Die modernen Anforderungen von Access Control

Sicherheit
Citrix (Bild: Citrix)
Präsentiert von Citrix

Der Schutz von Unternehmensdaten vor unberechtigtem Zugriff ist ein grundlegender Bestandteil von IT-Infrastrukturen. Die gegenwärtige Bedrohungslage sowie die aktuelle Ausbreitung über Unternehmensnetzwerke, mobile Endgeräte und die Cloud erschweren dieses Unterfangen jedoch zunehmend. Zum einen, weil Daten nicht mehr nur zentral lagern, zum anderen, weil Administratoren diesen Bereich nicht im gleichen Maße aufgerüstet haben wie andere Teile ihrer Systeme. Stefan Volmari von Citrix erklärt, welchen Herausforderungen sich CIOs heute stellen müssen und wie sie zu bewältigen sind.

IT-Systeme haben sich in den vergangenen Jahren zunehmend vom technischen Rückgrat zum virtuellen Schlachtfeld entwickelt. Cyber-Kriminelle entwickeln laufend neue Methoden und Geschäftsmodelle, um Zugriff auf kritische Daten zu erhalten und daraus Kapital zu schlagen. Während sich viele Unternehmen durch aufwändige Security-Lösungen gegen komplexe Angriffsmethoden wie Brute Force-Attacken, Ransomware oder Phishing-Angriffe schützen, übersehen sie häufig einen elementaren Bestandteil der IT-Sicherheit: Zugriffssicherheit ist so alt wie die Unternehmens-IT selbst und stellt sicher, dass jeder Nutzer ausschließlich auf die Datensätze und Anwendungen zugreifen kann, für die er autorisiert ist, sei es aus Sicherheitsgründen oder um unnötige Lizenzkosten zu vermeiden. Seit Netzwerke aus einem festen Pool an Rechnern mit überschaubarer Verbindung nach außen bestanden und durch eine Firewall geschützt werden konnten, hat sich in der IT jedoch einiges getan.

Neue Maßstäbe an die IT

Arbeitsplätze sind dank des technischen Fortschritts nicht mehr ausschließlich physisch, denn gerade junge Arbeitnehmer möchten unabhängig von Ort, Zeit oder Gerät arbeiten können. Dank Konzepten wie dem digitalen Arbeitsplatz und „Bring Your Own Device“ (BYOD) machen Unternehmen genau das möglich. Mitarbeiter können von überall aus arbeiten, um produktiver zu sein und nutzen zunehmend ihre privaten Geräte, um auf Geschäftsanwendungen und Dateien zuzugreifen.

IT-Sicherheit(Bild: Shutterstock)

Die digitalen Arbeitsplätze und Unternehmensanwendungen, die durch BYOD auf „unbekannten“ Endgeräten laufen, müssen jedoch ebenso vor Angriffen und Sicherheitsrisiken geschützt werden wie die stationären Rechner im Büro. Die Schwierigkeit dabei ist der umfassende Schutz dieser heterogenen Umgebung aus Anwendungen, Endgeräten, Netzwerkkomponenten und Cloud-Ressourcen. Sicherheitslösungen benötigen im Normalfall einen Perimeter, den es zu verteidigen gilt. Dieser lässt sich in solch verzweigten Infrastrukturen allerdings nur schwer definieren.

Ein weiterer wesentlicher Bestandteil der heutigen Sicherheitsanforderungen ist der korrekte Zugriff auf Applikationen durch autorisierte Nutzer. Seit den Anfangstagen der Unternehmens-IT haben sich die Praktiken für Zugriffssicherheit allerdings nicht im gleichen Maße entwickelt, wie die Infrastruktur selbst, weshalb Unternehmen heute mit einigen Herausforderungen zu kämpfen haben.

Kontrolle von Kosten und Aufwand

IT-Umgebungen, die über die Jahre gewachsen sind, bestehen heute aus zahlreichen Anwendungen, die im Laufe der Zeit in die bestehende Infrastruktur integriert wurden. Für jede neue Anwendung entsteht im Backend ein neues Datensilo, für das Zugriffsrechte definiert werden müssen. Die zuständigen Mitarbeiter müssen also jede Applikation gesondert verwalten, wodurch sich der Aufwand pro Mitarbeiter multipliziert, je größer das Unternehmen ist. Passwort-Resets, Löschungen aus dem System bei Kündigung des Mitarbeiters oder Erstellung neuer Benutzerkonten nehmen so mehr Zeit in Anspruch. Dies führt zu hohen Kosten und weniger Produktivität in anderen Bereichen.

Komplexität der Rechtevergabe

Der Aufwand für Systemadministratoren gestaltet sich nicht nur allein aufgrund der Menge an Nutzerkonten als schwierig. Auch der veränderte User Lifecycle macht die Verwaltung komplexer. Mitarbeiter bewegen sich heutzutage dynamischer innerhalb des Unternehmens, sind projektweise über kurze Zeiträume hinweg Bestandteil anderer Teams und brauchen somit in kürzeren Intervallen unterschiedliche Berechtigungsstufen. Dazu kommen externe Berater oder Partner, die nur wenige Wochen in Prozesse eingebunden sind und dementsprechend temporär Zugriff auf bestimmte Ressourcen benötigen. Vielen Unternehmen behelfen sich daher mit „Delegated Access Control“. Die Rechtevergabe erfolgt dabei nicht mehr durch die IT-Abteilung selbst, sondern wird von den einzelnen Abteilungsleitern übernommen. Diese Praxis ist allerdings ebenfalls nicht risikolos, da somit Mitglieder außerhalb der IT-Abteilung administrative Rechte erhalten.

Veraltete Authentifizierung

Passwörter sind heute noch Standard, wenn es darum geht, einen Nutzer als berechtigte Person für eine Anwendung auszuweisen. Diese Form der Authentifizierung stammt allerdings noch aus der Zeit, als Netzwerke sich auf eine begrenzte Anzahl an Rechnern mit limitierten Verbindungen nach außen begrenzten. Viele Unternehmen glauben, es reiche, komplexe Passwörter mit Sonderzeichen und Nummern einzusetzen. Anhand einfacher Tools, die innerhalb von Sekunden unzählige Kombinationen ausprobieren können, stellt diese Maßnahme für Außenstehende jedoch nur ein geringes Hindernis dar. Die Folgen wurden in der Vergangenheit deutlich: Yahoo, Uber, Twitter, Apple – die Liste prominenter Namen, die in der Vergangenheit Pannen im Umgang mit Passwörtern eingestehen mussten, liest sich wie ein Who is Who der Weltwirtschaft.

Einbrüche erkennen und Gegenmaßnahmen einleiten

Es gibt keine absolute Sicherheit. Es ist nie auszuschließen, dass Unbefugte durch technische Fehler, ein unbekanntes digitales Schlupfloch oder menschliches Versagen Zugriff auf Datensätze erhalten, für die sie nicht berechtigt sind. Das lässt sich auch an der neuen EU-Datenschutzgrundverordnung erkennen. Diese bestraft nicht Datenlecks an sich, sondern setzt voraus, dass Unternehmen binnen 72 Stunden in der Lage sind, diese zu erkennen und zu schließen.

Sicherheit durch neue Technologien

Da es aufgrund der heterogenen und disparaten IT-Umgebungen zunehmend schwerer wird, ein angemessenes Schutzniveau zu gewährleisten, müssen Unternehmen neue Technologien wie Machine Learning oder Künstliche Intelligenz mit einbeziehen, die dabei helfen, aus den Millionen von Daten, die richtigen Schlüsse zu ziehen und Hinweise auf Sicherheitslücken schnell herausfiltern zu können. Mithilfe von User Behavior Analytics (UBA) lassen sich somit Nutzungsprofile erstellen und das Nutzerverhalten auf Anomalien hin analysieren. Wenn ein Nutzerkonto abweichende Verhaltensmuster aufweist, indem es beispielsweise ungewöhnlich große Datenmengen herunterlädt, oder sich innerhalb kurzer Zeit von unterschiedlichen Geräten und Orten einzuloggen versucht, kann das System selbständig einen Alarm triggern oder das Konto automatisch sperren, woraufhin der Administrator der Situation nachgehen kann. So verkürzt sich die Zeit, in der Unbefugte sich im System befinden, Schäden anrichten oder Informationen extrahieren können. Alleine aufgrund der Datenmengen wären menschliche Mitarbeiter mit dieser Aufgabe überlastet. Mithilfe von Analytics-Funktionen können sie diese quantitative Aufgabe jedoch einfach an die Technik abgeben und somit Echtzeit-Schutz gewährleisten.

Für eine stärkere Authentifizierung empfiehlt sich zudem der Einsatz neuerer Methoden, um das Passwort abzulösen oder zumindest sinnvoll zu ergänzen. Biometrische Authentifizierung erfreut sich gerade bei Smartphones enormer Popularität. Per Fingerabdruck oder Gesichtsscan erfolgt die Verifizierung „on-the-go“ und ist somit deutlich nutzerfreundlicher. Zudem sind biometrische Merkmale nur durch deutlich höheren Aufwand zu fälschen und somit deutlich sicherer.

Bei der Multi-Faktor-Authentifizierung (MFA) erfordert die Verifizierung mehrere Kriterien und ein Passwort-Diebstahl bleibt zunächst folgenlos, da zusätzliche Tokens nötig sind wie eine Schlüsselkarte, ein SMS-Verifizierungscode oder ein biometrisches Kennzeichen. Auf diese Art wäre die Passwort-Entschlüsselung ohne Folgen, da eine zusätzliche Sicherheitsebene über den Daten liegt.

Fazit: Mit der Zeit gehen

Auch in Zukunft wird die Sicherstellung des Zugriffs durch die richtigen Personen ein zentraler Bestandteil der computergestützten Abläufe sein. Unternehmen müssen sich klar sein, dass moderne Zugriffskontrollen nicht optional, sondern zwingend nötig sind, auch wenn bisher keine Passwort-Lecks oder anderweitige Vorfälle aufgetreten sind. Neuartige Systeme sind leichter mit anderen Lösungen integrierbar, binden weniger Ressourcen und erhöhen somit die Produktivität. Zudem sind neuartige Authentifizierungsmethoden wie biometrische Merkmale deutlich nutzerfreundlicher und garantieren darüber hinaus eine vielfach höhere Sicherheit. Die nötigen Technologien wären also vorhanden, sie müssen nur noch zum Einsatz kommen.

Autor
Erfahren Sie mehr 
Stefan Volmari ist Director Sales Engineering Central Europe bei Citrix.
Erfahren Sie mehr