Der Cyber-Bedrohung einen Schritt voraus
Wie sieht eine risikobasierter Sicherheitsstrategie idealerweise aus, wo genau liegen ihre Vorteile und welche Rolle spielen Access-Management-Lösungen in diesem Szenario?
CISOs oder IT-Leiter haben heute etwas von Akrobaten: Auf der einen Seite müssen sie den Compliance-Anforderungen und Regelwerken ihres Unternehmens genügen – auf der anderen Seite dessen Businessagilität wirksam fördern beziehungsweise die Wertschöpfungskette nicht im Versuch der Risikominimierung unterbrechen. Dieser Spagat ist insbesondere in kleinen und mittelständischen Unternehmen schwer zu bewältigen, deren Mittel oftmals sehr begrenzt sind. Eine Möglichkeit, diesen Herausforderungen zu begegnen, ist eine risikobasierte Sicherheitsstrategie. Doch wie sieht ein risikobasierter Ansatz idealerweise aus, wo genau liegen seine Vorteile und welche Rolle spielen Access-Management-Lösungen in diesem Szenario?
Vor dem Hintergrund der zunehmenden Zahl von raffiniert geplanten und durchgeführten Angriffen, die mittlerweile längst nicht mehr nur bestimmte Sektoren treffen, ist klar, dass die IT-Sicherheitsverantwortlichen (oftmals die CISOs) ihre Strategien neu überdenken müssen. Dazu gehört nicht nur, über die neusten Angriffstaktiken auf dem Laufenden zu bleiben, sondern auch die Schwachstellen und Risikowiderstandsfähigkeit im Ökosystem aufzuzeigen und zu analysieren. Zudem müssen Compliance-Strukturen aufgebaut werden (und sich an sie gehalten werden), um Risiken
zu mindern und Vorgehen für die Risikobewältigung zu implementieren.
Access Management als Brücke zwischen Compliance und Risikomanagement
Bei heute immer größeren vernetzen Systemen ist ein Schlüsselansatz die Zugangssicherheit und deren Management – besser bekannt als Identity- und Access Management (IAM). IAM spielt eine wichtige Rolle in jeder Sicherheitsstrategie, da es wie ein stärkender Grundstock im Kontext der IT-Sicherheit gesehen werden kann. Es handelt sich dabei um ein Tool, das es Unternehmen ermöglicht, Zugriffsberechtigungen und -voraussetzungen einzelner Nutzer zu definieren und zu managen. Die Kernaufgabe besteht darin, einem User eine digitale Identität zuzuweisen, die dann über den gesamten Access Lifecycle eines Nutzers hinweg aktualisiert und überwacht wird. Auf Basis dieser Identität wird entschieden, ob und zu welchen Bereichen und Daten im System der User Zugriff bekommt.
Somit können Administratoren zum einen die Aktivitäten von Nutzern überwachen und zum anderen bei Bedarf auch deren Berechtigungen anpassen. Wichtig ist vor allem, dass IAM-Tools bei der Überbrückung genau dieser beschriebenen Kluft von Compliance und erfolgreichem Risikomanagement helfen. Die Systeme sind so konzipiert, dass sie die Zugriffsberechtigungen eines ganzen Unternehmens abbilden und dabei die Erfüllung von internen und externen Compliance-Richtlinien sichergestellt ist. IAM unterstützt die IT-Abteilung dabei, die vielfältigen Compliance-Anforderungen zu erfüllen. Eine wichtige Funktion in diesem Zusammenhang ist beispielsweise der automatisierte Report über Freigaben und Zugriffsrechte.
Warum ist das wichtig?
Die deutliche Mehrheit von Angriffen auf Computernetzwerke wird unter Zuhilfenahme von Techniken zur Erlangung höherer Privilegien durchgeführt. Hierbei handelt es sich um verzeichnisintegrierte
Accounts von natürlichen Personen, Service-Accounts oder aber auch um die Ausnutzung von Berechtigungen lokaler Accounts auf Endpunkten zum Beispiel durch Schadsoftware. Insbesondere im Bereich der kritischen Infrastrukturen (KRITIS) geht es neben dem primären Ziel des Schutzes der Unternehmens- oder Organisationsinfrastruktur und deren Daten auch darum, gesetzlich formulierte Compliance-Anforderungen und Industrienormen wie etwa ISO 27001 oder IEC 62443, die sich mittlerweile als international anerkannter Standard für Security im Umfeld der Prozess- und Automatisierungsindustrie etabliert hat, einzuhalten.
