Image: Wir müssen leider draußen bleibenFERCHAUFERCHAUscyther5
TrendIdentity- und Access-Management

Wir müssen leider draußen bleiben

Lesezeit ca.: 5 Minuten
Bernd Seidel

Bernd Seidel

freier Journalist

Der Bedarf an Zugriffs­be­rech­ti­gungen auf IT-Ressourcen wächst explosions­artig. Industrie 4.0 und das Internet der Dinge (IoT) bringen eine Vielzahl neuer Anwendungen und Geräte ins Netz. Das stellt große Herausfor­de­rungen an das Identity- und Access-Management der Unternehmen.

09. November 2016

Seit mehr als 30 Jahren gehört Online-Banking in der Finanzbranche zum Alltag – und damit die Notwendig­keit, externe Zugriffe auf die eigenen IT-Systeme zu geben. Auch der Versandhandel öffnete früh seine Systeme für die Kunden, die fortan ihre Bestellungen selbst erfassten und sogar die Pflege ihrer Adressdaten übernahmen. Die große Masse der Unternehmen jedoch entdeckt die Herausfor­de­rung Identitäts­ma­nage­ment erst jetzt, im Zuge der digitalen Transfor­ma­tion. Die Studie „How to Balance Digital Transfor­ma­tion and User Security“ von Kuppinger­Cole und Pierre Audoin Consultants (PAC) zeigt: Fast zwei Drittel (62 Prozent) der Befragten wollen den Zugriff von Verbrauchern und Kunden auf ihre IT-Systeme ermöglichen oder erweitern. Doch nur 26 Prozent sehen sich technisch dazu in der Lage, solche Zugriffe zu managen. In Deutschland verfügen nur 17 Prozent der Befragten Unternehmen über die nötige Ausrüstung, um sicheren und einfachen Zugriff für alle Benutzer­gruppen zu gewährleisten.

Identitäts­krise beginnt im Unternehmen

Tatsächlich gibt es schon bei der Benutzer­ver­wal­tung innerhalb der Unternehmen erhebliche Schwierig­keiten. Sieben oder mehr verschie­dene Identitäten eines einzelnen Benutzers sind keine Seltenheit, heißt es in der Studie. Die Folge: Verwechs­lungen von Benutzer­namen, Vergessen von Passwörtern und jede Menge Aufwand in den Fachabtei­lungen und in der IT gehören zum Alltag. Schon seit langem arbeiten viele Unternehmen deshalb am Konzept des Single-Sign-On (SSO).

SSO erlaubt Benutzern, sich mit einer einzigen Authenti­fi­zie­rung für unterschied­liche Anwendungen anzumelden. Doch in der Praxis sind die meisten Unternehmen davon weit entfernt. Die IDC-Studie „Advanced Workplace Strategies in Deutschland 2016“ zeigt: Zwar setzen 52 Prozent der Großunter­nehmen SSO für ihre Enterprise-Software ein, doch nur 35 Prozent für Web-Anwendungen. Und der Anteil der Anwendungen, die tatsächlich in das SSO-Konzept integriert sind, liegt in beiden Kategorien deutlich unter 50 Prozent: Demnach sind jeweils nur 41 Prozent der Enterprise-Anwendungen und sogar nur 39 Prozent der Web-Anwendungen tatsächlich mit einer einzigen Authenti­fi­zie­rung verfügbar.

Single-Sign-On: Nur ein netter Versuch

Die gute Nachricht für alle, die in eine Identitäts­krise geraten, wenn die Reinigungs­kraft beim Abwischen des Bildschirms die Post-its mit den Zugangsdaten für die verschie­denen Systeme entfernt hat: In den nächsten beiden Jahren soll der Anteil der Anwendungen, die per SSO nutzbar sind, auf 55 Prozent der Web-Anwendungen und 58 Prozent der Enterprise-Anwendungen steigen. Allerdings ist SSO für viele Anwendungen einfach nicht geeignet, sagt Harald Pape, Senior System Consultant, networks direkt GmbH: „Beim Privileged Account Management beispiels­weise ist SSO generell nicht sinnvoll. Wenn jemand als Administrator Änderungen an kritischen Systemen vornimmt, muss er sich dafür grundsätz­lich gesondert an- und abmelden.“

Und mit der zunehmenden Digitali­sie­rung wird die Zahl der Privileged Accounts nach Einschät­zung von Pape eher zunehmen. Die Nutzer solcher privilegierter Accounts können Entwickler von IoT-Komponenten wie Heizungs­steue­rungen, Bremsassis­tenten im Auto oder Sensoren zur Betriebs­da­ten­er­fas­sung an Maschinen sein, die Updates und Upgrades an Geräten vornehmen. Oder Geschäfts­kunden, die direkt in die Logistik-Prozesse ihrer Lieferanten eingreifen. Nur sollten es niemals Cyber-Gangster sein, die einen autonom fahrenden LKW kurzerhand digital entführen, eine Produkti­ons­an­lage stilllegen oder Privathaus­halte mit der Abschaltung von Heizung und Kühlschrank erpressen.

