Mit IAM-Lösungen die Komplexität reduzieren und die Angriffsfläche verringern
Ein digitales Unternehmen kann nur florieren, wenn es sicher betrieben wird, d.h. vor Datenverlust geschützt ist und eine geringe Angriffsfläche bietet. Im jährlichen Data Breach Investigations Report (DBIR) von Verizon wird deutlich, dass eine direkte Proportionalität besteht zwischen der Angriffsfläche («Risk Posture») und der Anzahl Cyberangriffe, Unfälle und Lecks («Data Breaches»).
Anders formuliert: Wird die Angriffsfläche reduziert, gehen in gleichem Masse die Breaches zurück.
Das klingt im ersten Moment trivial, aber es zeigt, dass eine reduzierte Angriffsfläche tatsächlich eine sicherere und geschütztere digitale Umgebung bedeutet.
Die Folgefrage ist einfach: Wie kann die Angriffsfläche reduziert werden? Zumal wir ja spätestens aus den Diskussionen rund um Zero Trust wissen, dass es schon lange nicht mehr um die Frage geht, ob Breaches passieren, sondern nur noch darum, wann und wie oft.
Identity & Access Management als Geheimrezept für eine reduzierte Angriffsfläche
Mit Angriffsfläche ist der Bereich einer Organisation gemeint, der angreifbar ist und gehackt werden kann. Diese Fläche setzt sich aus allen Zugangspunkten zusammen, die ein Unbefugter nutzen könnte, um in das System einzudringen und Daten zu stehlen, zu verschlüsseln oder andere Schäden oder Manipulationen zu verursachen. Je kleiner sie ist, desto einfacher und kostengünstiger ist es, eine Organisation oder ein Unternehmen zu schützen.
Aus dem Verizon-Bericht geht ebenfalls hervor, dass die Implementierung von Identity & Access Management (IAM) in einer Unternehmensumgebung ein sehr effektiver Weg sein kann, um die Angriffsfläche zu verringern. Ein IAM-System tut dies, indem es den Zugriff auf die Daten des Unternehmens mittels digitaler Identitäten kontrolliert und die Rechte dieser Identitäten in der gesamten Unternehmensumgebung granular verwaltet. Berechtigungen werden nicht unkontrolliert vergeben, sondern durch Beantragungs- und Genehmigungs-Workflows und sie werden auch wieder entzogen, wenn sie nicht mehr gebraucht werden oder wenn ein Mitarbeiter das Unternehmen verlässt. Und: Das alles lässt sich weitgehend automatisieren.
Der IAM-Ansatz kostet zwar etwas Geld, aber wenn man bedenkt, wie viel Geld und wertvolle Daten/Assets ein Unternehmen durch Data Breaches aller Art verlieren kann (nicht nur durch böswillige Cyberangriffe von außen, sondern auch ganz oft durch interne Unfälle wie Fehlkonfigurationen durch Laien mit zu hohen Berechtigungen), dann macht es durchaus Sinn, Geld in einen der wichtigsten Bereiche eines Unternehmens zu investieren – die Sicherheit. Ein Großteil der Breaches passiert alleine aufgrund von schwachen oder gestohlenen Passwörtern. Auch hierzu liefert der Verizon-Bericht weitere Details, falls Sie interessiert sind.
Kontrolle erhalten
Eine sichere Umgebung einer modernen digitalen Organisation wird mit Hilfe von Identity & Access Management aufgebaut, denn die Kontrolle über die Identitäten und ihre Zugriffe auf die Daten bedeutet eine sichere und geschützte Umgebung mit kontrollierter Angriffsfläche.
Räumen wir an dieser Stelle kurz mit dem Tool-Hype auf. Das wichtigste ist die Strategie. Damit meinen wir die Prozesse und Strukturen, die mittels IAM umgesetzt werden sollen. Das Tool ist zweitrangig, solange es die nötigen Funktionen mitbringt. Natürlich gibt es Unterschiede bei den Lösungen der verschiedenen Hersteller, aber das ist nicht der entscheidende Faktor, ob ein IAM-Projekt gelingt oder nicht.
