Cloud und BYOD - Herausforderungen für IAM-Strategien

Gestohlene Passwörter öffneten chinesischen Hackern die Tür ins Unternehmensnetz. Über Jahre hinweg stahlen sie unbemerkt technische Dokumentationen, Entwicklungsberichte und Geschäftspläne. Nur durch einen Zufall flog der Einbruch schließlich auf. Die Spionagesoftware war aber so gut versteckt, dass das wahre Ausmaß des Problems noch lange unklar blieb.

Was dem mittlerweile insolventen Netzausrüster Nortel widerfuhr, ist der Albtraum eines jeden IT- und Security-Verantwortlichen und macht einmal mehr deutlich, wie wichtig ein funktionierendes Identity- und Access-Management (IAM) für jedes Unternehmen ist.

Ein IAM-System erlaubt es festzulegen, welche Anwender auf welche Daten und welche Applikationen zugreifen dürfen. Der Zugang wird erst gewährt, wenn sich der User eindeutig identifizieren kann, etwa mittels Passwort, Chipkarte oder eines biometrischen Verfahrens. Doch was sich zunächst relativ einfach anhört, ist alles andere als trivial. Das liegt vor allem daran, dass sich die zu überwachenden Grenzen längst nicht mehr so scharf ziehen lassen wie noch vor einigen Jahren, als die Mitarbeiter über stationäre Arbeitsplatzrechner auf Daten und Applikationen zugriffen, die streng gehütet in den unternehmenseigenen Rechenzentren betrieben wurden.

IAM erfordert Geschick und Fingerspitzengefühl

Heute müssen die IT-Verantwortlichen einer ganz neuen Situation Herr werden. Immer mehr Anwender, intern wie extern, begehren Einlass in die Firmensysteme, um auf die dort lagernden Daten und Anwendungen zuzugreifen. Die Anwender nutzen dafür mehr und mehr mobile Devices wie Tablets und Smartphones, die noch dazu aus ihrem Privatbestand kommen können und sich damit der Kontrolle der IT-Abteilung entziehen. Komplexer wird das Ganze auch dadurch, dass Daten und Anwendungen, auf die mit den unterschiedlichsten Devices zugegriffen wird, nicht mehr nur in den firmeneigenen Systemen liegen, sondern zunehmend auch in der Cloud.

An dieser Stelle sind Geschick und Fingerspitzengefühl gefragt. Denn rigide IAM-Policies, die auf Kosten der Flexibilität gehen, verleiten dazu, die Sicherheitsvorkehrungen zu umgehen. Auf Verständnis der Nutzer für ihre Sorgen und Nöte können die IT-Verantwortlichen allerdings nicht hoffen. Denn die sind aus ihrem privaten Umfeld ein einfaches Handling ihrer User-Identity gewöhnt.

BYOD - CIOs müssen reagieren
Private iPhones und iPads akzeptieren oder aussperren? Über diese Frage zerbrechen sich viele IT-Verantwortliche die Köpfe. Trägt man die Empfehlungen der verschiedenen Analysten zusammen, ergibt sich folgendes Bild:

Tipp 1:
IT-Leiter sollten offen für die Wünsche der Anwender sein. Der Trend zur Consumerisierung lässt sich nicht aufhalten. Nur wer sich darauf einlässt, wird den wachsenden Druck meistern und die Vorteile umsetzen können.

Tipp 2:
Die IT-Organisation sollte eine Strategie ausarbeiten, wie sie ihre Client-Landschaft gestalten will und welche Techniken - etwa Desktop-Virtualisierung - sie dafür benötigt. Wichtig dabei ist auch festzulegen, welche Geräte wozu genutzt werden dürfen.

Tipp 3:
Sicherheit ist ein wichtiges Thema: Doch wer den Gebrauch privater Geräte rigoros zu reglementieren versucht, riskiert im Endeffekt ebenso viele Sicherheitslecks, weil die Devices dann an der IT vorbei ihren Weg ins Unternehmen finden werden.

Tipp 4:
Die Security-Infrastruktur muss in Ordnung sein. Die IT sollte Richtlinien aufstellen, wer auf welche Informationen zugreifen darf. Zudem sollte es Notfallpläne geben, für den Fall, dass Geräte mit sensiblen Daten abhandenkommen.

Tipp 5:
Beweisen Sie Fingerspitzengefühl bei der Definition der Regeln. Wer beispielsweise damit droht, die Geräte in bestimmten Situationen zu beschlagnahmen, treibt die User dazu, die Devices unter dem Radar der IT-Abteilung durchzuschleusen.

Tipp 6:
Angesichts der wachsenden Komplexität rund um neue Endgeräte und Apps empfiehlt Forrester Research, die Verantwortlichkeit für das Management der damit verbundenen Infrastruktur zu bündeln und beispielsweise die Position eines Chief Mobility Officer einzurichten.

Ein gutes Beispiel ist an dieser Stelle einmal mehr Apple, erläutert David Frechette, Vice President beim Identity-Management-Anbieter Symplified. Für die Kunden sei es sehr einfach, mit ihrer Apple-ID auf ihre Inhalte zuzugreifen, egal von wo und mit welchem Gerät. Das erwarteten die Nutzer nun aber auch im Business-Umfeld. "Die Anwender wollen sich nicht mehrfach mit verschiedenen IDs einloggen, um eine App oder einen Service aus dem Unternehmens-Backend zu nutzen", sagt Frechette.

Es mangelt am Risikobewusstsein

Doch nur einer von zehn IT-Verantwortlichen glaubt, dass sich die Anwender der Risiken bewusst sind, die mit der Nutzung privater IT-Geräte im Unternehmensumfeld einhergehen. Das zumindest hat eine Studie von BT ergeben. Nur jeder Fünfte geht davon aus, dass die User mit den Zugriffs- und Genehmigungsprozessen im Zusammenhang mit ByoD vertraut sind. Die Befürchtungen aufseiten der Firmen-IT scheinen nicht unbegründet: Laut der BT-Umfrage sieht ein Drittel der befragten Mitarbeiter kein Risiko, wenn sie ihre privaten Endgeräte im Arbeitskontext verwenden.

Diese Szenarien machen deutlich, dass sich die IT um deutlich mehr Facetten ihrer IAM-Systeme kümmern muss. Neben den klassischen Aufgaben wie dem Passwort- und Account-Management geht es vor allem darum, verschiedenste Typen von Identitäten und ihre Rechte nicht statisch, sondern flexibel über den gesamten Lebenszyklus zu managen. Beispielsweise sollten neue Mitarbeiter je nach Rolle zügig mit allen notwendigen Berechtigungen ausgestattet werden, um schnell produktiv arbeiten zu können. Gleiches gilt, wenn ein Mitarbeiter ausscheidet. Die entsprechenden Accounts sollten zeitnah deaktiviert werden, um Schäden durch irreguläre Nutzung dieser Rechte abzuwenden.

Integration und Automatisierung

Diese Prozesse rund um das Identity-Handling sind indes nicht einfach abzuwickeln. Gerade wenn die Mitarbeiterzahl hoch ist, viele verschiedene Applikationen im Einsatz sind und die Workflows hinter den Berechtigungen eine Vielzahl von Kombinationen möglich machen, kann das IAM extrem komplex werden. Die User-Rechte manuell zu betreuen gestaltet sich aus Sicht von Experten hier fast unmöglich. Anwender in solchen Situationen müssen darauf achten, dass die eingesetzten IAM-Systeme einen hohen Integrations- und Automatisierungsgrad mitbringen. Beispielsweise sollte ein Mitarbeiter, der im HR-System gelöscht wird, automatisch sofort sämtliche Rechte im IAM-System verlieren.

Kritisch: Privileged Accounts

Darüber hinaus gibt es etliche weitere Aspekte, die die IAM-Verantwortlichen im Auge behalten müssen. Angesichts des Kostendrucks und der wachsenden Herausforderungen muss das Identity-Management möglichst effizient betrieben werden. Verschiedene Account-Silos, die aufwendig abgeglichen und synchronisiert werden müssen, kann sich heute niemand mehr leisten. Andreas Cser und Eve Maler, Analysten von Forrester Research, erwarten daher, dass viele Unternehmen ihren Fokus auf die Konsolidierung ihrer Directories legen werden. Ein weiteres wichtiges Ziel ist Forrester zufolge eine bessere Kontrolle der Zugriffsrechte. 40 Prozent aller Sicherheitsverstöße gingen auf das Konto interner Mitarbeiter und Partner. Kritisch seien in diesem Zusammenhang vor allem sogenannte Privileged Accounts mit weitreichenden Zugriffsrechten.

