Identitäten effektiv schützen

Identitäten sind die atomaren Einheiten der digitalen Zusammenarbeit. Jeder Mensch verfügt über eine Vielzahl von digitalen Identitäten, und jedes Unternehmen muss diese Identitäten geeignet verwalten und schützen, entweder um die gesetzlichen Auflagen zu erfüllen oder um die eigenen Ressourcen zu sichern. Der Diebstahl von Identitäten ist das Einfallstor Nummer Eins für Angreifer, die weltweit Schäden in Billionenhöhe verursachen. Einmal gehackt, führt die gestohlene Identität zu den Honigtöpfen. Gibt es geeignete Strategien, den Identitätsdiebstahl zu verhindern oder wenigstens dessen Auswirkungen zu begrenzen?

Vorbei die Zeiten, als das Passwort für den Zugang zu Unternehmensanwendungen auf einem gelben Zettel am Monitor klebte, sollte man meinen. Aber ist das wirklich so? Im Unternehmen selbst ist es wohl nicht mehr dieser Zettel, aber niemand weiß wirklich, wo die Zugangsdaten zu kritischen Ressourcen in einem Home-Office niedergelegt sind. Kein Wunder: Passwörter sollten möglichst komplex sein, unterschiedlich für jede Anwendung und sich zudem kontinuierlich ändern. Das kann sich niemand wirklich merken. Trotzdem bildet das Passwort noch immer die wichtigste Zugangsquelle zu Ressourcen und damit auch das Hauptangriffsziel zwielichtiger Personen, Organisationen oder gar ganzer Nationen. Sie nutzen nicht nur ausgefeilte technische Tools, sondern auch ganz simples Social-Engineering, um an Zugangsdaten zu gelangen.

„Das Handy in der Tasche oder der Laptop unterwegs sind alles mögliche Zugänge für den Identitätsdiebstahl“, erklärt Christoph Martin, Director Operations und Consulting bei Helmich IT-Security. Und für die Zukunft erwartet er noch viel mehr davon. „Deshalb“, so seine Schlussfolgerung, „ist Identitätsmanagement eine strategische Entscheidung für alle Unternehmen.“

 

Die Lage ist offensichtlich ernst, aber was lässt sich dagegen tun?

„Organisationen sind gut beraten, immer auch den Worst-Case im Auge zu behalten“, empfiehlt Andreas Müller, VP Sales DACH bei Delinea. „Es lassen sich halt nicht alle Identitäten gegenüber dem Angriff Dritter absichern.“ Er liegt mit dieser eher pessimistischen Erkenntnis allerdings auf der Wellenlänge seiner Kollegen aus der Sicherheitsbranche. Der Mensch ist nach wie vor eine große Schwachstelle, und es gilt in erster Linie, das laterale Movement, sprich die Verbreitung der Bedrohung im eigenen Netz zu begrenzen, indem die Zugriffsberechtigungen für einzelne Personen auf ein Minimum limitiert und klare Zugriffsregelungen geschaffen werden.

So trivial es klingt, aber in der Praxis ist die Reduzierung der Zugriffsberechtigungen jedes Mitarbeiters auf ein essentielles Minimum eine wesentliche Maßnahme, um die Ausbreitung von Angriffen zu verhindern. Und das trifft auf jede Ebene des Unternehmens zu: „Die, die am meisten verantworten, sollten die wenigsten Berechtigungen haben“, rät Mirko Oesterhaus, Geschäftsführer von Consulting4IT. Das mutet zunächst seltsam an, birgt aber einen bedenkenswerten Kern. Traditionell wird die Bedeutung einer Position innerhalb einer Organisation mit den Zugriffsrechten auf beliebigen Anwendungen verbunden. Ein Trugschluß, wenn es um die Praxis geht: „Ein Abteilungsleiter oder Geschäftsführer benötigt in der Regel keinen Zugriff auf einzelne operative Verzeichnisse. Besitzt er alle Zugriffsrechte und wird seine Identität gehackt, dann ist im schlechtesten Falle das gesamte Unternehmen verschlüsselt.“

 

Kombination von Maßnahmen

Hacker nutzen heute ganz einfach die Berechtigungen einzelner geknackter Accounts, um sich schnell und effizient im gesamten Netz zu bewegen. Dies zu verhindern, ist eine wesentliche Aufgabe, die nicht mittels einer einzelnen gekauften Identity-Governance-Lösung zu bewältigen ist. Vielmehr ist eine Kombination von Maßnahmen erforderlich, um das Risiko zu begrenzen, so Thomas Müller-Martin, Global Partner Technical Lead bei Omada. „Es geht nicht nur um die reine Effektivität, sondern vor allem um einen kontinuierlichen Soll-Ist-Abgleich, dahingehend, ob die Identitäten so gesetzt sind, wie erforderlich.“ Dies ist eine Voraussetzung, um die Ausbreitungsgeschwindigkeit von Angriffen zu verringern.

