Fachartikel

Neue Konzepte für das Identitätsmanagement

Zusammen mit den sich verändernden Arbeitsweisen und Tools wird auch das Identitäts- und Berechtigungsmanagement zur Absicherung von Daten und IT zunehmend komplexer. Unternehmen und IT-Administration sehen sich mit der Herausforderung konfrontiert, höchste Compliance-Anforderungen mit einem möglichst unkomplizierten und nahtlosen Zugang zu relevanten Infrastrukturen zu vereinen. Um den zunehmenden Risiken für die IT-Sicherheit in Zukunft begegnen zu können, sind daher anpassungsfähige Werkzeuge und Ansätze gefragt.
Ein durchdachtes Identitätsmanagement ist nicht nur in Zeiten von Home Office gefragt.
Wo und wie wir arbeiten, wird sich für immer verändern. Das ist einerseits auf eine längerfristige Entwicklung zurückzuführen, insbesondere was die zunehmende Konnektivität durch Mobilfunk, Cloud und das Internet der Dinge betrifft. Die Anzahl an vernetzten Arbeitsgeräten und die Vielzahl an Daten steigt seit Jahren konstant an. Einen weiteren Schub in Richtung Digitalisierung und Mobilität erlebt die Arbeitswelt nun aufgrund der Corona-Pandemie, was eine kürzlich herausgegebene Studie des Fraunhofer-Instituts für Arbeitswirtschaft und Organisation IAO [1] bestätigte. "Hier hat im Zeitraffer und unter starkem Druck eine immense Modifikation der Arbeitssituation stattgefunden", sind sich die Autoren einig. Der "Normalfall Büro" entwickelt sich – angestoßen durch die Pandemie-bedingte Notwendigkeit – nun anhaltend hin zu hybriden und flexiblen Arbeitsumgebungen.

Home Office wird auch nach Corona bleiben
Während vor der Corona-Phase in deutschen Unternehmen die klassische Arbeits- und Büroorganisation dominierte (mehr als 90 Prozent der Befragten gaben an, dass die Mitarbeitenden im Unternehmen grundsätzlich ihren eigenen festen Arbeitsplatz haben), wurden pandemiebedingt annähernd 70 Prozent der Büroarbeitsplätze auf Home Office umgestellt, bei gut 21 Prozent kam das Modell einer 50:50-Aufteilung zum Einsatz. Das entscheidende Ergebnis der Studie ist jedoch, dass es sich hier um kein kurzfristiges Phänomen handelt – bei der überwiegenden Mehrheit der deutschen Unternehmen hat ein Umdenken in Richtung Home Office und virtuelle Arbeitsformen stattgefunden, das den Büroalltag zukünftig erheblich verändern dürfte. Die Autoren kommen zu dem Schluss, "dass in den Wochen der Corona-Krise Veränderungen stattgefunden haben, die vorher selbst über viele Jahre hinweg nicht realisierbar schienen. Deutschland in der Corona-Krise manifestiert sich damit als ein großräumig angelegter Experimentierraum!"

Zusammen mit der bereits genannten langfristigen Entwicklung hin zu zunehmender Konnektivität und dem Übergang in die Cloud wird das Gelingen dieses Experiments ganz maßgeblich von der zugrundliegenden IT-Infrastruktur abhängen – und von der Frage, ob diese ausreichend flexibel und sicher organisiert ist, um den Schritt in die Arbeitswelt der Zukunft zu unterstützen.

Die Allgegenwärtigkeit der mobilen Kommunikation, das Internet der Dinge und die zunehmende Remote-Arbeit lassen die Anzahl der Geräte, die auf die Systeme und Anwendungen eines Unternehmens zugreifen können, immer weiter ansteigen. Mit der Anzahl der Endpunkte und Benutzer in einem Netzwerk vergrößert sich jedoch das Potenzial für Hacking, Datendiebstahl und Datenbetrug. Die Identitäts- und Zugriffsverwaltung (IAM, Identity & Access Management) gehört daher zu den allerwichtigsten Aufgaben bei der Einrichtung zukunftsweisender IT-Infrastrukturen und zeitgemäßer Arbeitsplätze.
Die Zukunft gehört cloudbasierten, passwortlosen digitalen Identitäten
In Zeiten der Cloud und Remote-Arbeit erscheinen Perimeter-basierte Sicherheitskonzepte veralteter denn je. Eine der größten Herausforderungen für die IT-Sicherheit ist heute die Absicherung digitaler Transaktionen und der Schutz digitaler Identitäten. Und hier sind neue Methoden gefragt, denn immer noch rangieren Mitarbeiterpasswörter als größte Schwachstellen für Unternehmen ganz oben. Zwei Beispiele aus der Praxis: Obwohl mittlerweile das Phänomen von Phishing-E-Mails hinreichend bekannt ist, konnten im April dieses Jahres Kriminelle beträchtlichen Erfolg mit COVID-bezogenen E-Mails erzielen. Eine aktuelle Studie hat zudem ergeben, dass 42 Prozent aller Arbeitsnehmer Passwörter immer noch physisch aufschreiben, nahezu 20 Prozent verwenden dasselbe Kennwort über mehrere Arbeitsgeräte und Anwendungen hinweg [2]. Für Unternehmen sind die Risiken durch kompromittierte oder gestohlene Credentials immens. Betrüger können Daten manipulieren oder löschen, Geldflüsse steuern, Aufträge auslösen oder Türen und Tore von Gebäuden öffnen. Das Risiko unbefugter Datenzugriffe steigert sich durch wenig abgesicherte Home-Office-Umgebungen noch erheblich. Es ist also dringend an der Zeit, diese immer noch allgegenwärtige Authentifizierungsmethode abzulösen.

Dabei reicht es aber nicht aus, Passwörter lediglich durch andere Authentisierungsmethoden wie zum Beispiel FaceID via Smartphone oder Hardware-Tokens zu ersetzen. Ziel sollte es sein, die Abhängigkeit von einem einzelnen Angriffspunkt zu lösen. Bei einer wirklich hochsicheren Authentifizierung basiert der Datenzugriff auf verschiedenen Berechtigungsnachweisen. Hier gibt es diverse Ansätze, die sich in der Realität sowohl für die IT-Administration als auch für die Mitarbeiter aber oft als komplex erweisen. Wir erwarten heute nahtlose Zugriffsmöglichkeiten – wenn Sicherheitsmaßnahmen zum Einsatz kommen, die auch nur geringfügige Verzögerungen beim Zugriff auf Netzwerke, Anwendungen oder Geräte verursachen, ist die Inakzeptanz und ein Backlash der Endbenutzer so gut wie sicher. Zu komplexe Lösungen haben daher keine Chance auf Durchsetzung.

Multifaktor-Authentisierung nicht unüberwindbar
Zukunftsweisende Technologien für das Identitäts- und Zugriffsmanagement ermöglichen sowohl eine hochsichere Benutzerauthentifizierung, als auch eine reibungslose Benutzererfahrung. Wobei die zunehmende Konnektivität durch Mobilfunk, Cloud und das Internet der Dinge einen technologischen Wandel hin zu stärker vernetzten Sicherheitskonzepten bedingt. In der Vergangenheit wurden Berechtigungsnachweise zumeist hardwarebasiert auf Smartcards oder Tokens gespeichert, die für den Zugang zu Gebäuden und Netzwerken gescannt werden mussten.

Durch die Konvergenz von physischer und logischer Sicherheit können wir uns mittlerweile auf robustere und bequemere Authentifizierungsmethoden stützen, die sowohl physische als auch digitale Berechtigungsnachweise umfassen. Multifaktor-Strategien für das Identitäts- und Zugriffsmanagement nutzen die vorhandenen Authentifizierungsmethoden einer Organisation – seien es Hardware-Token oder Benutzername/Passwort-Kombinationen – und fügen weitere Sicherheitsebenen wie Einmalpasswörter (OTPs), PIN-Codes oder biometrische Verfahren (zum Beispiel Fingerabdruck, Gesichts- oder Iriserkennung) hinzu. Hierfür findet zunehmend das Smartphone als mobiler Formfaktor Verwendung.

Diese Multifaktor-Authentifizierungsverfahren eignen sich auch für Remote-Zugriff und Bring-your-own-Device-Ansätze. Unternehmen können ihre Systeme und Netzwerke damit besser vor betrügerischem Zugriff schützen und mit größerer Gewissheit überprüfen, dass die Benutzer wirklich diejenigen sind, für die sie sich ausgeben. Die Hacker halten jedoch Schritt, Wege zur Umgehung der Multifaktor-Authentifizierung zu finden. Unternehmen sollten daher erneut ihre bestehenden Systeme zur Zugangskontrolle und Identitätsprüfung überdenken.

9.09.2020/ln/Xavier Coemelck, Regional Vice President Sales & Services EMEA bei Entrust Datacard

Nachrichten

PC-Sicherheit im Rudel [12.05.2021]

HP stellt "HP Wolf Security" vor. Das neue Portfolio vereint Secure-by-Design-PCs und Drucker mit Hardware-gestützter Endpoint-Security-Software und -Services. Damit möchte der Anbieter seine Kunden vor Cyberbedrohungen schützen. [mehr]

Spammer mit neuen Methoden [12.05.2021]

Net at Work veröffentlicht die Ausgabe Q2/2021 der "NoSpamProxy Research Notes" zum Thema E-Mail-Sicherheit. Grundlage des Papiers sind Erkenntnisse aus dem Projekt Heimdall, das mit Machine Learning und Big-Data-Analysen neue Bedrohungslagen und Trends im Bereich E-Mail-Security erkennt. In der aktuellen Research Note beschreibt das Team, wie der Trojaner Emotet trotz des Takedowns im Januar 2021 in Methoden und Strategien weiterlebt. [mehr]

Tipps & Tools

Kubernetes-Backup erstellen [23.04.2021]

Das Containermanagement-Tool Kubernetes hat sich in den letzten Jahren zum De-Facto-Standard beim Deployment von Applikationen entwickelt – lokal und in der Cloud. Im Betrieb speichert Kubernetes alle Clusterdaten inklusive der Ressourcenspezifikationen in "etcd", einem verteilten Key-Value-Store. Daraus ergibt sich logischerweise, dass etcd als Schlüsselkomponente unter allen Umständen Teil des Backups sein muss. Das freie Werkzeug "KubeDR" will dies erledigen. [mehr]

Vorschau Mai 2021: Hybrid Cloud [19.04.2021]

Nahezu alle Unternehmen stehen inzwischen mit einem Bein in der Cloud, ohne gleich die lokale Infrastruktur aus dem Fenster zu werfen. In der Mai-Ausgabe widmet sich IT-Administrator dem Thema "Hybrid Cloud" und zeigt, wie sich beide Welten sinnvoll zusammenführen lassen. So lesen Sie beispielsweise, wie Sie Azure-Ressourcen lokal einbinden und Workloads in hybriden Umgebungen ausrollen. Außerdem zeigen wir im Mai-Heft, wie Sie mit vSphere Trust Authority Ihre VMware-Umgebung absichern und Applikations-Rollouts auf verschiedenen Clouds mit Ansible automatisieren. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen