Aufrufe
vor 9 Monaten

Cybersecurity 2020

  • Text
  • Cybersecurity
  • Februar
  • Malware
  • Mitarbeiter
  • Angriffe
  • Sicherheit
  • Schweizer
  • Cyber
  • Schweiz
  • Unternehmen

TECHNOLOGY Volker Sommer

TECHNOLOGY Volker Sommer Area Vice President DACH and Eastern Europe, Sailpoint Christoph Peter CEO, Axalon Warum ist es von Vorteil, eine konkrete Identity- Lösung beziehungsweise -Strategie zu haben? Volker Sommer: Identity ein zentraler Aspekt der IT-Sicherheit. Viele Bedrohungen können verhindert werden, wenn Unternehmen über eine Identity- und Access-Governance- Lösung verfügen. Besonders Datenpannen durch Insider- Bedrohungen und kompromittierte Nutzerkonten können mithilfe einer IAG-Lösung verhindert oder abgeschwächt werden. Firmen können somit die Fragen beantworten, wer derzeit Zugang auf unternehmenseigene Daten hat und ob der Zugang angemessen ist. Was muss eine IAM-Lösung alles können? Eine IAM- oder IAG-Lösung sollte alle Konten mit ihren dazugehörigen Berechtigungen auf einem zentralen Dashboard aufzeigen. Sind alle Accounts sowie ihre Rechte bekannt, müssen sie einfach verwaltet werden können; das heisst, Zugangsberechtigungen zu Daten und Applikationen je nach Bedarf erteilen, ändern und zurückziehen zu können. Eine intelligente Lösung zur Identity Access Governance gibt darüber hinaus auf Basis bestehender Access-Rechte passende Empfehlungen heraus, wer welche Zugangsberechtigungen haben sollte und ob eine geplante Änderung sinnvoll ist oder nicht. All dies sollte einen starken Business-Fokus haben, das heisst, die Änderungen sollten ohne technischen Background möglich sein. Passwörter, Tokens, Smartcards? Wie sollten IAM- Lösungen die Nutzer idealerweise identifizieren? Generell ist die Art der Authentifizierung egal, solange sie sicher ist. Die Erfahrung und Passwort-Leaks, wie sie öfter in den Pressemeldungen sind, lehren aber, dass Passwörter nicht so sicher sind wie andere Identifikationsmethoden. Dahingegen haben sich Tokens, Smartcards und auch biometrische Scanner als effektiv erwiesen. Eine gute Lösung sollte alle sicheren Identifikationsstandards unterstützen und es dem Betrieb überlassen, welche Methode genutzt wird. Warum ist es von Vorteil, eine konkrete Identity- Lösung beziehungsweise -Strategie zu haben? Christoph Peter: Durch die steigenden Compliance-Anforderungen und gestiegenen Risiken in einem hybriden Szenario ist ein IAM-Tool unerlässlich. Die Automatisierung von Standardprozessen bringt oft Verbesserungen beim Onboarding und garantiert eine saubere Abgrenzung beim Offboarding. Berechtigungen können zentral verwaltet, überprüft und gesteuert werden. Die in einem Unternehmen vorhandene Anwendungslandschaft verändert sich häufig, daher ist es wichtig, eine IAM-Strategie zu haben, um einerseits die Investitionskosten zu schützen und andererseits den damit aufgebauten Grundpfeiler in der IT-Security auch aufrechterhalten zu können. Schatten-IT und Cloud-Anwendungen, die man mal schnell eingerichtet hat, können ohne klare IAM-Strategie für ein Unternehmen schnell zu Sicherheitslücken werden. Was muss eine IAM-Lösung alles können? Wichtig sind: ein benutzerfreundliches UI, ein breites Spektrum an Konnektoren, um möglichst die wichtigen Anwendungen bedienen zu können; Integrationsmöglichkeiten in ITSM-Suiten als Bestellportal oder Implementationsschicht für manuelle Provisionierungen; ein mehrstufiges Berechtigungssystem mit Unterstützung von dynamischen Zuweisungen und Unterstützung bei der Verschachtelung, Rezertifizierungen von diversen Objekten und Zuweisungen – zyklisch oder eventgesteuert unter Berücksichtigung des Risikos –, um die «Bestätiger» nicht mit Unnötigem zu beschäftigen; sowie Intelligenz, um Muster zu erkennen und diese dem Anwender vorzuschlagen respektive Entscheide zu empfehlen. Passwörter, Tokens, Smartcards? Wie sollten IAM- Lösungen die Nutzer idealerweise identifizieren? Grundsätzlich sollte eine Lösung mehrere mögliche Varianten unterstützen, um Probleme, wie etwa ein vergessenes Passwort, Token oder eine Smartcard, die zu Hause liegengelassen wurde, umgehen zu können. Dabei ist aber auch wichtig, die Möglichkeiten von bestehenden Authentifizierungen – wie AD-Anmeldung – mitnutzen zu können, um dem End user eine möglichst einfache Nutzung zu ermöglichen. 67

