InfoGuard Cyber Security & Cyber Defence Blog

«Identitätszentrische Sicherheit» in der Praxis umsetzen

Geschrieben von Markus Limacher | 17. Mai 2022

Weshalb Identitäten im Zentrum der Digitalisierung und Sicherheit stehen, haben wir Ihnen in einem früheren Blogartikel bereits ausführlich geschildert. In diesem Artikel werden wir Ihnen aufzeigen, wie Ihnen der Paradigma-Wechsel zu einer identitätszentrischen Sicherheit gelingt und was Sie dabei beachten sollten.

Business-to-Identity Framework als Basis

Identitäten werden immer mehr zum Bindeglied zwischen den Business-Prozessen und den IT-Systemen sowie Applikationen. Damit spielen sie eine wesentliche Rolle in den Cyber-Security-Prozessen. Es gilt, die Identität ins Zentrum der Sicherheitsüberlegungen zu stellen, basierend auf einem Business-to-Identity Framework. Ein solches Framework bietet Best Practices zur wirksamen Bewirtschaftung der identitätsbezogenen Bedrohungslandschaft, zur Automatisierung sowie zur Sicherstellung der zentralen Identitäten-Governance (Security-by-Design). Es begleitet Stakeholder über die Unternehmensgrenze hinweg mit identitätsrelevanten Prozessen und fördert das gemeinsame Verständnis für die IGA (Identity Governance & Administration), was die Identitätssicherheit stärkt.

Schutz der Identitäten und der Verwendungskontext sind entscheidend

Der identitätszentrische Ansatz erschliesst sich rasch, ist klar und einleuchtend. Die Wirkungen sind jedoch nicht in allen Unternehmen hinreichend bekannt oder werden begrüsst. Eine verbreitete Konstellation ist, dass kritische IAM-Attribute nicht im personalführenden HR-System, sondern im User Directory (z.B. ADS) geführt werden. Diese Situation ist historisch gewachsen. Die identitätszentrische Betrachtung mit der Anreicherung geschäftsbezogener Attribute entwickelt eine neue Perspektive der Sicherheitsbetrachtung. Im Fokus stehen sowohl Personen-Identitäten als auch digitale (Silicium) Identitäten. Man spricht von zwei Kerndisziplinen im Umgang mit Identitäten:

  1. Identitätssicherheit = Identity-Lifecycle und der Schutz der Identität selbst.

  2. Identitätsdefinierte Sicherheit = kontextbezogene Verwendung der Identität und Identitäts-Attribute sowie das Policy Enforcement (Durchsetzung von Zugriffsrichtlinien) durch die Ressourcen. Die Richtlinien (Policies) schreiben vor, welche Identität oder Gruppe eine Berechtigung auf die Ressource haben – zeitliche-, geografische-, Quell-Geräteeigenschafts-Einschränkungen etc. – und welche besonderen Faktoren diesen Zugriff ergänzend einschränken können.

Im Gegensatz zur Identitätssicherheit, die sich «nur» mit der Einrichtung und dem Schutz der Identität selbst befasst, gilt Identity Defined/Centric Security für alles, was das Vertrauen einer Identität validiert. Grundlegend ist die Fähigkeit, den Identitätskontext zwischen dem Akteur (Identität) und der Ressource über verschiedene Technologieebenen wie Endpoints, Applikationen, APIs und Netzwerkinfrastruktur hinweg zu erhalten. Denn Informationen wie der geografische Standort, Geräteeigenschaften und Anmeldeversuche sind wichtige Elemente einer Transaktion und definieren den Benutzer, wenn Versuche für den Zugriff auf Informationen erfolgen.

 

IA: Passwortverwaltung und Sicherheit

Sichere Passwort-Tresore speichern Benutzernamen und Passwörter für mehrere Anwendungen.

IA: Integrationen Konnektoren

Integration von Verzeichnissen und Unternehmenssystemen für Informationen über Benutzer, Anwendungen und Systeme mit Informationen über Zugriffe und Berechtigungen.

IA: Automatisierte Workflows für die Verwaltung von Zugangsanträgen

Workflows für die Beantragung von Zugriff auf Systeme und Daten. Administration der Benutzer ein- und ausgliedern, festlegen, welche Rollen welche Zugriffsstufe auf Anwendungen und Systeme benötigen sowie den Benutzerzugriff bewirtschaften.

