IT-Risiko-Management vor neuen Herausforderungen
Die Beachtung der Security-Themen wird durch verschiedene Risiken getrieben, die sich im Wesentlichen aus der zunehmenden Digitalisierung und damit verbundenen Integration des Internets ergeben. Reagiert wird auf diese Risiken mit formalen Vorgaben des Gesetzgebers (wie z. B. Cybersecurity Act, IT-Sicherheitsgesetz 2.0, KRITIS, DSGVO), die oft noch durch die Branchenverbände bzw. Aufsichtsbehörden untersetzt werden. In dem hier beschriebenen Security-Paket haben wir einige Security-relevante Funktionen zusammengefasst und einen attraktiven Paket-Preis definiert. Schwerpunkt des SecuIAM Security-Pakets ist der SecuIAM Access Manager. Folgende Funktionen bzw. Services sind im SecuIAM Access Manager enthalten.
Ein besonderes Risiko stellen die hohen Berechtigungen der Administratoren dar, die üblicherweise direkt auf den Servern definiert werden. Hier bietet sich eine zentrale Steuerung dieser Accounts an. Dieser Service ist direkt mit dem User-Life-Cycle und dem Rollen-Manager von SecuIAM verbunden und sorgt für die passende Verwaltung der Admin-Accounts auf den Servern. Dies trifft für Stand-Alone-Server als auch für Domain-integrierte Server zu. Zwei Besonderheiten sind zu nennen:
- In einer parallelen Transaktion werden die Passwörter eines Admins auf allen „seinen“ Servern gewechselt, womit eine zentrale Anforderung der ISO 27009 erfüllt ist.
- In die zentrale Verwaltung können sowohl Windows- als auch Unix-Server einbezogen werden.
In einem Systemhaus arbeitet dieser Service z. B. für ca. 1.300 Server (Win und Unix im Mix).
Ein Sicherheits- und gleichzeitig Automatisierungs-Service stellt dem User verschiede Möglichkeiten zur Verfügung, seine Kennwörter zu ändern.
- Im adaptiven Workplace gibt es diese Funktion für alle Accounts der User, die von SecuIAM verwaltet werden.
- In der Windows-Anmeldung selbst ist eine „Kennwort vergessen“-Funktion integriert.
Im Zuge der Ausweitung von SecuIAM auf C-IAM-Lösungen besteht eine Variante darin, dass sich ein User (Kunde, Interessent, Leser) selbst im System registriert. Hierbei ist es Ziel, abhängig von der Risikostufe der bereitgestellten Funktion, eine gesicherte Identifikation des Users bereitzustellen.
Hier bietet SecuIAM drei Varianten, je nach Risikostufe.
Für eine gesicherte 2-Faktor-Authentifikation stellt SecuIAM verschiedene Varianten der Authentifizierung zur Verfügung. Dazu gehört die SMS- oder Mail-Identifikation mittels eines zugesandten Token und eine Authentifizierung per App.
Berechtigung, VPN zu nutzen: In SecuIAM wurde ein Antragsprozess für einen VPN-Zugang bereitgestellt. Dieser Antrag kann so indiziert werden, dass er nur ausgewählten Usern (z. B. nur internen Mitarbeitern des User-Help-Desk) zur Verfügung gestellt wird. Mit Freigabe wird der User der entsprechenden AD Gruppe zugefügt. Ergänzend kann diese Berechtigung in einer Rolle mit weiteren Berechtigungen verbunden werden.
Diese Art der VPN-Verbindung ist für Computer gedacht, die dem Mitarbeiter vom Unternehmen bereitgestellt wurden, da jeglicher Datenverkehr über den VPN-Tunnel gesendet wird.
Für den Verbindungsaufbau benötigt der Mitarbeiter seine Active-Directory-Zugangsdaten und einen Pre-shared Key. Der Pre-shared Key wird benötigt, damit die Firewall die Verbindungsanfrage annimmt. Danach fragt die Firewall den RADIUS-Server, ob eine Verbindung mit diesen AD-Zugangsdaten aufgebaut werden darf. Der RADIUS-Server überprüft mithilfe des Domain-Controllers die Korrektheit der Zugangsdaten und ob der User berechtigt ist, VPN zu nutzen. Die Berechtigung wird bei uns zurzeit über eine Gruppe im AD gesteuert. Wenn Zugangsdaten und Gruppenmitgliedschaft überprüft wurden, wird der VPN-Tunnel geöffnet.
