Sichere Digitalisierung im Juni: Identity (and Access) Trends 2023
Herzlich Willkommen zu unserem Newsletter!
Hier geben wir hier einen Überblick über geplante Aktivitäten und beleuchten einen Aspekt sicherer Digitalisierung.
Interessante Aktivitäten im Juni:
Absolventenkongress – Essen, 07.06.2023, 10:00h-16:00h. Interessiert an einem Arbeitseinstieg bei secida? Wir freuen uns auf spannende Begegnungen und gute Gespräche! Du willst ein kostenfreies Ticket? Dann melde Dich hier an.
LinkedIn-Livestream am Dienstag, den 20.06.2023, 12:00h: „Gehackt. Was nun? – effektive Remediations- und Präventionmaßnahmen“ – mit Alpha Barry, CEO secida AG. Melden Sie sich hier an.
Sichere Digitalisierung im Juni: „Identity (and Access) Trends 2023“
Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier.
Anfang Mai fand in Berlin die „European Identity and Cloud Conference“ (EIC) statt. Hier treffen sich Experten zum Thema Identity and Access, um sich über aktuelle Trends zu informieren, und zum aktiven Austausch. Wir waren natürlich dabei. Auch wenn diese Veranstaltung für Spezialisten spannend ist, sind wir überzeugt, dass es für IT-Experten aus mittelständischen Unternehmen nicht zwingend notwendig ist teilzunehmen. Der Fokus der EIC liegt auf der Entwicklung von Technologien und Theorie rund um das Thema digitale Identität und identitätsbasierte Zugriffskontrolle. Dies ist besonders für Kunden wie beispielsweise Banken interessant, die aufgrund ihres Geschäftssegments und der damit zusammenhängenden Regulierung spezifischere Bedürfnisse haben. Doch auch für Unternehmen, die nicht in hochregulierten Bereichen tätig sind, die eine spezifische Identity Governance-Lösung erfordern, gibt es relevante Weiterentwicklungen und Themen, die sich von Neuerungen zu Standards entwickelt haben. Hier unser Überblick:
Trennung von Authentifizierungs- und Autorisierungsprozessen
Bei der identitätsbasierten Zugriffskontrolle gibt es zwei Prozessschritte:
- Authentifizierung: Ist der Benutzer tatsächlich der, der er vorgibt zu sein? Dafür werden z.B. Benutzername und Passwort (und potentiell auch eine Multifaktor-Authentifizierung) verwendet.
- Autorisierung: Auf was darf dieser spezifische Benutzer in unserer IT-Infrastruktur zugreifen?
Um einen höheren Level von Flexibilität in der Ausgestaltung von identitätsbasierten Zugriffssystemen zu erhalten, ist es hilfreich, Authentifizierungs- und Autorisierungsprozesse voneinander zu trennen.
Ein besonders relevantes Anwendungsfeld hierfür ist die digitale Kollaboration mit Partnerunternehmen (z.B. auf einer Lieferanten-Plattform): Die Authentifizierung sollte hier durch den Partner vorgenommen werden, da dieser seine Mitarbeitenden deutlich besser kennt und effektiver verifizieren kann, dass es sich tatsächlich um den jeweiligen Benutzer handelt. Im Anschluss kann das Unternehmen, das die Lieferanten-Plattform anbietet, entscheiden, worauf authentifizierte Benutzer des jeweiligen Partners auf dieser Plattform zugreifen dürfen. Es können auch separate Nutzerprofile je nach Rolle des Benutzers (z.B. Vertrieb oder Buchhaltung) geschaffen werden. Dafür gibt es inzwischen gut funktionierende spezifische Lösungen – besonders in der Cloud.
Wohin entwickelt sich das Thema Authentifizierung? Ist passwordless schon jetzt die optimale Lösung für fertigende Unternehmen?
Wir wissen, dass Multifaktor-Authentifizierung (MFA) nicht die endgültige Lösung für eine eineindeutige Authentifizierung ist, denn:
- Passworte benötigen eine gewisse Komplexität um ein definiertes Sicherheitsniveau zu gewährleisten. Das heißt, der Nutzer muss entsprechende Passworte entwickeln und sich auf sichere Art und Weise merken.
- MFA bleibt unkomfortabel – die zweite Authentifizierung macht immer zusätzliche Mühe.
