Tipps zur IT-Sicherheit: 7 Schritte für den sicheren Umgang mit Zugriffsrechten (Teil 2)
Im ersten Teil unserer kleinen Serie zum Umgang mit Zugriffsrechten haben wir darüber gesprochen, dass ein zentrales und automatisiertes Rechte-Repository die IT-Sicherheit in Ihrem Unternehmen deutlich verbessern kann. Lesen Sie nun im zweiten Teil, wie Sie ein solches Repository ausbauen können. So unterstützen Sie gerade junge Mitarbeiter in ihrem Arbeitsalltag und sind gleichzeitig für das nächste IT-Sicherheits-Audit gerüstet. Viel Spaß beim Lesen!
Flexibilisieren Sie Ihre Zugriffskontrolle
IT-Sicherheit krankt leider häufig an einer unflexiblen Rechtevergabe. Die meisten Firmen wenden nur einen begrenzten und relativ groben Satz von Parametern auf ihre Zugriffskontrolle an: Benutzer A kann Leserechte für Datensatz X erhalten, Benutzer B kann Administratorrechte für Anwendung Y erhalten, und so weiter. Solch starre Vergaberegeln führen dazu, dass die IT-Sicherheit nicht mehr mit aktuellen Formen der Arbeit im Unternehmen Schritt hält und die Produktivität der Mitarbeiter leidet.
Ivanti empfiehlt daher, diese Zugriffsparameter reichhaltiger und kontextbezogener zu handhaben.
Hier drei typische Beispiele zur Illustration:
Geo-Fencing – Oft ist es sinnvoll, die Zugriffsrechte eines Benutzers standortabhängig einzuschränken. Ein Arzt sollte beispielsweise einen drahtlosen Zugriff auf bestimmte Daten des klinischen Systems haben, während er in der Gesundheitseinrichtung vor Ort ist. Verlässt er sein Krankenhaus, so sollten Sie ihm den Zugang zu diesen Daten nicht länger gestatten. Hier geht es nicht darum, ihn in seiner Arbeit einzuschränken, sondern vielmehr um Compliance-Fragen.
WiFi-Sicherheit – Sehr häufig werden Sie die Regeln für den sicheren Datenzugriff davon abhängig machen wollen, ob die WiFi-Verbindung eines Ihrer Benutzer öffentlich, also unsicher, oder privat und dementsprechend sicher ist.
File Hashs – Hashs von Firmendateien stellen ein äußerst zuverlässiges Mittel dar, mit dem Sie sicherstellen können, dass Ihre Benutzer nur legitime Inhalte herunterladen, öffnen und mit ihnen arbeiten. File Hashs stärken die IT-Sicherheit, indem sie effektiv vor Ransomware- und Spearphishing-Angriffen schützen.
Um eine flexible Zugriffskontrolle zu implementieren, benötigen Sie jedoch ein Rechte-Management-System, das automatisch und in Echtzeit auf den jeweiligen Sitzungskontext reagiert und eine hashbasierte Identifizierung durchführt. Denn ohne diese Kontrollen schränken Sie Ihre Verteidigungslinie gegen verschiedene Arten von Identitäts- und Content-Spoofing stark ein.
Schaffen Sie konsistente Prozesse, um neue Cloud-Anwendungen zur Whitelist hinzuzufügen
Geschäftsabläufe sind nicht statisch – Ihre IT-Sicherheit darf es auch nicht sein. Tatsächlich nutzen Ihre Mitarbeiter Cloud oder SaaS-Dienste häufiger, als Sie vielleicht wissen. Viele dieser Services werden direkt von den Geschäftsbereichen aktiviert, ohne dass Ihre IT-Abteilung übermäßig viel Einfluss darauf hat. Früher wurde dies als "Schatten-IT" bezeichnet. Die Art, wie Mitarbeiter in Ihrem Unternehmen Software und analytische Tools in der Cloud nutzen, ist längst nicht mehr nur ein Schatten – sie ist unternehmenskritisch.
Können Sie diese neuen Anwendungen und Dienste nicht schnell und umfassend absichern, eröffnen sich Schwachstellen in punkto IT-Sicherheit:
- Mitarbeiter sind nicht rechtzeitig in der Lage, die benötigten Cloud-Ressourcen zu nutzen, da sie von Ihrem Whitelisting-System blockiert werden.
- Neue Ressourcen werden zu schnell auf die Whitelist gesetzt, ohne dass sie durch Richtlinien wie Geo-Fencing und WiFi-Beschränkungen ordnungsgemäß abgesichert sind.
- Schlimmer noch: Mitarbeiter überlegen sich Work-Arounds, um die Sicherheitsmechanismen der IT möglichst unbemerkt zu umgehen.
Aus Sicht der IT-Sicherheit ist keine dieser Vorgehensweisen akzeptabel. Um dies zu vermeiden, benötigen Sie einen schnellen, zuverlässigen und konsistenten Prozess für das Hinzufügen neuer Cloud-Ressourcen zum Whitelisting-Repository oder der Automatisierungs-Engine. Ein solcher Prozess muss ähnlich verankert sein, wie der einer On-Premise-Anwendung. Ohne ihn ist die IT-Sicherheit nicht in der Lage, mit den prozessualen Veränderungen im Unternehmen Schritt zu halten. Dies bedeutet, dass entweder die IT-Sicherheit kompromittiert wird oder Sie Ihre Mitarbeiter behindern.
