Die Gewährleistung eines angemessenen Niveaus an Sicherheit ist heute eine der zentralen Anforderungen beim Betrieb von IT-Infrastrukturen. In vielen Unternehmen ist die Erkenntnis auch bei Entscheidern angekommen, dass konkrete Bedrohungen für den Betrieb der vorhandenen IT-Infrastruktur und die dort gespeicherten Informationen eine alltägliche Herausforderung sind. Die hier verarbeiten Informationen umfassen beispielsweise personenbezogene Information von Kunden und Mitarbeitern, vertrauliche Informationen aus den aktuellen Geschäftsprozessen und strategischen Planungen, Unternehmenskommunikation etwa in Form von E-Mails und Dokumenten oder Details zu finanziellen oder technischen Rahmenbedingungen. Zum Schutz dieser Informationen greifen viele Unternehmen heute schon für die Verwaltung von Anwender-Berechtigungen auf ausgefeilte Konzepte zum Identity und Access Management und der Access Governance zurück. In steigendem Maße wird auch für die Verwaltung von Administrationszugängen auf ein umfassendes Konzept für das Privilege Management gesetzt.
Verhindern, erkennen und angemessen reagieren
Mit aktuell neu hinzukommenden, regulatorischen und rechtlichen Anforderungen entstehen neue Herausforderungen auch für den täglichen Betrieb und dessen kontinuierlicher Sicherheit. Beispielsweise kann durch das IT-Sicherheitsgesetz die Anforderung bestehen, angemessene technische und organisatorische Maßnahmen zum Schutz von IT-Systemen, entsprechend dem „Stand der Technik“ einzurichten. Hierzu gehört in steigendem Maße auch die Analyse des laufenden IT-Betriebes, das Erkennen von möglichen Sicherheitsvorfällen, deren angemessene Bearbeitung und im Nachgang auch die Einhaltung von Meldepflichten über erkannte Sicherheitsvorfälle. Mehr und mehr steht hier der Aufbau eines sich kontinuierlich verbessernden Prevent-Detect-Respond(-Report)-Zyklus im Vordergrund. Hierbei handelt es sich um die weitgehende Vermeidung (Prevent) von Sicherheitsproblemen durch präventive Maßnahmen, eine im Idealfall weitgehend automatisierte Erkennung (Detect) von potenziellen Sicherheitsvorfällen, die Sicherstellung einer angemessenen Bearbeitung (Respond, auch möglichst automatisiert) und die Bereitstellung aller notwendigen Dokumentationen (Report).
European Identity & Cloud Conference 2017
The European Identity & Cloud Conference 2017, taking place May 9 – 12, 2017 at the Dolce Ballhaus Forum Unterschleissheim, Munich/Germany, is Europe’s leading event for Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), as well as Cloud Security. For the 11th time the EIC will offer best practices and discussions with more than 700 participants from worldwide companies including most of the leading vendors, end users, thought leaders, visionaries and analysts.
Überwachung des Ist-Zustands
Um diesen Herausforderungen zu begegnen, rückt eine neue Kategorie von Produkten in den Mittelpunkt der Aufmerksamkeit. Hierbei handelt es sich um sogenannte Produkte für das „User Activity Monitoring“. Vergleichbar den Systemen zur Erkennung von Bedrohungen von Netzwerkanomalien, die etwa unter dem Begriff Real Time Security Intelligence (RTSI) zusammengefasst werden, verarbeiten auch diese in Echtzeit eine Vielzahl von Informationen, um konkrete Analysen der jeweiligen Bedrohungslage durch das Benutzerverhalten zu ermitteln.
Hersteller dieser Systeme bestätigen ein steigendes Interesse an Lösungen dieser Art. Völlig zu Recht wird an dieser Stelle aber gerade in Europa und insbesondere in Deutschland, die Frage nach dem Schutz der Betroffenen, hier insbesondere der Mitarbeiter gestellt. Bindende Regelungen etwa durch die Datenschutz-Gesetzgebung und den Arbeitnehmerschutz geben hier einen engen Rahmen vor.
