Seit Jahrzehnten gehört es zu den Grundaufgaben der IT, sicherzustellen, dass der Zugriff auf Daten und Ressourcen nur durch berechtigte Mitarbeiter erfolgt. Eine effektive Zugriffskontrolle ist heute aufgrund der Menge an kritischen Unternehmensdaten wichtiger denn je. Allerdings haben die wenigsten Unternehmen ihre Praktiken mit der bestehenden Infrastruktur weiterentwickelt. Zum einen, da aufgrund noch nicht aufgetretener Sicherheitsprobleme keine Notwendigkeit gesehen wurde, zum anderen weil sich die Technik so schnell weiterentwickelt hat, dass andere Bereiche den Vorrang hatten, wenn es um Innovationen und Modernisierungen ging. Administratoren stehen dadurch vor einigen Hürden, die sie zu meistern haben, um zeitgemäße Lösungen und Prozesse aufsetzen zu können.
1. Ausufernde Kosten und Aufwände
Über die Jahre gewachsene IT-Umgebungen setzen sich aus zahlreichen Anwendungen zusammen, deren Datensilos Zugriffsberechtigungen für verschiedene Mitarbeiter und Rollen verlangen. Je größer das Unternehmen, desto heterogener gestaltet sich die IT-Landschaft. Aufgaben wie Passwort-Resets bei Verlust von Login-Daten, das Anlegen verschiedener Konten für neue oder temporäre, oder die Entfernung ehemaliger Mitarbeiter führt zu einem enormen Administrationsaufwand und hohen Kosten. Abhilfe schafft hier die Konsolidierung von fragmentierten Einzellösungen und die Integration einer zentralen Verwaltung. Diese gilt es allerdings zunächst aufwändig übergreifend zu integrieren.
2. Der neue User-Lifecycle
Mitarbeiter bewegen sich heute wesentlich dynamischer im Unternehmen als früher. Statt lineare Karrierewege zu beschreiten, arbeiten sie zunehmend auch projektbezogen in anderen Abteilungen oder wechseln in anderer Funktion innerhalb des Unternehmens. Außerdem sind zunehmend auch externe Berater oder Partner eingebunden, sodass die Vergabe von Zugriffsrechten in deutlich kürzeren Intervallen erfolgt als früher.
3. Antiquierte Authentifizierung
Nutzername und Passwort stellen seit Jahrzehnten die standardmäßige Form der Authentifizierung für Unternehmensanwendungen dar. Sicherheitsexperten predigen allerdings seit Jahren, dass diese Form längst nicht mehr mit den heutigen Anforderungen mithalten kann. Den Beweis liefern ironischerweise die Vorreiter der Tech-Branche selbst. Twitter, Apple, Uber und das Urgestein Yahoo gehören zu den prominenten Namen, die in der Vergangenheit durch Passwort-Pannen Schlagzeilen machten. Auch der halbherzige Versuch, komplexe Passwörter mit Sonderzeichen und Zahlen zu verwenden, stellt für Cyber-Kriminelle nur ein geringes Hindernis dar. Anhand von einfachen Tools sind sie in der Lage, unzählige Kombinationen in kürzester Zeit durchzurechnen. Zeitgemäßer und deutlich sicherer ist der Einsatz von Multi-Faktor- oder biometrischer Authentifizierung.
4. Digitale Einbrüche erkennen und reagieren
Auch die besten Sicherheitspraktiken können heute keinen vollständigen Schutz bieten. Daher müssen die geeigneten Lösungen im Einsatz sein, um möglichst schnell zu bemerken, wenn sich Unbefugte Zugriff auf das System verschaffen. Da Mitarbeiter nicht zu jedem Zeitpunkt sämtliche Login-Versuche verfolgen können, müssen sie auf die Hilfe von Analyse-Tools und Automatismen zurückgreifen. Ein effektiver Ansatz ist die Dokumentation der Zugriffe in Echtzeit und die Analyse von abweichendem Nutzerverhalten. Erfolgt ein Zugriff innerhalb kurzer Zeit mehrmals von verschiedenen Lokationen oder werden ungewöhnlich große Datenmengen von einem Mitarbeiter heruntergeladen – weicht ein Verhalten also vom Standard ab – kann das bedeuten, dass ein Benutzerkonto übernommen wurde. Es gibt nun zwei Möglichkeiten, wie das System darauf reagiert: entweder wird das Konto gesperrt oder ein Alarm ausgelöst. Der Weg in eine moderne Access-Control-Strategie ist vielfältig und einen Königsweg zu definieren ist schwer. Gerade in der heutigen Zeit müssen Unternehmen entscheiden, welche technologischen Maßnahmen und internen Abläufe sie wählen, um den individuellen Anforderungen ihrer Systeme gerecht zu werden. Sicherheit muss schließlich nicht perfekt, aber für die eigenen Anforderungen ausreichend sein.
#Netzpalaver #Citrix