbeschleuniger, nun gelte es auch, in punkto Sicherheit nachzubessern - vor allem im Mittelstand. "Wir müssen uns jetzt mit dem Thema Access auseinandersetzen", betont der Wallix-Manager. "Und das betrifft nicht nur die privilegierten User, sondern auch die Schadsoftware, ein Einlass begehrt."
Werner Schwarz, Vice President Corporate Strategy & Innovation bei Cancom, rät seinen Kunden auch, sich stärker um ihre gesamte IT-Architektur und weniger um ihre Silos zu kümmern. Denn es gäbe ständig neu aufkommende Herausforderungen, etwa durch ständig neu hinzukommenden Cloud-Identitäten, und deshalb ist für Schwarz das ist Access Management ein Kernbestandteil der Security-Landschaft. Und noch in einem weiteren Punkt stimmt er den Anbietern CyberArk, RSA und Wallix zu: "Wir müssen die Sicherheitsanforderungen unserer Kunden priorisieren."
Thomas Bursy, Team Manager Solution Sales Security & Data Management bei Software One, gibt aber zu bedenken, dass bei vielen Kunden Silos fest verankert sind, etwa nach Akquisitionen: "Wir finden da nie eine grüne Wiese vor, sondern immer ein Sammelsurium verschiedener Systeme." Und es sein extrem zeitintensiv, diese Silos in eine integrierte Lösung zu überführen. Seiner Beobachtung nach ist Forderung der einschlägigen Anbieter, dass IT-Security höchste Priorität genießen sollte, reines Wunschdenken: "Daher ist es auch unsere Aufgabe, bei den Kunden das Bewusstsein für die Notwendigkeit der Sicherheitsmaßnahmen zu schärfen", postuliert der SoftwareOne-Manager. "Technische Systeme zum Access-Management einzuführen ist das eine, damit sorgfältig umzugehen das andere." Deswegen steht für Bursy der Nutzer immer im Vordergrund.
Carsten Dibbern, Solution Manager bei , ergänzt: "Viele unserer Kunden legen gerade ihre Cloud-Strategie fest und berücksichtigen dabei viele mit der Covid-19 neu aufgekommene Aspekte gleich mit. Die großen Hyperscaler haben diverse Access Management-Anforderungen, wie integrierte Zwei-Faktor-Authentisierung oder Rollenkonzepte in ihre Systeme bereits integriert. Vieles, was wir früher vergeblich gefordert hatten, wurde in der Pandemie rasch umgesetzt. Kunden, die hier ganz auf die Cloud setzen, haben da also gewisse Vorteile. Da müssen wir nicht bei Null anfangen."
Die Notwendigkeit des Access Managements verdeutlichen
"Oft reichen die Ressourcen bei SMB-Kunden auch gar nicht aus, um ein IAM/PAM-Projekt anzugehen", weiß Michael Kleist von CyberArk aus seiner Erfahrung zu berichten. Er kennt Kunden, die in der Covid-19-Krise ums Überleben kämpfen, und keinen Fokus auf IT legen. Häufig fehle es aber auch an den Fachkräften, die Security-Projekte stemmen könnten.
Pascal Kube, Geschäftsführer bei Mahr EDV, zieht hier eine Parallele zu den Backup-Projekten, die vor 15 Jahren kaum ein Kunde nachgefragt hatte, bis Daten "verloren" gingen. "Heute werden wir auch nicht gerade mit Anfragen zum Thema IAM überrollt", so der Manager. Kunden verlangen eher nach Penetrationstests, um den aktuellen Sicherheitszustand ihrer IT-Systeme zu überprüfen. "Erst danach entdecken wir die Schwachstellen, worauf eine Bedarfsanalyse folgt, die in einen Anforderungskatalog an die zukünftige IAM-Lösung eingeht," beschreibt Kube den typischen Verkaufsprozess bei der IT-Sicherheit. "Wir ermitteln exakt, welche Personen auf welche Ressourcen zugreifen dürfen, und fragen unsere Kunden auch, wie sie diese Zugriffe aktuell überwachen", erklärt der Mahr-EDV-Chef.
"Wie orientieren uns hier an der sogenannten 'Cyber Kill Chain', bei der bestimmte Angriffsszenarien simuliert werden", erklärt Stefan Rabben. "Damit finden wir die Sicherheitslücken bei unseren Kunden und können darauf adäquat reagieren." Diese Vorgehensweise empfiehlt der Wallix-Manager auch den Systemhäusern.
Die Kosten der IAM- und PAM-Systeme
Aber ist der Betrieb von IAM- und PAM-Systemen nicht recht kostspielig? "Nein", meint Rabben, vor allem dann nicht, wenn man diese Lösungen klug in die vorhandene IT-Landschaft integriere. "Laufende Kosten lassen sich mit Self Service-Prozessen - gekoppelt mit IT Service- und Request-Management-Systemen - einsparen", berichtet Carsten Dibbern aus seinen Projekte. "Menschliche Fehler werden dadurch weitgehend verhindert", so der Computacenter-Manager.
"Wir benötigen Technologie-Partnerschaften zwischen den Anbietern", fordert Patrick Schmidt. "Dann arbeiten die Systeme miteinander und sie können gemeinsam zentral gemanagt werden." Und sogleich legt der RSA-Manager den Finger in eine Wunde: "Die IT-Ausstattung an unseren Schulen ist katastrophal. Es gibt kein zentrales Zugangsportal, oft ist sogar der Dokumentenaustausch nicht möglich und über Sicherheit red' ich hier lieber gar nicht."
Ihm springt hier Sebastian Ganschow bei: "Es fehlt eine einheitliche Plattform für die Schulen. In diese Hinsicht ist derzeit jeder Landkreis, jede Schule weitgehend allein gelassen." Daher plädiert der NTT-Manager für die Schaffung einer zentralen Identity- und Access-Management-Lösung. An diese noch zu verwirklichende "Schulplattform" könnten dann einzelne Anbieter andocken.
Alles in der Cloud? Und alles als Service?
Weitgehend einig war man sich im Auditorium, dass Cloud- und SaaS-Lösungen das Mittel erster Wahl sind, wenn es um die Etablierung der IAM/PAM-Systeme geht. "Deswegen hat ja auch Microsoft so viel Erfolg mit Azure und Office 365", sagt Christian Schwaller, Business Development Manager bei ACP. "Hier ist kein Investment nötig, es fallen nur monatliche Kosten in moderater Höhe an. Das ist ein großer Mehrwert".
Dem pflichtet auch Werner Schwarz von Cancom bei: "Es gibt immer mehr Bestrebungen, das Access-Management in die Cloud zu verlagern." Dem widerspricht Michal Kleist zum Teil: "Wir kennen sehr Cloud-affine Kunden, die ihre IAM- und PAM-Systeme on-premise betreiben." Hier weist der CyberArk-Manager auf die Angst vieler Kunden von einem Vendor-Lock-in in der Cloud (Microsoft, Amazon oder Google). Ein Multi-Cloud fähige Software sei da schon von Vorteil.
Ivan Vukadin, Solution Advisor Security & Data Management bei Software One, beobachtet schon seit Jahren einen Kampf zwischen dem "Best-of-Breed"-Ansatz und einem integrativen Modell: "Die 'Eine-Plattform-Lösung' gewinnt hier an Boden." Seiner Erfahrung nach tendieren Kunden eher dazu, auch im Bereich IAM/PAM auf Lösungen derjenigen Anbieter zu setzen, mit denen sie schon länger zusammenarbeiten.
Das würde Kosten sparen, vor allem dann, wenn man das Ganze als Managed Service in Anspruch nimmt. Und mit einem Cloud-Dienst würden sich neue Identitäten leichter einbinden lassen. "Mit einer 'One Vendor"-Strategie ist die Komplexität geringer als beim 'Best-of-Breed'-Ansatz", so das Fazit von Vukadin. Und der Berater von Software One beschreibt noch anschließend sehr prägnant die Kernaufgabe eines im IT-Security-Umfeld tätigen Systemhauses: "Unser Anliegen ist es festzustellen, wo die Risiken tatsächlich liegen, und diese mit spezifischen in das gesamte IT-Security-Konzept integrierten Lösungen abzudecken."
Neue Architekturen, feste Standards und offene Schnittstellen
Micheal Kleist hat die Erfahrung gemacht, dass seine Kunden darüber nachdenken, neue IT-Architekturen aufzusetzen: "Identitäten sind nicht nur Menschen, sondern auch maschinelle Instanzen (Stichworte: DevOps, Machine-to-Machine-Communication und RPA) mit weitreichenden Zugriffsrechten, die jedoch kaum geschützt sind", so der CyberArk-Manager. "Die DevOps-Teams entstehen erst gerade und beschäftigen sich auch mit dem Thema Security, aber noch nicht mit der Integration der digitalen Instanzen in die zentralen Access-Management-Systeme", berichtet der Computacenter-Manager Carsten Dibbern aus der Praxis.
Werner Schwarz ergänzt: "Wenn ein DevOps-Team ein neues smartes Produkt für den Kunden entwickelt, dann übernimmt dieser den Schutz der digitalen Identität dieses Produkts." Und da bleibe das zentrale Access-Management-System oft außen vor, hier müsse man noch die Awareness beim Kunden noch erhöhen.
