Cyber-Crime scyther5
Trend

Identity- und Access-Management

Wir müssen leider draußen bleiben

Der Bedarf an Zugriffsberechtigungen auf IT-Ressourcen wächst explosionsartig. Industrie 4.0 und das Internet der Dinge (IoT) bringen eine Vielzahl neuer Anwendungen und Geräte ins Netz. Das stellt große Herausforderungen an das Identity- und Access-Management der Unternehmen.

09. November 2016

Seit mehr als 30 Jahren gehört Online-Banking in der Finanzbranche zum Alltag – und damit die Notwendigkeit, externe Zugriffe auf die eigenen IT-Systeme zu geben. Auch der Versandhandel öffnete früh seine Systeme für die Kunden, die fortan ihre Bestellungen selbst erfassten und sogar die Pflege ihrer Adressdaten übernahmen. Die große Masse der Unternehmen jedoch entdeckt die Herausforderung Identitätsmanagement erst jetzt, im Zuge der digitalen Transformation. Die Studie „How to Balance Digital Transformation and User Security“ von KuppingerCole und Pierre Audoin Consultants (PAC) zeigt: Fast zwei Drittel (62 Prozent) der Befragten wollen den Zugriff von Verbrauchern und Kunden auf ihre IT-Systeme ermöglichen oder erweitern. Doch nur 26 Prozent sehen sich technisch dazu in der Lage, solche Zugriffe zu managen. In Deutschland verfügen nur 17 Prozent der Befragten Unternehmen über die nötige Ausrüstung, um sicheren und einfachen Zugriff für alle Benutzergruppen zu gewährleisten.

Identitätskrise beginnt im Unternehmen

Tatsächlich gibt es schon bei der Benutzerverwaltung innerhalb der Unternehmen erhebliche Schwierigkeiten. Sieben oder mehr verschiedene Identitäten eines einzelnen Benutzers sind keine Seltenheit, heißt es in der Studie. Die Folge: Verwechslungen von Benutzernamen, Vergessen von Passwörtern und jede Menge Aufwand in den Fachabteilungen und in der IT gehören zum Alltag. Schon seit langem arbeiten viele Unternehmen deshalb am Konzept des Single-Sign-On (SSO).

SSO erlaubt Benutzern, sich mit einer einzigen Authentifizierung für unterschiedliche Anwendungen anzumelden. Doch in der Praxis sind die meisten Unternehmen davon weit entfernt. Die IDC-Studie „Advanced Workplace Strategies in Deutschland 2016“ zeigt: Zwar setzen 52 Prozent der Großunternehmen SSO für ihre Enterprise-Software ein, doch nur 35 Prozent für Web-Anwendungen. Und der Anteil der Anwendungen, die tatsächlich in das SSO-Konzept integriert sind, liegt in beiden Kategorien deutlich unter 50 Prozent: Demnach sind jeweils nur 41 Prozent der Enterprise-Anwendungen und sogar nur 39 Prozent der Web-Anwendungen tatsächlich mit einer einzigen Authentifizierung verfügbar.

Single-Sign-On: Nur ein netter Versuch

Die gute Nachricht für alle, die in eine Identitätskrise geraten, wenn die Reinigungskraft beim Abwischen des Bildschirms die Post-its mit den Zugangsdaten für die verschiedenen Systeme entfernt hat: In den nächsten beiden Jahren soll der Anteil der Anwendungen, die per SSO nutzbar sind, auf 55 Prozent der Web-Anwendungen und 58 Prozent der Enterprise-Anwendungen steigen. Allerdings ist SSO für viele Anwendungen einfach nicht geeignet, sagt Harald Pape, Senior System Consultant, networks direkt GmbH: „Beim Privileged Account Management beispielsweise ist SSO generell nicht sinnvoll. Wenn jemand als Administrator Änderungen an kritischen Systemen vornimmt, muss er sich dafür grundsätzlich gesondert an- und abmelden.“

Und mit der zunehmenden Digitalisierung wird die Zahl der Privileged Accounts nach Einschätzung von Pape eher zunehmen. Die Nutzer solcher privilegierter Accounts können Entwickler von IoT-Komponenten wie Heizungssteuerungen, Bremsassistenten im Auto oder Sensoren zur Betriebsdatenerfassung an Maschinen sein, die Updates und Upgrades an Geräten vornehmen. Oder Geschäftskunden, die direkt in die Logistik-Prozesse ihrer Lieferanten eingreifen. Nur sollten es niemals Cyber-Gangster sein, die einen autonom fahrenden LKW kurzerhand digital entführen, eine Produktionsanlage stilllegen oder Privathaushalte mit der Abschaltung von Heizung und Kühlschrank erpressen.

