Jenseits des Perimeterschutzes

Identity- und Access Management im Zero-Trust-Modell

Hans-Peter Fischer ist Partner im Bereich Security Consulting bei der KPMG AG Wirtschaftsprüfungsgesellschaft. Er berät Unternehmen zu IT Risiko-Management und Cyber Security – von der Strategie über die Maßnahmendefinition bis zur Implementierung. Schwerpunkte seiner Tätigkeiten sind Aufbau und Optimierung von Information Security Management Systems (ISMS) und Security Incident and Event Management (SIEM) bei großen Unternehmen und Konzernen.
Zero-Trust ist in Kreisen der Cyber-Sicherheit im Moment sicherlich eines der meistdiskutierten Schlagworte.

Dabei wurde der Begriff "Zero Trust" bereits 2010 durch den Forrester Research Analyst John Kindervag begründet. Das Identity- und Access-Management (IAM) nimmt hierbei neben einem gründlichen Asset-Management und etablierten analytischen Kompetenzen eine Schlüsselrolle ein.

Nicht Technologie, sondern strategischer Ansatz

Zero-Trust ist keine Technologie und auch kein zu erreichender Prozess. Vielmehr ist es ein Wegweiser für die gesamte Ausrichtung der Cybersicherheit eines Unternehmens. Getreu dem Leitsatz "Vertraue niemandem" ist bei Zero-Trust der Name auch Programm. Die schützenswerten Assets - vor allem Daten - eines Unternehmens sollen den Mitarbeitern bei der Wertschöpfung natürlich zur Verfügung stehen, aber gleichzeitig vor unerlaubtem Zugriff geschützt werden.

Das im IAM bekannte "Need-to-know"-Prinzip sieht hier vor, dass jeder Mitarbeiter die geringstmögliche Anzahl an Berechtigungen erhalten sollte, die er für die Wahrnehmung seiner Aufgaben benötigt.
Das im IAM bekannte "Need-to-know"-Prinzip sieht hier vor, dass jeder Mitarbeiter die geringstmögliche Anzahl an Berechtigungen erhalten sollte, die er für die Wahrnehmung seiner Aufgaben benötigt.
Foto: Den Rise - shutterstock.com

Aktuelle Lösungen für dieses Problem sind verschachtelte Schutzwälle aus Firewalls, Intrusion Detection & Prevention-Systemen, Netzwerksegmentierungen und vielen mehr. Es bleiben jedoch stets wunde Punkte in der Sicherheitsarchitektur. Deshalb hängt die Sicherheit des Unternehmens, der Assets oder der Daten nicht zuletzt auch von menschlichem Vertrauen ab. In einer perfekten Zero-Trust-Umgebung soll diese Anfälligkeit für Fehler sowie boshafte Absichten nicht existieren.

In der Realität ist dieser Endzustand aber kaum erreichbar - dafür sind die diversen IT-Infrastrukturen großer Unternehmen heutzutage viel zu komplex. Doch auch ein Perimeterschutz durch eine Absicherung von Netzwerkzugängen und Endgeräten ist inzwischen nicht mehr zeitgemäß, da immer mehr Angriffe auch aus dem Inneren von Unternehmen kommen. Die Fluktuation beim externen Personal, der Einsatz von Public Clouds, unzählige Maschinenaccounts und IoT-Devices sowie der teilweise oder vollständige Einsatz von privaten Endgeräten - Stichwort "Bring-your-own-Device" - machen es immer schwieriger, durch reinen Perimeterschutz noch ausreichend Sicherheit zu gewährleisten. Darum wird sich dem Konzept mit durchdachten Technologien und Prozessen genähert, wie bspw. einem IAM und gründlichem Security Incident und Event Monitoring (SIEM).

Mit IAM dem Risikofaktor Mensch entgegenwirken

In einem aktuellen Report von Forrester aus dem Jahr 2020 wird Zero-Trust in fünf Dimensionen unterteilt: Benutzer, Geräte, Workloads, Netzwerke und Daten. Dabei stehen vor allem Benutzer und Daten im Vordergrund. Die Benutzer sollten auf die nötigen Daten im Unternehmen zugreifen können. Über welches Gerät, welche Anwendung, welches Netzwerk und in welchem Kontext sie das tun, ist dabei zweitrangig. Eine Absicherung aller Kontextpunkte (Geräte, Netzwerke, Anwendungen) ist, wie oben bereits beschrieben, müßig. Stattdessen sollte der Fokus zum einen auf einer starken und sicheren Authentifizierung liegen, um den richtigen Nutzern Zugriff zu erlauben. Zum anderen auf einer klaren Einstufung der Kritikalität der Daten.