Data-Breaches sind keine Frage des „Obs“ sondern des Wanns“. Darin sind sich alle Experten inzwischen einig. Bei allen Anstrengungen der Sicherheitsbranche kann sich kein Unternehmen darauf ausruhen, jemals alles getan zu haben. Vielmehr handelt es sich um einen kontinuierlichen Prozess, eine Aufgabe, die keinen Abschluss findet und die eine kontinuierliche aktive Analyse der eigenen Bedrohungslage erfordert. „Neben den grundsätzlichen Aufgaben wie der Nutzung starker und einzigartiger Passwörter, einer Multi-Faktor-Authentifizierung oder der Sensibilisierung der Mitarbeiter gegenüber Phishing-Attacken ist es offensichtlich inzwischen ein guter Ratschlag, sich darüber zu informieren, was das Internet über das eigene Unternehmen weiß“, meint Bogdan Botezatu, Director Threat Research and Reporting bei Bitdefender. „Digital-Identity-Protection-Solutions überwachen das Internet und informieren das Unternehmen im Ernstfall etwa darüber, ob ihre Credentials zum Kauf angeboten werden.“

 

Nun gut, mag man sagen, in Anbetracht der gut gemeinten Ratschläge bezüglich der Passwörter, die offensichtlich einer Epoche der Vergangenheit angehören, und der Sensibilisierung der Mitarbeiter. Aber wie sieht die Unterstützung in technischer Hinsicht aus, wenn das größte Sicherheitsrisiko nach wie vor die eigenen Angestellten bilden?

„Es gibt hier nur eine Antwort“, meint Ralf Steinbrück, CISSP, Senior Solutions Engineer bei Yubico. Und damit meint er die Phishing-resistente Multi-Faktor-Authentifizierung, am besten implementiert durch Hardware-Security-Keys. „Dies“, so Steinbrück, „reduziert die Wahrscheinlichkeit eines Angriffes enorm.“

 

Nicht zum Ziel werden

MFA, die Multi-Faktor-Authentifizierung, steht bei vielen Experten hoch im Kurs, um Identitäten zu schützen und potenzielle Angriffsversuche zu unterbinden. Und das schon aus rein wirtschaftlichen Gründen – bei den Angreifern. „MFA errichtet eine weitere Hürde und macht den Weg in das Netzwerk schwieriger“, erläutert Zac Warren, Senior Director Cybersecurity Advisory EMEA bei Tanium. „Schließlich kostet dies den Angreifer mehr Zeit und Geld, und so wird er sich eine anderes Ziel suchen, das leichter zu erreichen ist.“

Und es ist wohl so, dass der Schutz von Identitäten am Ende ein Rechenexempel darstellt, sowohl bei den Angreifern als auch bei den Bedrohten. MFA macht es bedeutend schwieriger, Lücken aufzutun und schafft damit offensichtlich eine durchaus wirtschaftliche Perspektive. „Die Multi-Faktor-Authentifizierung ist eine effektive Hilfe für Unternehmen, nicht nur, weil sie die Unternehmenssicherheit erhöht, sondern auch weil sie am Ende Kosten senken kann, etwa bei den Beiträgen für eine abgeschlossene Cyber-Versicherung“, erklärt Markus Senbert, Channel Account Manager bei Sysob.

 

Es scheint, als würde um den Einsatz der Multi-Faktor-Authentisierung langfristig kein Weg vorbei führen – für alle priveligierten und Remote-User zumindest. Aber was bietet die Industrie daneben an, um dem Problem Herr zu werden? Tatsächlich wurden dazu in den vergangenen Jahren eine Reihe von Strategien entwickelt, die sich insbesondere mit dem Fakt beschäftigen, dass sich der Zugang zu Ressourcen heute vor allem auf dem Wege aus der Cloud vollzieht. SASE, der Secure-Access-Service-Edge, ist eine dieser Strategien, mit SSE, dem Secure-Service-Edge als einer wesentlichen Komponente.

