Categories: Workspace

Sicherheit: Musterverletzung als Hinweis auf unerwünschte Aktivitäten

Die Gewährleistung eines angemessenen Niveaus an Sicherheit ist heute eine der zentralen Anforderungen beim Betrieb von IT-Infrastrukturen. In vielen Unternehmen ist die Erkenntnis auch bei Entscheidern angekommen, dass konkrete Bedrohungen für den Betrieb der vorhandenen IT-Infrastruktur und die dort gespeicherten Informationen eine alltägliche Herausforderung sind.  Die hier verarbeiten Informationen umfassen beispielsweise personenbezogene Information von Kunden und Mitarbeitern, vertrauliche Informationen aus den aktuellen Geschäftsprozessen und strategischen Planungen, Unternehmenskommunikation etwa in Form von E-Mails und Dokumenten oder Details zu finanziellen oder technischen Rahmenbedingungen.  Zum Schutz dieser Informationen greifen viele Unternehmen heute schon für die Verwaltung von Anwender-Berechtigungen auf ausgefeilte Konzepte zum Identity und Access Management und der Access Governance zurück. In steigendem Maße wird auch für die Verwaltung von Administrationszugängen auf ein umfassendes Konzept für das Privilege Management gesetzt.

Verhindern, erkennen und angemessen reagieren

Mit aktuell neu hinzukommenden, regulatorischen und rechtlichen Anforderungen entstehen neue Herausforderungen auch für den täglichen Betrieb und dessen kontinuierlicher Sicherheit. Beispielsweise kann durch das IT-Sicherheitsgesetz die Anforderung bestehen, angemessene technische und organisatorische Maßnahmen zum Schutz von IT-Systemen, entsprechend dem „Stand der Technik“ einzurichten. Hierzu gehört in steigendem Maße auch die Analyse des laufenden IT-Betriebes, das Erkennen von möglichen Sicherheitsvorfällen, deren angemessene Bearbeitung und im Nachgang auch die Einhaltung von Meldepflichten über erkannte Sicherheitsvorfälle.  Mehr und mehr steht hier der Aufbau eines sich kontinuierlich verbessernden Prevent-Detect-Respond(-Report)-Zyklus im Vordergrund. Hierbei handelt es sich um die weitgehende Vermeidung (Prevent) von Sicherheitsproblemen durch präventive Maßnahmen, eine im Idealfall weitgehend automatisierte Erkennung (Detect) von potenziellen Sicherheitsvorfällen, die Sicherstellung einer angemessenen Bearbeitung (Respond, auch möglichst automatisiert) und die Bereitstellung aller notwendigen Dokumentationen (Report).

ANZEIGE

European Identity & Cloud Conference 2017

The European Identity & Cloud Conference 2017, taking place May 9 – 12, 2017 at the Dolce Ballhaus Forum Unterschleissheim, Munich/Germany, is Europe’s leading event for Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), as well as Cloud Security. For the 11th time the EIC will offer best practices and discussions with more than 700 participants from worldwide companies including most of the leading vendors, end users, thought leaders, visionaries and analysts.

Überwachung des Ist-Zustands

Um diesen Herausforderungen zu begegnen, rückt eine neue Kategorie von Produkten in den Mittelpunkt der Aufmerksamkeit. Hierbei handelt es sich um sogenannte Produkte für das „User Activity Monitoring“. Vergleichbar den Systemen zur Erkennung von Bedrohungen von Netzwerkanomalien, die etwa unter dem Begriff Real Time Security Intelligence (RTSI) zusammengefasst werden, verarbeiten auch diese in Echtzeit eine Vielzahl von Informationen, um konkrete Analysen der jeweiligen Bedrohungslage durch das Benutzerverhalten zu ermitteln.

Hersteller dieser Systeme bestätigen ein steigendes Interesse an Lösungen dieser Art. Völlig zu Recht wird an dieser Stelle aber gerade in Europa und insbesondere in Deutschland, die Frage nach dem Schutz der Betroffenen, hier insbesondere der Mitarbeiter gestellt. Bindende Regelungen etwa durch die Datenschutz-Gesetzgebung und den Arbeitnehmerschutz geben hier einen engen Rahmen vor.

