Aufbau einer modernen Access-Control-Strategie

Kein Königsweg in Sicht

Seit Jahrzehnten gehört es zu den Grundaufgaben der IT-Abteilung sicherzustellen, dass der Zugriff auf Daten und Ressourcen nur durch berechtigte Mitarbeiter erfolgt. Eine effektive Zugriffskontrolle ist heute aufgrund der Menge an kritischen Unternehmensdaten wichtiger denn je.

Stefan Volmari, Citrix

Unser Autor Stefan Volmari ist Director Sales Engineering für Zentraleuropa bei Citrix.

Allerdings haben die wenigsten Unternehmen ihre Praktiken mit der bestehenden Infrastruktur weiterentwickelt. Zum einen, da aufgrund noch nicht aufgetretener Sicherheitsprobleme keine Notwendigkeit gesehen wurde, zum anderen weil sich die Technik so schnell weiterentwickelt hat, dass andere Bereiche den Vorrang hatten, wenn es um Innovationen und Modernisierungen ging. Administratoren stehen dadurch vor einigen Hürden, die sie zu meistern haben, um zeitgemäße Lösungen und Prozesse aufsetzen zu können. Dazu gehören ausufernde Kosten und Aufwände.

Die Ursache: Über die Jahre gewachsene IT-Umgebungen setzen sich aus zahlreichen Anwendungen zusammen, deren Datensilos Zugriffsberechtigungen für verschiedene Mitarbeiter und Rollen verlangen. Je größer das Unternehmen, desto heterogener gestaltet sich die IT-Landschaft. Aufgaben wie Passwort-Resets bei Verlust von Login-Daten, das Anlegen verschiedener Konten für neue oder temporäre, oder die Entfernung ehemaliger Mitarbeiter führt zu einem enormen Administrationsaufwand und hohen Kosten. Abhilfe schafft hier die Konsolidierung von fragmentierten Einzellösungen und die Integration einer zentralen Verwaltung. Diese gilt es allerdings zunächst aufwändig übergreifend zu integrieren.

Neuer „User-Lifecycle“

Außerdem hat sich der „User-Lifecycle“ geändert. Mitarbeiter bewegen sich heute wesentlich dynamischer im Unternehmen als früher. Statt auf linearen Karrierewegen arbeiten sie zunehmend auch projektbezogen in anderen Abteilungen oder wechseln in anderer Funktion innerhalb des Unternehmens. Außerdem sind zunehmend auch externe Berater oder Partner eingebunden, sodass die Vergabe von Zugriffsrechten in deutlich kürzeren Intervallen erfolgt als früher.

Erschwerend kommt hinzu: Die Authentifizierung ist oft antiquiert. Nutzername und Passwort stellen seit Jahrzehnten die standardmäßige Form der Authentifizierung für Unternehmensanwendungen dar. Sicherheitsexperten predigen allerdings seit Jahren, dass diese Form längst nicht mehr mit den heutigen Anforderungen mithalten kann. Den Beweis liefern ironischerweise die Vorreiter der Tech-Branche selbst: Twitter, Apple, Uber und das Urgestein Yahoo gehören zu den prominenten Namen, die bereits durch Passwort-Pannen Schlagzeilen machten.

Halbherzige Versuche

Auch der halbherzige Versuch, komplexe Passwörter mit Sonderzeichen und Zahlen zu verwenden, stellt für Cyber-Kriminelle nur ein geringes Hindernis dar. Mit einfachen Tools sind sie in der Lage, unzählige Kombinationen in kürzester Zeit durchzurechnen. Zeitgemäßer und deutlich sicherer ist der Einsatz von Multi-Faktor- oder biometrischer Authentifizierung.

Last not least gilt es, „digitale Einbrüche“ schnell zu erkennen und rasch darauf zu reagieren. Denn eines ist klar: Auch die besten Sicherheitspraktiken können heute keinen vollständigen Schutz bieten. Daher müssen die geeigneten Lösungen im Einsatz sein, um möglichst schnell zu bemerken, wenn sich Unbefugte Zugriff auf das System verschaffen.

Weil Mitarbeiter nicht zu jedem Zeitpunkt sämtliche Login-Versuche verfolgen können, müssen sie auf die Hilfe von Analyse-Tools und Automatismen zurückgreifen. Ein effektiver Ansatz ist die Dokumentation der Zugriffe in Echtzeit und die Analyse von abweichendem Nutzerverhalten. Erfolgt ein Zugriff innerhalb kurzer Zeit mehrmals von verschiedenen Lokationen oder werden ungewöhnlich große Datenmengen von einem Mitarbeiter heruntergeladen – weicht ein Verhalten also vom Standard ab – kann das bedeuten, dass ein Benutzerkonto übernommen wurde. Es gibt nun zwei Möglichkeiten, wie das System darauf reagiert: entweder wird das Konto gesperrt oder ein Alarm ausgelöst.

Viele Wege, knifflige Entscheidungen

All das macht klar: Der Weg zu einer modernen Access-Control-Strategie ist vielfältig – und einen Königsweg zu definieren ist schwer. Gerade in der heutigen Zeit müssen Unternehmen entscheiden, welche technologischen Maßnahmen und internen Abläufe sie wählen, um den individuellen Anforderungen ihrer Systeme gerecht zu werden. Sicherheit muss schließlich nicht perfekt, aber für die unternehmenseigenen Anforderungen ausreichend sein.

Bildquelle: Citrix Systems GmbH

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok