Warum datengesteuerte Unternehmen mit Zugangskontrollen anders umgehen sollten

Illustration: Absmeier, Elchinator

In unserer digitalen Umgebung sind Datenressourcen praktisch von überall aus zugänglich. Das kommt dem Wachstum und der Rentabilität datengesteuerter Unternehmen zugute, birgt aber ein erhöhtes Risiko für Datenschutzverletzungen.

Allein im September 2021 wurden 1.291 Datenschutzverletzungen verzeichnet – ein Anstieg um 17 % verglichen mit dem Vorjahr (1.108). In den ersten neun Monaten desselben Jahres steig die Zahl der Geschädigten auf von 291 Millionen.

Anzeige

 

Die Zahlen sind ein deutlicher Beleg dafür, dass eine Ausweitung des Datenzugriffs, mit dem Bedarf einhergeht, persönliche und sensible Daten zu verwalten. Um den Sicherheitsstatus zu verbessern, sollten datengesteuerte Unternehmen deshalb die Art und Weise  verändern, in der sie den Datenzugriff kontrollieren.

 

Was genau bezeichnet man als Zugangskontrolle?

Heutzutage setzen Unternehmen vermehrt auf automatisiere Zugangskontrollen, Sicherheit und Compliance. Gleichzeitig optimieren sie den Datenzugang. Ein umfassendes System zur Zugangskontrolle soll letztendlich Informationen und deren Verarbeitung in Echtzeit überwachen und steuern – weg von einer Ad-hoc-Entwicklung und zeitaufwändigen Prozessen. Aber was genau sind Zugangskontrollen? Zugangskontrollen sind ein Beispiel für eine Datensicherheitstechnik, mit der Unternehmen steuern, wer Zugang zu Unternehmensdaten und -ressourcen hat. Die Zugangskontrolle verwendet Verfahren, die sicherstellen, dass Benutzer tatsächlich die sind, für die sie sich ausgeben, und dass die für sie geeigneten Ebenen einer Zugangskontrolle bereitgestellt werden. Eine ganz entscheidende Komponente der Applikationssicherheit im Internet. Sie hilft Datenschutzverletzungen zu vermeiden und trägt dazu bei, klassische Angriffsvektoren wie Buffer Overflow, KRACK-, On-Path- und Phishing-Angriffe auszuhebeln.

 

Warum sind Zugangskontrollen so wichtig?

Zugangskontrollen sind gerade im Laufe des letzten Jahres immer wichtiger geworden. Es ist eine grundlegende Sicherheitsstrategie, zu regeln, wer oder was auf eine Ressource zugreifen kann. So lässt sich beschreiben, wer Zugang zu einer Datei und einem Gerät hat, aber auch, wer auf bestimmte Geräte tatsächlich zugreift. Das ultimative Ziel einer Zugangskontrolle ist, das Risiko für eine Organisation oder ein Unternehmen durch den Schutz von Daten, Einrichtungen und Personen zu verringern. Damit sind Zugangskontrollen ein integraler Bestandteil der Informationssicherheit und sollten dementsprechend Priorität haben.

 

Wie funktionieren Zugangskontrollen?

Bei einer Zugangskontrolle handelt es sich um einen Prozess, über den Personen oder Entitäten identifiziert und verifiziert werden. Die Zugangskontrolle genehmigt schließlich die Zugangsebene und die Gruppe von Aktivitäten, die mit dem Login oder der IP-Adresse verbunden sind. Um Benutzer und Entitäten zu authentifizieren und zu autorisieren stehen zwei primäre Verzeichnisdienste und -protokolle zur Verfügung: das Lightweight Directory Access Protocol und die Security Assertion Markup Language. Sie bieten zudem Zugangskontrollen, die es erlauben, sich mit Computerressourcen wie verteilten Anwendungen oder Webservern zu verbinden. Die gewählte Strategie hängt von den jeweiligen Compliance-Anforderungen und dem generellen Sicherheitsniveau der IT ab.

