IAM und UTM bringen Ordnung in die IT-Sicherheit
Strategiewechsel für Security
Identity- und Access-Management (IAM) birgt zusammen mit Unified Threat Management (UTM) Einsparpotenziale beim Betrieb von Unternehmens-IT-Infrastrukturen. Darüber hinaus steigt die Flexibilität der sicheren geschäftlichen Kommunikation.
Unternehmen haben zunehmend ein Prob-lem damit, alle berechtigten Kommunikationsteilnehmer zu
erfassen und ihre Einträge auf dem aktuellen Stand zu halten. Dies gilt um so mehr, als eine
Vielzahl an Applikati-onen und Systemen eine Mehrfachadministration oft in mehr als hundert
Verzeichnissen abverlangt. Das Identitätenproblem wird noch dadurch verschärft, dass ohne permanent
aktuelle Teilnehmereinträge keine Authentisierungs- und Autorisierungsrechte verlässlich zugewiesen
werden können. Dies reißt immer größere Löcher in den Sicherheitsschirm der Unternehmen.
Analysten wie die Spezialisten von Gartner haben keinen Zweifel daran: Die Unternehmen werden
ihre Identitäten- und Rechteprobleme nur über Identity- und Access-Management (IAM) in den Griff
bekommen. Denn IAM zentralisiert über alle Zielapplikationen und -systeme die Teilnehmer- und
Rechteverwaltung. Veränderungen in einem Verzeichnis werden automatisch mit den Einträgen in den
anderen Directories abgeglichen (synchronisiert). "IAM verhilft den Unternehmen nicht nur zu einem
umfassenden Zugriffskontrollschirm, sondern auch zu lukrativen Einsparungen und zu einer flexiblen
Ausweitung ihres Geschäftsraums", sagt Ray Wagner, Senior Consultant im Bereich Security Strategies
bei Gartner. Das Analystenunternehmen beziffert die Einsparungen in seiner aktuellen Studie "
Identity and Access Management Now" auf bis zu 30 Prozent, teils sogar mehr, gegenüber dem Status
quo eines Flickenteppichs an separat zu verwaltenden Einzelverzeichnissen.
Marcus Rubenschuh, Senior Manager IT-Security bei Ernst &Young, sieht auch die
Sicherheitswerkzeuge des äußeren Internet-Walls mit ihren Verzeichnissen in die Sogwirkung von IAM
geraten. "Die Administration von Einzelwerkzeugen wie VPN, Firewall, Virus- und Content-Scanner,
E-Mail- und Spam-Filter bis hin zu Intrusion Detection/Prevention wird immer komplexer und dadurch
für die Unternehmen immer zeit- und kostenaufwändiger im Betrieb."
Sicherheit unter Integrationsdruck
Diesen hohen Aufwand zu tragen seien viele Unternehmen nicht mehr bereit. Als Aufwandstreiber
erweisen sich dem Berater zufolge besonders präventive Maßnahmen wie Mustererkennung und der
Einsatz von Regeln, die nur berechtigte Aktivitäten zulassen. Rubenschuh: "Alle diese Muster und
Regeln sind nicht statisch. Sie müssen permanent die reale Benutzerwelt abbilden – also überwacht,
gepflegt und bei Bedarf gelöscht werden." Diese höhere Intelligenz ziehe in den einzelnen
Sicherheitswerkzeugen eine stärkere Differenzierung von Administrationsrechten und damit einen
höheren Administrationsaufwand nach sich.
Dem Ernst & Young-Berater zufolge ist damit die Zeit reif, solche Verwaltungsaufgaben
allmählich an IAM zu übertragen. UTM (Unified Threat Management-) Lösungen qualifiziert er dafür
als idealen Zubringer. "Sie lichten einerseits den Administrationswildwuchs im Internetgrenzwall
und bereinigen andererseits gegenüber IAM die Vielfalt an proprietären Schnittstellen." Frank
Kölmel, Direktor Zentral/Osteuropa bei Secure Computing, sieht UTM-Lösungen wie die eigene "
Security Appliance" über ein LDAP (Lightweight Directory Access Protocol-)Interface für diese
Verwaltungsdelegation an IAM gut gewappnet. "Künftig werden selbst Muster und Regeln im zentralen
Verzeichnis kostensparend mitverwaltet werden können", ist Kölmel überzeugt. Daneben macht er über
die UTM-Lösung – sie vereint alle wichtigen Sicherheitswerkzeuge auf einer Plattform und unter
einer einheitlichen Administrationsoberfläche –, weitere Vorteile für die Unternehmen aus. "Jeder
neue Update oder Security Patch bezieht automatisch alle integrierten Werkzeuge ein." Das dämme die
Aktualisierungsflut, ausgelöst durch viele Einzelwerkzeuge, wirkungsvoll ein. Zudem, so Kölmel,
werde das Risiko an Fehlkonfigurationen und -reaktionen unter einer einheitlichen
Managementoberfläche drastisch reduziert. Insider wie Rubenschuh veranschlagen, dass mittlerweile
rund ein Drittel aller erfolgreichen Attacken auf IT-Ressourcen und damit Geschäftsprozesse auf
Konfigurations- oder Bedienungsfehler zurückzuführen sind.
UTM im kräftigen Aufwind
Die Marktprognose von IDC (International Data Corporation) weist aus, in welchem Aufwind sich
die UTM Appliances, angetrieben durch die Verwaltungszentralisierung über IAM, bewegen. Bis 2009
soll die Zahl der ausgelieferten Einheiten im Jahresschnitt um 18,1 Prozent wachsen, der Umsatz
parallel um 26,7 Prozent. Im Vergleich dazu sollen Einzelwerkzeuge wie VPNs und Firewalls förmlich
vor sich hin dümpeln. Für sie prognostizieren Gartner und Meta Group in den nächsten Jahren nur
noch Umsatzzuwächse von rund fünf Prozent. Mirko Panev, Leiter Homeland Security bei Siemens
Business Services, sieht aus einer weiteren Richtung Druck auf die Unternehmen zukommen, ihr
Identitäten- und Rechtemanagement umfassend zu zentralisieren: "Viele Entscheider sehen die Gefahr
nur von außen und nicht durch eigene Mitarbeiter oder Zeitkräfte. Mit dem Rund-um-Schutz über IAM
werden sie auch diese offenen Flanken decken." Wie dringlich der Innenschutz ist, weist Gartner in
seiner aktuellen Studie aus. 70 Prozent aller Attacken kommen danach nicht von Außen aus dem
Internet, sondern von innen.
Für Rubenschuh ist IAM zudem der richtige Ansatz, bei internen wie externen Veränderungen über
eine umfassende Kontrolle des Zugriffsschirms die Schotten schneller zu schließen. "Beim aktuellen
Sammelsurium an separat zu verwaltenden Directories in den Unternehmen ist es den Administratoren,
wenn überhaupt, nur unter hohem Zeit- und Kostenaufwand möglich, Risiken in der Benutzer- und
Zugriffsverwaltung schnell zu adressieren", meint der Sicherheitsberater. Zudem sieht er, neben den
Einsparungen durch die technische Zentralisierung der Identitäten- und Rechteverwaltung, in
weiteren IAM-Modulen für die Unternehmen Einsparungseffekte und Produktivitätsgewinne schlummern.
Er verweist dazu unter anderem auf das Single Sign-on (SSO). Es automatisiert das Zusammenspiel von
individueller Authentisierung (Netzeingangskontrolle) und Autorisierung für die Zielsysteme. Die
Gartner-Studie bestätigt diese Einschätzung: Sie spricht von Einsparungen durch das SSO-Modul im
Rahmen der Help-Desk-Unterstützung von bis zu 30 Prozent.
Einsparungen und Produktivitätsgewinne
"Produktivitätszuwächse stecken für die Unternehmen im vereinfachten und beschleunigten Zugriff
per SSO", informiert Erwin Schöndlinger, Geschäftsführer von Evidian in Deutschland. Der Hersteller
bietet nach Einschätzung der neuen Gartner-Studie ein umfassendes, konsequent modular aufgebautes
Identity und Access-Managementsystem. "Weil die Teilnehmer über das SSO-Modul nicht länger mit
Passwörtern umgehen müssen, können diese nicht mehr in falsche Hände geraten", unterstreicht der
Geschäftsführer. Auch dieser Zugewinn an IT-Sicherheit trage zu einer höheren Produktivität im
laufenden Geschäft bei. Er nennt als weiteren Produktivitätsförderer den SSO-gestützten
Self-Service. "Neue Teilnehmer können sich darüber im Netz anmelden. Sie bekommen daraufhin
automatisch alle vordefinierten Privilegien für die berechtigten Zielsysteme im Hintergrund
zugewiesen." Durch das IAM-Modul Rollenmanagement werde diese Zuweisung noch beschleunigt. Parallel
profitiere der Administrator über den Einsatz von Gruppenrechten von einer vereinfachten
Rechtevergabe, -überwachung und -anpassung, so Schöndlinger weiter. Auch neue Anwendungen oder
Systeme könnten über diese effiziente Rechtezuordnung schneller und zugleich zugriffssicher in
Betrieb genommen werden.
Die Gartner-Studie sensibilisiert die Entscheider, bei der Auswahl des SSO-Moduls genau darauf
zu achten, dass darüber alle Zielsystemwelten – also Legacy, Client-/Server und Web-Applikationen –
bedient werden können. Denn andernfalls blieben, ob mit oder ohne Rollenmanagement, wichtige
Geschäftsanwendungen und -systeme beim wirtschaftlichen und prozessbeschleunigenden SSO außen vor.