Erleichtern sie jungen Mitarbeitern die Arbeit mit neuen IT-Services
Junge Mitarbeiter erwarten von ihrer IT-Abteilung, dass sie neue IT-Dienste über einen Self-Service anbietet – ganz so, wie sie es privat beispielsweise über AppStores gewohnt sind. All jene Arbeitgeber punkten bei ihnen, die Portale anbieten, um digitale Dienste in Eigenregie zu bestellen. Über ein solches Self-Service-Portal sollen dann auch gleich verschiedene administrative Aktionen möglich sein, zum Beispiel die Aktivierung von Diensten oder eine automatische Rücksetzung von Passwörtern und vieles mehr. Verbinden Sie daher das Angenehme mit dem Nützlichen: Self-Service Tools binden Mitarbeiter und entlasten Sie von der täglichen Flut von Bereitstellungsanträgen.
Generell ist Self-Service ein Gewinn für die IT-Sicherheit. Über Portale, mit denen Ihre Mitarbeiter IT-Dienste eigenständig bestellen, lassen sich Anfragen nach digitalen Services schnell und automatisiert umsetzen. Da solche Portale Ihr Team von Routineaufgaben befreien, gewinnt die IT. Self-Service-Tools lassen sich zudem auch gut für die Delegation administrativer Aufgaben an die Fachverantwortlichen nutzen. Dies beinhaltet beispielsweise die Autorisierung von Zugriffsrechten oder das Hinzufügen von Softwarelizenzen.
Sie können Self-Service und Delegation innerhalb Ihres Unternehmens effizient bereitstellen, indem Sie die Automatisierungs-Engine für das Whitelisting auch auf Nicht-IT-Benutzer ausdehnen. Achten Sie allerdings darauf, dass die entsprechenden richtlinienbasierten Kontrollen existieren. Ein solcher Ansatz stellt sicher, dass Mitarbeiter innerhalb ihrer vorgegebenen Richtlinien arbeiten – selbst wenn sie Routineaufgaben schnell und ohne Eingriffe der IT-Abteilung durchführen.
Sind Sie bereit, ein Security-Audit durchzuführen?
Ihr IT-Sicherheitsteam hat heute grundsätzlich die Möglichkeit, jeden Benutzer perfekt auf eine exakt definierte Anzahl an sicheren, digitalen Ressourcen zu beschränken. Ressourcen, auf die er Anspruch hat und die ihn in seiner täglichen Arbeit unterstützen. Cloudbasierte Services, die er für seine Geschäftsprozesse benötigt, werden in wenigen Schritten in ein superschlankes und logisch präzises Rechtemanagement eingefügt. Sie können ihren Nutzern darüber hinaus Self-Service-Funktionen zur Verfügung stellen und vieles mehr.
Dies alles nützt jedoch wenig, wenn Sie nicht in der Lage sind, einen Wirtschaftsprüfer glaubwürdig von der Sicherheit Ihrer Maßnahmen zu überzeugen.
Aus diesem Grund benötigen Sie ein einheitliches, regelbasiertes und automatisches Rechtemanagement, das sich zu alledem noch vollständig selbst dokumentiert. Skripte nützen hier wenig. Gleiches gilt auch für eine Verschmelzung unterschiedlicher plattform- und anwendungsspezifischer Zugriffskontrollen. Nur ein zentrales „Gehirn“, also eine unternehmensübergreifende Zugriffssteuerung, sichert Ihre IT-Ressourcen effektiv ab und liefert Ihnen alle Informationen für ein erfolgreiches Audit. Ihr IT-Security-Team wird auskunftsfähig: Es kann nachweisen, dass alle erforderlichen Maßnahmen zur Absicherung des Unternehmens ergriffen wurden. Maßnahmen, die verhindern, dass jemand zur falschen Zeit und unter den falschen Bedingungen Zugang zu den falschen Dingen erhält.
Fazit
Wenn wir Sie fragen würden, ob Sie die geschilderten Wege bereits im eigenen Unternehmen eingeschlagen haben, werden Sie kaum mit einem einfachen "Ja" oder "Nein" antworten. Von vielen Firmen erwarten wir eher ein "irgendwie" oder "noch nicht ganz". Denn die realen Herausforderungen an die IT-Sicherheit sind vielschichtig. Das gilt auch in punkto IT-Automatisierung und die Audit-Vorbereitung.
Unabhängig vom tatsächlichen Umsetzungsstand: Mit Hilfe eines automatisierten und richtlinienbasierten Ansatzes für die Zugriffskontrolle nähern Sie sich schnell einem idealen Zielvektor an. Indem Sie sich auf ein zentrales Rechtemanagement für den Zugriff auf alle digitale Ressourcen fokussieren, sichern Sie Ihr Unternehmen ab. Ein solcher Ansatz greift bei komplexen Anwendungen für das Kerngeschäft ebenso, wie die neuesten Cloud-Services.
Hier noch zwei Tipps zum Nachlesen:
Einen guten Überblick zur automatisierten Rechtevergabe und -kontrolle liefert dieses Ivanti Solution Sheet.
Interessante Tipps zur Modernisierung Ihrer IT-Sicherheit finden Sie in diesem Ivanti-Whitepaper.