Titelbild-Smartphone-Fingerabdruck-Login-iStock-876819278

11.06.2018 – Lesezeit: 6 Minuten

Prozesse / Technologie

„Fehlende Kontrolle über digitale Identitäten ist ein massives Sicherheitsrisiko“

Dezentral beschaffte Cloud-Dienste und die Entwicklung einer Schatten-IT werden für das Identitäts- und Zugangsmanagement (engl.: Identity und Access Management, IAM) im Unternehmen immer mehr zur Herausforderung. Die Zahl der Identitäten von Mitarbeitern steigt und mit ihr das Risiko von Sicherheitslücken, die Angreifer ausnutzen könnten. Ein IAM-System, das sich an Nutzern ebenso orientiert wie an Risiken, kann Abhilfe schaffen.

 

 

 

 

 

 


Herr Lechner, die meisten Mitarbeiter haben heute mehrere Identitäten, fürs CRM System, Microsoft Office 365, die Adobe Creative Cloud oder die Dropbox. Die Pflege der vielen Benutzerberechtigungen erfordert einen zu hohen administrativen Aufwand, davon abgesehen können sie zum Risiko werden. Gibt es eine komfortable Lösung?

Die gibt es. Lösen können wir das Problem, indem wir einen Verzeichnisdienst schaffen, der alle Identitäten speichert. Das bedeutet: Ein Benutzername, ein Passwort, für jede Applikation. Wenn wir uns On-Premise bewegen, also nicht in der Cloud, haben nahezu alle Unternehmen bereits Microsoft Active Directory als zentralen Verzeichnisdienst. In der On-Premise Welt haben wir das also schon geschafft. In der Cloud können wir Azure Active Directory als zentralen Verzeichnisdienst nutzen, das ist vergleichbar mit dem, was wir On-Premise haben, ein Verzeichnisdienst, in dem all meine Benutzer zentral gespeichert sind.

Wie läuft in Azure Active Directory die Authentifizierung?

Ein zweites Passwort ist notwendig, um an all seine Cloud Services zu gelangen. Dies garantiert mehr Sicherheit (Quelle: iStock/ NicoElNino).

Normalerweise hat jeder Nutzer dann insgesamt zwei Passwörter, eines das er morgens braucht, um sich an seinem PC anzumelden und den Benutzer, mit dem er sich in Azure Active Directory und damit an all seine Cloud Services anmeldet. Das können wir sogar noch weiter vereinfachen und so einrichten, dass die Authentifizierung in Azure Active Directory gar nicht in der Cloud passiert, sondern durch sein lokales Active Directory On-Premise passiert. Dann erfolgt in der Cloud lediglich eine Autorisierung, eine Anmeldung ist nicht mehr erforderlich. Der Anwender muss sich wirklich nur noch ein einziges Passwort merken. Eine zusätzliche Anmeldung in der Cloud ist nicht notwendig.


Wie lassen sich Cloud-Services außerhalb der Microsoft-Welt an Azure Active Directory anbinden?

Azure Active Directory bringt einen Market Place mit, wo sämtliche Standardapplikationen dieser Art bereits enthalten sind. Dazu gehören die von Ihnen eingangs aufgezählten Applikationen wie Dropbox oder Skype, SAP Cloud Services, wie Cloud for Customer, oder zum Beispiel Salesforce. All das ist im Standardkatalog enthalten und lässt sich relativ leicht anbinden.

 

 

Was ist mit Cloud Applikationen, die nicht im Standardkatalog enthalten sind?

Es gibt Ausnahmen, Cloud Applikationen die möglicherweise nicht mit Azure Active Directory sprechen möchten. Dafür haben wir im Identity Management System eine freie Variante an Konnektoren, die man selber entwickeln kann neben den zahlreichen Standard-Konnektoren im Microsoft Bereich. Wir können Fremdapplikationen beziehungsweise Drittapplikationen also auch anbinden und so auch dort die Identitäten zentral verwalten. Häufig bieten moderne Cloud Applikationen bereits Standardschnittstellen zur Federation, welche dann bevorzug genutzt werden.

Es geistert durch Unternehmen das Schreckgespenst vom Ex-Mitarbeiter, der Monate oder Jahre nach seinem Ausscheiden noch Zugriff auf Accounts hat und keiner kriegt das mit. Wie realistisch ist dieser Fall?

Ex-Mitarbeiter haben noch Monate oder Jahre nach seinem Ausscheiden Zugriff auf ihre alten Accounts (Quelle: iStock/ ronstik).

Der ist extrem realistisch. Ich selbst war angestellt bei einem großen deutschen Energieversorger, verließ das Unternehmen und kam vier Jahre später als Student wieder. In der IT Abteilung stellte ich fest, dass mein Account noch immer existierte und auch das Passwort funktionierte noch. In meinem Postfach waren 3000 ungelesene Nachrichten! Und ich hätte vier Jahre lang teilweise Zugriff auf Vertriebsdaten gehabt, ich wusste es nur nicht. Diesen Fall gibt es noch häufig, Ex-Mitarbeiter haben weiter Zugriff auf Cloud Services, die Creative Cloud, Salesforce und Ähnliches. Um dem vorzubeugen, verknüpfen wir heute das Identity Management System mit dem Personalwesen, zum Beispiel mit SAP HCM. Dann werden aus dem Personalverwaltungssystem Ein- und Austrittsdaten registriert, jeder Benutzer wird automatisch aktiviert und deaktiviert. Danach ist kein Zugriff mehr auf die Cloud möglich.


