Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen

Identity Threat Detection and Response (ITDR) als Maßnahme

Ein Beitrag von unserem Gastautor Mohamed Ibbich, Director Solutions Engineering, BeyondTrust

[datensicherheit.de, 13.02.2025] Mit Cloud-First-Initiativen beschleunigen Organisationen aktuell die Bereitstellung neuer Anwendungen. Für die Administration und Automatisierung von IT-Systemen werden dafür immer mehr menschliche und maschinelle Konten bereitgestellt. Das hat zu einem sprunghaften Anstieg digitaler Identitäten im gesamten Unternehmen geführt. In hybriden Unternehmensumgebungen gibt es deshalb Nachholbedarf bei deren Identifizierung, Integration, Absicherung und IT-Verwaltung.

Klassische Perimeter lösen sich auf

Der rasante Anstieg an Identitäten (Konten), die ein einzelner Benutzer in einem Unternehmen hat, steht in einem direkten Zusammenhang zur Anzahl der Technologien, die für den Betrieb von Organisationen erforderlich sind. Mitarbeiter benötigen Zugriff auf mehrere Konten, Geräte oder digitale Dienste — und mit jedem neuen Zugriffspunkt entsteht auch ein neuer Angriffsvektor. Der klassische Perimeter mit eng abgesteckten Netzwerkgrenzen löst sich dadurch auf und resultiert in mangelnder Transparenz über Umfang und Zugehörigkeit einmal zugewiesener Berechtigungen.

Mohamed Ibbich, Director Solutions Engineering, BeyondTrust, Bild: BeyondTrust

Es liegt auf der Hand, dass die Nachverfolgung von Cloud-Zugriffsberechtigungen schwierig ist. Viele Tools der Cloud-Anbieter sind undurchsichtig und bieten keine plattformübergreifende Transparenz, was die tatsächlichen Auswirkungen durch Kombination verschiedener Berechtigungen verschleiert. Angesichts dieser Komplexität hoffen viele Unternehmen auf korrekt konfigurierte Abläufe, viele Vorgänge lassen sich einfach nicht einsehen oder werden übersehen.

Unzureichende Verwaltung von Identitäten, Zugriffen und Berechtigungen

Diese weitgehend unerkannte, aber wirkungsmächtige Bedrohungslage haben Sicherheitsanalysten mittlerweile deutlich erkannt. Gartner zufolge sind drei Viertel der Cloud-Sicherheitsausfälle auf eine unzureichende Verwaltung von Identitäten, Zugriffen und Berechtigungen zurückzuführen. Maßnahmen zur Erkennung und Verhinderung des Missbrauchs von Anmeldeinformationen, Berechtigungskonten und anderen identitätsbezogenen Bedrohungen fasst das Analystenhaus unter dem Begriff „Identity Threat Detection and Response (ITDR)“ zusammen.

Fünf Best-Practice-Empfehlungen für eine sicherheitskonforme Verwaltung digitaler Identitäten:

