Becom: Thesen zur Zukunft des Identity and Access Managements

Firewalls und Passwörter verlieren ihre Bedeutung

21. März 2022, 8:00 Uhr | Jörg Schröper
Ralf Becker, Geschäftsführer Becom Systemhaus.
© Becom

Der Schutz sensibler Unternehmensnetzwerke und kritischer Infrastrukturen steht auch angesichts einer angespannten Sicherheitslage zunehmend im Fokus. Vielfach stehen aktuell eingesetzte Cyber-Sicherheitskonzepte auf den Prüfstand. Klar ist: Klassische Firewall-Konzepte allein sind nicht mehr in der Lage, hybriden Angriffsmustern ausreichenden Widerstand zu leisten.

Die IT-Security-Experten des Becom-Systemhauses raten IT-Verantwortlichen vor diesem Hintergrund dazu, bei der Netzwerksicherheit verstärkt auf einen Zero-Trust-Ansatz zu setzen. Verdeutlicht werde dies auch durch ein aktuell veröffentlichtes Cybersecurity-Memorandum der US-Regierung mit entsprechenden Richtlinien für Behörden und Regierungsorgane. Besondere Bedeutung kommt dabei einem zeitgemäßen und zentral organisierten Identity and Access Management zu. Die Becom-Fachleute nennen in diesem Zusammenhang drei wesentliche Faktoren.

These 1: Mehr-Faktor-Authentifizierung: Was nicht Phishing-resistent ist, darf nicht zum Einsatz kommen
Viele Unternehmen und Behörden wiegen sich in trügerischer Sicherheit, da sie Methoden für die Mehr-Faktor-Authentifizierung (MFA) implementiert haben. Nicht alle dieser Technik bieten jedoch ausreichenden Schutz bei Online-Angriffen. So sind beispielweise Einmalpasswörter (OTP) via Smartphone-App oder Registrierungen via SMS oder Sprachanruf nach heutigen Maßstäben nicht mehr Phishing-sicher. Empfehlenswert hingegen sind MFA-Verfahren auf der Basis von Standards wie WebAuthn oder Fido2 in Verbindung mit hardwarebasierenden Security Tokens beziehungsweise Smartcards.

These 2: Die Ära der Passwörter geht zu Ende
Passwörter haben im Rahmen eines modernen Identity and Access Managements ihre frühere Rolle verloren und bieten in der Regel keinen Mehrwert, der über einen gefühlten Sicherheitsgewinn hinausgeht. Idealerweise können Unternehmen komplett auf Passwörter verzichten. Ist dies nicht möglich oder gewünscht, sollte man – entgegen der Intuition – auf komplexe Passwortregeln oder den Zwang, das Passwort regelmäßig zu verändern, verzichten. Der Grund: Inzwischen hat sich gezeigt, dass Regelungen dieser Art in der Praxis nicht selten gegenteilig wirken und zu tendenziell unsichereren Passwörtern und Prozessen führen.

These 3: Nur so viel Zugang gewähren, wie unbedingt erforderlich
Eine rollenbasierender Zugangskontrolle fußt in der Regel auf relativ statischen und vordefinierten Rollen. Dies bringt fast zwangsläufig mit sich, dass Mitarbeiterinnen und Mitarbeiter auch uneingeschränkten Zugriff zu Ressourcen haben, die sie zwar immer wieder, allerdings nur relativ selten benötigen. Ratsam sei hier deshalb, wo immer möglich auf deutlich dynamischere und detailliertere Zugangsberechtigungen zu setzen. Im Idealfall haben Nutzerinnen und Nutzer beispielsweise nur für den Zeitraum Zugang zu einer bestimmten Ressource, in dem dieser Zugriff auch tatsächlich benötigt wird.

„Zero Trust bedeutet im Endeffekt einen klaren Paradigmenwechsel. Das bislang verwendete Konzept eines vermeintlich sicheren internen Netzwerks, das per Firewall gegen Bedrohungen aus dem Internet geschützt wird, bietet gegen moderne Angriffstechniken keine ausreichende Sicherheit mehr. Die Grundlage für ein Zero-Trust-Konzept hingegen ist, das interne Netz grundsätzlich als unsicher und kompromittiert zu betrachten. Eine ebenso logische wie klare Konsequenz daraus ist, von einer Benutzer-Anmeldung auf Netzwerkebene hin zu einer Anmeldung beziehungsweise Authentifizierung auf Anwendungsebene zu gelangen. Wie wichtig und auch zeitkritisch die Umsetzung einer solchen Netzwerksicherheits-Architektur ist, zeigen die zunehmenden Berichte über immer professioneller ausgeführte Cyber-Attacken verschiedenster Akteure“, sagte Ralf Becker, Geschäftsführer von Becom . Das Systemhaus aus Wetzlar hat sich auf die Themenkomplexe Standortvernetzung, IT-Security und SD-WAN spezialisiert.

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu RUWEL International GmbH

Weitere Artikel zu Security-Management

Weitere Artikel zu Security-Services

Matchmaker+