Kombinierte IAM- und Auditing-Lösungen
Netzgeschehen nachvollziehen
Mit Identity- und Access-Management-Lösungen (IAM) lässt sich verhindern, dass Anwender im Netz auf Informationen zugreifen, die sie nichts angehen. Zusätzlich kann es sinnvoll sein, das Zugriffsverhalten zu beobachten: Wer hat wann genau was gemacht?
Identity und Access Management, kurz IAM, wird als eine Boom-Technologie in der IT-Sicherheit
gehandelt. Auch IDC hat große Erwartungen und prognostiziert für 2008 ein Umsatzvolumen von 3,5
Milliarden Dollar in diesem Markt. Ein wichtiger Impulsgeber für diese Entwicklung ist der immer
größere Druck auf die Unternehmen, die Einhaltung gesetzlicher Rahmenvorschriften und
Sicherheitsrichtlinien zu gewährleisten, zusammen mit der Gefahr der persönlichen Haftbarkeit für
Manager sicherlich eine wesentliche Triebfeder für die Anschaffung von Compliance-Lösungen.
Benutzermanagement bringt Sicherheit, ist aber aufwändig
Um Missbrauch vorzubeugen, wird dafür gesorgt, dass sich ein Anwender anhand seiner digitalen
Identität – in der Regel Benutzername und Passwort – gegenüber dem IT-System ausweisen muss.
Dadurch stellt ein Unternehmen sicher, dass nur Mitarbeiter mit der entsprechenden Berechtigung auf
bestimmte, geschäftskritische Applikationen zugreifen dürfen. Je nach Größe einer Organisation
verursacht die Verwaltung aller existierenden Benutzer, deren Accounts und Zugriffsrechte für
IT-Administratoren einen enormen Arbeitsaufwand. Denn diese müssen jeden Mitarbeiter einzeln im
System anlegen, Applikationen frei schalten und die Benutzerprofile ständig aktuell halten. Das
Anlegen, Modifizieren sowie das Löschen von Benutzeridentitäten und Berechtigungen gehört zu den
Schlüsselfunktionen beim Identitäten-Management.
Laut Gartner bildet das 4-A-Prinzip die Basis von IAM:
Authentifizierung – Die Identität eines Anwenders wird anhand bestimmter Merkmale überprüft und
so sichergestellt, dass ausschließlich berechtigte Benutzer Zugriff auf Systemressourcen erhalten.
Hier entscheidet sich zudem, wer in welchem Umfang auf Anwendungen zugreifen darf.
Autorisierung – Sind Benutzer als berechtigt identifiziert, können sie gemäß ihrer Rolle auf
bestimmte Applikationen zugreifen. Idealerweise wird der Zugang zu Systemressourcen vom
IT-Verantwortlichen nicht durch starre Richtlinien für jeden Benutzer einzeln festgelegt, sondern
durch hierarchische Zugriffsrechte für ganze Anwendergruppen geregelt.
Administration – Nur eine zentrale Verwaltung verschafft den notwendigen Überblick über die
vorhandenen Anwender und deren Aktivitäten. Diese räumt jedem Anwender beziehungsweise jeder
Anwendergruppe Zugriffsrechte nur für jene Applikationen ein, die im Arbeitsalltag oder für
bestimmte Geschäftsprozesse notwendig sind. Über eine differenzierte Rechtevergabe können
Benutzerprivilegien unter anderem vom verwendeten Endgerät oder dem Aufenthaltsort abhängig gemacht
werden. So könnte einem Angestellten der Zugriff auf bestimmte Daten von außerhalb des Unternehmens
gestattet sein, wohingegen er eine Transaktion nur von seinem PC am Arbeitsplatz aus tätigen
darf.
Auditing – Das Verfahren protokolliert sämtliche Benutzeraktivitäten wie beispielsweise die
Zugriffe auf Dateien und zeichnet diese zum Zweck der Rückverfolgung auf. Nur so erfüllt ein
Unternehmen gesetzliche Vorgaben, die einen genauen Nachweis darüber verlangen, wer was zu welchem
Zeitpunkt getan hat.
Gegenüber proprietären Lösungen bietet zentral implementiertes IAM wesentliche Vorteile. Zum
einen werden der Aufwand und damit die Kosten für Benutzerverwaltung und Provisioning – also die
Vergabe und Aufhebung von Zugangsrechten – geringer. Einzelne Verwaltungsprozesse wie
beispielsweise das Löschen von Zugangsrechten können automatisiert oder zumindest teilautomatisiert
werden, was Zeit spart und manuelle Eingabefehler vermeidet.
Der einheitliche Blick auf den Anwender
Verschiedene Untersuchungen über den aus Helpdesk-Aufgaben und Passwortmanagement resultierenden
Zeitbedarf, beispielsweise beim Anlegen neuer Benutzer, belegen deutlich die Rentabilität solcher
Lösungen. Zum zweiten wird der Schutz geschäftskritischer Anwendungen dank zentral hinterlegter
Sicherheitsregeln und einheitlicher Rechteverwaltung signifikant verbessert. Anders als bei
Insellösungen, bei der für jede Anwendung Identitäten und Rechte separat verwaltet werden müssen,
ermöglicht IAM dem IT-Verantwortlichen einen einheitlichen und vollständigen Blick auf den
Benutzer. Dies resultiert in einem höheren Sicherheitsniveau: Tote Accounts, eine der bedeutendsten
Gefahrenquellen, werden schneller entdeckt. Unregelmäßigkeiten, wie beispielsweise das parallele
Auftreten derselben Benutzer-ID in parallelen Systemen, werden sofort bemerkt. Angestellten, die
aus einem Unternehmen ausscheiden, werden automatisch alle Rechte entzogen. Durch diese und weitere
Funktionen trägt IAM wesentlich zur Einhaltung interner Sicherheitsvorschriften sowie externer
Richtlinien bei. Sarbanes-Oxley (SOX), Basel II und KonTraG (Gesetz zur Kontrolle und Transparenz
im Unternehmensbereich) sind wohl die für in Deutschland ansässige Unternehmen relevantesten
rechtverbindlichen Regeln. Je nach Branche kommen verschiedene weitere Vorschriften dazu. Diese
erfordern die strikte Datenkontrolle genauso wie die exakte Dokumentation von Zahlen oder die
Konformität mit bestimmten gesetzlichen Vorschriften. Abgesehen von der hohen Komplexität einer
unternehmensweit einheitlichen Lösung besteht die Schwierigkeit beim IAM vor allem im Spagat
zwischen Sicherheit und Benutzerfreundlichkeit. So müssen zwar gewisse Einschränkungen in der
Erreichbarkeit von Systemressourcen in Kauf genommen werden, um Anwendungen vor unautorisiertem
Zugriff zu schützen. Bei einem Zuviel an Beschränkungen leidet jedoch die Bedienbarkeit: häufig
auftretende Fehlversuche beim Login können ein Indikator hierfür sein.
In jeder noch so ausgeklügelten Sicherheitsinfrastruktur gibt es aber Spielraum für
Datenmissbrauch. Hier setzt Auditing an: Diese Technologie analysiert das Zugriffsverhalten von
Anwendern, indem sie die in den verschiedenen Betriebssystemen, Applikationen und Datenbanken
vorhandenen Daten miteinander korreliert, auswertet und unternehmensweite Sicherheitsberichte
erstellt. Sämtliche Zugriffsdaten werden mit den zugrunde liegenden Sicherheitsrichtlinien
abgeglichen, sodass nur Verstöße angezeigt werden. Diese können vorliegen, wenn Daten nach
Dienstschluss, am Wochenende oder an nicht zugelassenen Endgeräten abgerufen oder kopiert wurden.
Aus den gesammelten Daten lässt sich ablesen, welche Benutzer welche Informationen benötigen und
wie die Zugriffsgewohnheiten sind. IAM setzt dieses Wissen anschließend in Regeln, Rollen und
Gruppen um. Bei schwerwiegenden Verstößen liefert Auditing den notwendigen forensischen Beweis, um
den Täter zu überführen. Während die IAM-Lösung in der IT-Sicherheit also die Funktion eines
Pförtners übernimmt, der einen Mitarbeiter entweder hineinlässt oder abweist, ist Auditing die
Überwachungskamera, die das Verhalten eines Mitarbeiters aufzeichnet. Die Durchleuchtung eines
Mitarbeiters geht aber nur soweit, wie es aus Sicherheitserwägungen notwendig und gemäß
Datenschutzbestimmungen zulässig ist. So werden Benutzernamen in Auditing-Systemen anonymisiert
dargestellt und nur ein kleiner Kreis speziell autorisierter Personen erhält Einsicht in die
gesammelten Daten.