IA: Bereitstellung

Prozess der Bereitstellung und des Entzugs von Zugriffsberechtigungen auf Benutzer- und Anwendungsebene – für lokale sowie Cloud-basierte Ressourcen.

IA: Verwaltung von Berechtigungen

Sicherheitsadministratoren können festlegen und überprüfen, was Benutzer in verschiedenen Anwendungen und Systemen tun dürfen.

IG: Aufgabentrennung
(Segregation of Duties; SoD)

Bewirtschaften von Regeln, die verhindern, dass risikoreiche Gruppen von Zugriffs- oder Transaktionsrechten an eine einzige Person vergeben werden.

IG: Zugriffsüberprüfung

Überprüfung und Verifizierung des Benutzerzugriffs auf Anwendungen und Ressourcen.

IG: Rollenbasierte Zugriffsverwaltung

Berechtigung des Benutzerzugriffs erfolgt seiner Rolle, die für die Erfüllung seiner Aufgaben erforderlich sind.

IG: Protokollierung, Analyse und Berichterstattung

Protokollieren der Benutzeraktivitäten und Identifizieren von Sicherheitsproblemen oder -risiken; in Hochrisikosituationen alarmieren; Sicherheitsverbesserungen vorzuschlagen; Abhilfemassnahmen einleiten; Richtlinienverstösse beheben; Compliance-Berichte erstellen.

 

Core capabilities of IGA

 

Was bedeutet «identitätszentrische Sicherheit» in der Praxis?

Für die Identitätssicherheit ist der erste Schritt, ein Identitätsprinzip zu erlassen. Dabei werden die aktuellen «Zugreifer» ermittelt; privilegierte, wie auch nicht privilegierte sowie Human- und Silicon-Identitäten. Zusammen mit den definierten Verantwortlichkeiten der nicht-menschlichen Identitäten wird aus den notwendigen Attributen sowie Eigenschaften die Architektur festgelegt und als Identitätsprinzip verankert. So schaffen Sie Awareness für IGA und bauen eine Brücke zu den Stakeholdern auf. Denn die Identität benötigt für den Aufbau zahlreiche Attribute, die typischerweise aus den Fachbereichen ermittelt und bereitgestellt werden. Beispielsweise stellt das HR die Personenidentifikation sicher und die Identität bedient sich des Vor- und Nachnamens, des Standorts usw.

Im zweiten Schritt geht es darum, Geschäftsprozesse zu erfassen, damit die Identität als Akteur in einen Kontext gestellt werden kann. Dazu wird in der Regel ein hybrides Vorgehen gewählt. Einerseits werden organisatorische Ausprägungen des Unternehmens ermittelt; hier spricht man oft von einem «Top-down»-Ansatz. Der Vergleich mit der realen Welt, also ob die Geschäftsprozesse auch systemseitig korrekt umgesetzt sind, ermittelt man anschliessend mittels «Bottom-up»-Ansatz. Dabei werden die Benutzer- und Berechtigungsdaten korreliert, ausgewertet und Rückschlüsse auf die organisatorischen Gegebenheiten gezogen.

Holen Sie alle Stakeholder ins Boot

Durch die weitreichende, meist unternehmensübergreifende IGA ist die Unterstützung und das Commitment der verschiedenen Anspruchsgruppen bedeutend. Ohne dieses sind Widerstände absehbar. Wenn wir hier von Anspruchsgruppen sprechen, so sind diese im IGA sehr breitgefasst. Anspruchsgruppen beinhalten u.a. die Geschäftsführung, das Unternehmensrisiko- aber auch Partner- und Lieferanten-Management, das HR, Kundenbeauftragte, Kundeninteressensvertreter usw.

Voraussetzung für einen breiten Konsens ist die Bestandsaufnahme der beteiligten Rollen und Stellen sowie die Abklärung der jeweiligen Bedürfnisse. Sie müssen die Stakeholder und deren Bedürfnisse verstehen – egal, ob diese rechtlicher, organisatorischer Natur oder auch aus «Convenience»-Gründen sind! Dies erreichen Sie durch eine transparente und empfängergerechte (wo möglich persönliche) Kommunikation gegenüber den Prüfenden, Risikomanagern, Applikations-Ownern oder auch den Endbenutzern. «Das ist doch logisch», werden sich manche denken. Aber glauben Sie mir: Gerade in solch umfangreichen Programmen gehen bekannte Management-Grundsätze viel zu schnell vergessen.

