Perimeter-Schutz stößt an Grenzen: Identitätsbasierte Sicherheit zunehmend gefragt

CyberArk erläutert Identitäten und beschreibt, wo diese überall zu finden sind

[datensicherheit.de, 07.09.2022] „Viel ist die Rede von der identitätsbasierten Sicherheit. Sie gewinnt in einer Zeit, in der der Perimeter-Schutz an seine Grenzen gestoßen ist, immer mehr an Gewicht“, so CyberArk in einer aktuellen Stellungnahme – und erläutert, was Identitäten überhaupt sind und wo diese überall zu finden, denn hierzu bestünden oft noch Unklarheiten.

Jede Identität könnte privilegierte Rechte besitzen

In der heutigen hybriden und Multi-„Cloud“-Welt sei jede Identität ein eigener, neue Perimeter. Physische und Netzwerk-Barrieren hätten sich aufgelöst und alle Identitäten könnten einen möglichen Angriffspfad auf unternehmenskritische Ressourcen darstellen, „vor allem wenn sie über privilegierte Rechte verfügen“. Solche Rechte könne jede Identität besitzen, sei es ein Remote-Mitarbeiter und Drittanbieter oder auch eine Maschine, ein Gerät und eine Applikation.

Erschwerend komme hinzu, dass die Zahl menschlicher und nicht-menschlicher Identitäten kontinuierlich steige, da im Zuge der Digitalisierung immer mehr Interaktionen zwischen Menschen, Applikationen und Prozessen erfolgten. Die Konsequenz seien steigende Sicherheitsbedrohungen, die insbesondere von den unbekannten und nicht verwalteten Identitäten ausgingen.

Menschlichen und nicht-menschlichen Identitäten mit privilegierten Zugriffsrechten müssen bekannt sein

„Wie können Unternehmen diesen Gefahren begegnen?“ Zunächst müssten sie die menschlichen und nicht-menschlichen Identitäten mit privilegierten Zugriffsrechten kennen. Die menschlichen Identitäten beträfen in erster Linie Personen wie Administratoren oder „Superuser“, aber etwa auch Entwickler und DevOps-Ingenieure, welche auf „Source Code“ zugreifen müssen. Darüber hinaus fänden sich privilegierte Rechte in Applikationen, Tools und Systemen. Dabei handele es sich dann um die nicht-menschlichen Identitäten.

Applikationen
Auf der Applikationsebene gehe es um die Applikation-zu-Applikation-Verbindungen. Alle technischen Verknüpfungen zwischen Teilen einer Anwendungslandschaft erforderten einen privilegierten Zugang für den Datenzugriff, auch wenn es nur um Lese- und nicht um Änderungsrechte gehe. Solche Verbindungen bestünden etwa zwischen Applikation und Datenbank, zwischen Applikation und Middleware-Produkten (und von dort wiederum zu weiteren Infrastrukturdiensten) oder auch direkt zwischen Anwendungen.

Tools
Auf der Tool-Ebene sei vor allem die zunehmende Nutzung von „Cloud“- und Automatisierungs-Services zu beachten. Dies betreffe etwa Lösungen wie „Red Hat OpenShift“, „Jenkins“, „Puppet“, „Chef“, „Ansible“ oder auch „RPA“-Lösungen, die Zugang zu unternehmenskritischen Systemen benötigten.
Relevant seien außerdem Tools, welche über privilegierte Rechte bis hin zum Domain-Admin-Level verfügten: Ein Beispiel hierfür seien Schwachstellen-Scanner. Nicht vergessen werden sollten auch Skripte, die weiterhin häufig zur Automation eingesetzt würden.

Systeme
Auf der technologischen Systemebene seien die System-zu-System-Verbindungen zu berücksichtigen, vor allem die vielfach vorhandenen Service-Accounts. „Windows“ etwa verfügteüber eine große Anzahl solcher Accounts, um Services im richtigen Kontext zu starten und zu stoppen und um eine Automation auf einem granularen Level zuzulassen.

Identitäten sicher authentifizieren, mit richtigen Berechtigungen autorisieren und auf strukturierte Weise Zugang zu kritischen Ressourcen gewähren

„Welche konkreten Maßnahmen können Unternehmen nun zur Gefahrenabwehr ergreifen?“ In erster Linie sollten sie eine Identity-Security-Lösung nutzen. Zu deren Aufgaben gehört demnach, eine Identität sicher zu authentifizieren, sie mit den richtigen Berechtigungen zu autorisieren und dieser Identität auf strukturierte Weise Zugang zu kritischen Ressourcen zu gewähren.

Es gehe dabei um die Etablierung eines Zero-Trust-Prinzips, welches „die Überprüfung jeder Identität – sei es Mensch oder Maschine – beinhaltet“.

Unternehmen sollten identitätsbasierten Sicherheitsansatz verfolgen

„Rein auf Perimeter-Schutz ausgerichtete Sicherheitsmaßnahmen reichen in der heutigen Zeit nicht mehr aus, um vertrauliche Systeme, Applikationen und Daten zu schützen“, unterstreicht Michael Kleist, „Area Vice President DACH“ bei CyberArk, und führt aus: „Stattdessen sollte ein Unternehmen einen identitätsbasierten Sicherheitsansatz verfolgen, der alle User, Systeme, Applikationen und Prozesse berücksichtigt.“

Ein solches Sicherheitskonzept betrachtet laut Kleist die Identität als zentrale Verteidigungslinie eines Unternehmens – und zwar unabhängig davon, ob es sich um eine Person, eine Applikation oder eine Maschine handelt.