Starke Cyberresilienz durch gestaffelte Verteidigungslinien – Das Schweizer-Käse-Modell

Wie lässt sich eine mehrschichtige Sicherheit bei der Rechteverwaltung erreichen?

Während der Covid-19-Pandemie wurden zum Schutz der Gesundheit der Bevölkerung mehrere Schichten mit jeweils unvollständigen Schutzmaßnahmen eingesetzt. Die Hoffnung war, dass sie eine viel größere Wirkung haben würden als die übermäßige Durchsetzung einer einzigen Schutzschicht: die Kombination von Masken, Impfungen, sozialer Distanzierung, Reisebeschränkungen, Fernarbeit und mehr – jede Maßnahme für sich allein würde Lücken aufweisen, gemeinsam aber jedoch die jeweilige Effektivität fördern. Ein ähnlicher Ansatz kann bei der Cybersicherheit und dem Identitätsmanagement funktionieren – allerdings nur, wenn er richtig umgesetzt wird. Im Folgenden wird skizziert, wie dies aussehen könnte und wie man mehrschichtige Sicherheit bei der Rechteverwaltung erreichen kann.

Das Schweizer-Käse-Modell der Unternehmenssicherheit. In der Risikoanalyse und im Risikomanagement wird häufig das Schweizer-Käse-Modell verwendet. Es vergleicht Systeme im Wesentlichen mit mehreren Scheiben Schweizer Käse, die übereinander gestapelt sind. Das Bedrohungsrisiko wird dabei durch die verschiedenen Schichten und Arten von Verteidigungsmaßnahmen gemindert. Die Theorie besagt, dass Lücken und Schwächen in einer Abwehr ein Risiko nicht eintreten lassen, weil auch andere Ab-wehrmechanismen vorhanden sind, die diese Lücken abdecken. Mit anderen Worten: Sie können mit dieser Methode jeweils die Schwachstellen der einzelnen Sicherheitsschichten ausgleichen.

Bis zu einem gewissen Grad lässt sich dies auch auf die Unternehmenssicherheit anwenden. Obwohl immer mehr Lösungen um die Identität als Sicherheitsgrenze herum aufgebaut werden, wird es immer wichtiger, mehrere Sicherheitsebenen zu implementieren. Dieses Modell kann Ihnen helfen, zu verstehen, warum ein gut durchdachter, mehrschichtiger Ansatz für die Verteidigung erforderlich ist – vor allem, wenn Menschen beteiligt sind. Im Grunde sind es oft die Menschen, die die »Löcher« im Schweizer-Käse-Modell verursachen, und diese Löcher müssen geschlossen werden.

Wenn Ihre Multi-Faktor-Authentifizierungslösung (MFA) gehackt wird oder Sie einen böswilligen Insider vermuten, ist es wichtig zu wissen, dass Sie über die nötigen Tools verfügen, um anomale Aktivitäten zu erkennen. Mit anderen Worten: Sie sollten darauf vertrauen können, dass Sie andere Sicherheitsmechanismen implementiert haben. Sie brauchen eine zweite – und eine dritte – Verteidigungslinie. Sie müssen über weitere Tools verfügen, um sicherzustellen, dass die Zugriffe Ihrer Mitarbeiter sicher verwaltet und mit einer Lösung abgeglichen werden, die starke Verwaltungsfunktionen bietet und mit allen geschäftskritischen Systemen integriert werden kann. Und natürlich ist es wichtig, die Angriffsfläche zu reduzieren.

Übernehmen Sie nicht blindlings die Mentalität eines einzigen Anbieters. Vor allem bei den wichtigsten Themen wie Identitätssicherheit, Zugriff und Autorisierung empfiehlt sich die Auswahl von Best-in-Breed-Tools mit vollem Funktionsumfang, die sich ausschließlich auf diese Themen konzentrieren. Es ist wichtig, nicht nur aus Bequemlichkeit Lösungen von ein und demselben Anbieter auszuwählen. Ein One-Stop-Shop mag zwar einfacher erscheinen, aber er macht Unternehmen auch noch abhängiger von der Sicherheitslage einzelner Anbie-ter. Entscheidend ist, dass Sie wirklich die besten Lösungen für jeden Zweck auswählen.

