Die Entscheidung für das richtige Zugangskontrollsystem ist von den spezifischen Anforderungen, der Organisationsstruktur und dem Risikomanagement eines Unternehmens abhängig. Der Leitfaden hilft, beim Access Management die richtige Wahl zu treffen.

Die Cybersicherheit hat für Organisationen im privaten und öffentlichen Sektor höchste Priorität. Das muss sie auch, denn laut jüngsten Zahlen aus der Kriminalitätsstatistik haben Cyberangriffe in Deutschland Privatpersonen und Unternehmen im vorletzten Jahr im Schnitt 3,4 Milliarden Euro gekostet [1]. Das spricht für eine hohe gesamtgesellschaftliche Anfälligkeit und für ein ebenso hohes Verbesserungspotenzial bei der Verteidigung gegen Cyberattacken.

Zugangskontrollmethoden sind ein wichtiger Aspekt der Cybersicherheit, der dazu beiträgt, dass sensible Daten nicht nach außen dringen. Um alle Zugriffsrechte auf Anwendungen und Dateien ganzheitlich im Blick zu haben, ist es für jeden CISO eines Unternehmens von entscheidender Bedeutung, die drei Arten von Kontrollsystemen samt ihrer Vor- und Nachteile zu kennen. Der folgende Leitfaden bietet einen Überblick.

Zugangskontrolle – was ist das? Bei der Zugangskontrolle geht es darum, kleine digitale Silos zu schaffen, also abgegrenzte Bereiche des Unternehmensnetzwerks, die nur bestimmten Gruppen oder Untergruppen der Belegschaft zugänglich sind. Das Grundprinzip aller drei Arten von Zugangskontrollsystemen (rollenbasiert, attributbasiert und richtlinienbasiert) besteht darin, dass Personen nur Zugang zu dem haben sollten, was sie zur Erfüllung ihrer Aufgaben benötigen. Durch den Schutz wichtiger Daten – zum Beispiel Geschäftsgeheimnisse, persönliche Informationen über Kunden oder Mitarbeiter, Geschäftsstrategien – können Unternehmen obendrein die Datenschutzgesetze einhalten und das Risiko einer Datenschutzverletzung verringern. Wenn beispielsweise ein Mitarbeiter gehackt wird, dann aber nur auf Systeme zugreifen kann, die (beispielsweise) seiner Tätigkeit im Marketing entsprechen, wirkt die Zugangskontrolle wie eine Brandschutztür, die den Schaden eindämmt und seine Ausbreitung verhindert.

Welche drei Arten gibt es? Bei der Untersuchung der Arten von Zugangskontrollen im Bereich der Cybersicherheit sind im Wesentlichen drei Zugangskontrollsysteme zu unterscheiden. Die optimale Lösung für die Zugangskontrolle hängt von den individuellen Anforderungen und dem Risikoprofil des Unternehmens ab. Es gibt kein Patentrezept für die Zugangskontrolle, und jedes System hat seine Stärken und Schwächen. Was für ein großes Unternehmen funktioniert, muss nicht unbedingt auch für eine lokale Buchhaltungsfirma geeignet sein. Möglicherweise bietet sich unter bestimmten Umständen sogar ein Hybridmodell an.

Folgende drei Methoden der Zugangskontrolle sind derzeit etabliert:

1. Rollenbasierte Zugangskontrolle (RBAC).

RBAC ist die traditionell bekannteste und beliebteste Art der Zugriffskontrolle. Das RBAC-Berechtigungssystem ermöglicht es den Eigentümern, den Zugang zum Netz auf der Grundlage definierter Benutzerprofile zu vergeben. Diese Profile basieren auf ihren Rollen, wie Manager, Zeitarbeiter, Abteilungsleiter etc.

Die Zugriffsprivilegien richten sich nach der Berufsbezeichnung einer Person. Bei Bedarf können jedoch Ausnahmen gemacht werden. Es steht den IT-Sicherheitsverantwortlichen zudem frei, benutzerdefinierte Profile zu erstellen, um die Zugriffsrechte der Mitarbeiter individuell zu ändern. Kleine und mittlere Unternehmen bevorzugen RBAC-Plattformen, weil sie ein ausgewogenes Verhältnis zwischen Kontrolle und ständiger Überwachung bieten.

Vorteile:

Transparente hierarchische Struktur
Zusätzliche Kontrolle durch den Eigentümer
Erzielt Compliance
Leicht zu überwachen
Einfach zu überprüfen

Nachteile:

Ungeeignet für Branchen, die ein höheres Maß an Sicherheit erfordern
Nicht immer granular genug, etwa wenn der gewünschte Output für Personen mit besonderen Netzzugangsanforderungen implementiert werden soll

2. Attribut-basierte Zugangskontrolle (ABAC).

ABAC stammt von RBAC ab, bietet aber eine Zugangskontrolle auf einer detaillierteren Ebene. Das ABAC-Autorisierungssystem ermöglicht es Anwendungs- oder Linienmanagern, Attribute oder Merkmale über die Zugriffsanfrage, die Berechtigung oder den Benutzer zu verwenden. Diese Attribute können auf den gewünschten Ergebnissen beruhen, das heißt darauf, was eine Identität mit dem besagten Zugriff tun wird, um welche Ressource oder welches System es sich handelt, wo die Anfrage gestellt wird und vieles mehr.

