Problemfall Identity-Management
Lücken im Identitätsschutz
Sie gehören zu den größten Gefahren, die der IT-Sicherheit zu schaffen machen: identitätsbasierte Angriffe. Gerade in Unternehmen, die mit hybriden Netzwerken arbeiten, finden Angreifer auf diesem Weg diverse Schlupflöcher. Sie bemächtigen sich zum Beispiel Benutzerkonten, um ihre ersten Schritte ins Unternehmen über SaaS-Apps und IaaS-Angebote zu machen, oder sie entern die IT-Infrastruktur über VPN- oder RDP-Verbindungen.
Der gängige Identitätsschutz in Unternehmen kann heute meist nur mangelhaft erkennen, ob die Authentifizierung eines Benutzers problematisch ist. So lassen sich feindliche Authentifizierungsversuche nur ungenügend abwehren. Dieses Defizit beim Entdecken bösartiger Versuche lässt sich darauf zurückführen, dass Unternehmen in ihrem kompletten hybriden Netzwerk verschiedene IAM-Lösungen (Identity- und Access-Management) einsetzen.
Viele Unternehmen nutzen zumindest ein lokales Verzeichnis wie das Active Directory und einen Cloud-IdP (Identity Provider) für gängige Web-Applikationen. Dazu kommt ein VPN, um remote auf das Netzwerk zugreifen zu können, sowie eine PAM-Lösung (Privileged-Access-Management), um privilegierte Zugänge zu verwalten. Oft gibt es jedoch keine homogene Maßnahme, die jeden einzelnen Akt der Authentifizierung eines Benutzers quer durch alle Umgebungen und Ressourcen hindurch kontrolliert und untersucht.
Dadurch geht das Potenzial verloren, den kompletten Zusammenhang aller Zugriffsversuche nachzuvollziehen. So verpassen Unternehmen die Chance, Abweichungen auszumachen, die eine gefährliche Vorgehensweise oder eine feindliche Benutzung kompromittierter Anmeldedaten bedeuten können. Lücken in der Abwehr entstehen selbst dann, wenn Unternehmen wichtige Schutzmechanismen wie Multi-Faktor-Authentifizierung (MFA), risikobasierte Authentifizierung (RBA) und Conditional Access Enforcement (kontextabhängige Zugangskontrolle) implementiert haben. Denn diese IAM-Mechanismen lassen sich nicht über alle Systeme des Unternehmens spannen, sodass Sicherheitslöcher bleiben und viele Assets und Ressourcen weiterhin gefährdet sind.
Dazu gehören hauseigene und selbst entwickelte Anwendungen, die IT-Infrastruktur, Dateifreigaben, Datenbanken, Industriesysteme, Command-Line-Tools und viele weitere heikle Assets, auf die es die Hacker abgesehen haben. Der Schutz dieser Assets baut immer noch auf passwortbasierten Mechanismen und traditionellen Protokollen auf. Diese sind allerdings durch die heutigen agenten- oder Proxy-basierten Lösungen nicht ausreichend geschützt, denn ein Großteil der IAM-Tools kann sich nicht in sie integrieren oder deren Protokolle unterstützen.
Es gibt also viele Bereitstellungsmöglichkeiten in einem hybriden Netzwerk und Mitarbeiter können auf jede einzelne auf ganz unterschiedliche Weise zugreifen. Der Schutz von ein paar einzelnen Diensten kann in so einem Konstrukt nur ungenügend sein: Überall, wo der Schutzmechanismus fehlt, bleibt ein mögliches Schlupfloch für Hacker bestehen. Doch Einzellösungen für jede einzelne Unternehmensressource, etwa durch den Einsatz von Software-Agenten, Proxiess und SDKs (Software Developer Kits), sind heute kaum mehr praktikabel. Heutige IAM-Sicherheitslösungen sind daher keine wirksame Maßnahme, um feindliche Zugriffe und laterale Bewegungen zu stoppen, die auf kompromittierte Anmeldedaten zurückgehen.
- Lücken im Identitätsschutz
- Einheitlicher Schutz
Lesen Sie mehr zum Thema
