Die Bedeutung von Identitäts- und Zugriffsverwaltung
Seit über einem Jahrzehnt warnen Cybersicherheitsexperten vor Schwachstellen in der Identitäts- und Zugriffsverwaltung. Zwischen unvollendeten Lösungen und organisatorischen Widerständen ist es an der Zeit, zu den Grundlagen zurückzukehren.
Die Cybersicherheit ist eine zentrale Herausforderung. Trotz jahrelanger Sensibilisierung zu diesem Thema bestehen weiterhin Sicherheitslücken. Ein prominentes Beispiel ist das Identitäts- und Zugriffsmanagement (IAM). Expertinnen und Experten betonen die Notwendigkeit einer strengen Zugangskontrolle zu Informationssystemen. Dennoch zeigen aktuelle Angriffe, dass diese Problematik weitgehend unterschätzt wird.
Problem erkannt – Problem nicht gebannt
Vorfälle mit unberechtigtem Zugriff, die oft mit Datendiebstahl oder schlechter Verwaltung von Zugangsdaten einhergehen, machen einen grossen Teil der gemeldeten Kompromittierungen aus, wie das Bundesamt für Cybersicherheit (BACS) in seinem zweiten Halbjahresbericht 2023 schreibt.
Sicherheitsaudits decken bei allen Unternehmen ähnliche Fehler auf, dazu gehören: fehlende Identity Governance mit zu weitreichenden und schlecht definierten Zugriffsrechten; die Verwendung von schwachen oder wiederverwendeten Passwörtern; die Vervielfachung von Portalen und Anwendungen ohne einheitliche Richtlinien für die Zugriffsverwaltung; Rechte, die nach dem Ausscheiden eines Mitarbeiters oder einem Funktionswechsel nicht widerrufen werden; mangelnde Kontrolle über Remote-Zugriffe, wodurch die Verwendung gestohlener Anmeldedaten erleichtert wird.
Die Erfahrung zeigt, dass viele Unternehmen auch heute noch Angriffe durch kompromittierte Zugangsdaten erleiden, die Cyberkriminellen unerkannt Zugang verschaffen. Viele Unternehmen haben noch immer keine grundlegende Multi-Faktor-Authentifizierung (MFA) oder effektive Identitätsverwaltung. Darüber hinaus wird der Zugriff nicht nach Gerät, Standort des Nutzers oder Anzahl der Anmeldeversuche beschränkt.
Warum werden diese Erkenntnisse vernachlässigt? Dafür gibt es mehrere Faktoren:
- Mangel an klarer Governance: Die Zugriffsverwaltung wird oft als technische Aufgabe betrachtet, obwohl sie bei der Unternehmensführung angesiedelt werden sollte, die alle Geschäftsbereiche einbezieht und strenge Richtlinien einführt.
- Schwerpunkt auf der Technologie: Viele Unternehmen investieren in ausgeklügelte IAM-Lösungen, ohne grundlegende Massnahmen eingeführt zu haben.
- Mangelnde Schulung der Mitarbeitenden: Das Identitätsmanagement stellt eine organisatorische und menschliche Herausforderung dar.
Zurück zu den Wurzeln
Angesichts dieser Lücken ist es dringend notwendig, zu den wichtigsten Grundsätzen zurückzukehren: 1. Strikte Zugriffssteuerung: Wer hat wann, warum und auf welche Ressourcen Zugriff? 2. Die Vereinheitlichung und Zentralisierung der Authentifizierung von Unternehmensanwendungen (SSO). 3. Die systematische Einführung der Multi-Faktor-Authentifizierung. 4. Die Verwendung von starken und Einmalpasswörtern. 5. Die Automatisierung der Prozesse für das Erstellen, Aktualisieren und Löschen von Konten, um Phantomzugriffe zu vermeiden. 6. Die regelmässige Überprüfung der Zugriffe und Sensibilisierung der Mitarbeitenden.
Die Rückkehr zu den Grundlagen bedeutet kein Eingeständnis von Schwäche, sondern ist eine strategische Notwendigkeit. Eine effektive Governance in Verbindung mit einer kontinuierlichen Bewertung der bestehenden Massnahmen ermöglicht es Organisationen, ihre Cybersicherheitshaltung zu stärken und die Reife des Identitäts- und Zugriffsmanagements zu erhöhen. Ein Ansatz, der Menschen, Prozesse und Technologie miteinander verbindet, ist entscheidend, um den heutigen Bedrohungen zu begegnen.
"Unternehmen sollten das Prinzip der geringsten Privilegien strikt anwenden"
Für Cyberkriminelle sind kompromittierte Zugangsdaten ein gefundenes Fressen. Wie sich Unternehmen vor unberechtigten Zugriffen schützen und wie sie Zugriffe sicher verwalten können, erklärt Frédéric Noyer, Head of Governance Services bei Spie ICS. Interview: Yannick Chavanne, Übersetzung: Tanja Mettauer
Wie können Unternehmen eine strikte Zugriffsverwaltung umsetzen und dabei alle betroffenen Abteilungen einbeziehen?