 

Verschiedene Arten der Zugangskontrolle

Je nach Art und Struktur einer Organisation sollten Sie sich über eine Reihe von allgemeinen Konzepten Gedanken machen: Wie viel Verantwortung wollen Sie für das System übernehmen und wie wählen Sie aus, welche Personen wozu Zugang haben? Es gibt verschiedene Modelle der Zugangskontrolle, jedes hat seine Vor- und Nachteile:

Mandatory Access Control (MAC)

Dieses Zugangskontrollsystem bietet die strengsten Sicherheitsvorkehrungen. Allein die Systemadministratoren sind für die Zugangsgewährung verantwortlich. Benutzer können die Berechtigungen, die ihnen den Zugang zu bestimmten Bereichen versagen oder gestatten, nicht selbst ändern. Ein gewaltiges Plus beim Schutz wichtiger Daten.

Es schränkt sogar die Möglichkeiten des Verantwortlichen ein. Wenn ein Mitarbeiter einem System beitritt, wird ihm eine eindeutige Verknüpfung veränderbarer »Tags« zugewiesen, ähnlich einem digitalen Sicherheitsprofil. Dies zeigt den Zugangsumfang an, der demjenigen gewährt wird. Abhängig von den zugewiesenen Tags eines Business Owners, hat er auch nur begrenzten Zugang zu sensiblen Ressourcen. Dieses Bemühen um Anonymität macht die Technologie so raffiniert, dass sie auch gern von staatlichen Einrichtungen eingesetzt wird.

Discretionary Access Control (DAC)

Ein DAC-System hingegen gibt dem Business Owner etwas mehr Befugnisse. Selbst wenn der Systemadministrator eine Hierarchie von Dateien mit bestimmten Berechtigungen erstellt, kann er entscheiden, wer Zugang zu welchen Ressourcen hat. Alles, was nötig ist, ist die entsprechende Berechtigung. Der größte Nachteil: Die Wahlmöglichkeit eines Benutzers in Bezug auf die Sicherheitsebenen kann zu einer gewissen Unübersichtlichkeit führen. Durch die aktivere Beteiligung an der Berechtigungsverwaltung entstehen zudem leichter Lücken.

Ein DAC-System ist flexibel und erfordert hohen Aufwand, die starre MAC-Methode ist da weniger anspruchsvoll.

Role Based Access Control (RoBAC)

Bei der rollenbasierten Zugangskontrolle wird der Zugang auf Grundlage der geschäftlichen Zuständigkeiten gewährt. Dieses System ist am weitesten verbreitet und bewertet den Zugang auf Grundlage der Funktion im Unternehmen und damit auch den Zugriff auf sensible Informationen. Bei dieser Strategie wird der Zugang anhand einer Reihe von Kriterien verwaltet, die sich auf das Unternehmen beziehen, wie z.B. den Ressourcenbedarf, die Umgebung, die Art der Beschäftigung, die geografische Lage und so weiter. Die meisten Geschäftsführer favorisieren diese Methode, weil sie so ihr Personal auf der Grundlage der benötigten Ressourcen organisieren können. Mitarbeiter der Personalabteilung brauchen beispielsweise keinen Zugang zu vertraulichen Marketingmaterialien, und Marketingmitarbeiter keinen auf Personalakten. RBAC ist ein vielseitiges Paradigma, das Transparenz fördert und gleichzeitig vor Datenschutzverletzungen und Datenlecks schützt.

Rule Based Access Control (RuBAC)

In diesem System werden Berechtigungen anhand von festgelegten Regeln und Richtlinien erteilt. Wenn ein Benutzer versucht, Zugang zu einer Ressource zu erhalten, überprüft das Betriebssystem die Regeln, die in der »Zugangskontrollliste« für jeweilige Ressource festgelegt sind. Das Erstellen der Regeln, Richtlinien und des zugehörigen Kontexts erfordert Zeit und Arbeit. Diese Methode wird häufig zusammen mit einem rollenbasierten Ansatz verwendet.