Neue Cyber-Crime-Szenarien drohen

Doch mit der zunehmenden Zahl von Produkten und Dienstleistungen im Internet der Dinge steigt die Wahrscheinlichkeit solcher Szenarien. Die Experten von Gartner bezeichnen IAM sogar als kritisch für den Erfolg des Internet der Dinge. Und Arnold Vogt, Lead Advisor Internet of Things & Industrie 4.0, bei der Experton Group, sagt warum: „Enorme Mengen an IoT-Daten entstehen durch Geräte, die überall auf der Welt im Einsatz sind. Diese Mengen werden zwangsläufig zunehmend direkt in der Cloud gespeichert und verarbeitet.“ Schätzungen von Gartner zufolge werden im Jahr 2020 mehr als 20 Milliarden Dinge (ohne Smartphones, Tablets und Computer) vernetzt sein.

Das Problem dabei: Allein die exponentiell steigende Zahl von vernetzten Objekten stellt eine enorme Herausforderung dar – nicht nur für einzelne Unternehmen, sondern für das Internet und seine Institutionen weltweit. Ein Beispiel für die Brisanz dieser Entwicklung liefern die jüngsten DDOS-Attacken, die eine ganze Reihe beliebter Internet-Dienste wie Twitter, Netflix oder Paypal stilllegten. Dabei machten sich die Angreifer Sicherheitslücken in IP-Kameras, Druckern, Babyfonen und Festplattenreceivern zunutze. Schon laufen die ersten Rückrufaktionen von Herstellern gekaperter Geräte an.

Hinzu kommt, dass immer mehr Geräte „selbständig“ im Netz kommunizieren und agieren, ohne einer Benutzeridentität zugeordnet zu sein. Eine weitere Komplikation ergibt sich aus der direkten Kommunikation zwischen unterschiedlichen Geräten ohne die Kontrolle durch eine zentrale Instanz.

IoT-Identitäten schrittweise integrieren

Vor diesem Hintergrund erfordert die Integration von IAM und IoT ein überlegtes Vorgehen. Die Arbeitsgruppe IoT der Cloud Security Alliance (CSA) empfiehlt dafür in ihrem Leitfaden „Identity and Access Management for the Internet of Things – Summary Guidance“ folgende Maßnahmen:

  • Definieren Sie einen gemeinsamen Namensraum für IoT-Geräte.
  • Etablieren Sie einen Lifecycle für Identitäten, der auf Dinge in Ihrer Organisation angewendet werden und an die Lebensdauer des Gerätes und seiner Kennung angepasst werden kann.
  • Definieren Sie innerhalb des Identity Lifecycle klare Registrierungsprozesse für IoT-Geräte. Dabei gilt: Je sensibler die Daten, die mit dem jeweiligen Gerät verarbeitet werden, desto rigoroser die Vorgehensweise.
  • Legen sie das Sicherheitslevel für die Schutzmaßnahmen fest, die auf einzelne Datenflüsse von Sensoren und anderen IoT-Komponenten angewendet werden (Vertraulichkeit, Authentifizierung, Autorisierung).
  • Führen Sie klar definierte Abläufe zur Authentifizierung und Autorisierung beim lokalen Zugriff auf IoT-Geräte ein.
  • Definieren Sie Datenschutzmaßnahmen für unterschiedliche Kategorien von Daten. Dabei hilft eine Rahmendefinition für den Schutz persönlicher Daten.
  • Legen Sie fest und dokumentieren Sie, ob externe Organisationen Zugriff auf bestimmte Daten haben.
  • Regeln Sie den Ablauf der Authentifizierung und Autorisierung bei IoT-Geräten, die nur unregelmäßig mit dem Netz verbunden sind.
  • Bestimmen Sie Anforderungen für die IoT- Zugriffskontrolle, die den Zugangskontrollvorschriften Ihres Unternehmens entsprechen.

Autor

Bernd Seidel,

Bernd Seidel &Friends