Risikobasierter Ansatz versus compliancebasierter Ansatz
Bei der Frage, wie nun dieser Balanceakt zwischen Compliance-Einhaltung, ausreichender Sicherheit und Businessagilität zu schaffen ist, kommt der risikobasierte Ansatz als förderliche Lösung ins Spiel. Das gilt insbesondere, wenn Systeme hierbei in verschiedene Risikoklassen eingeteilt werden können. Access Management kann – wie angedeutet – die Brücke zwischen den Ansätzen bilden. Doch zuerst muss die Frage geklärt sein, inwiefern risikobasierte Ansätze sich von compliancebasierten Ansätzen unterscheiden. Tatsächlich verhalten sich diese beiden Lösungswege oftmals diametral gegeneinander.
Compliancebasierte Modelle fokussieren sich stärker darauf, notwendige Checklisten abzuarbeiten beziehungsweise die bestehenden Maßnahmenkataloge zu erfüllen. Es sind also vor allem die CISOs und die Compliance-Beauftragten eines Unternehmens, die diesen Weg bevorzugen. Das Bestehen von Audits sowie das Nachkommen der gesetzlichen Anforderungen stehen für sie im Vordergrund.
Bei den risikobasierten Ansätzen hingegen liegt der Fokus auf der Verringerung tatsächlicher Risiken und Gefährdungen durch Cyberangriffe und Datenschutzverletzungen. Daher ist es vor allem das interne IT-Sicherheitsteam, das zu risikobasierten Modellen umsteigt, da nur so echter Schutz gewährleistet werden kann. Insbesondere mit einer Entwicklung zum Homeoffice, die mehr und mehr externe Verbindungen zum Netzwerk geschaffen hat, ist es wichtig, die Risiken für die Systeme zu kennen und zu managen.
Während also beispielsweise der compliancebasierte Ansatz nur dafür sorgen würde, dass ein Unternehmen ein Antiviren-Programm hat, weil es so in den Verordnungen steht, betrachten IT-Sicherheitsbeauftragte auch, ob das Programm modern genug ist, um wirklich vor Malware schützen zu können – denn das gesetzte Häkchen auf der Liste hilft nur wenig, wenn letztlich das System infiltriert wurde und die Wertschöpfungskette unterbrochen ist.
Hier kommt nun Access Management ins Spiel: Nachweise der Compliance-Anforderungen können von einem risikobasierten Ansatz im Bereich Zugriffsmanagement sehr schnell abgeleitet werden. Demnach kann Zugriffsmanagement als das ideale und zentrale Bindeglied zwischen compliance- und risikobasiertem Ansatz betrachtet werden. Zudem stellt es für den CISO ein Mittel dar, das Spannungsfeld zu überwinden (und sich mit dem risikobasierten Ansatz anzufreunden), indem gleich mehrere Compliance-Punkte im Maßnahmenkatalog erfüllt werden. Das liegt an der großen Durchdringung im gesamten IT-Bereich, besonders im Bereich der hochsensiblen Zugangsdaten privilegierter Accounts, in denen der risikobasierte Ansatz die Erreichung von Compliance-Anforderungen fördert.
Wie Zugriffe und Zugänge strukturiert und kanalisiert werden können
Der große Vorteil bei der Einführung eines Access-Management-Systems als Teil eines risikobasierten Ansatzes besteht zunächst im deutlichen Kontrollanstieg, den Nutzer über den Zugriff auf unternehmenseigene Systeme durch externe Mitarbeiter und Dienstleister gewinnen. Zudem werden gewisse Prozesse dadurch erheblich vereinfacht.