1. Transparente Sicht identitätsbezogener Daten
   Es ist wichtig, einen umfassenden Überblick über alle identitätsbasierten Informationen der IT-Umgebung zu haben, um Risiken im Rahmen einer Least-Privilege-Strategie proaktiv reduzieren zu können. So lassen sich benutzerspezifische Rollen, Richtlinien und Berechtigungen konfigurieren, um Risiken bewerten und minimieren zu können. Höhere Berechtigungen sollten sich auf diejenigen Anwender und Kontenbeschränken, die sie zur Erledigung ihrer Aufgaben und Funktionen auch tatsächlich benötigen.
2. Absicherung von privilegierten Anmeldedaten
   Nicht verwaltete Konten verursachen potenzielle Sicherheitslücken und fehlerhafte Konfigurationen in geschäftlichen IT-Umgebungen. Die Erkennung von Anomalien beim Einsatz von Benutzer- und Adminkonten zählt dabei zu den zentralen Abwehrmaßnahmen. Sicherheitsverantwortliche müssen privilegierte Konten überwachen und unbefugte Zugriffe durch Bedrohungsakteure rechtzeitig erkennen können, um Seitwärtsbewegungen im Netzwerk zu unterbinden.
3. IAM- und PAM-Analyse
   Mit ITDR werden Ansätze zur Bekämpfung der Cyberkriminalität über die Infrastruktur des Identitäts- und Zugriffsmanagements (IAM) zusammengefasst. ITDR-Lösungen konzentrieren sich also auf die Erkennung und Verhinderung des Missbrauchs von Anmeldeinformationen, Berechtigungskonten und anderen identitätsbezogener Bedrohungen. Allein die hohe Anzahl an Nutzerkonten stellt im stressigen Arbeitsalltag eine hohe Bedrohung dar. Wird der Lebenszyklusprozess von Service-Konten, lokalen Admin-Accounts oder privilegierte Konten zu wenig beachtet, fehlen fest definierte und praxiserprobte Abläufe, die eine kontinuierliche Sicherheit gewährleisten.
   Eine besonders große Gefahr geht von verwaisten Konten aus. Verlassen Mitarbeiter ein Unternehmen, bleiben ihre Konten trotzdem häufig weiter aktiv. Bei maschinellen Konten mangelt es oft an klaren Zuordnungen oder entsprechenden Passwortrichtlinien. Verwaiste Maschinenkonten, die für bestimmte Funktionen, Prozesse und Abläufe erstellt wurden, bleiben mit missbrauchsanfälligen Zugriffsberechtigungen auf IT-Ressourcen aktiv, obwohl sie nicht mehr benötigt werden.
   Hinzu kommt, dass digitale Identitäten ohnehin häufig mit übermäßigen Berechtigungen ausgestattet werden. Falsche Konfigurationen und mangelnde Transparenz bei Schatten-Benutzerkonten resultieren in weitreichenden Sicherheitsproblemen, wenn Bedrohungsakteure sich Zugang auf unbeaufsichtigte Accounts verschaffen können. Dieser Gefahrenlage lässt sich mit Least-Privilege-Strategien begegnen, die Anwendern ausschließlich Nutzerrechte zur Erledigung arbeitsrelevanter Aufgaben zuordnen.
4. Schwachstellenerkennung bei der Nutzerauthentifizierung
   Eine der wirksamsten Sicherheitsmaßnahmen zum Schutz von digitalen Identitäten ist Multi-Faktor-Authentifikation (MFA) — wenn Mitarbeiter die Vorgaben einhalten und schwache MFA-Verfahren gar nicht erst eingesetzt werden. Für IT-Sicherheitsabteilungen ist dabei wichtig, dass sie schnell über gescheiterte Anmeldeversuche informiert werden und darauf reagieren können. Automatische Warnhinweise, die auf Fehlkonfigurationen oder deaktivierte Multi-Faktor-Authentifizierung aufmerksam machen, leisten hier wertvolle Dienste.
5. Identifizierung von identitätsbezogenen Diskrepanzen
   Schatten-IT stellt eine weitere Herausforderung dar. Darunter fallen IT-Systeme, auf die Benutzer zugreifen und nicht unter der Kontrolle der Unternehmens-IT stehen. So erstellen manche Benutzer beispielsweise eigene SaaS-Konten und umgehen den Genehmigungsprozess der IT-Abteilung. Solche Benutzerkonten verfügen häufig über zu hohe Berechtigungen, die versehentlich oder gezielt zugewiesen wurden.
   Unerkannte Systeme, Prozesse und Organisationseinheiten,  nicht in das IT-Service-Management einer Organisation eingebunden sind, stellen eine permanente Gefahr für eine IT-Umgebung dar. Solche Diskrepanzen müssen identifiziert und untersucht werden, damit Sicherheitsteams schnell erkennen können, wenn ein Angreifer sich unbefugten Zugang zu einem Netzwerk verschaffen will.

Kombination von IAM, PAM und ITDR

Organisationen sind auf eine hohe „Cyber-Resilienz“ angewiesen. Bei der Abwehr von Risiken und Angriffen kommt es auf die richtlinienkonforme Zuweisung und Konfiguration von digitalen Identitäten an. Dafür ist ein zentraler Überblick über alle Konten, Berechtigungen und privilegierten Zugriffe einer IT-Umgebung erforderlich. Proaktive Risikominderung und frühzeitige Erkennung von Bedrohungen verhindern kompromittierte Identitäten und die Fehlnutzung von Zugangsprivilegien.

Die kontinuierlich wachsenden Herausforderungen für die Identitätssicherheit lassen sich nur mit Tools entschärfen, die für eine höhere Transparenz und Kontrolle von Identitäten und Berechtigungen sorgen, Risiken reduzieren und Bedrohungen frühzeitig erkennen. Neben der Überwachung spezifischer Identitätsangriffsvektoren generiert die BeyondTrust-Lösung Identity Security Insights beispielsweise Empfehlungen und gibt Einblick in die Techniken und Verfahren aktueller Hackerangriffe. ITDR-Systeme ermöglichen einen organisatorischen Wandel, der veränderte Sicherheitsanforderungen für digitale Identitäten und Zugriffe in den Blick nimmt.

Weitere Informationen zum Thema:

datensicherheit.de, 20.06.2024
CyberArk-Studie dokumentiert hohe Zahl identitätsbezogener Angriffe