Attribute Based Access Control (ABAC)

ABAC geht noch weiter in die Tiefe. Das System bietet eine ausgeprägte dynamische und risikobewusste Kontrolle auf der Grundlage der einem bestimmten Benutzer zugewiesenen Eigenschaften. Stellen Sie sich diese Eigenschaften wie die Komponenten eines Benutzerprofils vor; zusammen bestimmen sie den individuellen Zugang. Sobald Richtlinien erstellt worden sind, entscheidet man anhand dieser Eigenschaften, ob ein Benutzer die Kontrolle innehaben sollte oder nicht. Diese Eigenschaften lassen sich auch in andere Datenbanken, z.B. Salesforce, übernehmen und importieren.

 

Vorteile eines Zugangskontrollsystems

Herkömmliche Schlüssel sind überflüssig

Herkömmliche Schlüssel gehen leicht verloren oder werden verlegt. Ein Sicherheitsrisiko, das die Zugangskontrolle beseitigt. Bei mehreren zugangsbeschränkten Räumen und Gebäuden benötigt jeder einzelne mehrere Schlüssel, das ist tendenziell umständlich – die Zugangskontrolle löst das Problem.

Nachverfolgen, wer kommt und geht

Wenn Sie wissen, wer Ihre Räumlichkeiten betritt und verlässt, dann wissen Sie, wer sich wann wo aufhält und ob jeder dort arbeitet, wo sein Platz ist. Bei einem Vorfall, Unfall oder Diebstahl lässt sich genau feststellen, wer sich zu diesem Zeitpunkt in dem Bereich aufgehalten hat.

Sicherheit für das Personal

Ein Zugangskontrollsystem schützt Mitarbeiter und Besucher, indem es unerwünschte Gäste und nicht autorisierte Personen daran hindert, eine Einrichtung zu betreten. Wenn jemand ohne Zugangsberechtigung versucht, die Einrichtung zu betreten, wird ihm der Zugang verweigert. Das erhöht sowohl die Sicherheit des Standorts als auch die der Mitarbeiter und Gäste.

Kosten senken

Zusätzlich trägt ein Zugangskontrollsystem dazu bei, im Laufe der Zeit Geld zu sparen. Sie müssen weder Schlüssel noch Schlösser ersetzen oder in Sicherheitspersonal investieren.

Diebstähle minimieren

Durch die Zugangsbeschränkung erschweren Sie Unbefugten den Zutritt und senken das Diebstahlrisiko.

Mitarbeitererfahrung verbessern

Mitarbeiter werden sich nicht nur sicherer fühlen. Sie sind, was den Zugang zu bestimmten Bereichen anbelangt, nicht auf andere Personen oder Sicherheitskräfte angewiesen. Dies erlaubt eine flexible Arbeitsweise und erhöht die allgemeine Zufriedenheit der Mitarbeiter.

 

Richtlinien für die Zugangskontrolle

Die meisten Sicherheitsexperten sind sich der Bedeutung von Zugangskontrollen sehr bewusst. Weniger Einigkeit herrscht dazu, wie genau die Zugangskontrollen implementiert werden sollten. In der Vergangenheit waren die Ansätze häufig statisch. Heute muss der Netzwerkzugang fließend sein und sollte identitäts- und anwendungsbasierte Anwendungsfälle unterstützen. Eine umfassende Strategie zur Zugangskontrolle sollte man dynamisch anpassen. Dadurch kann sie auf die sich verändernden Risikovariablen reagieren und potenzielle Schadensauswirkungen minimieren. Für eine dynamische Zugangskontrolle sollte man bestehende Sicherheitskonfigurationen mit Hilfe von KI und anderer lernfähiger Software um weitere Sicherheitsmaßnahmen ergänzen.

 

Zugangskontrollen verbessern

  1. Evaluieren Sie die Funktionen des jeweiligen Zugangskontrollsystems

Viele Facility Manager stützen sich bei ihren Entscheidungen auf das Erscheinungsbild eines Systems und auf mündliche Informationen, anstatt sich mit den genauen Funktionen in der Praxis zu befassen.