Neue Cyber-Crime-Szenarien drohen

Doch mit der zunehmenden Zahl von Produkten und Dienstleis­tungen im Internet der Dinge steigt die Wahrschein­lich­keit solcher Szenarien. Die Experten von Gartner bezeichnen IAM sogar als kritisch für den Erfolg des Internet der Dinge. Und Arnold Vogt, Lead Advisor Internet of Things & Industrie 4.0, bei der Experton Group, sagt warum: „Enorme Mengen an IoT-Daten entstehen durch Geräte, die überall auf der Welt im Einsatz sind. Diese Mengen werden zwangsläufig zunehmend direkt in der Cloud gespeichert und verarbeitet.“ Schätzungen von Gartner zufolge werden im Jahr 2020 mehr als 20 Milliarden Dinge (ohne Smartphones, Tablets und Computer) vernetzt sein.

Das Problem dabei: Allein die exponentiell steigende Zahl von vernetzten Objekten stellt eine enorme Herausfor­de­rung dar – nicht nur für einzelne Unternehmen, sondern für das Internet und seine Institutionen weltweit. Ein Beispiel für die Brisanz dieser Entwicklung liefern die jüngsten DDOS-Attacken, die eine ganze Reihe beliebter Internet-Dienste wie Twitter, Netflix oder Paypal stilllegten. Dabei machten sich die Angreifer Sicherheits­lü­cken in IP-Kameras, Druckern, Babyfonen und Festplat­ten­re­cei­vern zunutze. Schon laufen die ersten Rückrufak­tionen von Herstellern gekaperter Geräte an.

Hinzu kommt, dass immer mehr Geräte „selbstän­dig“ im Netz kommunizieren und agieren, ohne einer Benutzeri­den­tität zugeordnet zu sein. Eine weitere Komplika­tion ergibt sich aus der direkten Kommunika­tion zwischen unterschied­li­chen Geräten ohne die Kontrolle durch eine zentrale Instanz.

IoT-Identitäten schrittweise integrieren

Vor diesem Hintergrund erfordert die Integration von IAM und IoT ein überlegtes Vorgehen. Die Arbeitsgruppe IoT der Cloud Security Alliance (CSA) empfiehlt dafür in ihrem Leitfaden „Identity and Access Management for the Internet of Things – Summary Guidance“ folgende Maßnahmen:

  • Definieren Sie einen gemeinsamen Namensraum für IoT-Geräte.
  • Etablieren Sie einen Lifecycle für Identitäten, der auf Dinge in Ihrer Organisa­tion angewendet werden und an die Lebensdauer des Gerätes und seiner Kennung angepasst werden kann.
  • Definieren Sie innerhalb des Identity Lifecycle klare Registrie­rungs­pro­zesse für IoT-Geräte. Dabei gilt: Je sensibler die Daten, die mit dem jeweiligen Gerät verarbeitet werden, desto rigoroser die Vorgehens­weise.
  • Legen sie das Sicherheits­level für die Schutzmaß­nahmen fest, die auf einzelne Datenflüsse von Sensoren und anderen IoT-Komponenten angewendet werden (Vertraulich­keit, Authenti­fi­zie­rung, Autorisie­rung).
  • Führen Sie klar definierte Abläufe zur Authenti­fi­zie­rung und Autorisie­rung beim lokalen Zugriff auf IoT-Geräte ein.
  • Definieren Sie Datenschutz­maß­nahmen für unterschied­liche Kategorien von Daten. Dabei hilft eine Rahmende­fi­ni­tion für den Schutz persönli­cher Daten.
  • Legen Sie fest und dokumentieren Sie, ob externe Organisa­tionen Zugriff auf bestimmte Daten haben.
  • Regeln Sie den Ablauf der Authenti­fi­zie­rung und Autorisie­rung bei IoT-Geräten, die nur unregelmäßig mit dem Netz verbunden sind.
  • Bestimmen Sie Anforderungen für die IoT- Zugriffs­kon­trolle, die den Zugangskon­troll­vor­schriften Ihres Unterneh­mens entsprechen.