Die Entscheidung für das richtige Zugangskontrollsystem ist von den spezifischen Anforderungen, der Organisationsstruktur und dem Risikomanagement eines Unternehmens abhängig. Der Leitfaden hilft, beim Access Management die richtige Wahl zu treffen.

Die Cybersicherheit hat für Organisationen im privaten und öffentlichen Sektor höchste Priorität. Das muss sie auch, denn laut jüngsten Zahlen aus der Kriminalitätsstatistik haben Cyberangriffe in Deutschland Privatpersonen und Unternehmen im vorletzten Jahr im Schnitt 3,4 Milliarden Euro gekostet [1]. Das spricht für eine hohe gesamtgesellschaftliche Anfälligkeit und für ein ebenso hohes Verbesserungspotenzial bei der Verteidigung gegen Cyberattacken.

Zugangskontrollmethoden sind ein wichtiger Aspekt der Cybersicherheit, der dazu beiträgt, dass sensible Daten nicht nach außen dringen. Um alle Zugriffsrechte auf Anwendungen und Dateien ganzheitlich im Blick zu haben, ist es für jeden CISO eines Unternehmens von entscheidender Bedeutung, die drei Arten von Kontrollsystemen samt ihrer Vor- und Nachteile zu kennen. Der folgende Leitfaden bietet einen Überblick.

Zugangskontrolle – was ist das? Bei der Zugangskontrolle geht es darum, kleine digitale Silos zu schaffen, also abgegrenzte Bereiche des Unternehmensnetzwerks, die nur bestimmten Gruppen oder Untergruppen der Belegschaft zugänglich sind. Das Grundprinzip aller drei Arten von Zugangskontrollsystemen (rollenbasiert, attributbasiert und richtlinienbasiert) besteht darin, dass Personen nur Zugang zu dem haben sollten, was sie zur Erfüllung ihrer Aufgaben benötigen. Durch den Schutz wichtiger Daten – zum Beispiel Geschäftsgeheimnisse, persönliche Informationen über Kunden oder Mitarbeiter, Geschäftsstrategien – können Unternehmen obendrein die Datenschutzgesetze einhalten und das Risiko einer Datenschutzverletzung verringern. Wenn beispielsweise ein Mitarbeiter gehackt wird, dann aber nur auf Systeme zugreifen kann, die (beispielsweise) seiner Tätigkeit im Marketing entsprechen, wirkt die Zugangskontrolle wie eine Brandschutztür, die den Schaden eindämmt und seine Ausbreitung verhindert.

Welche drei Arten gibt es? Bei der Untersuchung der Arten von Zugangskontrollen im Bereich der Cybersicherheit sind im Wesentlichen drei Zugangskontrollsysteme zu unterscheiden. Die optimale Lösung für die Zugangskontrolle hängt von den individuellen Anforderungen und dem Risikoprofil des Unternehmens ab. Es gibt kein Patentrezept für die Zugangskontrolle, und jedes System hat seine Stärken und Schwächen. Was für ein großes Unternehmen funktioniert, muss nicht unbedingt auch für eine lokale Buchhaltungsfirma geeignet sein. Möglicherweise bietet sich unter bestimmten Umständen sogar ein Hybridmodell an.

Folgende drei Methoden der Zugangskontrolle sind derzeit etabliert:

1. Rollenbasierte Zugangskontrolle (RBAC).

RBAC ist die traditionell bekannteste und beliebteste Art der Zugriffskontrolle. Das RBAC-Berechtigungssystem ermöglicht es den Eigentümern, den Zugang zum Netz auf der Grundlage definierter Benutzerprofile zu vergeben. Diese Profile basieren auf ihren Rollen, wie Manager, Zeitarbeiter, Abteilungsleiter etc.

Die Zugriffsprivilegien richten sich nach der Berufsbezeichnung einer Person. Bei Bedarf können jedoch Ausnahmen gemacht werden. Es steht den IT-Sicherheitsverantwortlichen zudem frei, benutzerdefinierte Profile zu erstellen, um die Zugriffsrechte der Mitarbeiter individuell zu ändern. Kleine und mittlere Unternehmen bevorzugen RBAC-Plattformen, weil sie ein ausgewogenes Verhältnis zwischen Kontrolle und ständiger Überwachung bieten.

Vorteile:

Transparente hierarchische Struktur

Zusätzliche Kontrolle durch den Eigentümer

Erzielt Compliance

Leicht zu überwachen

Einfach zu überprüfen

Nachteile:

Ungeeignet für Branchen, die ein höheres Maß an Sicherheit erfordern

Nicht immer granular genug, etwa wenn der gewünschte Output für Personen mit besonderen Netzzugangsanforderungen implementiert werden soll

2. Attribut-basierte Zugangskontrolle (ABAC).

ABAC stammt von RBAC ab, bietet aber eine Zugangskontrolle auf einer detaillierteren Ebene. Das ABAC-Autorisierungssystem ermöglicht es Anwendungs- oder Linienmanagern, Attribute oder Merkmale über die Zugriffsanfrage, die Berechtigung oder den Benutzer zu verwenden. Diese Attribute können auf den gewünschten Ergebnissen beruhen, das heißt darauf, was eine Identität mit dem besagten Zugriff tun wird, um welche Ressource oder welches System es sich handelt, wo die Anfrage gestellt wird und vieles mehr.

