Weshalb Identitäten im Zentrum der Digitalisierung und Sicherheit stehen, haben wir Ihnen in einem früheren Blogartikel bereits ausführlich geschildert. In diesem Artikel werden wir Ihnen aufzeigen, wie Ihnen der Paradigma-Wechsel zu einer identitätszentrischen Sicherheit gelingt und was Sie dabei beachten sollten.
Der identitätszentrische Ansatz erschliesst sich rasch, ist klar und einleuchtend. Die Wirkungen sind jedoch nicht in allen Unternehmen hinreichend bekannt oder werden begrüsst. Eine verbreitete Konstellation ist, dass kritische IAM-Attribute nicht im personalführenden HR-System, sondern im User Directory (z.B. ADS) geführt werden. Diese Situation ist historisch gewachsen. Die identitätszentrische Betrachtung mit der Anreicherung geschäftsbezogener Attribute entwickelt eine neue Perspektive der Sicherheitsbetrachtung. Im Fokus stehen sowohl Personen-Identitäten als auch digitale (Silicium) Identitäten. Man spricht von zwei Kerndisziplinen im Umgang mit Identitäten:
Im Gegensatz zur Identitätssicherheit, die sich «nur» mit der Einrichtung und dem Schutz der Identität selbst befasst, gilt Identity Defined/Centric Security für alles, was das Vertrauen einer Identität validiert. Grundlegend ist die Fähigkeit, den Identitätskontext zwischen dem Akteur (Identität) und der Ressource über verschiedene Technologieebenen wie Endpoints, Applikationen, APIs und Netzwerkinfrastruktur hinweg zu erhalten. Denn Informationen wie der geografische Standort, Geräteeigenschaften und Anmeldeversuche sind wichtige Elemente einer Transaktion und definieren den Benutzer, wenn Versuche für den Zugriff auf Informationen erfolgen.
IA: Passwortverwaltung und Sicherheit Sichere Passwort-Tresore speichern Benutzernamen und Passwörter für mehrere Anwendungen. |
IA: Integrationen Konnektoren Integration von Verzeichnissen und Unternehmenssystemen für Informationen über Benutzer, Anwendungen und Systeme mit Informationen über Zugriffe und Berechtigungen. |
IA: Automatisierte Workflows für die Verwaltung von Zugangsanträgen Workflows für die Beantragung von Zugriff auf Systeme und Daten. Administration der Benutzer ein- und ausgliedern, festlegen, welche Rollen welche Zugriffsstufe auf Anwendungen und Systeme benötigen sowie den Benutzerzugriff bewirtschaften. |
IA: Bereitstellung Prozess der Bereitstellung und des Entzugs von Zugriffsberechtigungen auf Benutzer- und Anwendungsebene – für lokale sowie Cloud-basierte Ressourcen. |
IA: Verwaltung von Berechtigungen Sicherheitsadministratoren können festlegen und überprüfen, was Benutzer in verschiedenen Anwendungen und Systemen tun dürfen. |
IG: Aufgabentrennung Bewirtschaften von Regeln, die verhindern, dass risikoreiche Gruppen von Zugriffs- oder Transaktionsrechten an eine einzige Person vergeben werden. |
IG: Zugriffsüberprüfung Überprüfung und Verifizierung des Benutzerzugriffs auf Anwendungen und Ressourcen. |
IG: Rollenbasierte Zugriffsverwaltung Berechtigung des Benutzerzugriffs erfolgt seiner Rolle, die für die Erfüllung seiner Aufgaben erforderlich sind. |
IG: Protokollierung, Analyse und Berichterstattung Protokollieren der Benutzeraktivitäten und Identifizieren von Sicherheitsproblemen oder -risiken; in Hochrisikosituationen alarmieren; Sicherheitsverbesserungen vorzuschlagen; Abhilfemassnahmen einleiten; Richtlinienverstösse beheben; Compliance-Berichte erstellen. |
Core capabilities of IGA
Für die Identitätssicherheit ist der erste Schritt, ein Identitätsprinzip zu erlassen. Dabei werden die aktuellen «Zugreifer» ermittelt; privilegierte, wie auch nicht privilegierte sowie Human- und Silicon-Identitäten. Zusammen mit den definierten Verantwortlichkeiten der nicht-menschlichen Identitäten wird aus den notwendigen Attributen sowie Eigenschaften die Architektur festgelegt und als Identitätsprinzip verankert. So schaffen Sie Awareness für IGA und bauen eine Brücke zu den Stakeholdern auf. Denn die Identität benötigt für den Aufbau zahlreiche Attribute, die typischerweise aus den Fachbereichen ermittelt und bereitgestellt werden. Beispielsweise stellt das HR die Personenidentifikation sicher und die Identität bedient sich des Vor- und Nachnamens, des Standorts usw.