Wo zuvor oftmals enorme Wissenslücken über mögliche Zugriffe herrschten (hinsichtlich welcher User was wann ausgeführt hat), werden mit der Einführung eines Zugriffsmanagementsystems diese „Blind Spots“ ausgefüllt – ein zentraler Baustein im kontinuierlichen Verbesserungsprozess innerhalb eines ISMS (Information Security Management Systems) – denn nur wer seine potenziellen Risikopunkte (also die Zugriffspunkte) kennt, kann diese auch absichern.
Bild 1 zeigt deutlich, wie die Systemumgebung ohne Access Management aussieht, wenn zu viele (oftmals Hunderte) „gewachsene“ Zugänge zu verzeichnen sind. Egal, ob ein „Lightweight Directory Access Protocol“ (LDAP) noch mit einer offenen Teamviewer-Session mit dem System verbunden ist oder ein externer User über einen Remote-Computer Zugriff hat, es herrscht keine klar definierte „Autorisierung“, welche die jeweiligen Handlungsstränge und Datenflüsse belegen könnte. Dementsprechend gibt es auch keine Audit-Trails, und auf Dauer wird es unmöglich, zu kontrollieren, wer auf die interne Infrastruktur zugreifen kann.
Bild 1: Gewachsene Zugänge
Dem gegenüber steht der extreme Vergleich dazu, wie sich die Situation nach Einführung eines Zugriffsmanagementsystems unterscheidet: Durch das gezielte Zusammenfassen der verschiedenen Bewegungen innerhalb des Systems (Kanalisierung der Zugriffe) ist es wieder möglich, Kontrolle über den Zugang zu Firmenressourcen zu erhalten. Dank der im Zugriffsmanagement erstellbaren Genehmigungsworkflows (Approval Workflows) ist außerdem eine genaue Definition darüber machbar, wer zu welchem Zeitpunkt welche Sitzung und Daten aufgerufen hat (Bild 2).
Bild 2: Kanalisierte Zugänge
Segmentierung in Risikoklassen und Schutzbedarf von kritischen Systemen
Mit diesem Wissen, wie Zugriffsmanagement dabei hilft, Kontrolle über ein System zu behalten, blicken wir nun auf die Einteilung der verschiedenen Risikoklassen von Geräten und Systemen innerhalb eines Unternehmensnetzwerks. Denn nur so kann ein Zugriffsmanagementsystem innerhalb einer risikobasierten Vorgehensweise gewinnbringend eingesetzt werden. Beim Risikoklassenmodell geht es darum, Schutzmaßnahmen zu definieren, die greifen, wenn eine Interaktion mit einem kritischen System stattfindet. Im Vordergrund steht dabei die Bewertung der Systeme nach ihrer Kritikalität (und damit in verschiedenen Zonen), die sich stark unterscheiden kann. So sind zum Beispiel Gerätschaften, die 24/7 laufen müssen, um die Business Continuity nicht zu gefährden, von höherer Wichtigkeit, und somit muss auch der Schutz intensiviert werden. Beispielsweise weist ein nicht redundant ausgelegtes Krankenhausverwaltungssystem eine andere (viel höhere) Kritikalität auf als etwa ein redundant ausgelegter Printserver.
Die Kritikalität sämtlicher in einer Organisation zu bewertenden Daten ist eine Aufgabe des Unternehmens noch vor der Einführung eines Zugriffsmanagementsystems. Für eine sinnvolle Risikoklassifizierung ist die Orientierung an gängigen Standards hilfreich, welche beispielsweise durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder durch internationale Organisationen, wie die International Organization for Standardization (ISO), definiert werden.
Je größer ein Unternehmen, desto komplexer ist die Sicherheitsarchitektur und damit auch die Unterteilung in „Zonen“ oder „Risikoklassen“. Innerhalb der Zonen gibt es zudem noch weitere Unterteilungen, beispielsweise mag es übergeordnet den OT-Bereich, den Verwaltungsbereich, EAP-Systeme etc. geben, und innerhalb des OT-Bereichs gibt es einzelne Systeme wie Server und andere Geräte, die eigene Risikoklassen bekommen und unterschiedliche Priorisierungen hinsichtlich der Kritikalität erhalten.