Schöndlinger warnt die Entscheider davor, auf weblastige SSO-Module zu setzen. "Darüber bleiben
zwangsläufig viele der installierten Legacy- und Client-/Server-Systeme außen vor." Die
Gartner-Studie unterstreicht seinen Ratschlag. Danach hat die Webdurchdringung in den meisten
Unternehmen nicht einmal 50 Prozent erreicht. Und, so die Analyse, Legacy- und
Client-/Server-Applikation werden hier noch auf Jahre hinaus Bestand haben.
Über die Flurbereinigung mittels UTM hinaus erschließen sich vielen Unternehmen im
Internet-Grenzwall weitere Einsparungen. Das SSL-VPN (Secure Socket Layer) ist dafür der
zusätzliche Konsolidierungshebel. "Anders als das IPSec-VPN kommt es auf den verteilten Endgeräten
ohne Client-Software aus", betont Mathias Hein, freier Berater aus Wuppertal. Dadurch entfalle auf
den PCs sowie künftig auf mobilen Geräten – allen reiche ein Standard-Browser als VPN-Schnittstelle
– die komplette Softwarepflege, also Installation, Konfiguration, Administration, Anpassung und
Wartung. Auf Sitzungsebene angesiedelt spielt das SSL-VPN zudem, anders als das Netzwerk-VPN, auf
gleichem Level nahtlos mit IAM zusammen. "Dadurch können Unternehmen die Einwahlprozesse mit
direkter Übergabe an die Zugriffskontrolle Ende-zu-Ende verschlüsseln", sieht Hein voraus. Dieses
direkte Zusammenspiel wird den Einsatz von Application Proxy Firewalls sowie separaten
Authentisierungs-Server wie RADIUS oder TACACS+ obsolet machen. IAM wird dann direkt solche
Autorisierungs- beziehungsweise Authentisierungsaufgaben übernehmen.
Während der Markt für VPNs nach Gartner/Meta Group in den nächsten Jahren kaum über Zuwächse von
fünf Prozent hinauskommen wird, soll der Teilmarkt SSL-VPN förmlich durchstarten. IDC
(International Data Corporation) veranschlagt für dieses Segment bis 2009 im Schnitt Zuwächse von
35 Prozent. Dadurch wird es im Netzwerktunnel darunter, im IPSec-Tunnel, zunehmend dunkler werden –
er verliert an Bedeutung.
Doppelt sicher über Smartcards
"Die Einwahlprozesse werden nur dann diese externen Prüfinstanzen passieren können, wenn die
Authentisierung der Teilnehmer an ihren Geräten hinreichend abgesichert ist", gibt Mirko Panev von
Siemens Business Services den Entscheidern zu bedenken. Damit kämen die Unternehmen nicht mehr am
Einsatz von Smartcards mit Zertifikats- oder biometrischer Prüfung vorbei (siehe hierzu auch den
Beitrag "Sesam, logg mich ein" auf Seite 52 in dieser LANline-Ausgabe). Panev empfiehlt den Firmen,
die auf die Direktive von Innen durch IAM bauen wollen, eine Zweiphasenauthentisierung über die
Kombination von Biometrie und Zertifikat. "Nur so kann der SSO hinreichend abgesichert werden."
Andernfalls, so der Manager, hätte der Angreifer mit der Überwindung der ersten Hürde automatisch
Zugriff auf alle Zielsysteme, für die der autorisierte Teilnehmer eine Berechtigung habe. Den
Mehrkosten für die Zweiphasenauthentisierung hält Panev die Einsparungen und Produktivitätszuwächse
durch den Karteneinsatz entgegen. "Solche Multifunktionskarten öffnen, sofern berechtigt,
Parkschranken, Eingangstore und -türen, erfassen Arbeitszeiten, verschlüsseln per Zertifikat
E-Mails, signieren per Zertifikat Bearbeitungsdokumente, verfolgen Firmenleihgüter, beschleunigen
die Reisekostenabrechnung und integrieren eine elektronische Geldbörse für direkte
Zahlungsvorgänge."
Allein der elektronischen Signatur von Dokumenten entlang von Bearbeitungsprozessen misst Panev
ein Einsparungspotenzial von 50 Prozent und mehr gegenüber der umständlichen Wiedervorlage ein. Der
Siemens-Konzern habe durch die Umsetzung des elektronischen Unterschriftenprozesses sogar Zeit- und
Kosteneinsparungen von bis zu 90 Prozent erreicht. Daneben macht Panev weitere Vorteile der neuen
Smartcard-Generation mit größerem Sicherheitsspeicher und stärkerem Prozessor aus: "Der
Fingerabdruck muss den Chip nicht mehr verlassen. Die Zugriffe auf die Zielsysteme per SSO werden
beschleunigt." Nach Panev ist es nicht nur IAM, das dem Smartcard-Einsatz in den Unternehmen Beine
machen wird. "Entwicklungen im öffentlichen Sektor wie digitale Personalausweise und Reisepässe mit
hinterlegten biometrischen Daten unterstützen zusätzlich diesen Trend und eröffnen Standards für
eine kosteneffiziente Nutzung."
Lesen Sie mehr zum Thema
