Identity- und Access-Management im BYOD-Umfeld
Bring Your Own Identity
Viele Arbeitnehmer bringen ihre Internet-fähigen Mobilgeräte mit zur Arbeit. So halten Cloud-Services wie Dropbox und soziale Netzwerke Einzug in die Unternehmen - häufig unter dem Radar der Sicherheitsverantwortlichen. Auch Kunden, Zulieferer oder Partner nutzen eigene Hard- oder Software, um mit dem Unternehmensnetz zu interagieren. Deshalb sind neue Sicherheitsmodelle gefragt. Hier könnte Identity-Management eine Lösung sein.Statt jede Anwendung und jeden Zugang mit Passwörtern zu schützen, sollten Unternehmen lieber die Personen hinter der Technik ins Auge fassen. Ein identitätsbasierter Ansatz kann helfen, auch BYOD (Bring Your Own Device) in den Griff zu bekommen. Moderne Arbeitsprozesse sind heute zunehmend mobil. Das Arbeiten aus dem Home Office oder das das Beantworten von E-Mails am Rande eines Kongresses gehört in vielen Unternehmen zum Arbeitsalltag. Um dabei möglichst effizient zu sein, verwenden Mitarbeiter einfach zu bedienende Anwendungen, die aber trotzdem ein hohes Maß an Sicherheit gewährleisten müssen. Passwörter sind hier das Mittel der Wahl zur Absicherung. Die Schwachpunkte dieses Ansatzes sind hinlänglich bekannt: Kaum jemand kann oder will sich zahlreiche komplexe Kennwörter dauerhaft merken. Identity-Management-Systeme bieten einen Ausweg, indem sie den Benutzer selbst ins Zentrum der Sicherheitsstrategie rücken. Neben der Bereitstellung eindeutiger Identitäten und deren laufender Verwaltung kümmern sich Identity-Management-Systeme um die Vergabe von Rechten - und das effizient, auch für ganze Benutzergruppen. Nicht nur Unternehmen, die gerade einen Umzug in die Cloud planen, tun sich so leichter, verschiedene Sicherheitsanforderungen und Bedingungen für Nutzer zu verwalten. Manche Identity-Management-Systeme sind in der Lage, Identitätsdatenbanken unterschiedlicher Firmen und Anbieter zu synchronisieren. Auf diese Weise sparen sich Unternehmen Zeit und Geld. Identity-Management as a Service - also aus der Cloud - gewinnt ebenfalls an Bedeutung und Beliebtheit. Jenseits des Unternehmens Richtig spannend für Sicherheitsverantwortliche wird das Thema Authentifizierung, wenn es darum geht, Unternehmensgrenzen zu überschreiten und Brücken zu Mitarbeitern von Kunden, Zuliefern oder Partnern zu schaffen und zu verwalten. Sollen diese auf Unternehmensplattformen - beispielsweise ein Procurement- oder Partnerportal - aus dem eigenen Netz oder auch mobil zugreifen, müssen diese Kanäle gleichwertig abgesichert sein. Physische und Netzwerkperimeter verlieren in Bezug auf Sicherheitskonzepte zunehmend an Bedeutung. Wo genau liegen die Herausforderungen, wenn Mobilität im Unternehmensalltag an Bedeutung gewinnt? Zunächst hapert es schon an den Vorgaben für die Benutzer. In Unternehmen herrscht für das mobile Arbeiten immer noch ein Richtlinienmangel: Eine Umfrage vom Juni 2013 im Auftrag von Ping Identity unter 1.000 deutschen Arbeitnehmern ergab, dass 26 Prozent der Unternehmen keine generellen Richtlinien für den Gebrauch betriebseigener mobiler Endgeräte haben oder diese nicht aktiv durchsetzen. Lediglich 40 Prozent der Unternehmen fordern von ihren Angestellten den Schutz des Firmen-Endgeräts durch ein Passwort. Auch in der technischen Umsetzung gibt es weiterhin Verbesserungsbedarf: Für die Hälfte der Befragten (48 Prozent) existieren laut eigener Angaben keine Einschränkungen beim Zugriff auf arbeitsbezogene Anwendungen. Das verwendete Gerät beeinflusst bei nur 29 Prozent der Befragten die Zugriffsrechte, bei 27 Prozent ist der Zugriff mit ihrer Position im Unternehmen verbunden. Unternehmen sollten die Verwendung mobiler Geräte besonders genau beaufsichtigen und regeln, sonst kann es zu Problemen kommen, gerade wenn ein Gerät in die falschen Hände gerät. Ein Endgerät mit sensiblen Unternehmensdaten haben laut Umfrage bereits 15 Prozent der Befragten verloren. Mit einer betreffenden Lösung kann ein Unternehmen die Rechte des Mitarbeiters sofort anpassen und das verlorene Gerät aus seiner Identität lösen. Eine Kernfrage bei der Lösung des BYOD-Problems ist: Auf welche Weise kannn man den privaten Gebrauch eines mobilen Geräts durch den Mitarbeiter von der geschäftlichen Nutzung getrennt behandeln? Was passiert in Bezug auf die Sicherheitsmechanismen, wenn ein Mitarbeiter vom selben Gerät Apps von nicht-offiziellen Plattformen lädt und etwas später geschäftliche E-Mails - eventuell sogar mit vertraulichen Dokumenten im Anhang - verschickt? Ein Lösungsansatz besteht aus einer Architektur von Anwendungen, die alle an die Identität des Beschäftigten anknüpfen. Verwendet der Mitarbeiter das Smartphone im Kontext dieser Architektur beruflich, treten IT-Richtlinien und Sicherheitskontrollen in Kraft. Sobald ein Angestellter sein mobiles Endgerät für keine arbeitsbezogenen Anwendungen nutzt, beachtet die IT dies nicht. Ein solches System bezieht verschiedene Teile ein: Dual-Persona-Lösungen gliedern das mobile Gerät in zwei Teile. MAM-Anwendungen (Mobile-Application-Management) sorgen für die Bereitstellung von Anwendungen auf Unternehmensseiten. Das Identity-Management (IDM) dient der Kontrolle, wie diese Anwendungen Zugriff auf APIs erhalten. MAM und MIM (Mobile-Information-Management) sichern die auf dem Gerät gespeicherten Daten ab. MDM (Mobile-Device-Management) nutzen Unternehmen für die Authentifizierung von PINs und um IT-Verantwortlichen bei Verlust oder Diebstahl von mobilen Endgeräten die Möglichkeit zum Löschen von Unternehmensdaten zu gewähren. Alle oben genannten Komponenten gehen von der Active-Directory-Identität des Benutzers aus. Gleichzeitig kommen Standards wie SAML, OAuth sowie SCIM zum Einsatz, um die Identität des Anwenders über die verschiedenen Sicherheitslösungen und Anwendungen lokal oder in der Cloud hinweg zu verwalten. Zu einer Komplettlösung im IAM-Bereich (Identity- und Access-Management) gehört dann auch die Möglichkeit für Sicherheitsverantwortliche, sehr einfach und schnell neue Nutzer, Anwendungen oder Geräte in die Verwaltung aufzunehmen und bei Bedarf wieder aus dem System zu entfernen. Infrastrukturen werden unübersichtlicher, IT-Sicherheit ist immer schwerer zu gewährleisten. Umso wichtiger sind ganzheitliche Lösungen, die Benutzer (in Form ihrer AD-Identitäten), Geräte und Anwendungen integrieren - statt den Versuch zu unternehmen, diese unabhängig voneinander zu verwalten.
Lesen Sie mehr zum Thema
