IT-Risiko-Management vor neuen Herausforderungen

Die Beachtung der Security-Themen wird durch verschiedene Risiken getrieben, die sich im Wesentlichen aus der zunehmenden Digitalisierung und damit verbundenen Integration des Internets ergeben. Reagiert wird auf diese Risiken mit formalen Vorgaben des Gesetzgebers (wie z. B. Cybersecurity Act, IT-Sicherheitsgesetz 2.0, KRITIS, DSGVO), die oft noch durch die Branchenverbände bzw. Aufsichtsbehörden untersetzt werden. In dem hier beschriebenen Security-Paket haben wir einige Security-relevante Funktionen zusammengefasst und einen attraktiven Paket-Preis definiert. Schwerpunkt des bi-Cube Security-Pakets ist der bi-Cube Access Manager. Folgende Funktionen bzw. Services sind im bi-Cube Access Manager enthalten.

Zugriffskontrolle
bi-Cube IAM V9 - Identity and Access Management

In einigen Unternehmen werden Kennwortänderungen für interaktive Benutzerkonten von Microsoft zu anderen Systemen (SAP) über bi-Cube synchronisiert.
Um eine nahtlose Synchronisation der von Windows akzeptierten Kennworte zu angebundenen Zielsystemen zu ermöglichen und somit Fehler beim Kennwortwechsel zu vermeiden, bietet die OEDIV SecuSys GmbH nun einen erweiterten Service an.

Ein besonderes Risiko stellen die hohen Berechtigungen der Administratoren dar, die üblicherweise direkt auf den Servern definiert werden. Hier bietet sich eine zentrale Steuerung dieser Accounts an. Dieser Service ist direkt mit dem User-Life-Cycle und dem Rollen-Manager von bi-Cube verbunden und sorgt für die passende Verwaltung der Admin-Accounts auf den Servern. Dies trifft für Stand-Alone-Server als auch für Domain-integrierte Server zu. Zwei Besonderheiten sind zu nennen:

  1. In einer parallelen Transaktion werden die Passwörter eines Admins auf allen „seinen“ Servern gewechselt, womit eine zentrale Anforderung der ISO 27009 erfüllt ist.
  2. In die zentrale Verwaltung können sowohl Windows- als auch Unix-Server einbezogen werden.

In einem Systemhaus arbeitet dieser Service z. B. für ca. 1.300 Server (Win und Unix im Mix).

Administratoren im Allgemeinen verfügen über weitreichende Zugriffsberechtigungen. Die dauerhafte Verfügbarkeit kritischer Berechtigungen erhöht jedoch das Risiko missbräuchlicher Nutzung. Mit Privileged Shared Accounts bietet bi-Cube die Lösung zur Zuweisung sicherheitsrelevanter Berechtigungen, die in ihrer Verwendung einer besonderen Kontrolle unterliegen.

Ein Sicherheits- und gleichzeitig Automatisierungs-Service stellt dem User verschiede Möglichkeiten zur Verfügung, seine Kennwörter zu ändern.

  1. Im adaptiven Workplace gibt es diese Funktion für alle Accounts der User, die von bi-Cube verwaltet werden.
  2. In der Windows-Anmeldung selbst ist eine „Kennwort vergessen“-Funktion integriert.
  3. Über eine Funktion in der App bi-Cube GO ist es ebenfalls möglich, alle Kennwörter zu ändern.

Im Zuge der Ausweitung von bi-Cube auf C-IAM-Lösungen besteht eine Variante darin, dass sich ein User (Kunde, Interessent, Leser) selbst im System registriert. Hierbei ist es Ziel, abhängig von der Risikostufe der bereitgestellten Funktion, eine gesicherte Identifikation des Users bereitzustellen.
Hier bietet bi-Cube drei Varianten, je nach Risikostufe.

Für eine gesicherte 2-Faktor-Authentifikation stellt bi-Cube drei Varianten eines Token (OTP) und die Mail-Identifikation mittels eines zugesandten Token zur Verfügung.

Zahlreiche Anwendungen, zahlreiche Kennwörter – eine zentrale Lösung zur Authentifizierung erspart Mitarbeitern im Unternehmen viel Ärger und dem User Helpdesk viel Arbeit. bi-Cube übernimmt mit seinem Identity Provider die sichere Authentifizierung der Nutzer an Webanwendungen und realisiert damit die Funktion der Federation. Eine Anmeldung am bi-Cube Workplace ermöglicht damit den Zugriff auf das Intranet des Unternehmens und zahlreiche externe Webanwendungen.

WebSSO

Web SSO ist eine Kombination des bisherigen SSO mit dem ID-Provider.
Es ist ein wichtiges Sicherheitsthema, wo die ID-Daten des Users liegen: in einem US-amerikanischen System (Facebook, Google usw.), auf einem eigenen Server oder zumindest auf einem vertrauenswürdigen Server in Deutschland. Eine eigene Kachel auf der Startseite des bi-Cube Workplace erweitert damit das bi-Cube Serviceportal um alle Anmeldungen der anderen Anwendungen des Users.

Berechtigung, VPN zu nutzen: In bi-Cube wurde ein Antragsprozess für einen VPN-Zugang bereitgestellt. Dieser Antrag kann so indiziert werden, dass er nur ausgewählten Usern (z. B. nur internen Mitarbeitern des User-Help-Desk) zur Verfügung gestellt wird. Mit Freigabe wird der User der entsprechenden AD Gruppe zugefügt. Ergänzend kann diese Berechtigung in einer Rolle mit weiteren Berechtigungen verbunden werden.

