Mensch oder Maschine: Jede Identität muss früher oder später auf Systeme und Daten zugreifen

Die Zeiten, in denen nur wenige Administratoren über weitreichende Berechtigungen in den IT-Infrastrukturen von Unternehmen verfügten, sind vorbei. Inzwischen benötigen die meisten Mitarbeiter, Anwendungen und Geräte Rechte, um auf kritische Ressourcen zuzugreifen. Daher braucht jede Identität einen besonderen Schutz. Dafür bieten sich folgende intelligente Berechtigungskontrollen an.

Zero Standing Privileges (ZSP) und Just-in-Time Access (JIT)

Viele Unternehmen statten Anwender dauerhaft mit weitreichenden Berechtigungen aus, auch wenn diese die Rechte nur selten oder niemals benötigen. Die Identitäten werden nicht konsequent über ihren gesamten Lebenszyklus verwaltet und Berechtigungen daher bei Nichtbenutzung auch nicht entzogen. Besser ist es, die privilegierten Zugriffsrechte Just-in-Time zuzuweisen, sodass Anwender nur mit erweiterten Berechtigungen ausgestattet werden, wenn sie diese tatsächlich für eine bestimmte Aufgabe benötigen. Die Herausforderung liegt darin, die Berechtigungen nur für eine definierte Zeit zu vergeben und anschließend wieder zu entfernen. Andernfalls kommt es zu Rechteanhäufungen, durch die Anwender im Laufe der Zeit zu „Super-Usern“ werden. Die modernste Art der Berechtigungszuweisung ist es daher, Anwender standardmäßig mit Zero Standing Privileges auszustatten, sodass sie über keinerlei Berechtigungen in den Zielapplikationen verfügen. Anhand von attributbasierten Zugriffskontrollrichtlinien (ABAC) werden erweiterte Berechtigungen beim Zugriff des Anwenders zur Laufzeit zugewiesen und nach der Session automatisch wieder entfernt.

Session-Isolierung

Eine Session-Isolierung schützt den privilegierten Zugriff, indem der Datenverkehr zwischen dem Endgerät des Anwenders und den kritischen Ressourcen, auf die er zugreift, über einen Proxy-Server geleitet wird. Dadurch besteht keine direkte Verbindung und bei einem Angriff auf den Anwender ist das Risiko, dass auch das entfernte System kompromittiert wird, verringert.

Schutz und Aufzeichnung von Sessions

Der Proxy-Server kann als zusätzlicher Kontrollpunkt dienen, der die Session überwacht und aufzeichnet. Dabei werden alle Aktivitäten erfasst – bis hin zu einzelnen Mausklicks innerhalb einer Webanwendung oder auf einem Server. Die Aktivitäten lassen sich automatisiert analysieren, um ungewöhnliche Aktivitäten zu erkennen, die auf eine Bedrohung hindeuten. In einem solchen Fall wird die Session sofort unterbrochen.

Anwendungskontrolle auf dem Endpoint

Eine umfassende, richtlinienbasierte Anwendungskontrolle hilft, Endgeräte zu schützen und eine sichere Arbeitsumgebung für jede Benutzergruppe zu schaffen. Sie setzt Least-Privilege-Prinzipien auf Endpoints durch und berücksichtigt den Anwendungskontext und verschiedenste Parameter, um zu entscheiden, ob das Ausführen von Anwendungen, Skripten und anderen Aktivitäten zugelassen oder blockiert wird.

Credentials und Secrets Management

Credentials wie Benutzernamen und Passwörter sind notwendig, um Identitäten zuverlässig zu identifizieren. Ein Credential Management übernimmt nicht nur die Verwaltung von Passwörtern, Schlüsseln und anderen Credentials, sondern wacht auch über die Einhaltung von Passwortrichtlinien und rotiert Passwörter beziehungsweise Keys nach definierten Vorgaben, etwa nach einem Zeitplan oder nach bestimmten Ereignissen. Ein Secrets Management erlaubt es, ähnliche Sicherheitsrichtlinien für nicht-menschliche Identitäten durchzusetzen, die beispielsweise in Bots, Skripten, Cloud-Anwendungen und IoT-Geräten zum Einsatz kommen.

Roger Homrich

Recent Posts

Bericht: Neue Finanzierungsrunde bewertet OpenAI mit mehr als 100 Milliarden Dollar

Als Geldgeber sind Apple, Microsoft und Nvidia im Gespräch. OpenAI sucht angeblich frisches Geld zum…

2 Tagen ago

Wieviel Datenschutz bietet mein Device wirklich?

BSI veröffentlicht IT-Sicherheitskennzeichen für mobile Endgeräte. Wirtschaft und Zivilgesellschaft konnten Kriterien dafür mit bestimmen.

3 Tagen ago

8 von 10 Unternehmen von IT-Angriffen betroffen

Laut Bitkom-Studie beläuft sich der Gesamtschaden auf rund 267 Milliarden Euro. China werde zum Standort…

3 Tagen ago

Google schließt vier schwerwiegende Lücken in Chrome

Sie erlauben unter Umständen eine Remotecodeausführung. Updates stehen für Chrome für Windows, macOS, Linux und…

3 Tagen ago

Neue Management-Möglichkeiten für Apple-Geräte

Apple hat auf der WWDC einige Neuerungen für das Gerätemanagement vorgestellt. Eine Einordnung von Surendiran…

3 Tagen ago

Angriffe auf anfällige Windows-Treiber nehmen zu

Kaspersky ermittelt einen Anstieg der Anzahl der Attacken um 23 Prozent. Anfällige Treiber lassen sich…

3 Tagen ago