Thomas Wetmar, Channel Sales Manager DACH bei Netskope, empfiehlt die Beschäftigung mit eben diesem Thema, wenn es darum geht, Passwort-Phishing-Angriffe umfassen zu verhindern: „Moderne Cloud-Lösungen erkennen, dass es sich bei einer E-Mail um eine unseriöse Quelle handelt“, erklärt er. „Und sie können so dazu beitragen, kritische Daten zu schützen.“

 

Langfristig geplante Angriffe

Am Ende wird es offensichtlich nicht damit getan sein, ein modernes Identity- und Access-Management-System sowie eine Multi-Faktor-Authentisierung zu installieren und die Mitarbeiter zu sensibilisieren, meint zumindest Robert Rudolph, Product Management Consultant bei Forenova. „Die Angreifer von heute fischen nicht mehr mit einem großen Netz, sondern mit einer Angel.“ Sie planen und verfolgen ihre Attacken langfristig, und deshalb ist es aus seiner Sicht notwendig, eine zweite Verteidigungslinie zu errichten, die das Verhalten aller Teilnehmer im Netzwerk analysiert und jeden Abkehrversuch vom Normalverhalten isoliert. „Das kann“, so Rudolph, „nur durch die Hilfe von KI und maschinellem Lernen erfolgen.“

 

Das alles mag für die Auseinandersetzung mit dem Problem der menschlichen Identitäten Hilfestellungen geben, nur hat sich die digitale Welt in den vergangenen Jahren grundlegend in Richtung auf maschinelle Objekte verändert. Das Stichwort heißt IoT und meint, dass sich Myriaden von Geräten am Datenverkehr beteiligen und Zugang zu Ressourcen verlangen. Diese Maschinen existieren in vielefältigsten Ausprägungen vom Kunernetis-Cluster über Application-Server bis hin zu einzelnen IoT-Devices. Und natürlich verfügen sie alle über eine Identität.

„Aber was passiert eigentlich, wenn eine Maschinenidentität kompromittiert wird“, gibt Kevin Bocek, Chief Security Strategist bei Venafi, zu bedenken. „Wenn ein Angreifer eine Maschinenidentität stiehlt, dann eröffnen sich dadurch völlig neue Möglichkeiten, bis hin zur Übernahme der Software-Entwicklung in Maschinengeschwindigkeit.“ Er fordert deshalb eine intensive Zusammenarbeit mit den Entwicklern und eine Control-Plane zum Management der Maschinenidentitäten.

 

Das sieht Anna Collard, Evangelist bei KnowBe4, ebenso: „Wir müssen eine wachsende Zahl von Identitäten verwalten, die nicht mehr nur von Menschen stammen.“ Sie gibt zu bedenken, dass sich in den letzten fünf Jahren die Angriffe auf maschinelle Identitäten um 1.600% erhöht haben. „Wir benötigen künftig eine Plattform für die Verwaltung von menschlichen und nichtmenschlichen Identitäten und deren Lebenszyklen.“ Und sie eröffnet ein weiters Problemfeld. Es muss ja alles nicht nur sicher, sondern auch zu bedienen sein: „Bei all dem dürfen wir die User-Experience nicht vergessen, die am Ende ganz oben steht. Wir müssen den Arbeitsprozess nicht nur sicherer machen, sondern dürfen ihm dabei auch nicht schwieriger machen.“

 

Als wären der Anforderungen noch nicht genug, gibt es ja auch immer noch einen gesetzlichen Rahmen, der von jedem Unternehmen zu beachten ist. Und auch der wird zu einer immer größeren Herausforderung. Wer also glaubt, sich seinen Aufgaben dadurch entziehen zu können, indem er einen Provider damit beauftragt, sich darum zu kümmern, kommt schnell an seine Grenzen. Insbesondere, wenn es sich dabei um einen der Hyperskaler handelt. „Unternehmen, die mit Providern arbeiten, die ihren Hauptsitz außerhalb der EU haben, müssen sich heute extrem damit beschäftigen, die neuen gesetzlichen Regelungen einzuhalten“, erläutert Armin Simon, Regional Director für Encryption Solutions bei Thales. „Das gilt auch, wenn diese versprechen, ihre Daten nur in der EU zu verarbeiten.“

#Netzpalaver