Tipps zur IT-Sicherheit: 7 Schritte für den sicheren Umgang mit Zugriffsrechten (Teil 1)
In der realen Welt steht IT-Sicherheit immer in einem spezifischen Unternehmenskontext. Und dieser Kontext lautet so gut wie nie: „Perfektionierung der IT-Sicherheit auf den neuesten Stand der Technik“. Denn Ihre Firma kümmert sich primär um ihr betriebswirtschaftliches Kerngeschäft – Sicherheitsthemen rangieren weiter hinten, sowohl auf Perzeptions-, als auch auf Budgetebene. Für Sie als Sicherheitsverantwortlichen bedeutet dies in erster Linie, sich mit den realen Security-Anforderungen des Unternehmens auseinanderzusetzen und sie mit Ihren persönlichen Business-Aufgaben in Einklang zu bringen: Wie können Sie die Produktivität der Mitarbeiter unterstützen, Kosten sparen und gleichzeitig einen optimalen Grad an IT-Sicherheit sicherstellen? In zwei Blogbeiträgen stellen wir Ihnen sieben „Best Practices“ vor, um die Zügel bei Zugriffsrechten anzuziehen und Ihre User dennoch in alltäglichen Aufgaben zu unterstützen. Das geht? Ja, das geht!
Whitelisting hat sich grundsätzlich als probates Mittel für die IT-Sicherheit etabliert. Es beschränkt sich allerdings nicht auf die Erstellung von Listen vertrauenswürdiger Webseiten, Anwendungen oder Benutzer. Bei Whitelisting handelt es sich vielmehr um eine dynamische Methode, die hilft, Sicherheitszugangskontrollen auf der Grundlage individueller Identitäten und kontextbezogener Attribute durchzusetzen. In dieser Form eingesetzt, schützt Whitelisting Ihr Unternehmen vor unterschiedlichen Arten von Bedrohungen – einschließlich bösartiger Hosts, entführter Benutzer-IDs oder Insider-Bedrohungen.
1. Implementieren Sie ein zentrales Repository mit klar definierten Whitelisting-Richtlinien
Dynamisches Whitelisting stellt für Sie eine der wichtigsten Best Practices für Unternehmenssicherheit dar und bietet Ihnen die beste Möglichkeit, Sicherheits-Policies durchzusetzen. Das bedeutet zuerst einmal, dass Sie den Benutzerzugriff und die Codeausführung standardmäßig nur auf das beschränken, was ausdrücklich erlaubt und als sicher bekannt ist.
Leider verfolgen die meisten Unternehmen bei der Definition ihrer Whitelisting-Richtlinien einen dezidiert fragmentierten und manuellen Ansatz. Unterschiedliche Eigentümer von Anwendungen, Datenbanken und Inhalten pflegen ihre individuellen Benutzerrechte in unterschiedlichen Zugriffslisten. In manchen Fällen werden die Genehmigungen selbst komplett ad hoc erteilt. Regelungen für den Umgang mit sicherheitsrelevanten Technologien (Verbot von USB-Laufwerken, Geo-Fencing, etc.) werden gerne an verschiedenen Orten von verschiedenen Personen gepflegt. Fehlende Automatisierung und eine dezentrale Zugriffsverwaltung verhindern, dass Sie Identitäts- oder Kontextattribute berücksichtigen können, die für ein dynamisches Whitelisting nötig sind. Eine präzise und zuverlässige Durchsetzung von Richtlinien ist so kaum möglich.
Ein einheitliches Repository mit klar definierten Whitelisting-Richtlinien ist daher die primäre Anforderung an die IT-Sicherheit. Diese Richtlinien können zwar von verschiedenen Personen mit entsprechender Autorität im Unternehmen verwaltet und kontrolliert werden. Aber sie müssen an einem einzigen, zuverlässigen und aktuellen Ort verwaltet werden – und das über alle Ressourcen, Parameter und Benutzergruppen hinweg.
2. Lösen Sie sich von manuellen Konfigurationen und selbst erstellten Skripten
Security Policies alleine sichern Ihr Unternehmen noch nicht ab. Sie benötigen vor allem eine Möglichkeit, Richtlinien automatisiert zu implementieren und durchzusetzen.
Viele Unternehmen sind immer noch auf eine Vielzahl unterschiedlicher Mechanismen angewiesen, um Benutzern einen Whitelist-gerechten Zugriff auf digitale Ressourcen zu ermöglichen. Dazu gehören häufig anwendungs- und datenbankspezifische Admin-Tools und selbst entwickelte Provisioning-Skripte.
Aus der Abhängigkeit von diesen fragmentierten Mechanismen der Zugriffsbereitstellung ergeben sich eine Reihe von Problemstellungen. Aus sicherheitstechnischer Sicht sind sie schlicht zu unzuverlässig, denn sie unterliegen zum einen menschlichem Versagen und sind zum anderen nicht untrennbar mit den zugrundeliegenden Richtlinien verbunden. Zu deren Durchsetzung wurden sie allerdings geschaffen.
Manuelle und/oder skriptbasierte Mechanismen sind aus betriebswirtschaftlicher Sicht ebenfalls unpraktisch. Sie verlangsamen beispielsweise das digitale Onboarding von neuen Mitarbeitern. Zugleich „stehlen“ sie Ihnen Ihre Zeit, die Sie beispielsweise für die Optimierung von Sicherheitskonzepten einsetzen möchten. Noch gravierender: Oft ist es unmöglich, Skripte zu modifizieren oder zu aktualisieren die ursprünglich vor Jahren von Personen geschrieben wurden, die heute vielleicht nicht einmal mehr im Unternehmen sind.
Ist ein Unternehmen immer noch auf "Skript-Helden" angewiesen, um sicherzustellen, dass die richtigen Leute zur richtigen Zeit Zugang zu den richtigen Ressourcen erhalten, hat die IT-Sicherheit gegebenenfalls ein Problem. Sie benötigen vielmehr einen einheitlichen und automatisierten Mechanismus zur Implementierung von Zugriffsrichtlinien, zum Onboarding von Mitarbeitern und zur Erfüllung der steigenden Anforderungen an das Audit-Reporting.
3. Entziehen Sie ausscheidenden Mitarbeitern ihre digitalen Rechte
Einer der wichtigsten Imperative für Sie ist der vollständige Widerruf der digitalen Rechte eines Mitarbeiters unmittelbar nach seiner Kündigung. Dies ist zum einen aus Sicherheitsgesichtspunkten wichtig: Bestehende Rechte können es einem verärgerten Ex-Mitarbeiter ermöglichen, Ihre unternehmenskritischen Daten zu stehlen und/oder zu vernichten. Zum anderen sind sie aus rechtlicher Sichtweise für die IT-Sicherheit relevant: Typischerweise erfordern Compliance-Richtlinien einen prüffähigen Nachweis, dass unbefugte Personen – hier beispielsweise ehemalige Mitarbeiter – keinen Zugang mehr zu personenbezogenen oder anderen sensiblen Daten erlangen.
In der Praxis verfügt kaum ein Unternehmen über zuverlässige und automatisierte Technologien, um die Zugriffsberechtigungen einer Person für alle Anwendungen, Datenbanken, SharePoint-Instanzen, Kommunikationsdienste usw. restlos und sofort zu beseitigen. Einige dieser Privilegien bleiben Tage, Wochen oder sogar Monate nach der Kündigung eines Mitarbeiters bestehen. Ihre Tools, um Verstöße zu erkennen und zu blockieren greifen in diesem Fall nicht, erfolgt der Datenzugriff doch „autorisiert“.
Aus diesem Grund sollten Sie Ihr einheitliches System für die Rechteverwaltung angemessen mit anderen Systemen integrieren – insbesondere mit Systemen, die eine Beendigung von Zugriffsrechten anstoßen. Das können Ihre zentralen Identitätsmanagementsysteme ebenso sein, wie HR-Anwendungen und Auftragsnehmerdatenbanken. Erst eine solche Integration gibt Ihnen die Sicherheit, dass digitale Privilegien rechtzeitig und vollständig widerrufen wurden.
Lesen Sie im zweiten Teil dieses Beitrags, warum der Begriff „Echtzeit“ im Bereich der Zugriffskontrolle immer mehr an Gewicht gewinnt und wie Sie das nächste IT-Sicherheits-Audit mit Bravour meistern werden.
Sollten Sie Interesse an weiteren Informationen zum Thema haben, dann empfehlen wir Ihnen unser aktuelles „Defense in Depth“-Webinar. Calum Field erläutert Ihnen, wie sich das Sammelsurium einzelner IT-Sicherheitslösungen, das sich über die Jahre im Unternehmen angesammelt hat, durch eine integrierte Lösung ersetzen lässt.
Gute Tipps zur Modernisierung Ihrer IT-Sicherheit finden Sie in diesem Ivanti-Whitepaper.