Abweichung von der Erwartung

Richtig konzipiert und umgesetzt handelt es sich aber hierbei gerade nicht um eine massenhafte, personalisierte und flächendeckende Überwachung aller Mitarbeiter (obwohl frühe Vertreter diese Produktgattung durchaus diesen Eindruck erweckten). Vielmehr geht es um die Erkennung von ungewöhnlichen Verhaltensmustern, die etwa im Missbrauchsfall eines legitimen Zuganges entstehen können. Auf der Basis aktueller Nutzungsdaten, die sowohl aus einem zentralen Autorisierungssystem, den tatsächlichen Zielsystemen oder dem Monitoring eines Privilege Management Systems für Administratoren und andere hoch-privilegierte Accounts ermittelt werden können, werden Analysen als Grundlage einer Sicherheitsbeurteilung erstellt, um unerwünschte und potentiell schädlich Verhaltensmuster zu identifizieren.

Denkbar sind hier mehrere Szenarien, darunter das unerwünschte Verhalten eines böswilligen, internen Benutzers, der legitim übertragene Berechtigungen zum Schaden des Unternehmens einsetzen möchte. Besondere Aufmerksamkeit liegt insbesondere auf dem Missbrauch eines erfolgreich von intern wie extern übernommenen (gehackten) Accounts durch einen externen Angreifer und dessen dann sich verändernde Verhaltensmuster. In beiden Fällen wird das konkrete Verhalten vom bisherigen und damit zu erwartenden Verhalten signifikant abweichen. Die unerwünschte Ausspähung von Kundendaten wird sich beispielsweise in einem vermehrten, massenhaften Zugriff auf Stammdaten zeigen. Eine Vielzahl an Überweisungen auf neu angelegte Lieferantenkonten können (müssen aber nicht) auf betrügerische Absicht hinweisen.

HIGHLIGHT

Produktiver arbeiten mit Unified Communications & Collaboration

Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.

Verschleierung und Schutz der Handelnden

Um eine solche Erst-Analyse vorzunehmen, ist es nicht notwendig, dass die Aktivitäten zur Laufzeit direkt mit einer Person verknüpft sein müssen. Stattdessen wird für unterschiedliche Benutzerprofile ein Normalstatus vermittelt, der üblicherweise zu erwartenden Verhaltensweisen festlegt. Im Regelfall wird sich das Benutzerverhalten innerhalb dieses durch den Normalstatus vorgegebenen Erwartungskorridor bewegen. Im Rahmen dieses Normalzustandes ist eine Verknüpfung der Aktionen nicht mit den ausführenden Benutzern notwendig. Hier hat sich in der Praxis die sogenannte Pseudonymisierung als sinnvoller Ansatz erwiesen, der im Regelbetrieb die Rückschlüsse auf die handelnden Personen verhindert. Erst im Prüfungsfall, also wenn auch durch Nachprüfung der Verdacht auf einen konkreten Sicherheitsvorfall nicht ausgeschlossen werden konnte, sollte in einem wohldefinierten Prozess (denkbar ist hier die Beteiligung von Betroffenen und Arbeitnehmervertretung) die Pseudonymisierung aufgehoben werden.

Herausforderung Technik und Organisation

Die Einführung eines Systems zum User Activity Monitoring stellt eine erhebliche technische wie rechtliche Aufgabe dar. Jedes Unternehmen sollte hierbei kritisch prüfen, ob ein solcher Mechanismus in einem Gesamtkonzept von Access Management und Access Governance einerseits und dem geforderten Niveau an Echtzeitüberwachung andererseits notwendig und angemessen ist. Die Gewährleistung des Schutzes aller betroffenen Anwender und Administratoren, die Ermittlung eines angemessenen und realitätsnahen Regelwerkes zur Ermittlung von belastbaren Kandidaten für potentielle Sicherheitsvorfälle und die Einbindung aller relevanten Personenkreise (etwa Betriebsrat, Datenschutz, Rechtsabteilung, aber auch Audit und Vertreter der möglichen Kontrollinstanzen) in den relevanten Phasen des Systemaufbaus und des Betriebs sind nur drei der Herausforderungen, denen dann angemessen begegnet werden muss.

AUTOR

Matthias Reinwarth ...

... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago