Zugriffskontrolle und Whitelisting gehören zu den ersten und stärksten Maßnahmen zur Absicherung der Firmen-IT. Viele Unternehmen geben sich dabei allerdings mit der Erstellung von Listen vertrauenswürdiger Webseiten, Anwendungen oder Benutzer zufrieden. Selten werden diese Listen an einem Ort zusammengeführt. Dafür kommen umso häufiger selbst entwickelte Provisioning-Skripte zum Einsatz, um Benutzerrechte zu verwalten – nicht gerade der Königsweg der IT-Sicherheit. Whitelisting kann heute jedoch durchaus moderner arbeiten: Als dynamische Methode hilft es, Zugriffskontrollen auf der Grundlage individueller Identitäten und kontextbezogener Attribute durchzusetzen.
Hier sechs Tipps zur Umsetzung einer dynamischen Rechtevergabe:
- Implementieren Sie ein zentrales Repository mit klar definierten Whitelisting-Richtlinien
In den meisten IT-Abteilungen werden Benutzerrechte für Anwendungen, Datenbanken und Inhalte in separaten Zugriffslisten manuell gepflegt. Regelungen für den Umgang mit sicherheitsrelevanten Technologien werden daneben an wiederum anderen Orten vorgehalten. Die fehlende Automatisierung und dezentrale Zugriffsverwaltung verhindern dabei, dass sich Identitäts- oder Kontextattribute berücksichtigen lassen, die für ein dynamisches Whitelisting nötig sind.
Der Aufbau eines einheitlichen Repository mit klar definierten Whitelisting-Richtlinien ist daher der erste Schritt für den dynamischen Umgang mit Zugriffsrechten. Diese Richtlinien können zwar von verschiedenen Personen mit entsprechender Autorität im Unternehmen verwaltet werden, sie müssen allerdings an einem einzigen, zuverlässigen und aktuellen Ort vorliegen – und das, über alle Ressourcen, Parameter und Benutzergruppen hinweg.
- Lösen Sie sich von selbst erstellten Skripten
Die IT-Sicherheit hat immer dann ein Problem, wenn eine IT-Abteilung auf "Skript-Helden" baut. Die Implementierung von Zugriffsrichtlinien erfolgt leider in vielen Firmen immer noch auf Basis von anwendungs- und datenbankspezifischen Admin-Tools und selbst entwickelten Provisioning-Skripten. Aus sicherheitstechnischer Sicht sind Skripte jedoch schlicht zu unzuverlässig. Auch sind sie nicht untrennbar mit den zugrundeliegenden Richtlinien verbunden.
Die IT benötigt daher heute eine einheitliche und automatisierte Möglichkeit zur Implementierung von Zugriffsrichtlinien, zum Onboarding von Mitarbeitern und zur Erfüllung der steigenden Anforderungen an das Audit-Reporting.
- Entziehen Sie ausscheidenden Mitarbeitern ihre digitalen Rechte
Aus Perspektive der IT-Sicherheit müssen einem Mitarbeiter unmittelbar nach seiner Kündigung alle digitalen Rechte entzogen werden. In der Praxis verfügt allerdings kaum ein Unternehmen über eine automatisierte Technologie, um die Zugriffsberechtigungen einer Person für alle Anwendungen, Datenbanken, SharePoint-Instanzen und Kommunikationsdienste restlos und sofort zu beseitigen. Einige der Rechte bleiben Tage, Wochen oder sogar Monate nach der Kündigung eines Mitarbeiters bestehen.
Verzahnen Sie daher ein einheitliches System für die Rechteverwaltung mit anderen Systemen, die eine Beendigung von Zugriffsrechten anstoßen. Das können zentrale Identity & Access Management Systeme (IAM) ebenso sein, wie HR-Anwendungen oder Auftragsnehmerdatenbanken. Dabei sollte ein führendes System definiert werden (z.B. das HR System), von dem aus alle Änderungen in die IT-Landschaft weitergegeben werden – automatisiert und möglichst ohne notwendiges Zutun eines Administrators.
- Flexibilisieren Sie Ihre Zugriffskontrolle
Die meisten Firmen wenden nur einen begrenzten und relativ groben Satz von Parametern auf ihre Zugriffskontrolle an: Benutzer A erhält Leserechte für Datensatz X, Benutzer B besitzt Administratorrechte für Anwendung Y und so weiter. Die IT-Sicherheit hält bei solch starren Vergaberegeln kaum noch Schritt mit aktuellen Formen der Arbeit. Dies lässt sich nur lösen, indem Zugriffsparameter reichhaltiger und kontextbezogener eingesetzt werden. Geo-Fencing ist ein typisches Beispiel dafür: Je nachdem, an welchem Ort sich ein Nutzer befindet, können seine Zugriffsrechte freier oder strenger gestaltet sein.
Um eine solche flexible Zugriffskontrolle zu implementieren, benötigt die IT-Abteilung jedoch ein Rechte-Management-System, das automatisch und in Echtzeit auf den jeweiligen Sitzungskontext reagiert und eine hashbasierte Identifizierung durchführt. Denn ohne diese Kontrollen schränkt die IT ihre Verteidigungslinie gegen verschiedene Arten von Identitäts- und Content-Spoofing stark ein.
- Schaffen Sie konsistente Prozesse, um neue Cloud-Anwendungen zur Whitelist hinzuzufügen
Mitarbeiter nutzen Cloud-Dienste häufiger, als es den IT-Mitarbeitern vielfach lieb ist. Viele dieser Services werden direkt von den Geschäftsbereichen aktiviert, ohne dass die IT Einfluss darauf hat. Früher wurde dies als "Schatten-IT" bezeichnet. Die Art, wie Mitarbeiter in ihrem Unternehmen Software und analytische Tools in der Cloud nutzen, ist jedoch längst nicht mehr nur ein Schatten – sie ist unternehmenskritisch.
Die IT benötigt also einen schnellen und konsistenten Prozess für das Hinzufügen neuer Cloud-Ressourcen zum Whitelisting-Repository oder der Automatisierungs-Engine. Ein solcher Prozess muss ähnlich verankert sein, wie der einer On-Premise-Anwendung. Ohne ihn ist die IT nicht in der Lage, mit den prozessualen Veränderungen im Unternehmen Schritt zu halten.
- Bereiten Sie sich auf ein Security-Audit vor
Die IT-Abteilung hat heute grundsätzlich die Möglichkeit, jeden Benutzer perfekt auf eine exakt definierte Anzahl an sicheren, digitalen Ressourcen zu beschränken. Ressourcen, auf die er Anspruch hat und die ihn in seiner täglichen Arbeit unterstützen. Dies nützt jedoch wenig, wenn Unternehmen nicht in der Lage sind, einen Compliance-Prüfer glaubwürdig von der Sicherheit der umgesetzten Maßnahmen zu überzeugen.
Aus diesem Grund benötigt die IT ein regelbasiertes und automatisches Rechtemanagement, das sich vollständig selbst dokumentiert. Skripte nützen hier wenig. Nur ein zentrales „Gehirn“, also eine unternehmensübergreifende Zugriffssteuerung, sichert IT-Ressourcen effektiv ab und liefert alle Informationen für ein erfolgreiches Audit. Das IT-Security-Team wird auskunftsfähig: Es kann nachweisen, dass alle erforderlichen Maßnahmen zur Absicherung des Unternehmens ergriffen wurden. Diese „Mean time to Innocence“ – also möglichst schnell den Nachweis für Unschuldigkeit erbringen zu können, ist beim nächsten auftretenden Sicherheitsvorfall essenziell, um zeitnah die richtigen Entscheidungen treffen zu können.
Fazit
Ein automatisierter und richtlinienbasierter Ansatz für die Zugriffskontrolle stärkt die IT-Sicherheit. Indem sich die IT-Abteilung auf ein zentrales Rechtemanagement für den Zugriff auf alle digitalen Ressourcen fokussiert, gelingt der Spagat zwischen dem berechtigten Sicherheitsbedürfnis der IT und einer möglichst weitreichenden digitalen Unterstützung der Mitarbeiter. Ein solcher Ansatz greift bei komplexen Anwendungen für das Kerngeschäft ebenso, wie bei den neuesten Cloud-Services.