Abweichung von der Erwartung
Richtig konzipiert und umgesetzt handelt es sich aber hierbei gerade nicht um eine massenhafte, personalisierte und flächendeckende Überwachung aller Mitarbeiter (obwohl frühe Vertreter diese Produktgattung durchaus diesen Eindruck erweckten). Vielmehr geht es um die Erkennung von ungewöhnlichen Verhaltensmustern, die etwa im Missbrauchsfall eines legitimen Zuganges entstehen können. Auf der Basis aktueller Nutzungsdaten, die sowohl aus einem zentralen Autorisierungssystem, den tatsächlichen Zielsystemen oder dem Monitoring eines Privilege Management Systems für Administratoren und andere hoch-privilegierte Accounts ermittelt werden können, werden Analysen als Grundlage einer Sicherheitsbeurteilung erstellt, um unerwünschte und potentiell schädlich Verhaltensmuster zu identifizieren.
Denkbar sind hier mehrere Szenarien, darunter das unerwünschte Verhalten eines böswilligen, internen Benutzers, der legitim übertragene Berechtigungen zum Schaden des Unternehmens einsetzen möchte. Besondere Aufmerksamkeit liegt insbesondere auf dem Missbrauch eines erfolgreich von intern wie extern übernommenen (gehackten) Accounts durch einen externen Angreifer und dessen dann sich verändernde Verhaltensmuster. In beiden Fällen wird das konkrete Verhalten vom bisherigen und damit zu erwartenden Verhalten signifikant abweichen. Die unerwünschte Ausspähung von Kundendaten wird sich beispielsweise in einem vermehrten, massenhaften Zugriff auf Stammdaten zeigen. Eine Vielzahl an Überweisungen auf neu angelegte Lieferantenkonten können (müssen aber nicht) auf betrügerische Absicht hinweisen.
Produktiver arbeiten mit Unified Communications & Collaboration
Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.
Verschleierung und Schutz der Handelnden
Um eine solche Erst-Analyse vorzunehmen, ist es nicht notwendig, dass die Aktivitäten zur Laufzeit direkt mit einer Person verknüpft sein müssen. Stattdessen wird für unterschiedliche Benutzerprofile ein Normalstatus vermittelt, der üblicherweise zu erwartenden Verhaltensweisen festlegt. Im Regelfall wird sich das Benutzerverhalten innerhalb dieses durch den Normalstatus vorgegebenen Erwartungskorridor bewegen. Im Rahmen dieses Normalzustandes ist eine Verknüpfung der Aktionen nicht mit den ausführenden Benutzern notwendig. Hier hat sich in der Praxis die sogenannte Pseudonymisierung als sinnvoller Ansatz erwiesen, der im Regelbetrieb die Rückschlüsse auf die handelnden Personen verhindert. Erst im Prüfungsfall, also wenn auch durch Nachprüfung der Verdacht auf einen konkreten Sicherheitsvorfall nicht ausgeschlossen werden konnte, sollte in einem wohldefinierten Prozess (denkbar ist hier die Beteiligung von Betroffenen und Arbeitnehmervertretung) die Pseudonymisierung aufgehoben werden.
Herausforderung Technik und Organisation
Die Einführung eines Systems zum User Activity Monitoring stellt eine erhebliche technische wie rechtliche Aufgabe dar. Jedes Unternehmen sollte hierbei kritisch prüfen, ob ein solcher Mechanismus in einem Gesamtkonzept von Access Management und Access Governance einerseits und dem geforderten Niveau an Echtzeitüberwachung andererseits notwendig und angemessen ist. Die Gewährleistung des Schutzes aller betroffenen Anwender und Administratoren, die Ermittlung eines angemessenen und realitätsnahen Regelwerkes zur Ermittlung von belastbaren Kandidaten für potentielle Sicherheitsvorfälle und die Einbindung aller relevanten Personenkreise (etwa Betriebsrat, Datenschutz, Rechtsabteilung, aber auch Audit und Vertreter der möglichen Kontrollinstanzen) in den relevanten Phasen des Systemaufbaus und des Betriebs sind nur drei der Herausforderungen, denen dann angemessen begegnet werden muss.
Matthias Reinwarth ...
... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.