Bitkom, Branchenverband der ITK-Branche
Cloud-Security-Aktivitäten: Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz / Relevanz: 3 von 5 Punkten

BSI
Cloud-Security-Aktivitäten: BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog / Relevanz: 4 von 5 Punkten

CSA, Organisation für Sicherheit im Cloud Computing
Cloud-Security-Aktivitäten: Katalog zu den Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP) / Relevanz: 5 von 5 Punkten

ENISA (Europäische Agentur für Netz- und Informationssicherheit)
Cloud-Security-Aktivitäten: Leitfaden zur Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds / Relevanz: 4 von 5 Punkten

EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk
Cloud-Security-Aktivitäten: Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten

Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie)
Cloud-Security-Aktivitäten: Studie zur Cloud-Computing-Sicherheit / Relevanz: 4 von 5 Punkten

NIST (National Institute of Standards and Technology), US-Behörde
Cloud-Security-Aktivitäten: NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol) / Relevanz: 2 von 5 Punkten

Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute)
Cloud-Security-Aktivitäten: Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing / Relevanz: 3 von 5 Punkten

Secure by Design, Initiative der IBM
Cloud-Security-Aktivitäten: Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen / Relevanz: 2 von 5 Punkten

Security Working Group (USA), Federal Cloud Computing Initiative (FCCI)
Cloud-Security-Aktivitäten: Prozesse und Handlungsempfehlungen für den öffentlichen Sektor / Relevanz: 2 von 5 Punkten

ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern
Cloud-Security-Aktivitäten: Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit / Relevanz: 4 von 5 Punkten

AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern
Cloud-Security-Aktivitäten: SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten

NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.)
Cloud-Security-Aktivitäten: Konzepte für den Schutz vor Angriffen aus dem Datennetz / Relevanz: 3 von 5 Punkten

Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi)
Cloud-Security-Aktivitäten: Cloud-Sicherheit und Interoperabilität; Förderprojekte / Relevanz: 5 von 5 Punkten

Daher gilt es laufend zu prüfen, wie Zugriffsrechte eingesetzt werden, um plötzlich eintretende verdächtige Änderungen möglichst schnell zu erkennen und zu hinterfragen, beispielsweise wenn mit einem Mal Massen an vertraulichen Dokumenten abgerufen werden. Um neuralgische Punkte im Netz zu schützen, muss das IAM-Team eng mit anderen Abteilungen wie beispielsweise Compliance und HR zusammenarbeiten, raten die Forrester-Experten. Zu guter Letzt gilt es, ein Auge auf die Interoperabilität der IAM-Systeme zu haben. Gerade in heterogen zusammengesetzten Infrastrukturen muss das firmeneigene IAM mit anderen Rechtesystemen beispielsweise von Cloud-Anwendungen zurechtkommen. Derzeit bemüht man sich in der Branche um entsprechende Standards wie zum Beispiel das Simple-Cloud-Identity-Management (SCIM)-Protokoll.

Wie sicher ist Cloud-IAM?

Einige Anbieter schlagen vor, das Identity-Management selbst in die Cloud zu verlagern. Damit ließe sich die Sache vereinheitlichen und vereinfachen, werben sie. Doch die Anwender zögern. "Wenn wir unser Active Directory mit sämtlichen IDs unserer Mitarbeiter und Kunden in die Cloud verlagern, geben wir unsere Kronjuwelen aus der Hand", sagt Jerry Archer, Chief Security Officer des US-amerikanischen Finanzhauses Sallie Mae. "Wenn das Hackern in die Hande fällt, haben sie alles."

Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).

Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)

Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).

Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).

Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).

Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)

Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).

Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).

Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)

Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)

Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).

Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).

IAM wird noch komplexer werden, glauben die Experten vom Fraunhofer-Institut für offene Kommunikationssysteme. Dazu beitragen könnte vor allem das Internet der Dinge. Künftig würden neben Menschen auch immer mehr Gegenstände und Produkte vernetzt. Auch die Identitäten dieser Objekte gelte es sicher zu steuern. (hal)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.