Fazit
Die Implementierung und das Management einer IAM-Lösung sind nicht trivial. Umso wichtiger ist
es, die bestehenden Richtlinien mittels Auditing permanent auf den Prüfstand zu stellen. Während
die Erstellung von Gruppenrichtlinien im IAM zunächst auf Annahmen beruht, wie Anwendergruppen
Daten und Anwendungen nutzen, prüft Auditing, ob die definierten Rahmenbedingungen eingehalten
werden. Dank der durch Auditing zusammengetragenen Daten zu sicherheitsrelevanten Vorkommnissen im
System, können Administratoren schnell die nötigen Schlüsse über das Zugriffsverhalten der Anwender
ziehen und die bestehenden Sicherheitsrichtlinien gegebenenfalls nachbessern. Um den Benutzer und
sein Verhalten im Netzwerk lückenlos kontrollieren zu können, gehören IAM und Auditing untrennbar
zusammen.
Identity- und Access-Management braucht das Monitoring des User-Verhaltens als Partner, schreibt
der Autor dieses Beitrags. Das wird nicht jeden freuen, denn Unternehmen mit einem Faible für eine
freiheitliche Kommunikationskultur und ein kreatives Betriebsklima (vgl. "Der Mitarbeiter als
Firewall", LANline 7/2005, Seite 56) wittern im Identity-Management auch eine Chance, der internen
IT-Sicherheit das leidige Big-Brother-Image zu nehmen und den Konflikten mit dem
Mitarbeiterdatenschutz zu entkommen. Das wirklich "präventive" Motto dahinter: Wenn ich mein Haus
mit Schlössern baue und Vertrauliches in Tresore stecke, muss ich nicht überall Wächter und Kameras
platzieren. Natürlich besteht beim Auditing die Möglichkeit der Anonymisierung, die der Autor
beschreibt, aber eine einmal implementierte Überwachungslösung entfaltet ihre unerwünschten
Nebenwirkungen auch dann, wenn der Mitarbeiter seinem Arbeitgeber einfach nicht mehr traut. Um dies
zu verhindern, bedarf es bei der Einführung eines Auditing-Systems offener Kommunikation und echter
Erklärungsbereitschaft. Wenn dafür das Budget nicht mehr reicht, hat der ganze Ansatz sein Ziel
verfehlt. Dr. Johannes Wiele
Wo: Bestimmung des Ortes, an dem die Aktion ausgelöst wurde. In der Regel
handelt es sich dabei um den Computer, der die Protokolldatei erstellt hat.
Was: Aufspüren, welche Aktion eine Warnung ausgelöst hat. Zum Beispiel das
Öffnen einer Datei, das Hinzufügen eines Benutzers oder das Löschen eines Log-Files.
Worauf: Identifizierung des Objekts, das durch eine Aktion betroffen ist.
Beispielsweise eine Datei, eine Benutzer-ID oder ein Log-File.
Wann: Ermittlung des Zeitpunkts eines Vorfalls.
Wer: Ermittlung des Auslösers von Sicherheitswarnungen. Das kann ein
autorisierter oder ein anonymer, unbefugter Benutzer sein, ein System oder ein bestimmtes Verfahren
(beispielsweise ein Vulnerability-Scanner).
Woher: Ermittlung der Plattform, auf der der Vorgang ausgelöst wurde. Dabei
kann es sich um einen Rechner oder um eine IP-Adresse handeln.
Wohin: Identifizierung des Objekts, auf den der Vorgang abzielt. Das kann ein
interner Rechner, eine Email-Adresse oder ein externer Anwendungs-Server sein.
Für alle Systeme, Anwendungen und Einzellösungen werden Sicherheits- und
Prüfprotokolle erstellt. Sämtliche Daten werden als Beweismittel für spätere Untersuchungen
archiviert.
Ein konsolidiertes Sicherheitsberichtssystem wird erstellt, das die
Sicherheits- und Prozessdaten sämtlicher relevanter IT-Umgebungen beinhaltet. Hierbei werden alle
verfügbaren Daten über Netzwerk- und Benutzeraktivitäten berücksichtigt.
Sämtliche Daten werden in ein allgemein verständliches Format übertragen, das
die Grundlage für die Bewertung und den Abgleich der von allen überwachten Systemen generierten
Daten bildet.
Es wird sichergestellt, dass Änderungen an Infrastruktur und Zugriffsrechten
nur von dazu befugten Mitarbeitern vorgenommen werden können.
Die Einhaltung der festgelegten Sicherheitsverfahren und -Standards wird
garantiert.
Wird ein Alarm in einem System ausgelöst, erfolgt sofort die Einstufung des
Vorfalls. Erst dann werden Warnmeldungen verschickt.
Lesen Sie mehr zum Thema