Die ideale Lösung finden. Ein mehrschichtiger Ansatz ist am besten, aber Sie sollten nicht nur die verschiedenen Schichten von einem Anbieter auswählen. Das Modell funktioniert optimal, wenn die einzelnen »Schichten« auf die Bedürfnisse ihres Unternehmens optimiert werden. Da Unternehmen versuchen, die Anzahl der Softwareanbieter zu konsolidieren (oder als Anreiz ein stark vergünstigtes Paket zu erhalten), kann es verlockend sein, einfach die Lösungen von einem oder zwei Anbietern zu wählen. Zuvor sollte jedoch eine vollständige Bewertung durchgeführt werden, um sicherzustellen, dass Sie wirklich die beste Option auswählen. Es gibt zum Beispiel viele Unternehmen, die Identity Access Management (IAM) in einem Softwarepaket kaufen, ohne sich darum zu kümmern, ob es für ihre Bedürfnisse geeignet ist.

Das ideale Szenario besteht jedoch darin, die besten Lösungen für die kritischsten Bereiche auszuwählen, einschließlich Identity Governance und Administration (IGA), Privileged Access Management (PAM) und Security Information and Event Management (SIEM). In Kombination sollten alle drei gut miteinander harmonieren. So können Daten über verschiedene Kanäle hinweg gemeinsam genutzt und leicht aggregiert, interpretiert und verarbeitet werden. Weitere in Betracht zu ziehende Lösungen sind: Single Sign-On, Consumer Identity Management, Data Access Governance, IT Service Management, Role Mining und Third-Party Identity Risk Solutions.

Einige Unternehmen haben sich bereits für eine PAM- oder Access-Management-Lösung entschieden. Das Hinzufügen einer vermeintlich geeigneten Komponente, die sich nicht auf Interoperabilität konzentriert, kann kostspielige Anpassungen verursachen und Unternehmen von einem einzigen Anbieter abhängig machen. Dies sind nicht die einzigen Risiken, denn dieses Vorgehen kann die Lebensdauer der bereits implementierten Lösung verkürzen oder die Effizienz beeinträchtigen.

Mit der zunehmenden Be-deutung des Identitätszugriffsmanagements für die moderne Sicherheit erkennen viele Unternehmen, dass sie Lösungen benötigen, die flexibel genug sind, um sich an veränderte Geschäftsanforderungen anzupassen. Die müssen obendrein skalierbar und einfach genug sein, um keine hochgradig angepasste und individualisierte Lösung für ein gemeinsames Problem zu erfordern.

Die Löcher stopfen. Wenn Menschen, ob absichtlich oder unabsichtlich, Löcher in eine Ihrer Sicherheitsvorkehrungen stoßen, müssen Sie dafür sorgen, dass die davor liegenden Sicherheitsebenen ihre Aufgabe erfüllen und Bedrohungen fernhalten. Damit dieses Schweizer-Käse-Modell funktioniert, benötigen Sie mehrere Verteidigungslinien, die alle zusammenarbeiten. Ein einzelner Anbieter kann dabei nicht alle Lösungen offerieren, die Sie benötigen. In der modernen Unternehmenssicherheit gibt es keine Einheitslösung, sondern es besteht ein zunehmender Bedarf an Interoperabilität. Gehen Sie sorgfältig vor und wählen Sie Ihre Identitäts- und anderen Sicherheitslösungen mit Bedacht aus, damit nichts durch Ihre »Löcher« dringen kann – sondern stattdessen ein kooperierendes Netz für Sicherheit sorgt.

 


Thomas Müller-Martin,
Global Partner Technical Lead,
Omada

 

 

Illustrationen: © Yusak_P, Khairuman/shutterstock.com