TECHNOLOGY Stephan Schweizer Chief Product Officer Nevis, Adnovum Informatik Warum ist es von Vorteil, eine konkrete Identity-Lösung beziehungsweise -Strategie zu haben? Stephan Schweizer: Die Zentralisierung der Sicherheitsfunktionalitäten ermöglicht eine schnellere Bereitstellung von neuen Services. Sicherheitsmassnahmen und User-ID-Management müssen so nicht für jeden neuen digitalen Service neu erarbeitet und entwickelt werden. Man kann auf bestehende digitale Identitäten zurückgreifen. Das optimiert Kosten und die «Time to Market» für neue Geschäftsmöglichkeiten. Gleichzeitig bietet eine Identity-Lösung die Voraussetzung für die Einhaltung der EU- Datenschutz-Grundverordnung (EU-DSGVO). Was muss eine IAM-Lösung alles können? Identitätenverwaltung mit Attributen, Rollen und Credentials. On- und Offboarding, Selfservices für Benutzer – etwa wenn das Passwort vergessen wurde –, kontextspezifisches Einhalten der DSGVO und Content- Management, Registrierung von Authentisierungsmitteln – etwa mobile Geräte. Die Lösung muss für Applikationen einfach integrierbar sein und REST-APIs unterstützen sowie Standards wie OPEN ID Connect und SAML. Passwörter, Tokens, Smartcards? Wie sollten IAM-Lösungen die Nutzer idealerweise identifizieren? Idealerweise passwortfrei, basierend auf offenen Standards, etwa mittels FIDO UAF und des Mobilgeräts als sicherem Token. Das hat der Nutzer immer dabei und ist bezüglich Sicherheitslevel heute Smartcards ebenbürtig. Markus Limacher Head of Security Consulting, Infoguard Warum ist es von Vorteil, eine konkrete Identity-Lösung beziehungsweise -Strategie zu haben? Markus Limacher: Identity und Access Management (IAM) ist von zentraler Bedeutung für verschiedenste Kernthemen der Cybersecurity, beispielsweise Mobile oder Cloud Computing, Social Media, Data Loss Prevention, Compliance Requirements usw. Aber auch die Durchsetzung von Datenschutzvorgaben und dem damit verbundenen «Need-to-know- Prinzip» sind ohne IAM schwierig. Um die Sicherheit und Einhaltung von Vorschriften zu gewährleisten, müssen diese Zugriffe zudem überwacht und geschützt werden. All dies ist ohne eine IAM-Strategie und entsprechende Lösungen undenkbar. Was muss eine IAM-Lösung alles können? Die ganzheitliche IAM-Strategie umfasst Identitäts- und Zugriffsmanagementlösungen für alle Benutzergruppen – Mitarbeitende, Kunden, Lieferanten, Partner etc. – über den gesamten Lebenszyklus hinweg und berücksichtigt Systeme sowie Plattformen – sei es in der Cloud oder On-Premise. Ausserdem ruft IAM auch das Thema Compliance auf den Plan. Die Lösung muss auf immer komplexer werdende und sich schnell ändernde Datenschutzbestimmungen und Branchenvorgaben flexibel adaptiert werden können. Eine IAM-Lösung übernimmt die Bewirtschaftung von Benutzern und Rollen, die Benutzeridentifikation, die Zuweisung von Rollen, die Integration in die zu schützenden Systeme und Anwendungen sowie die Aufzeichnung und das Reporting von Benutzeraktivitäten. Eine IAM- Lösung muss aber auch die Data Governance sicherstellen. Wenn wir dann noch Customer-IAM in die Betrachtung einbeziehen, kommen weitere Themen hinzu wie Multi-Channel-Fähigkeit, Selfservice oder gar Signierung einer Transaktion im E-Banking-Umfeld. Marc Bütikofer Head of Innovation, Airlock, Ergon Informatik Warum ist es von Vorteil, eine konkrete Identity-Lösung beziehungsweise -Strategie zu haben? Marc Bütikofer: IAM ist ein hochkomplexes Thema mit vielschichtigen Anforderungen geworden. Anwender haben heute hohe Anforderungen an Benutzerfreundlichkeit, Flexibilität und Sicherheit. Unternehmen haben zudem Anforderungen an Kosteneffizienz, Compliance und einfache Betreibbarkeit. Ohne konkrete Strategie und gut überlegte Produktauswahl ist die Gefahr gross, dass ein unüberschaubares Flickwerk aus Einzellösungen entsteht. Was muss eine IAM-Lösung alles können? Eine IAM-Lösung muss auf die oben erwähnten Herausforderungen eine Antwort haben: Sie muss hohe Sicherheit trotz maximaler Benutzerfreundlichkeit bieten, flexibel für künftige Trends und neue Technologien sein und sie muss eine Architektur schaffen, mit der neue Applikationen einfach angebunden werden können. Passwörter, Tokens, Smartcards? Wie sollten IAM-Lösungen die Nutzer idealerweise identifizieren? Kunden haben sehr individuelle und branchenspezifische Anforderungen an die Authentisierung. Unsere Erfahrung zeigt, dass es nicht «das» Authentisierungsmittel gibt. Es ist darum essenziell, einen Grundstock an unterschiedlichen Authentisierungsmitteln mitzubringen. Dazu gehört, ausser auf App basierenden Lösungen, Passwörtern und Smartcards, auch die Möglichkeit von Social-Logins. Was hat bei IAM Vorrang: Benutzerfreundlichkeit oder IT-Sicherheit? Weder noch: Benutzerfreundlichkeit und Sicherheit müssen sich nicht widersprechen. Gute IAM-Lösungen bieten etwa innovative und sichere Selfservices an, die es Benutzern erlauben, Authentisierungsmittel selbst zu aktivieren und zu verwalten. Bei der Authentisierung spielt erprobtes UX- Design eine ebenso wichtige Rolle wie die Wahl des Authentisierungsmittels. 68

Archiv