Frédéric Noyer: Die Umsetzung einer strikten Zugriffsverwaltung setzt zunächst eine Analyse der Zugriffsrisiken auf Informationen voraus. Anschliessend müssen Unternehmen klare Regeln für die Authentifizierung und Autorisierung definieren, die auf die Bedürfnisse der Geschäftsbereiche und die strategischen Ziele zugeschnitten sind. Rollen und Verantwortlichkeiten müssen unter dem aktiven Einbezug der Fachbereiche formalisiert werden, um die Angemessenheit der gewährten Zugriffe zu gewährleisten. Zudem muss der gesamte Lebenszyklus von Identitäten streng überwacht werden – von der Erteilung bis zum Widerruf von Zugriffen, mit regelmässigen Anpassungen an die berufliche Entwicklung. Der Einsatz von Lösungen wie Identity-and-Access-Management-Systemen (IAM) und Multi-Faktor-Authentifizierung (MFA) ist unerlässlich. Wiederkehrende Schulungen und eine ständige Sensibilisierung der Mitarbeitenden, gepaart mit einer effektiven Kommunikation, verstärken die Einhaltung der bewährten Praktiken. Schliesslich sorgen regelmässige Audits und die proaktive Überwachung von Konten für eine kontinuierliche Verbesserung.
Wie oft und nach welchen Kriterien sollte ein Unternehmen die Zugriffsverwaltung überprüfen, um ein optimales Identitätsmanagement zu gewährleisten?
Unternehmen sollten regelmässig und jährlich eine vollständige Überprüfung der Zugriffe von allen Usern durchführen. Für privilegierte Konten und Risiko- oder sensible Systeme empfehlen wir jedoch dringend eine vierteljährliche Überprüfung. Eine kontinuierliche automatisierte Konten- und Zugriffsüberwachung sollte diese regelmässigen Überprüfungen ergänzen, um Anomalien schnell zu erkennen. Zu den vorrangigen Kriterien gehören etwa das Risikoniveau der Konten, wichtige organisatorische Änderungen – Abgänge, Neuzugänge, Rollenwechsel – und gesetzliche Verpflichtungen wie die Einhaltung von ISO 27001. Jede Anomalie, die bei diesen Überprüfungen festgestellt wird, muss sofort korrigiert oder der betroffene Zugriff entzogen werden.
Welche spezifischen Sicherheitsmassnahmen sollten Unternehmen ergreifen, um die Risiken eines Fernzugriffs und der Verwendung gestohlener Anmeldeinformationen zu minimieren?
Es gibt verschiedene Massnahmen, die Unternehmen ergreifen sollten, um den Fernzugriff abzusichern. Als Erstes sollte eine vollständige Bestandsaufnahme der betroffenen Nutzerinnen und Nutzer und Interessengruppen durchgeführt werden. Die Implementierung einer Zugriffskontrolle und einer MFA sind entscheidend, um die Sicherheit der Verbindungen zu erhöhen. Die systematische Nutzung von VPNs ermöglicht zudem einen sicheren und verschlüsselten Austausch. Des Weiteren ist ein zentrales IAM unerlässlich, um die Privilegien der Benutzerinnen und Benutzer genau zu kontrollieren und bei Vorfällen schnell reagieren zu können. Unternehmen sollten das Prinzip der geringsten Privilegien strikt anwenden, um Risiken zu minimieren. Der weit verbreitete Einsatz von Passwortmanagern sorgt für robuste und eindeutige Passwörter, wodurch die Wiederverwendung und Kompromittierung von Passwörtern verringert wird. Nicht zuletzt sorgen eine regelmässige Sensibilisierung der Mitarbeitenden für spezifische Bedrohungen wie Phishing sowie die kontinuierliche proaktive Überwachung von Konten und Zugängen mithilfe von Erkennungstools dafür, dass schnell auf Bedrohungen reagiert werden kann.
Arctic Wolf tourt mit neuen Features durch die Schweiz
Wie man Upselling am POS nicht machen sollte
KI-gesteuerte Cyberangriffe – wie sich Unternehmen schützen können
Init7 feiert 25-jähriges Bestehen in Winterthur
Identitätssicherheit: Warum IAM und PAM entscheidend sind
Was Grossunternehmen können, können KMUs genauso
Skepsis – das beste Rezept gegen Phishing & Co. beim Banking
IT-Sicherheit: Standardlösungen allein bringen es nicht mehr
KI im SOC – Effizienzsteigerung durch Automatisierung