Diese Art der VPN-Verbindung ist für Nutzer gedacht, die mit ihren Privat-Computern den VPN-Tunnel öffnen, da nur der Datenverkehr, der für das Firmennetzwerk bestimmt ist, auch dorthin geroutet wird. Für den Verbindungsaufbau benötigt der Mitarbeiter seine AD Zugangsdaten und die Sophos Authenticator Token App. Initial muss der Mitarbeiter in der Token-Generator App einen Schlüssel hinterlegen. Diesen Schlüssel erhält er bei der Erstanmeldung am Nutzerportal. Danach wird alle 30 Sekunden auf dem Handy und der Firewall ein neues Einmalpasswort (OTP) erzeugt. Bei dem Verbindungsaufbau muss der Mitarbeiter nun sein AD-Kennwort + OTP eingeben, um die Verbindung aufzubauen. Die Firewall überprüft nun mittels LDAP, ob die Zugangsdaten korrekt sind und ob der User die Mitgliedschaft der VPN-Gruppe innehält. Wenn Zugangsdaten und Gruppenmitgliedschaft überprüft wurden, wird der VPN-Tunnel geöffnet.
Verfahren des IT-Risiko-Managements
Auf Basis der SC kann mithilfe der Risk-Metrik ein Risiko-Maß für jeden User berechnet werden. Über ein mathematisches Aggregationsverfahren wird das Risk-Level eines jeden Users ermittelt und dargestellt.
Über eine weitere Aggregations-Stufe kann das Risk-Level eines ganzen Bereiches ermittelt werden. Diese Risiko-Analysen sind dann die Basis geeigneter Maßnahmen zur eventuell erforderlichen Reduzierung des Risikos eines Bereiches und der Analyse von Anhäufungen risikobehafteter Kompetenzen eines Users.
Die Security Classification (SC) ist die Basis des Risiko-Managements! Jeder User, jedes Objekt und jedes Attribut kann mit einer Security Classification versehen werden. Damit ist die Basis für ein übergreifendes Risiko-Management gelegt. Die SC steuert diverse Prozesse und Reports. Ein Mapping der SC des Users mit der des Objektes, das er beantragt, reduziert den Zugang zu Berechtigungen, die seiner Risiko-Einstufung nicht entsprechen. Dies ist ein Vorteil gegenüber anderen Systemen am Markt, die dem User alles zum Antrag bereitstellen, was es gibt und überlassen die Entscheidung dann dem Freigeber (z. B. ServiceNow). Diese Freizügigkeit öffnet Sicherheitsverstößen Tür und Tor und ist als problematisch zu bewerten.
Durch die Rollen der Job-Family ‚IT-Admin‘ sind die einzelnen Admin-Bereiche streng in die Modellierer und Operatoren getrennt, womit sich die auch für diesen Bereich wichtigen SoD-Regeln sicherstellen lassen.
Der Super-Admin steht nur zum Aufsetzen des Systems zur Verfügung. In einem eventuellen Notfall kann der SecuIAM Account dieser Rolle durch den PSA-Prozess in SecuIAM personifiziert und zeitlich limitiert bereitgestellt werden.
Zu beachten ist, dass jede Admin-Rolle mit der Absolvierung des entsprechenden Online-Schulungspaketes und des damit zu erreichenden Zertifikats verbunden ist.
Die SecuIAM Produktsuite verfügt über einen umfangreichen Satz generischer Prozessmodelle, die im Rahmen der Softwarelösung für das Identity & Access Management in jahrelanger Projekterfahrung entwickelt wurden. Speziell für das Richtlinienmanagement steht der Prozess der Re-Confirmation bereit. Der Prozess zur Bestätigung und Wiederbestätigung von wichtigen Unternehmensrichtlinien und Betriebsinformationen im SecuIAM Web Portal: einfach, automatisiert und nachvollziehbar mit dem Prozess Re-Confirmation.
SecuIAM als DSGVO-Repository (Verfahrensdokumentationen) und -Monitor
Für Unternehmen, die personenbezogene Daten von EU-Bürgern speichern, ergibt sich durch die Anforderungen der EU-DSGVO die Notwendigkeit einer neuerlichen Prüfung von internen Datenverarbeitungsprozessen und die Ergreifung entsprechender Maßnahmen. Um ein DSGVO-konformes Schutzniveau für gespeicherte personenbezogene Daten zu erreichen, müssen die Risiken in Bezug auf Vernichtung, Verlust, Veränderung, unbefugtem Zugriff und unbefugter Offenlegung minimiert werden. SecuIAM unterstützt Sie dabei.
Interesse an dem SecuIAM Access Manager?
Wenden Sie sich gerne direkt telefonisch an uns oder schreiben Sie uns eine Nachricht!