Startseite > Security > Ein Sieb für Identitäten

Zugriffskontrolle und Filterung

Ein Sieb für Identitäten

31. Januar 2023, 12:00 Uhr | Avishai Wool/wg

Netzwerkingenieure und Sicherheitsverantwortliche befassen sich mit verschiedenen Ansätzen, um je nach individuellen Anforderungen des Unternehmens die Gefährdung des Netzwerks zu minimieren. Dafür eignet sich insbesondere eine identitäts- oder kennzeichnungsbasierte Zugriffskontrolle.

Bei der Zugriffskontrolle gibt es zwei Hürden: Zum einen arbeiten Beschäftigte mit verschiedenen Geräten – vom Desktop-PC bis zur Smartwatch – und greifen damit von mehreren Standorten auf unterschiedliche Netzwerkteile zu. Die Schwierigkeit besteht darin, dass sich die Zugriffsberechtigung jeder Person mit ihr bewegen sollte, von wo auch immer diese Person auf das Netzwerk zugreifen möchte.

Zum anderen gibt es eine gewisse Mobilität auf technischer Ebene, denn aus der Netzwerkperspektive bewegen sich auch Container und virtuelle Maschinen. Sie können dupliziert oder an einem anderen Ort erneut vernetzt werden. Container besitzen außerdem verschiedene Instanzen, wodurch sie mehrere IP-Adressen und Verbindungspunkte erhalten können.

Die Herausforderung besteht darin, dass beim Einrichten neuer Instanzen oder Kopien auch die Zugriffsberechtigungen dieselben sein müssen. Dabei geht es um Elastizität und Skalierbarkeit, um je nach Bedarf mehr oder weniger Kapazität einzurichten. Diese Schwierigkeiten lassen sich mittels Filterung meistern.

Identitätsbasierte Filterung und Identity-Management

Um die Begriffe zu unterscheiden: Identity-Management hat viele Aspekte. Generell geht es um die Verwaltung digitaler Identitäten von Menschen, also Benutzern, die bestimmte Zugriffsrechte benötigen. Es geht somit um Identifizierung, Login, Passwörter, Multi-Faktor-Authentifizierung etc. Auch die Personalabteilung ist involviert, wenn es gilt, Zugriffsrechte an die einzelnen Rollen im Unternehmen anzupassen.

Hier soll es aber um identitätsbasierte Filterung aus der Netzwerkperspektive gehen. Anbieter solcher Technik sprechen dabei von mehr als nur den personellen Identitäten: Aus der Netzwerkperspektive geht auch um die Identität von Geräten, etwa Servern, oder von Containern. Deshalb sollte man beim Thema identitätsbasierte Filterung immer definieren, ob es um die Identität von Personen oder Geräten geht.

In Bezug auf die Identität von Personen spricht man gerne von User Awareness oder Sicherheitsbewusstsein. Der Begriff identitätsbasierte Filterung ist jedoch schwierig zu greifen, weil er zwei verschiedene Bereiche umfasst, für die man lediglich einen ähnlichen Lösungsansatz verwenden kann: Maschinenidentitäten und Personenidentitäten sind zwei verschiedene Baustellen.