Exklusive Roadshow: Am 12. und 19. Juli zeigen die Security-Experten von All for One Steeb, wie auch Sie Ihr Unternehmen effektiv gegen unberechtigte Zugriffe schützen können.

Hier erhalten Sie Ihr kostenloses Ticket


Geben Mitarbeiter Berechtigungen manchmal absichtlich nicht ab?

Ein Auszubildender ist klassischerweise ein Jäger und Sammler, er sammelt viele Berechtigungen an, gibt die aber nie wieder ab, was unweigerlich zu einem Sicherheitsrisiko führt, weil er viel zu viele Berechtigungen hat. Aber wenn wir uns das Thema Ransomware angucken, dann sind solche Mitarbeiter mit hohen Berechtigungen die gefährlichsten, wenn die befallen sind, haben wir eine solche Ausbreitung relativ schnell. Deshalb verknüpfen wir, wie gesagt, heute organisatorische Informationen aus dem Personalwesen über das Identity Management System mit dem Verzeichnisdienst und verwalten dort alle Berechtigungen, auch für Gruppen.

Eine Besonderheit beim IAM ist der Wechsel von Rollen. Jemand verlässt den Personalbereich und soll keinen Zugang mehr zu SAP HCM haben. Wie wird das geregelt?

Wir schaffen eine Abbildung der Business Rolle im User Lifecycle Management System. Daran angeknüpft definieren wir die entsprechenden IT-Rollen, die ein Mitarbeiter braucht. Wechselt er vom Vertrieb ins Marketing braucht er z.B. Zugriff auf die Adobe Creative Cloud, aber auch zum Drucker mit A0-Format farbig, auf den FileShare, die Dateiablage oder die SharePoint Seiten, das sind alles IT-Rollen, die oft in Form von Gruppenmitgliedschaften abgebildet werden können. Wenn ich Mitglied der Gruppe Adobe CC bin, erhalte ich eine Lizenz und habe Zugriff auf die Software-Lösung. Wir bilden also die Business-Rolle ab, verknüpfen sie mit IT-Rollen und IT-Gruppenmitgliedschaften und beim Wechsel des Aufgabenbereichs, also der Rolle, kann das Identity Management System basierend auf Organisationsinformationen, die wir automatisiert aus dem Personalwesen bekommen, Gruppenmitgliedschaften entfernen und neue zuweisen. Dann gibt‘s kein Problem beim Wechsel aus einer Abteilung in eine andere.

 

 

Was macht der Mitarbeiter im Self-Service?

Wir haben in Azure Active Directory einen Passwort Reset Self Service, das heißt der User kann sein Passwort selber ändern. Dafür kann man die Multi-Faktor-Authentifizierung hinterlegen, um festzustellen, dass es sich wirklich um den betreffenden Mitarbeiter handelt. Er bekommt eine SMS zum Beispiel mit einer PIN auf sein Handy, und weil sein Handy gekoppelt ist mit Azure Active Directory, ist sichergestellt, dass nur er das Passwort resetten kann. Diese Passwort-Änderung passiert jetzt tatsächlich in der Cloud, wird aber in die lokale Infrastruktur zurücksynchronisiert.

Offenbar breitet sich in Unternehmen derzeit die Schatten-IT dramatisch aus. Stimmt das?

Es passiert schon mal, dass ein Abteilungsleiter die Abteilungs-Kreditkarte zückt, um eine Software zu kaufen, weil er weiß, die IT-Abteilung ist zu träge und es dauert ihm zu lange. Oder ein Mitarbeiter steht vor einem Problem und will es selbst lösen, etwa ein Marketing-Mitarbeiter, der mit einer Agentur zu tun hat, und Daten austauschen will. Wir hatten schon Kunden, die uns erklärt haben, sie hätten keine Schatten-IT, auch ein großer Flughafen hat mir das mal gesagt. Wir konnten Kunden mit der Cloud-Analyse zum Teil nachweisen, dass bei ihnen allein 500 Cloud-Applikationen im Einsatz sind, von denen sie noch nichts mitbekommen haben. Das stellt natürlich ein massives Sicherheitsrisiko dar. Deswegen haben wir in unseren Workshops eine Schatten-IT Analyse eingeführt.

Welche Maßnahmen ergreifen Sie bei einer Schatten-IT Analyse?

Wir nutzen unter anderem die Microsoft Cloud App Security. Damit können wir den Netzwerk-Verkehr in Richtung Internet analysieren, diesen mit einem großen Katalog an Cloud-Services gegenchecken und prüfen, welche genau verwendet werden. So findet man schnell und präzise heraus, in welcher Abteilung beispielsweise die Dropbox besonders oft benutzt wird. Man kann sogar feststellen, welche Datenmengen übermittelt werden, auch anonymisiert. Wenn wir sehen, dass eine Abteilung besonders oft Dropbox nutzt, können wir diese Daten über Azure Active Directory zusätzlich verschlüsseln. Die Cloud App Security lässt sich mit Azure Information Protection kombinieren, das ist überhaupt kein Problem.


 

Falls auch Sie Ihr Unternehmen in Sachen IT-Sicherheit und IAM fit machen wollen, empfehlen wir von Mittelstand.Heute die kostenlose Roadshow von All for One Steeb zum Thema Cybersecurity. Mehr Infos finden Sie unter diesem Link. 

 

 

Quelle Titelbild: iStock/ anyaberkut