Das ABAC-System ist in der Lage zu erkennen, wie Benutzer den Zugriff innerhalb der Umgebung nutzen, und eine Basislinie dafür zu entwickeln, was erforderlich ist und was nicht. Eine weitere einfache Möglichkeit, diesen Zugang zu überprüfen, sind Zertifizierungskampagnen.

Vorteile:

Granulares Sicherheitsniveau

Ermöglicht den Zugang zu einer Vielzahl von Rollen und Personen auf der Grundlage von Attributen der Anfrage wie dem Standort

Erzielt Compliance

Einfach zu überprüfen

Nachteile:

Anspruchsvolle Einführung

Zeitaufwändige Definition der notwendigen Variablen von Attributen

3. Richtliniengestützte Zugangskontrolle (PBAC).

PBAC evaluiert Zugriffsrechte und Berechtigungen, die auf der Grundlage neuer Unternehmensrichtlinien angepasst werden können. Wenn sich Organisationen verändern, schreiben sie oft neue Richtlinien, um sicherzustellen, dass die Zugriffsrechte konsistent, angemessen und sicher sind.

Während PBAC und ABAC sehr ähnlich sind, besteht der Hauptunterschied darin, dass bei PBAC die IGA-Lösung durch die Richtlinien darüber informiert wird, was zu tun ist und wie der Zugriff durchgesetzt werden soll. Die Attribute reagieren auf die IGA-Lösung und teilen der Engine mit, wie sie den Zugang gewähren soll.

Vorteile:

Granularer Grad an Sicherheit

Reagiert auf organisatorische Richtlinien, die für Zugriffsrechte implementiert wurden

Erzielt Konformität

Einfach zu überprüfen

Standardgesteuert

Nachteile:

Zeitaufwändig, um Richtlinien zu definieren, die allgemein und spezifisch gelten

Ob KMU oder Großkonzern: Zugriffskontrollen sind unverzichtbar. Die Wahl des richtigen Zugangskontrollsystems hängt stark von den spezifischen Anforderungen, der Organisationsstruktur und dem Risikomanagement eines Unternehmens ab. Während RBAC durch seine einfache Struktur und leichte Überprüfbarkeit vor allem für kleinere und mittlere Unternehmen geeignet sein mag, bieten ABAC und PBAC durch ihre Flexibilität und granulare Kontrolle die Möglichkeit, spezifische Sicherheitsbedürfnisse zu adressieren, die in dynamischen und komplexen Umgebungen entstehen.

Letztlich ermöglicht jede Methode der Zugangskontrolle es, sowohl die Sicherheit der sensiblen Unternehmensdaten zu gewährleisten als auch Compliance-Anforderungen zu erfüllen. Entscheidend ist jedoch, dass CISOs eine Strategie wählen, die nicht nur den gegenwärtigen, sondern auch zukünftigen Sicherheitsanforderungen gerecht wird. Dadurch wird eine robuste Verteidigungsstrategie gegen Cyberangriffe sichergestellt und die Integrität und Verfügbarkeit kritischer Unternehmensressourcen dauerhaft geschützt.

Stephen Lowing,

VP Marketing

bei Omada

1016 Artikel zu „Access Management“

NEWS | IT-SECURITY | TIPPS Die vier größten Fehleinschätzungen zum Privileged Access Management Privileged-Access-Management-Lösungen, die den Zugang zu kritischen Geschäftsinformationen sichern, sind ein elementarer Bestandteil eines effektiven Cyber-Security-Programms. Allerdings gibt es nach wie vor Fehleinschätzungen rund um die Sicherung privilegierter Konten und Zugangsdaten. Die überwiegende Mehrheit der »erfolgreichen« Cyberangriffe ist auf die missbräuchliche Nutzung privilegierter Zugangsdaten zurückzuführen. Privileged-Access-Management-Lösungen (PAM) bieten hier eine wichtige Verteidigungsschicht. Doch obwohl die Sicherung… Weiterlesen →

NEWS | IT-SECURITY | WHITEPAPER Nichts geht ohne Privileged Access Management Privileged Access Management (PAM) ist für die IT- und Datensicherheit und somit für die erfolgreiche Anwendung von Cloud Computing und künstlicher Intelligenz (KI) unerlässlich. Dies ist das Ergebnis von Paul Fisher, Senior Analyst bei Kuppinger Cole und Autor des White Papers »Grundlagen des Privileged Access Managements«. Dieser Bericht wurde von dem Analystenunternehmen im Auftrag der… Weiterlesen →