Diese Art der VPN-Verbindung ist für Computer gedacht, die dem Mitarbeiter vom Unternehmen bereitgestellt wurden, da jeglicher Datenverkehr über den VPN-Tunnel gesendet wird.

VPN - L2TP over IPsec

Für den Verbindungsaufbau benötigt der Mitarbeiter seine Active-Directory-Zugangsdaten und einen Pre-shared Key. Der Pre-shared Key wird benötigt, damit die Firewall die Verbindungsanfrage annimmt. Danach fragt die Firewall den RADIUS-Server, ob eine Verbindung mit diesen AD-Zugangsdaten aufgebaut werden darf. Der RADIUS-Server überprüft mithilfe des Domain-Controllers die Korrektheit der Zugangsdaten und ob der User berechtigt ist, VPN zu nutzen. Die Berechtigung wird bei uns zurzeit über eine Gruppe im AD gesteuert. Wenn Zugangsdaten und Gruppenmitgliedschaft überprüft wurden, wird der VPN-Tunnel geöffnet.

Diese Art der VPN-Verbindung ist für Nutzer gedacht, die mit ihren Privat-Computern den VPN-Tunnel öffnen, da nur der Datenverkehr, der für das Firmennetzwerk bestimmt ist, auch dorthin geroutet wird. Für den Verbindungsaufbau benötigt der Mitarbeiter seine AD Zugangsdaten und die Sophos Authenticator Token App. Initial muss der Mitarbeiter in der Token-Generator App einen Schlüssel hinterlegen. Diesen Schlüssel erhält er bei der Erstanmeldung am Nutzerportal. Danach wird alle 30 Sekunden auf dem Handy und der Firewall ein neues Einmalpasswort (OTP) erzeugt. Bei dem Verbindungsaufbau muss der Mitarbeiter nun sein AD-Kennwort + OTP eingeben, um die Verbindung aufzubauen. Die Firewall überprüft nun mittels LDAP, ob die Zugangsdaten korrekt sind und ob der User die Mitgliedschaft der VPN-Gruppe innehält. Wenn Zugangsdaten und Gruppenmitgliedschaft überprüft wurden, wird der VPN-Tunnel geöffnet.

OpenVPN

Verfahren des IT-Risiko-Managements

Auf Basis der SC kann mithilfe der Risk-Metrik ein Risiko-Maß für jeden User berechnet werden. Über ein mathematisches Aggregationsverfahren wird das Risk-Level eines jeden Users ermittelt und dargestellt.
Über eine weitere Aggregations-Stufe kann das Risk-Level eines ganzen Bereiches ermittelt werden. Diese Risiko-Analysen sind dann die Basis geeigneter Maßnahmen zur eventuell erforderlichen Reduzierung des Risikos eines Bereiches und der Analyse von Anhäufungen risikobehafteter Kompetenzen eines Users.

Die Security Classification (SC) ist die Basis des Risiko-Managements! Jeder User, jedes Objekt und jedes Attribut kann mit einer Security Classification versehen werden. Damit ist die Basis für ein übergreifendes Risiko-Management gelegt. Die SC steuert diverse Prozesse und Reports. Ein Mapping der SC des Users mit der des Objektes, das er beantragt, reduziert den Zugang zu Berechtigungen, die seiner Risiko-Einstufung nicht entsprechen. Dies ist ein Vorteil gegenüber anderen Systemen am Markt, die dem User alles zum Antrag bereitstellen, was es gibt und überlassen die Entscheidung dann dem Freigeber (z. B. ServiceNow). Diese Freizügigkeit öffnet Sicherheitsverstößen Tür und Tor und ist als problematisch zu bewerten.

Durch die Rollen der Job-Family ‚IT-Admin‘ sind die einzelnen Admin-Bereiche streng in die Modellierer und Operatoren getrennt, womit sich die auch für diesen Bereich wichtigen SoD-Regeln sicherstellen lassen.

Der Super-Admin steht nur zum Aufsetzen des Systems zur Verfügung. In einem eventuellen Notfall kann der bi-Cube Account dieser Rolle durch den PSA-Prozess in bi-Cube personifiziert und zeitlich limitiert bereitgestellt werden.

Zu beachten ist, dass jede Admin-Rolle mit der Absolvierung des entsprechenden Online-Schulungspaketes und des damit zu erreichenden Zertifikats verbunden ist.

Die bi-Cube Produktsuite verfügt über einen umfangreichen Satz generischer Prozessmodelle, die im Rahmen der Softwarelösung für das Identity & Access Management in jahrelanger Projekterfahrung entwickelt wurden. Speziell für das Richtlinienmanagement steht der Prozess der Re-Confirmation bereit. Der Prozess zur Bestätigung und Wiederbestätigung von wichtigen Unternehmensrichtlinien und Betriebsinformationen im bi-Cube Web Portal: einfach, automatisiert und nachvollziehbar mit dem Prozess Re-Confirmation.

bi-Cube IAM als DSGVO-Repository (Verfahrensdokumentationen) und -Monitor

Für Unternehmen, die personenbezogene Daten von EU-Bürgern speichern, ergibt sich durch die Anforderungen der EU-DSGVO die Notwendigkeit einer neuerlichen Prüfung von internen Datenverarbeitungsprozessen und die Ergreifung entsprechender Maßnahmen. Um ein DSGVO-konformes Schutzniveau für gespeicherte personenbezogene Daten zu erreichen, müssen die Risiken in Bezug auf Vernichtung, Verlust, Veränderung, unbefugtem Zugriff und unbefugter Offenlegung minimiert werden. bi-Cube unterstützt Sie dabei.

Interesse an dem bi-Cube Access Manager?

Wenden Sie sich gerne direkt telefonisch an uns oder schreiben Sie uns eine Nachricht!