Im zweiten Schritt geht es darum, Geschäftsprozesse zu erfassen, damit die Identität als Akteur in einen Kontext gestellt werden kann. Dazu wird in der Regel ein hybrides Vorgehen gewählt. Einerseits werden organisatorische Ausprägungen des Unternehmens ermittelt; hier spricht man oft von einem «Top-down»-Ansatz. Der Vergleich mit der realen Welt, also ob die Geschäftsprozesse auch systemseitig korrekt umgesetzt sind, ermittelt man anschliessend mittels «Bottom-up»-Ansatz. Dabei werden die Benutzer- und Berechtigungsdaten korreliert, ausgewertet und Rückschlüsse auf die organisatorischen Gegebenheiten gezogen.
Durch die weitreichende, meist unternehmensübergreifende IGA ist die Unterstützung und das Commitment der verschiedenen Anspruchsgruppen bedeutend. Ohne dieses sind Widerstände absehbar. Wenn wir hier von Anspruchsgruppen sprechen, so sind diese im IGA sehr breitgefasst. Anspruchsgruppen beinhalten u.a. die Geschäftsführung, das Unternehmensrisiko- aber auch Partner- und Lieferanten-Management, das HR, Kundenbeauftragte, Kundeninteressensvertreter usw.
Voraussetzung für einen breiten Konsens ist die Bestandsaufnahme der beteiligten Rollen und Stellen sowie die Abklärung der jeweiligen Bedürfnisse. Sie müssen die Stakeholder und deren Bedürfnisse verstehen – egal, ob diese rechtlicher, organisatorischer Natur oder auch aus «Convenience»-Gründen sind! Dies erreichen Sie durch eine transparente und empfängergerechte (wo möglich persönliche) Kommunikation gegenüber den Prüfenden, Risikomanagern, Applikations-Ownern oder auch den Endbenutzern. «Das ist doch logisch», werden sich manche denken. Aber glauben Sie mir: Gerade in solch umfangreichen Programmen gehen bekannte Management-Grundsätze viel zu schnell vergessen.
Die Etablierung Ihrer Identity Governance & Administration (IGA) wird einfacher und effektiver, wenn sie auf bewährten IAM-Praktiken aufbaut. Wir empfehlen Ihnen, insbesondere die folgenden drei Punkte zu beachten:
1. Definieren Sie alle Identitätstypen
Identitäten sind nicht nur an Menschen gebunden. Bei der Entwicklung einer IGA-Strategie sollten Unternehmen alle Arten von Human- und Silicon-Identitäten berücksichtigen – von Endbenutzern über Skripte bis hin zu Applikationen. Es handelt sich dabei u.a. um Kunden, Partner, Lieferanten, Mitarbeitende, Dienstleistungen, Geräte oder «Dinge». Die Liste scheint unendlich…
Zuverlässige Quellen für Identitäten liefern wesentliche Daten, um fundierte Entscheidungen in der Berechtigungslandschaft zu treffen. Bestimmen Sie daher die führenden Systeme Ihrer Identitäten und stellen Sie die Eindeutigkeit jeder menschlichen und nicht-menschlichen Identität sicher. Dies ist die DNA des IGA-Programms für jeden Service und jede Funktion wie unter anderem die Bereitstellung, Zertifikate, privilegierter Zugriff oder physischer Zugriff – sowohl für On-Prem (LDAP, ADS etc.) wie auch für Cloud-Applikationen (SaaS etc.).
2. Identifizieren Sie proaktiv mögliche Risiken über alle Identitätstypen hinweg
Ermitteln Sie den Status-Quo Ihrer Zugriffsverwaltung, Berechtigungen, Multi-Faktor-Authentifizierung, Verzeichnisdienste sowie Identitäts-Lebenszyklus und -Governance. Dabei sind folgende Punkte zu berücksichtigen:
Dank der Berechtigungsprüfung und Bewertung der IAM-Organisation können Sie jederzeit Auskunft über sicherheitsrelevante Punkte geben wie:
Durch die systematische Prüfung erhalten Sie gleichzeitig eine detaillierte Dokumentation der Governance.
3. Etablieren Sie die Governance
Richten Sie eine passende Zuständigkeit ein, beispielsweise ein IGA-Gremium oder ein IGA-Competence-Center, welches die Aufsicht der unternehmensweiten IGA wahrnimmt. Dieses muss auch über die Weisungsbefugnis für das Erlassen von neuen Richtlinien verfügen. CISOs sollten dabei eine IAM-Führungsrolle einnehmen, was zu einer besseren Abstimmung zwischen Identitäts- und Sicherheitsfunktionen führt. Sichern Sie zudem die Governance durch geeignete Kontrollmechanismen und fördern Sie die Zusammenarbeit zwischen den Teams, damit Sicherheits- und Betriebssilos vermieden und übergreifende Massnahmen umgesetzt werden können.
Zusammen mit dem Konsens der Stakeholder sind der Schutz der Identitäten und Ressourcen die grundlegendsten Voraussetzungen für die Initialisierung einer wirkungsvollen IGA. Gerne unterstützen wir Sie auf Ihrem Weg in Richtung einer identitätszentrischen Betrachtung.