Sebastian Ganschow bringt es auf den Punkt: "Vielen Kunden ist nicht bewusst, mit welchen kritischen Daten sie umgehen. Hier gilt es, alle Anwender mitzunehmen und ihnen deutlich machen, dass sie nur gemeinsam für die nötige Sicherheit sorgen können." Den DevOps-Teams bescheinigt der NTT-Manager aber schon das nötige Security-Bewusstsein. In Bezug auf (privilegierte) Zugänge sollten Unternehmen Standards schaffen und Insellösungen vermeiden. Mittlerweile würden sie auch die Identitäten der zahlreichen IoT-Devices besser schützen.
"Deswegen müssen wir als Hersteller Schnittstellen zur Anbindung von Robots und DevOps bereitstellen", fordert Rabben. "Und die Lösungen müssen einfacher zu integrieren sein", ergänzt Ganschow, "durch offene Standards und Interoperabilität zwischen den Systemen der unterschiedlichen Hersteller."
Wenn die IT-Abteilung als Service-Center agiert
IT-Abteilungen bei den Kunden sollten sich noch mehr für die Belange ihrer Kollegen in anderen Fachbereichen interessieren. In einigen Bereichen sind da schon Fortschritte sichtbar, etwa in der Kommunikation zu den Kollegen in der Produktion, stellt Werner Schwarz fest. "Und die Unternehmens-IT-Abteilung kümmert sich dann fachbereichsübergreifend um die Security, auch um die Identitätsverwaltung", so der Cancom-Manager.
Und das stößt auf viel Gegenliebe: "Die DevOps-Teams haben bemerkt, dass wir ihnen da sehr viel Arbeit abnehmen", berichtet Christian Schwaller. Carsten Dibbern spricht hier gar von "Buying Centern", also von mit Experten mehrerer Abteilungen besetzten Einkäufer-Teams. Doch eines darf hier nicht außer Acht gelassen werden: der Datenschutz.
Dazu meint Andreas Schmidt: "Die größte Herausforderung besteht hier in der klaren Kommunikation zwischen dem DevOps-Team, den Security-Experten, dem IT-Leiter und dem Datenschutzbeauftragten. Sie alle müssen an einem Strang ziehen", fordert der Sales Security-Manager bei SoftwareOne.
Seiner Ansicht nach liegt die Aufgabe der Systemintegratoren darin, allen Abteilungen bei ihren Kunden genau zu erklären, warum IT-Security so wichtig ist und wie sie alle damit zusammenhängenden Prozesse abwickeln sollten. "Frühzeitige Aufklärung tut hier not", meint auch Ganschow. Er empfiehlt auch immer - sofern vorhanden - den Betriebsrat von Beginn an in die Kommunikation einzubeziehen.
Das ist deshalb so wichtig, weil die gängigen IAM-Systeme die Zugangshürden erhöhen, wenn Mitarbeiter unterwegs sind und vom Hotel oder von zu Hause auf die Unternehmensressourcen zugreifen. Und diese "Tracking"-Funktion ist vielen Arbeitnehmervertretern oft ein Dorn im Auge, Stichwort UEBA (User and Entity Behavior Analytics). "Da müssen die Hersteller noch nachbessern", fordert Carsten Dibbern. "IAM-Produkte sollten so konfigurierbar sein, dass datenschutzsinsible Funktionen, wie Protokollierung von Nutzertätigkeiten oder Speicherung des Aufenthaltsorts, deaktivierbar sind", so der Experte von Computacenter weiter.
Hier empfiehlt der NTT-Manager Ganschow die vollständige Anonymisierung, also die Zugriffe auf sensitive Ressourcen so abzusichern, dass die User dabei nicht namentlich "getrackt" werden. "Software kann dabei den Systemadministrator sinnvoll unterstützen", meint Manfred Koller, Channel Manager DACH bei Cybeark, "aber das Vier-Augen-Prinzip sollte immer gelten".
Hausaufgaben für die IAM/PAM-Anbieter
Im Anschluss an diese Ausführungen entwickelten sich in der Runde eine rege Diskussion darüber, ob wirksame Absicherung der Systeme auch ohne UEBA möglich wäre. Hierbei waren sich die Teilnehmer uneinig, manche meinten, es ginge auch ohne dieses Tool, bei anderen überwogen die Vorteile, etwa bei der Kontext-basierten Risiko-Einschätzung. Hier nannte Ganschow das krasse Beispiel eines deutschen Mitarbeiters im Homeoffice, der sich plötzlich aus China einloggt.
In einem Punkt waren sich aber alle Teilnehmer einig: Es gelte eine sinnvolle Balance zwischen berechtigten Sicherheitsanforderungen und der Wahrung der Persönlichkeitsrechte der einzelnen Mitarbeiter zu finden. Hier könnten die Hersteller der Security-Systeme noch nachbessern, meinten die Vertreter der Systemhäuser übereinstimmend.
Weitere ChannelPartner-Workshops:
Managed Print Services
Coronakrise lässt Kunden Cyber-Resilienz entdecken
Managed Security Services - nicht einfach, aber unumgänglich
Cyber-Resilienz - Chancen für den Channel