In großen Unternehmen werden oftmals auch mehrere Tools eingesetzt. An diesem Punkt ist es möglich, durch die Kombination noch vielseitiger und leistungsfähiger zu werden, um die Angriffsfläche zu verringern. Ein ausgereiftes Auditing- und Monitoring-Tool zum Beispiel verbessert die Compliance und gibt mannigfache Analysemöglichkeiten bis hin zur Forensik innerhalb eines Identitätsmanagementsystems durch Audit-Dashboards, Berichte und Datenhistorisierung.
Definition der Cyberangriffe-Vektoren und Beginn der Reduzierung der Angriffsfläche
Unter Angriffsvektoren versteht man im Allgemeinen die Orientierungspunkte auf einer Angriffsfläche, von denen jeder einzelne eine Schwachstelle darstellt, wie z. B. Access Points, Protokolle oder Dienste.
Die Zusammensetzung ist für jede Organisation einzigartig. Es gibt nicht zwei oder drei davon, wie es vielleicht den Anschein hat. Es ist sehr wahrscheinlich, dass eine Organisation Dutzende oder Hunderte wichtiger Angriffsvektoren hat, die anfällig sind, z.B. Kundenportale, VPNs, öffentliche Entwicklungsseiten oder anfällige Webkomponenten. Durch die Identifizierung der wichtigsten Daten und die Einrichtung einer Backup-Strategie kann diese komplexe Geschäftsumgebung geschützt und resilienter gegen Cyberangriffe gemacht werden.
Identity & Access Management gilt als eine der effektivsten Techniken zur Verringerung der Angriffsfläche, da es der Ort ist, an dem sichergestellt wird, dass die richtigen Identitäten (nicht nur Menschen, sondern auch Applikationen, Server, API’s und Devices) den richtigen Zugriff auf die richtigen Daten zum richtigen Zeitpunkt haben. Hier werden die Prinzipien von Zero Trust maßgeblich umgesetzt, allen voran das Prinzip «Never Trust, Always Verify» und das Prinzip von «Least Privilege». Andere effiziente Techniken umfassen:
- Erstellung eines Bereinigungsplans und Beseitigung abgelaufener Zertifikate
- Durchführung einer Code-Revision zur Entfernung von veraltetem oder überflüssigem Code
- Sichere Aufbewahrung von Passwörtern (oder deren Eliminierung) für alle Mitarbeiter und Partner und Bereitstellung von Anleitungen, was im Falle eines Datenverlustes zu tun ist
- Regelmäßiges Scannen der Umgebung, um über den Zustand des Netzwerks informiert zu bleiben.
Die Bedeutung des Monitorings sollte dabei nicht unterschätzt werden. Deshalb ist Identity & Access Management wichtiger denn je. Selbst wenn ein Unternehmen alle diese Techniken angewandt hat, anstatt sich nur für eine oder zwei davon zu entscheiden, stellen Überwachung und Visibilität sicher, dass nichts kaputt oder veraltet ist und die Umgebung sicher ist.
Sicher kann niemals 100% heißen – muss es aber auch nicht
Kein System ist zu 100% sicher, aber viele Unternehmen lassen ihre Umgebungen anfällig für Datenschutzverletzungen und Cyberangriffe. Warum? Sie ergreifen nicht alle notwendigen und wirksamen Maßnahmen, um die Sicherheit Ihres Netzwerks zu gewährleisten. Selbst wenn alle Maßnahmen ergriffen wurden, bedeutet das nicht, dass jemand, der wirklich in ein Netzwerk eindringen will, dazu nicht in der Lage sein wird. Es bedeutet vielmehr, dass Angreifer*innen mit einer hochkomplexen Sicherheitsumgebung empfangen werden, in der die Zugriffe nicht wild herumliegen. Dadurch wird der Angriff so zeit- und arbeitsaufwändig, dass Cyber-Kriminelle einfach zu einem weniger geschützten Unternehmen weiterziehen.
💡 Quellen: