Warum ist ein umfassender Zugriffsschutz essenziell?

Wenn Zugriffsschutz in Unternehmen nicht gesamtheitlich betrachtet wird, hat das systemische als auch finanzielle Gründe. Auf lange Sicht entstehen dadurch hohe Weiterentwicklungs-, Wartungs- und Betriebsaufwände. Auch die Folgen von immer komplexeren und ausgefeilteren Angriffen kosten das Vielfache von Investitionen in einen umfassenden Zugriffsschutz.

Eine gesamtheitliche Auseinandersetzung mit dem Zugriffsschutz ist unerlässlich, damit die ausgewählten technischen und organisatorischen Maßnahmen ihre Wirkung zeigen und nicht zu einem unüberschaubaren und schwer beherrschbaren Flickwerk ausarten.

Eine schrittweise Einführung von Zugriffsschutzmechanismen ist aus der Sicht der Beherrschbarkeit, der Risikominimierung, der Erfahrungssammlung und der Anpassung an die tatsächlichen Gegebenheiten einem Big-Bang eindeutig vorzuziehen. Deswegen und aus finanziellen Gründen entscheidet man sich oft für die Einführung von Lösungen, die ein bestimmtes Zugriffsschutzproblem lösen, ohne eine Roadmap für die Zukunft zu verfolgen. Das führt zu Custom Development Lösungen und Lösungen in bestehenden oder zugekauften Systemen, die aktuelle Anforderungen an den Zugriffsschutz nur punktuell abdecken.

Über Jahre entsteht ein Flickwerk an individuellen und zentral nicht abgestimmten Vorgehensweisen, zugekauften Insellösungen oder eine zentrale inhouse entwickelte Silo-Lösung, die mittlerweile u.a. als Datendrehscheibe mit komplexer Logik zur „Verbesserung“ der Datenqualität missbraucht wird. Die Umsetzung jeder neuen Anforderung wird immer aufwendiger und komplexer in Abstimmung und Implementierung. Eine Übersicht über die Gesamtheit des Zugriffsschutzes wird unmöglich. Die Frage, ob man tatsächlich vollumfänglich geschützt ist, kann nicht mehr beantwortet werden.

Mit der rapide steigenden Komplexität und Raffiniertheit der externen Cyberattacken kann eine solche Lösung nicht lange Standhalten. Es ist nur eine Frage der Zeit, bis die Angreifer erfolgreich sind. Im schlimmsten Fall erfährt man aus den Medien, dass man Opfer eine Attacke wurde.

Spätestens jetzt wird über eine Ablöse durch dedizierte Zugriffsschutzlösungen nachgedacht. Es ist der späteste Zeitpunkt den Zugriffsschutz als eine Gesamtlösung zu betrachten und die Fehler der Vergangenheit nicht zu wiederholen.

Um im Unternehmen einen umfassenden Zugriffsschutz sicherzustellen, muss man sich von dem Gedanken lösen, punktuelle Sicherheitsprobleme ad-hoc anzugehen. Notwendig ist eine übergreifende Sicht und vernachlässigte Themen einzubeziehen, selbst wenn diese nicht kurzfristig gelöst werden können. Die Gesamtlösung muss technische, aber auch organisatorische Maßnahmen umfassen und folgende Aspekte berücksichtigen:

• Mitarbeitersensibilisierung ist ein essenzieller Bestandteil, da Mitarbeiter oft das schwächste Element darstellen. Mit dem Einzug der KI in das Gebiet des Social Engineering im speziellen E-Mail-Phishing, Bot-Telefon-Anrufe und Chats bis zur Remote-Video-Bewerbungen wird eine Authentifizierung des „Gesprächspartners“ sogar für IT-affine Mitarbeiter zu einer Herausforderung. Periodische IT-Sicherheitsschulungen müssen einen fixen Bestandteil eines umfassenden Zugriffsschutzes bilden.
   
• Wissen um schützenswerte Ressourcen ist grundlegend für die Wahl effizienter Schutzmaßnahmen, die weder die Mitarbeiter behindern noch auf sensible und unternehmenskritische Informationen freien Zugang erlauben.
   