Berücksichtigen Sie bei der Auswahl eines geeigneten Zugangskontrollsystems am besten folgende Punkte:

  • Die Orte, an denen Sie ein System brauchen.
  • Es wird nur gelegentlich verwendet, um Zugang zu erhalten.
  • Wie viele Personen brauchen welche Zugangsrechte?
  • Wie lässt sich das System mit anderen, bestehenden Komponenten integrieren?
  1. Implementieren und pflegen Sie sichere Anmeldeprozesse

Darüber werden die Identitäten der Benutzer überprüft und mit Aktionen verknüpft. Sichere Anmeldeverfahren senken zusätzlich das Risiko von kompromittierten Passwörtern, immer noch eine häufige Ursache von Datenschutzverletzungen und Sicherheitsvorfällen. Es wird empfohlen, dass Benutzer innerhalb von 15 Minuten ein Limit von fünf aufeinanderfolgenden fehlgeschlagenen Anmeldeversuchen bekommen. Erst wenn dieser Schwellenwert erreicht ist, sollten die Konten gesperrt werden. Zudem sollte man einen Warnhinweis über fehlgeschlagene Anmeldeversuche und andere relevante Domain-Controller-Events an den Netzwerkverantwortlichen senden.

  1. Identifizieren und begrenzen Sie die Haupteingänge, um einen kontrollierten Zugang zu Gebäuden zu gewährleisten

Jeder Eingang ist eine mögliche Schwachstelle. Mehrere Eingänge sind weitere potenzielle Einfallstore. Sie können den Strom der Personen, die ein Gebäude betreten und verlassen, besser regulieren und überwachen, wenn Sie die Haupteingänge identifizieren und den Zutritt auf die absolut notwendigen beschränken.

  1. Sicherheit: Mehr als nur der Haupteingang 

Die meisten Sicherheitskontrollen befinden sich unmittelbar vor dem Haupteingang. Aktuelle Systeme sollten jedoch auch nachverfolgen, was passiert, nachdem ein Mitarbeiter das Gebäude betreten hat. Um die Sicherheit grundlegend zu verbessern, sollte man wissen, wer was, wo und wann tut.

  1. Auf dem Stand der Technik

Inhaber und Manager sollten moderne Verschlüsselungstechnologien mit einplanen. Das Ziel von Zugangskontrollen ist es, den Zugang zu beschränken. Wenn Sie veraltete Systeme verwenden, ist es an der Zeit für ein Upgrade. Unternehmen sollten etwa alle zehn Jahre eine Systemaktualisierung einplanen und dabei bedenken, dass eine Technologie schnell veraltet sein kann.

  1. Führen Sie regelmäßige Tests durch

Überprüfen Sie ein Zugangskontrollsystem genauso wie einen Rauchmelder zu Hause. Nur so stellen Sie sicher, dass das System funktioniert, wenn Sie es brauchen. Achten Sie stets auf weniger schwerwiegende Fehler, bevor diese sich zu größeren Problemen auswachsen. Führen Sie monatliche bis vierteljährliche Tests durch, damit alles ordnungsgemäß arbeitet.

 

Sind Zugangskontrollsysteme die Investition wert?

Ein Zugangskontrollsystem bietet etliche Sicherheitsvorteile. Sie schützen nicht nur die Vermögenswerte eines Unternehmens und grenzen hochsichere Bereiche ab, die eine Authentifizierung erfordern, Sie schaffen auch eine sichere Arbeitsumgebung für das Personal.

Auch wenn sich die Zugangskontrolle in physischen Einrichtungen zu Cloud-basierten Technologien weiterentwickelt hat, das Konzept, Ressourcen zu schützen ist zeitlos. Je besser wir die Technologie nutzen, desto mehr Möglichkeiten haben wir. Wenn Sie die wichtigen Komponenten wie Unternehmensgröße, Ressourcenbedarf und Standort der Mitarbeiter grundlegend verstehen, verbessern Sie automatisch die Art und Weise, in der Sie Datenzugangskontrollen handhaben.

Technologie ist kein Allheilmittel. Um den größtmöglichen Schutz für öffentliche Gebäude und kommerzielle Organisationen zu gewährleisten, sind nach wie vor effiziente Systeme und Mitarbeiter erforderlich. Unternehmen und große Konzerne setzen Cloud-basierte Lösungen und Technologien als Teil einer effektiven Governance-Struktur ein. Technologien ergänzen und rationalisieren die Sicherheit – im besten Sinne so, dass sie effektiver und effizienter wird.

Ben Herzberg für GlobalSign