Angreifende sind im Kontext nicht untätig und entwickeln ihre Angriffe weiter. Beispielsweise haben Hacker bei cloud-basierten Systeme inzwischen neue Optionen entwickelt sich den Zugriff zu erschleichen: Manche MFA-Lösungen nutzen das Smartphone des autorisierten Nutzers für eine Push-Nachricht, die bei Login mit den korrekten Benutzer-Credentials um eine Bestätigung der Authentifizierung bittet. Ein Angreifer, der die Benutzerdaten erlangt hat, kann diese Push-Nachricht nun viele Male hintereinander auslösen. Er hofft, dass der Nutzer irgendwann genervt die Freigabe erteilt (im Durchschnitt ist dies nach 19 Push-Nachrichten der Fall). Wenn dies geschieht, hat der Hacker Zugriff auf das mit MFA geschützte Benutzerkonto und die mit ihm zusammenhängenden Zugriffsrechte. Eine andere Möglichkeit sind gefälschte Login-Webseiten, die den Benutzer dazu bringen, einen aktiven Authentifizierungs-Code zu verraten, der in Folge Dritten den Zugriff ermöglicht.
Es gibt aktuell technische Weiterentwicklungen, um die oben genannten Risiken zu mindern und die Komplexität für den Benutzer zu verringern: So kann z.B. durch biometrische Merkmale eine Authentifizierung durchgeführt werden. Hierzu werden spezifische Hardware-Token verwendet. Die notwendigen technologischen Standards, um eine relative kostengünstige Herstellung dieser Tokens zu ermöglichen, wurden geschaffen. Trotzdem ist diese Lösung für Unternehmen zum jetzigen Zeitpunkt noch mit neuen Herausforderungen verbunden:
- Sind alle IT-Services mit einem token-basierten Kennungssystem kompatibel?
- Wie kann man diese Tokens sicher und kostengünstig versenden?
- Wie kann fehlerfrei sichergestellt werden, dass der richtige Mitarbeitende das richtige Token erhält?
Wir raten vor der Implementierung neuer Authentifizierungs-Technologien im ersten Schritt dringend zur Optimierung der aktuellen Authentifizierungs- und Autorisierungsprozesse, sowie zum Roll-out einer sauberen Multifaktor-Authentifizierung für sämtliche IT-Services. So erreichen Sie den heutigen technischen Stand der Cybersicherheit und können die Neuerungen in diesem Sektor beobachten, bis deren Entwicklungsstand zur tatsächlichen Unternehmensrealität passt.
Sicherung des Active Directory.
Das Active Directory, eines der Haupt-Speicherelemente für Benutzeridentitäten in fertigenden Unternehmen mit Microsoft-basierter IT, bleibt ein Kernangriffsziel der Hacker. Es wird vor allem versucht, Zugriff auf administrative Konten zu erlangen: Ein Hacker mit administrativem Zugriff kann im gesamten Unternehmen diverse Arten von Schaden zu verursachen. Wir empfehlen, sich gegen solche Übernahmen bestmöglich zu schützen. Schon durch Strukturierung des Active Directorys nach den aktuellen Microsoft-Empfehlungen, kann potentieller Schaden effektiv vermieden oder zumindest deutlich verringert werden.
Schutz der hybriden IT-Infrastruktur
Eine Kombination von in lokalen Rechenzentren gehosteten und cloud-basierten Diensten nennt man hybride Infrastruktur. Sie ist erfahrungsgemäß der in fertigenden Unternehmen am häufigsten vorkommende IT-Infrastrukturtyp. Hier sollte zur Optimierung der Cybersicherheit der Ansatz der Zero Trust-Architektur implementiert bzw. weiterverfolgt werden. Die hier zentralen Themen bleiben:
- Authentifizierung und Autorisierung: In hybriden Infrastrukturen ist es nicht mehr möglich eine Firewall als alleinigen Schutz zu verwenden, da diese cloudbasierte Komponenten nicht mit einschließen kann. Deswegen muss für jeden Zugriff zwingend eine Authentifizierung erfolgen. Das heißt, der Nutzer muss eineindeutig identifiziert und jedwede Zugriffserlaubnis klar zugewiesen werden.
- Verschlüsselung aller Informationen: Sämtlicher Datenverkehr inklusive aller Daten muss verschlüsselt und gegen unautorisierten Zugriff geschützt werden.
- Monitoring: Alle Anmeldungen und Zugriffe müssen beobachtet, dokumentiert und konstant auf Plausibilität geprüft werden. Außerdem muss die Möglichkeit zum direkten Eingriff bestehen, sollten Inkonsistenzen festgestellt werden.
- Schutz privilegierter Konten (administrative Konten und Konten mit weitgreifenden Zugriffsrechten): Der nochmals höhere Schutz administrativer Konten bleibt zentral.
Trotz aller technologischen Entwicklung rund um das Thema digitale Identität bleiben bekannte Themen im Fokus. Unternehmen, die die oben genannten Themen und Trends umsetzten bzw. konstant optimieren, sind auf dem aktuellen Stand der Cybersicherheit und können technologische Reifeprozesse abwarten, bis eine effektive Umsetzung von Neuerungen in ihrem Umfeld möglich ist.
Quelle: LinkedIn