IAM für digitale Arbeitsplätze
Wer bist du und wenn ja, wie viele?
Seit Beginn der Corona-Krise arbeiten allein in Deutschland mehr als doppelt so viele Arbeitnehmer wie zuvor von zu Hause aus. Damit führten sie eindrucksvoll den Nachweis, dass sich auch mit flexiblen Arbeitsplätzen Wertschöpfung erzielen lässt. Dazu ist es jedoch zwingend erforderlich, stets sicherzustellen, wer auf die Ressourcen zugreift – und ob dies überhaupt erlaubt ist.
Corona wirkt wie ein Katalysator für die Digitalisierung und verstärkt Trends, die sich bereits in den letzten Jahren abzeichneten, darunter digital gestütztes Arbeiten. Schnell kamen unterschiedliche Cloud-Lösungen zum Einsatz. Besonders beliebt sind derzeit Videokonferenz-Tools. Der aktuelle „Businesses @ Work“-Report von Okta zeigt beispielsweise, dass die Nutzung von Zoom im ersten Quartal 2020 einen Anstieg um 110 Prozent verzeichnete, im Vergleich zu sechs Prozent im gleichen Zeitraum 2019. Fachleute prognostizieren schon jetzt, dass dieser Trend auch nach der Pandemie Bestand haben wird.
Doch um die Produktivität ihrer nun mobilisierten Mitarbeiter aufrechtzuerhalten, fuhren viele Verantwortliche zunächst auf Sicht. Und die IT-Sicherheit konnte mit dem plötzlichen Boom beim Einsatz neuer Anwendungen in vielen Fällen nicht mithalten. Denn obwohl auch die Nutzung von Security-Lösungen im ersten Quartal 2020 angestiegen ist, haben viele Unternehmen vor allem in den ersten Tagen und Wochen im Home-Office Sicherheitsbedenken erst einmal über Bord geworfen – und das, obwohl die Zahl der Cyberangriffe enorm zugenommen hat.
Dabei dienten häufig COVID-19-Themen als Köder: von E-Mails, in denen Absender um dringende Hilfe im „Lockdown“ baten, bis hin zu Social Engineering und dem Diebstahl von Zugangsdaten. Seit Ende Februar ist so die Zahl der Phishing-Angriffe um ganze 667 Prozent anstiegen. Diese Situation ist auf mehreren Ebenen eine Herausforderung: rein sicherheitstechnisch, aber auch hinsichtlich der Organisation adäquater Security.
Digital Workplace: Mehr als nur Video
Der neue digitale Arbeitsplatz besteht nicht allein aus Videokonferenzen, sondern auch aus Office- und Unternehmensapplikationen, Speicherdiensten und vielem mehr. Echte Produktivität lässt sich damit nur erzielen, wenn die Mitarbeiter auf all diese Systeme Zugriff haben und mit ihnen arbeiten können. Dies erschweren jedoch die mitunter sehr verteilten Infrastrukturen, zum Beispiel die oft noch vorhandenen stark fragmentierten und komplexen Active-Directory-Umgebungen. Ebenso machen es hybride Infrastrukturen dem Security-Verantwortlichen nicht einfacher, leistungsstarke, aber zugleich sichere Digital Workplaces aufzubauen und Mitarbeitern schnell Zugriff auf relevante Anwendungen und Systeme zu geben. Es besteht also erstens eine strukturelle Herausforderung, in dieser Gemengelage Ordnung zu schaffen und einen Wildwuchs zu vermeiden. Zweitens gilt es, wenn eine große Anzahl von Mitarbeitern auf zahlreiche Dienste zugreift, gleichzeitig ebenso zahlreiche Accounts und die dazugehörigen Passwörter zu pflegen und zu verwalten.
Ein probates Mittel, um sowohl produktiv als auch sicher zu sein, liefert die Kombination von Single Sign-on (SSO) und Mehr-Faktor-Authentifizierung (MFA), somit eine moderne IAM-Lösung (Identity- und Access-Management). SSO sorgt hier für Nutzerfreundlichkeit, MFA steigert das Schutzniveau. Mit diesem Vorgehen ist nur eine einzige Authentifizierung seitens der Anwender nötig, um Zugriff auf alle benötigten Daten und Anwendungen zu erhalten. Dieser erfolgt im Idealfall völlig ohne Passwörter, sondern – gemäß dem Konzept der FIDO Alliance – immer stärker durch biometrische Authentifizierungskomponenten wie etwa Fingerabdruck-Scans oder Gesichtserkennung. Das spart Nutzern Zeit und beugt Frustration vor, die sich einstellt, wenn man bei Arbeitsbeginn erst einmal unterschiedliche Passwörter für alle eingesetzten Anwendungen eingeben muss.
Mit IAM schaffen Unternehmen die einheitliche Identitätsschicht als Grundlage für die Einrichtung flexibler Zugriffskontrollen, für die fortlaufende Entwicklung von Richtlinien und zunehmend intelligente Systeme. Zugriff wird anhand von Vertrauen gewährt, doch dieses Vertrauen hängt vom Kontext ab – und nicht von der VPN-Verbindung. Den Ansatz, jedem Nutzer oder Endgerät zunächst einmal zu misstrauen, ganz gleich, um welche Person oder welches Device es sich handelt, bezeichnen Fachleute als eine Zero-Trust-Netzwerkarchitektur.
VPNs sind jedoch für die Anbindung an Legacy-Anwendungen oft noch immer das Mittel der Wahl. Die Absicherung durch einen zweiten Faktor ist gerade hier elementar wichtig und wirkt einem hartnäckigen Trugschluss aus Zeiten vor Zero-Trust entgegen, der aber noch immer in den Köpfen vieler IT-Fachleute verankert ist: „Innen ist sicher, außen nicht.“ Hier agieren VPNs sozusagen als „Tunnel unter dem Burggraben“, über den Unternehmen remote erreichbar sind. Dieser Zugang ist potenziell die Achillesferse mit dem größten Schadpotenzial und sollte deshalb ein adäquates Schutzniveau erhalten. Kurz gesagt: Ein VPN ohne MFA verbietet sich heute von selbst.
Geschwindigkeit zählt
IAM-Lösungen kann ein Unternehmen im eigenen Rechenzentrum installieren oder als Cloud-Dienst beziehen (Identity as a Service, IDaaS). Die Vorteile einer Implementierung in der Cloud liegen angesichts der aktuellen Situation auf der Hand, in der schnelle Einsatzbereitschaft und flexible Skalierbarkeit zählen: IAM lässt sich so in kürzester Zeit einsetzen.
Wenn Unternehmen Mitarbeitern Zugriff auf Daten und Applikationen ohne Einschränkung geben wollen oder müssen, ist dies innerhalb weniger Stunden möglich. Das gilt auch für Virtual-Desktop-Infrastrukturen. Höhere Geschwindigkeit lässt sich zudem durch Workflow-Automatisierung in den Prozess einbringen: Entsprechende Tools erleichtern das rollenbasierte On- und Offboarding von Mitarbeitern und das Lifecycle-Management von Zugriffsrechten über die gesamte Anstellung des Mitarbeiters hinweg.
- Wer bist du und wenn ja, wie viele?
- Fazit
Lesen Sie mehr zum Thema