An dieser Stelle spielt ein gut durchdachtes und konsequent gelebtes IAM eine wichtige Rolle. Um sicher zu stellen, dass nur berechtigte Mitarbeiter Zugriff auf die wertvollen Unternehmensressourcen bekommen, bedarf es klarer Prozesse für die Vergabe und den Entzug von Rechten. Das im IAM bekannte "Need-to-know"-Prinzip sieht hier vor, dass jeder Mitarbeiter die geringstmögliche Anzahl an Berechtigungen erhalten sollte, die er für die Wahrnehmung seiner Aufgaben benötigt. Zudem sind regelmäßige Kontrollen erfolgskritisch, denn "Vertrauen ist schlecht, Kontrolle ist besser" - so ein weiterer Leitsatz im Zero-Trust-Modell.

Um die Sicherheit im IAM zu verbessern, sollten Unternehmen außerdem neue Technologien zur Authentifizierung einbinden. Ein Großteil der Sicherheitsvorfälle in Unternehmen entsteht nämlich durch interne Benutzeraccounts, deren Passwörter aufgedeckt wurden. Ein korrekt eingegebenes Passwort ist heutzutage deswegen längst kein ausreichender Identitätsnachweis mehr. Methoden wie Multi-Faktor-Authentifizierung, Biometrie, Zertifikate und der Einsatz von Single Sign-on (SSO) helfen , die Authentifizierung und somit auch die Sicherheit über das IAM deutlich zu erhöhen.

Asset-Management und SIEM-Systeme bieten zusätzlichen Schutz

Um sich im Unternehmen eine Übersicht der schützenswerten Daten zu verschaffen, wird ein klares Asset-Management benötigt. Eine Klassifikation aller Daten in verschiedene Kritikalitätsstufen ermöglicht ein erweitertes, kontextbasiertes Verwalten von Zugängen. So können im IAM attribuierte Berechtigungen vergeben werden. Diese schränken bspw. den Schreibzugriff auf wichtige Dateien ein, wenn sich der Nutzer nicht über das Firmennetzwerk anmeldet. Die Einbindung dieser Kontextinformationen ermöglicht eine Evolution in der IT-Sicherheitsarchitektur. Der intensive Schutz von Netzwerken und Geräten tritt in den Hintergrund, und eine starke Authentifizierung übernimmt die Rolle des Torwächters. So können Nutzer von zuhause oder auf eigenen Geräten arbeiten, ohne dass dadurch zusätzliche Sicherheitslücken entstehen.

Nicht zuletzt sollten Zugänge, Anmeldeversuche, Datenzugriffe und Änderungen weiterhin kontrolliert werden. Eine Anbindung an ein SIEM-System kann hier bei der Auswertung ungewöhnlicher Kontexte helfen. Wie etwa im Falle eines Nutzers, der sich zunächst über das Firmennetz einloggt und kurz darauf aus einem Netzwerk auf der anderen Seite des Globus. Trotz engmaschiger Sicherheitsmaßnahmen kann es immer wieder zu Ausnahmen kommen, die genauestens zu erfassen und zu überwachen sind.

IAM schützt auch künftig Unternehmensressourcen

Das Thema IAM bleibt weiterhin kritisch in der Cybersicherheit und leistet einen umfangreichen Beitrag zum Schutz von wertvollen Unternehmensressourcen. Mit aufkommenden Entwicklungen im Bereich Quantencomputer und Künstliche Intelligenz sowie dem vermehrten Homeworking wird IAM auch zukünftig eine der wichtigsten Stellschrauben für die Cybersicherheit in Unternehmen bleiben.

Mehr zum Thema:
Zero Trust für den Channel
Digitale Identitäten sicher verwalten
Digitalisierung in deutschen Firmen
Wie Unternehmen mit IAM ihre IT-Sicherheit erhöhen
Was Sie über IAM wissen müssen
Zero Trust verstehen und umsetzen

Zur Startseite