Die verschiedenen Risikoklassen
Dieses Zonierungsmodell ist dreidimensional, da es nur dann optimal adressiert werden kann, wenn das verwendete Access-Management-Tool kanalisierte Zugänge, Risikomanagement und eine Einteilung in die Risikoklassen unterstützt. Grundsätzlich werden die Systeme, deren eingrenzenden Regularien – also Passwortstärke, Passwortrotation, Passwort-Checkout-Regeln, Sitzungsmanagement – sowie die für den Zugriff auf die Zielsysteme verwendeten privilegierten Konten, in vier Risikoklassen eingeteilt:
- RISK0-Systeme: sehr hohes Risiko, sehr hoher Schutzbedarf. (Very High Risk Level)
- RISK1-Systeme: hohes Risiko, hoher Schutzbedarf. (High Risk Level)
- RISK2-Systeme: mittleres Risiko, mittlerer Schutzbedarf. (Mid Risk Level)
- RISK3-Systeme: niedriges Risiko, niedriger Schutzbedarf. (Low Risk Level)
Wie bereits erwähnt, werden diese Klassen ebenso auf Passwörter, Konten, Sitzungen und Dienste angewendet. Das bedeutet, dass beispielsweise einem RISK0-System auch eine dieser Risikoklasse entsprechende Session-Management-Policy, Passwort-Change-Policy inklusive Passwortkomplexitätssteuerung, Passwort-Checkout-Policy etc. zugeordnet werden muss, um ein schlüssiges, risikoklassenbasiertes Zugriffsmanagement zu betreiben.
Um diese Risikoklassifizierung auch an die geltenden Sicherheitsregularien der Branche und des Unternehmens anzupassen, gibt es bereits Lösungen auf dem Markt, die diese Komponenten verbinden. Eine anpassbare Vorlage, die eine unkomplizierte Anpassung des Zugriffsmanagements an die Policies erlaubt, kann hierbei Gold wert sein, denn sowohl Compliance- als auch Sicherheitsbeauftragte stehen bereits genug unter Stress.
Nicht „Out of the box“ aber dafür „State of the art“
Die Etablierung eines risikoklassenbasierten Zugriffsmanagementsystems ergibt aus vielerlei Hinsicht Sinn. Neben der Erfüllung von Compliance-Anforderungen und der nahtlosen Integration in einen risikobasierten Ansatz, der im Informationssicherheitsmanagementsystem verfolgt wird, fördert dieser Ansatz – unabhängig von diesen Vorgaben – die Rückerlangung von Kontrolle über alle möglichen Zugriffe auf Unternehmens oder Organisationssysteme.
Mangelende Kontrolle und Kontrollierbarkeit ist in vielen internen IT-Abteilungen heutzutage ein zunehmendes Problem. Die Komplexität der eingesetzten Lösungen hat stetig zugenommen. Immer mehr Arbeitsaufwand fließt in die Anpassungen von CRM, ERP und anderen unternehmenseigenen Lösungen, welche in erster Linie der Produktivität der Unternehmen und Organisationen dienen. Entsprechend viel Wert legen Unternehmensleitung und Entscheider auf eine optimale Verfügbarkeit dieser Anwendungen.
Umso wichtiger ist es also, dass die Informationssicherheitssysteme optimal eingerichtet, schlank und einfach in der Bedienung beziehungsweise Administration sind. Die Ausarbeitung und Etablierung eines derartigen Ansatzes bedeutet sicherlich zunächst einen höheren Planungs- und Integrationsaufwand als ein System „out of the box“ einzusetzen. Durch die Rückerlangung von Kontrolle, der Einrichtung von standardisierten Genehmigungsworkflows auf unternehmenseigene Systeme und der jederzeit nachvollziehbaren Aktionen rechnet sich dieser Aufwand aber schon nach sehr kurzer Zeit.
Sie finden den Artikel auch im eMagazine der IT-SICHERHEIT 3/2022
Stefan Rabben, Area Sales Director DACH & Eastern Europe bei Wallix