NET 10/2022

11 www.net-im-web.de 10/22 Das Identitäts- und Berechtigungsmanage- mentsystem sollte auf die Prozesse, Organi- sationsstrukturen und Abläufe sowie deren Schutzbedarf zugeschnitten sein und muss die Vorgaben zum Umgang mit Identitäten und Berechtigungen abbilden können. Des Weiteren sollte das Managementsystem den Grundsatz der Funktionstrennung unter- stützen und angemessen vor Angriffen ge- schützt sein. Die Architektur des Identitäts- und Berechtigungsmanagementsystems und der PAM-Lösung muss in erster Linie so ausgelegt sein, dass die durchgängige Verfügbarkeit kritischer Abläufe jederzeit gewahrt ist. Eine Schlüsselrolle kommt darüber hinaus der ein- fachen Pflege undWartung der Komponenten zu: • PAMermöglicht es staatlichen und kom- munalen Einrichtungen, ihre Abläufe beim Management der Identitäten zu optimieren und zu automatisieren – und verringert so nachhaltig den administrati- venAufwand der gesamtenOrganisation. • Einsatz eines zentralen Authentifizie- rungsdienstes: Für das zentrale Iden- titäts- und Berechtigungsmanagement sollte – nach sorgfältiger Planung – ein zentraler, netzbasierter Authentifizie- rungsdienst eingesetzt werden. Es hat sich als hilfreich erwiesen, die für die Auswahl eines solchen Dienstes rele- vanten Sicherheitsanforderungen genau zu dokumentieren. Bei der Verwendung eines zentralen Authentifizierungsdiens- tes sollten Einrichtungen darauf achten, dass sich dieser nahtlos mit der PAM- Lösung integrieren lässt. • Einweisung aller Mitarbeiter in denUm- gang mit Authentifizierungsverfahren und -mechanismen: Staatliche und kommunale Einrichtungen sowie auch größere Unternehmen sollten verständ- liche Richtlinien für den Umgang mit den Anmeldeverfahren bereitstellen, ihre Mitarbeiter über relevante Regelungen informieren und im korrekten Umgang mit den Verfahren schulen. Bei diesen Schulungen sollten übrigens keines- falls Erklärungen fehlen, warum die Regelungen so getroffen wurden und nicht anders. Wer versteht, warum eine Unbequemlichkeit existiert, wird keinen oder zumindest nicht sofort einen Weg suchen, sie zu umgehen. Need to Know und Least Privilege Das BSI definiert für das „Identitäts- und Berechtigungsmanagement“ drei spezifische Bedrohungen, die von besonderer Bedeu- tung sind. PAM hilft dabei, sie zu entschär- fen: Um Zugriffe auf das erforderliche Maß einzuschränken und die Prinzipien Need to Know und Least Privilege zu erfüllen, müssen IAM-Prozesse (Identity & Access Management) ganzheitlich definiert und implementiert werden. Dies betrifft den ge- samten Lifecycle einer Identität – vomEintritt eines Mitarbeiters in das Unternehmen über einen Abteilungswechsel, der mit veränderten Berechtigungen einhergeht, bis zum Aus- scheiden des Mitarbeiters. In diesem Fall müssen Administratoren über jede Änderung unmittelbar und im Idealfall automatisiert in Kenntnis gesetzt werden, um zu verhindern, dass ein ehemaliger Mitarbeiter weiterhin auf seinen Account und schützenswerte Assets zugreifen kann. Dabei gibt es in den Einrichtungen erfahrungsgemäß viele vergleichbare Prozesse, die so komplex sind, dass sie sich nicht mehr manuell verwalten lassen, d.h., die Adminis- tratoren sind auf technische Unterstützung angewiesen. Least Privilege undNeed toKnow sind demnach auch auf der IT-Infrastruktur- ebene umzusetzen. Auch die Nutzung von Service-Accounts und die zeitnahe Vergabe von Nutzungsrechten an IT-Services sind manuell nur eingeschränkt administrierbar und erfordern in der Praxis automatisierte Prozesse. Hier haben sich PAM-Lösungen sehr bewährt. Diese können entweder als selbstständige Lösung implementiert oder zusammen mit einem Identitätsmanagement eingesetzt werden. Der Zugang zu multiplen IT-Sys- temen ist ein besonderes Privileg, das am zuverlässigsten durch eine Kombination der Need-to-Know- und Least-Privilege-Prinzi- pien geregelt werden kann. Hier können moderne PAM-Lösungen ihren Funktions- umfang voll ausspielen. Es ist notwendig zu verhindern, dass Mitarbeiter für mehrere Systeme dasselbe Passwort nutzen. Darüber hinaus sollten Passwörter durch automatisierte Passwortrotation regelmäßig gewechselt wer- den und Session-Monitoring als technische Unterstützung des Vieraugenprinzips an- gewendet werden, um privilegierte Konten vor Missbrauch zu schützen. Fazit Egal wie man dazu steht, die Sicherheitswelt hat sich in den letzten Jahren massiv verän- dert und für Unternehmen ist es ein echter Zugewinn, mit Partnern wie Controlware zusammenzuarbeiten, die Produkte verschie- denster Hersteller aus dem Sicherheitsumfeld kennen und daraus maßgeschneiderte und passgenaue Lösungen für ein Unternehmen erstellen, die tatsächlich vor demWorst Case schützen – und dies nicht nur versprechen, aber im entscheidenden Augenblick versagen. Auch für die Hersteller von Hard- und Soft- ware zumSchutz vor Angriffen ist das System- haus Controlware ein echter Zugewinn. Die Kunden erhalten ausgefeilte Lösungen und die eigenen Produkte landen nicht in einer verbastelten Umgebung, in der sie letztlich ihre Stärken nicht oder zumindest nicht voll- ständig entfalten können. www.controlware.de Gemeinsam gegen Cybercrime Ein Managementsystem soll die Funktionstrennung unterstützen und vor Angriffen geschützt sein