• Risikobewusstes Entscheiden und Handeln ist besonders bei der Zugriffskontrolle relevant. Nicht alle Probleme wird man gleichzeitig lösen können. Hier ist eine Priorisierung nach Risikobewertung der richtige Weg.
   
• Transparenz durch eine zentralisierte Sicht und Auswertungsmöglichkeiten aller zugriffrelevanten Daten und Informationen: Ressourcen, Zugriffe, Berechtigungen, Identitäten, Prozesse und Verantwortlichkeiten.
   
• Standardisierung auf allen Ebenen, von der untersten technischen Ebene bis zur Organisation. Reduzieren Sie die Anzahl der Varianten von Schnittstellen, Identitätstypen, Berechtigungskonzepten bis zur Zugriffssteuerungs- und Kontrollprozessen auf ein notwendiges Minimum.
   
• Interoperabilität der Zugriffskontrollsysteme zwischen IAM, PAM und CIAM mit den Zugriffskontrollsystemen ist entscheidend für eine effektive und effiziente Umsetzung von Zugriffskontrollmaßnahmen.
   
• Flexible und starke Authentifizierungsmechanismen, die den aktuellen Herausforderungen speziell durch den Aufbruch der KI, mehr denn je an Bedeutung gewinnen.
   
• Effizientes Berechtigungsmanagement durch Rollen- und Identitätsstrukturen und deren Life-Cycle-Prozesse.
   
• Identität im Zentrum als Ausgangspunkt und Bezugspunkt für alle Zugriffskontrollmechanismen. Es sind sowohl menschliche Benutzer als auch Systeme, Bots und KI-Konten zu berücksichtigen. Jeder Zugriff muss zu einer korrekt authentifizierten und entsprechend autorisierten Identität rückführbar sein. Andererseits muss die Mächtigkeit jeder Identität, basierend auf ihren Berechtigungen, zu jedem Zeitpunkt ersichtlich und kontrollierbar sein.

Digitale Identitäten als Repräsentanten von echten Personen und technischen Systemen bilden die Voraussetzung für effektive und effiziente Maßnahmen zur Steuerung und Kontrolle des Zugriffs auf Unternehmensressourcen. Ein umfassender Zugriffsschutz erfordert, dass jede Zugriffsberechtigung auf Unternehmensressourcen auf eine Identität zurückzuführen sein muss. Die Sicherung der eindeutigen Zurückverfolgung von allen Benutzerkonten auf Identitäten und Personen ist die Ausgangsbasis für eine gezielte Berechtigungsverwaltung. Erst dann können Authentifizierung, Berechtigungsverwaltung nach Least-Privilege-Prinzip mit Freigabeprozessen, Rollenmanagement und Segregation-of-Duties, Privileged Access Management, Joiner-Mover-Leaver-Prozesse und Kontrollmechanismen wie Rezertifizierungen oder aktive Zugriffsüberwachung effektiv und umfänglich aufgesetzt werden.

Eine gesamtheitliche Erhebung von schützenswerten Unternehmensressourcen einerseits und von Personen und Systemen, die darauf Zugriff benötigen andererseits muss die Basis für die Auswahl einer passenden Kombination von Maßnahmen für den Zugriffsschutz sein. Identitäts- und Zugriffsmanagement mit ihren Zugriffsschutzmechanismen und -prinzipien bildet dabei eine notwendige Brücke, auf der weitere Mechanismen entsprechend dem Schutzbedarf aufsetzen können.

Über den Autor: Michael Makarewicz, Dipl. Ing. der Elektrotechnik, Spezialisierung auf Computertechnik an der TU Wien, verfügt über 25 Jahre Erfahrung als Projektleiter, Anforderungs-Manager, Prozess-Analytiker und Lösungsdesigner, davon 17 Jahre speziell im Identity and Access Management Umfeld. Als Expert Business Consultant bei IPG unterstützt er Kunden bei der Umsetzung ihrer IAM-Vorhaben. Mit seinem technischen und Business-Know-How (IREB-Advanced, CBAP-zertifiziert) fungiert er als Schnittstelle zwischen den Fachbereichen und der Technik.