Das ABAC-System ist in der Lage zu erkennen, wie Benutzer den Zugriff innerhalb der Umgebung nutzen, und eine Basislinie dafür zu entwickeln, was erforderlich ist und was nicht. Eine weitere einfache Möglichkeit, diesen Zugang zu überprüfen, sind Zertifizierungskampagnen.

Vorteile:

Granulares Sicherheitsniveau
Ermöglicht den Zugang zu einer Vielzahl von Rollen und Personen auf der Grundlage von Attributen der Anfrage wie dem Standort
Erzielt Compliance
Einfach zu überprüfen

Nachteile:

Anspruchsvolle Einführung
Zeitaufwändige Definition der notwendigen Variablen von Attributen

3. Richtliniengestützte Zugangskontrolle (PBAC).

PBAC evaluiert Zugriffsrechte und Berechtigungen, die auf der Grundlage neuer Unternehmensrichtlinien angepasst werden können. Wenn sich Organisationen verändern, schreiben sie oft neue Richtlinien, um sicherzustellen, dass die Zugriffsrechte konsistent, angemessen und sicher sind.

Während PBAC und ABAC sehr ähnlich sind, besteht der Hauptunterschied darin, dass bei PBAC die IGA-Lösung durch die Richtlinien darüber informiert wird, was zu tun ist und wie der Zugriff durchgesetzt werden soll. Die Attribute reagieren auf die IGA-Lösung und teilen der Engine mit, wie sie den Zugang gewähren soll.

Vorteile:

Granularer Grad an Sicherheit
Reagiert auf organisatorische Richtlinien, die für Zugriffsrechte implementiert wurden
Erzielt Konformität
Einfach zu überprüfen
Standardgesteuert

Nachteile:

Zeitaufwändig, um Richtlinien zu definieren, die allgemein und spezifisch gelten

Ob KMU oder Großkonzern: Zugriffskontrollen sind unverzichtbar. Die Wahl des richtigen Zugangskontrollsystems hängt stark von den spezifischen Anforderungen, der Organisationsstruktur und dem Risikomanagement eines Unternehmens ab. Während RBAC durch seine einfache Struktur und leichte Überprüfbarkeit vor allem für kleinere und mittlere Unternehmen geeignet sein mag, bieten ABAC und PBAC durch ihre Flexibilität und granulare Kontrolle die Möglichkeit, spezifische Sicherheitsbedürfnisse zu adressieren, die in dynamischen und komplexen Umgebungen entstehen.

Letztlich ermöglicht jede Methode der Zugangskontrolle es, sowohl die Sicherheit der sensiblen Unternehmensdaten zu gewährleisten als auch Compliance-Anforderungen zu erfüllen. Entscheidend ist jedoch, dass CISOs eine Strategie wählen, die nicht nur den gegenwärtigen, sondern auch zukünftigen Sicherheitsanforderungen gerecht wird. Dadurch wird eine robuste Verteidigungsstrategie gegen Cyberangriffe sichergestellt und die Integrität und Verfügbarkeit kritischer Unternehmensressourcen dauerhaft geschützt.

Stephen Lowing,
VP Marketing
bei Omada

[1] https://www.bka.de/DE/AktuelleInformationen/
StatistikenLagebilder/Lagebilder/Cybercrime/2023/CC_2023.html

Illustration: © Jozef Micic | Dreamstime.com

1016 Artikel zu „Access Management“

NEWS | AUSGABE 9-10-2023 | SECURITY SPEZIAL 9-10-2023

Identity und Access Management im SAP-Universum erfolgreich umsetzen

10. Oktober 2023

Komplexität ist das Schlagwort, welches IT-Verantwortliche sofort mit der S/4HANA-Transition in Verbindung bringen. Wollen Unternehmen im Zuge dieser Umstellung ihr Identity und Access Management vereinfachen, lohnt sich der Einsatz einer externen User-Lifecycle-Management-Software, denn sie verspricht fertige, intuitiv bedienbare Oberflächen, einfache Workflows und Prozesse. Mit ihrer Hilfe gelingt es Firmen einen sauberen, durchgängigen und vor allem sicheren Berechtigungsprozess für alle Antragsarten – auch außerhalb SAP – zu etablieren.

Stephen Lowing, VP Marketing bei Omada

[1] https://www.bka.de/DE/AktuelleInformationen/ StatistikenLagebilder/Lagebilder/Cybercrime/2023/CC_2023.html

1016 Artikel zu „Access Management“

Stephen Lowing,
VP Marketing
bei Omada

[1] https://www.bka.de/DE/AktuelleInformationen/
StatistikenLagebilder/Lagebilder/Cybercrime/2023/CC_2023.html