IGA in drei Schritten etablieren

Die Etablierung Ihrer Identity Governance & Administration (IGA) wird einfacher und effektiver, wenn sie auf bewährten IAM-Praktiken aufbaut. Wir empfehlen Ihnen, insbesondere die folgenden drei Punkte zu beachten:

1. Definieren Sie alle Identitätstypen
Identitäten sind nicht nur an Menschen gebunden. Bei der Entwicklung einer IGA-Strategie sollten Unternehmen alle Arten von Human- und Silicon-Identitäten berücksichtigen – von Endbenutzern über Skripte bis hin zu Applikationen. Es handelt sich dabei u.a. um Kunden, Partner, Lieferanten, Mitarbeitende, Dienstleistungen, Geräte oder «Dinge». Die Liste scheint unendlich…

Zuverlässige Quellen für Identitäten liefern wesentliche Daten, um fundierte Entscheidungen in der Berechtigungslandschaft zu treffen. Bestimmen Sie daher die führenden Systeme Ihrer Identitäten und stellen Sie die Eindeutigkeit jeder menschlichen und nicht-menschlichen Identität sicher. Dies ist die DNA des IGA-Programms für jeden Service und jede Funktion wie unter anderem die Bereitstellung, Zertifikate, privilegierter Zugriff oder physischer Zugriff – sowohl für On-Prem (LDAP, ADS etc.) wie auch für Cloud-Applikationen (SaaS etc.).

2. Identifizieren Sie proaktiv mögliche Risiken über alle Identitätstypen hinweg
Ermitteln Sie den Status-Quo Ihrer Zugriffsverwaltung, Berechtigungen, Multi-Faktor-Authentifizierung, Verzeichnisdienste sowie Identitäts-Lebenszyklus und -Governance. Dabei sind folgende Punkte zu berücksichtigen:

        • Erkennen der Identitätstypen mittels Soll-Ist-Abgleich
        • Ermitteln der Schwachstellen und Risiken bezüglich der Identitätstypen
        • Sicherstellung und Prüfung der Eindeutigkeit der Identitäten
        • Überprüfung der privilegierten Zugriffe
        • Ermitteln der Authentisierungseigenschaften der Devices
        • Feststellen des Benutzerverhaltens, insbesondere von privilegierten Benutzern
        • Erkennen von Identitäten mit hohem Risiko und Entflechten des Zugriffs
        • Periodische Überprüfung durch einen wiederkehrenden Prozess

Dank der Berechtigungsprüfung und Bewertung der IAM-Organisation können Sie jederzeit Auskunft über sicherheitsrelevante Punkte geben wie:

        • die Einhaltung des «Need-to-Know»- oder «Least-Privilege»-Prinzips,
        • dem Status der implementierten «Role & Attribute Based Access Control» (RBAC/ABAC),
        • der Aufrechthaltung der Funktionstrennung (Segregation of Duties, SOD),
        • der Einhaltung des Risikomanagements von Lieferanten oder
        • der kontinuierlichen Überwachung des Benutzerzugriffs und
        • die Reaktion auf Datenschutzverletzungen.

Durch die systematische Prüfung erhalten Sie gleichzeitig eine detaillierte Dokumentation der Governance.

3. Etablieren Sie die Governance
Richten Sie eine passende Zuständigkeit ein, beispielsweise ein IGA-Gremium oder ein IGA-Competence-Center, welches die Aufsicht der unternehmensweiten IGA wahrnimmt. Dieses muss auch über die Weisungsbefugnis für das Erlassen von neuen Richtlinien verfügen. CISOs sollten dabei eine IAM-Führungsrolle einnehmen, was zu einer besseren Abstimmung zwischen Identitäts- und Sicherheitsfunktionen führt. Sichern Sie zudem die Governance durch geeignete Kontrollmechanismen und fördern Sie die Zusammenarbeit zwischen den Teams, damit Sicherheits- und Betriebssilos vermieden und übergreifende Massnahmen umgesetzt werden können.

Zusammen mit dem Konsens der Stakeholder sind der Schutz der Identitäten und Ressourcen die grundlegendsten Voraussetzungen für die Initialisierung einer wirkungsvollen IGA. Gerne unterstützen wir Sie auf Ihrem Weg in Richtung einer identitätszentrischen Betrachtung.