IAM-Sicherheit: Definition und wissenswerte Einzelheiten

08.07.2021
-Minuten Lesezeit
Emily McKeown

Einführung

Der aktuelle Bericht des FBI zur Cyberkriminalität enthüllt einen alarmierenden Anstieg der Phishing-, Ransomware- und Malware-Angriffe auf US-amerikanische Unternehmen. Das Internet Crime Complaint Center (IC3) des FBI erhielt im vergangenen Jahr fast 20.000 Berichte über BEC/EAC-Ereignisse (Business Email Compromise/Email Account Compromise) – das Kompromittieren von E-Mail-Konten in Unternehmen mit Hilfe von Techniken der Intrusion und/oder des Social Engineering – durch welche den Unternehmen Verluste in Höhe von fast 2 Milliarden US-Dollar entstanden. Die Gesamtzahl der Beschwerden, die bei der IC3 eingehen, ist von rund 300.000 Beschwerden im Jahr 2016 sprunghaft angestiegen auf 790.000 im Jahr 2020.
 

Hacker daran zu hindern, in Unternehmen einzudringen, ist in der heutigen Zeit ein Vollzeitjob für die IT-Abteilungen. Die Cyberkriminellen haben über das Dark Web Zugang zu einer unbegrenzten Menge an Kenntnissen, Tools und Technologien. Die Raffinesse und Geschwindigkeit, mit der sie Unternehmen kompromittieren, nimmt nach wie vor rapide zu und ein Ende ist nicht in Sicht. 

 

Eines der wichtigsten Werkzeuge zur Bekämpfung von Cyberangriffen ist das Identitäts- und Zugriffsmanagement, denn es sorgt dafür, dass nur die richtigen Personen auf Unternehmensressourcen zugreifen können. Indem Unternehmen den autorisierten Anwendern einen sicheren, nahtlosen Zugriff auf alle ihre Anwendungen und Ressourcen von jedem Ort aus ermöglichen, ebnen sie den Weg für das Schaffen von Mehrwert bei zusätzlicher Sicherheit.

Was ist Identity- und Access-Management (IAM)?

Das Identitäts- und Zugriffsmanagement ist eine Kombination von Lösungen, die Ihrem Unternehmen die Erfassung, Analyse und Verwaltung von Identitätsattributen und -daten ermöglichen, um auf diese Weise das passende Sicherheitsniveau für spezifische Situationen zu erreichen. Das IAM wertet Kontext-, Geräte- und Risikosignale aus, damit intelligentere Authentifizierungs- und Autorisierungsentscheidungen getroffen werden, und optimiert so Sicherheit und Komfort. So können Sie einerseits Ihr Unternehmen schützen, aber auch die Interaktionen für Ihre Mitarbeiter und Kunden vereinfachen.

 

Obwohl es beim IAM in der Regel um Authentifizierung und Autorisierung geht, kann das Identitäts- und Zugriffsmanagement als Ganzes eine ganze Reihe von Identitätssicherheitsfunktionen umfassen, z.B:

 

Welche Leistungsmerkmale kann die IAM-Sicherheit bieten?

Im Grundsatz verwaltet IAM-Sicherheit die digitalen Identitäten von Mitarbeitern, Partnern und Kunden bei gleichzeitiger sicherer Kontrolle des Zugriffs auf Unternehmensressourcen. Methoden für die Sicherstellung dieser Protokolle sind unter anderem:

 

  • Authentifizierung und Verifizierung von Benutzern in Echtzeit, gestützt durch Faktoren wie beispielsweise das Gerät des Benutzers, sein Verhalten und weitere Kontextdaten (Tageszeit, geografischer Standort usw.)

     

  • Die Anwendung dynamischer Autorisierung, um den Zugriff auf Ressourcen zu gewähren oder einzuschränken, bestimmte Daten freizugeben oder sensible Aktionen zu autorisieren

     

  • Die nahtlose Verwaltung von Zugriffsrechten (Zuweisen, Entfernen und/oder Aussetzen von Benutzerprivilegien)

 

Cloud-IAM bzw. Identity as a Service (IDaaS) ist eine Kombination von IAM-Lösungen, die in gehosteten Umgebungen eingesetzt und von den Unternehmen zunehmend bevorzugt werden. Das IAM in der Cloud bietet nicht nur sehr wirkungsvollen Schutz gegen Hacker, sondern erlöst die IT-Teams außerdem von der operativen Aufgabe, selbst eine Lösung zu hosten und zu verwalten. Damit können die Mitarbeiter mehr Zeit für die Entwicklung von IT-Erweiterungen einplanen, die den Erfolg des Unternehmens fördern.

Best Practices für IAM-Sicherheit: Warum ist IAM so effektiv?

In der heutigen hypervernetzten Welt ist der Fernzugriff nicht mehr wegzudenken. Kunden und Mitarbeiter sind mobil und die Geschäftsanwendungen liegen in der Cloud. Der traditionelle, netzwerkbasierte Sicherheitsperimeter lässt jedoch sensible digitale Werte ungeschützt und hemmt die Produktivität der Mitarbeiter mangels Zugriffs. Digitale Unternehmen eröffnen einen nie dagewesenen Zugang zu Ressourcen und müssen sich daher notgedrungen mit einer dynamischen und kontinuierlichen Authentifizierung und Autorisierung anfreunden, um ihre Apps und Daten zu schützen.


Der identitätszentrierte Ansatz gibt den Sicherheitsteams die Freiheit, sich auf diejenigen sicheren Prozesse und Technologien zu konzentrieren, die direkt auf Unternehmensressourcen angewendet werden können – ganz gleich, wo sich diese befinden. Bei modernen Unternehmen recht verbreitet ist das Zero-Trust-Sicherheitsmodell, das auf Authentifizierungs- und Autorisierungskontrollen und nicht auf Netzwerkperimetern aufbaut.

 

[MUSIC] Hey, welcome to this fast chat exploring why zero trust starts with identity.
I'm Black Hat contributing editor Alex Wawro and with us today is Baber Amin, CTO west for Ping Identity.
Baber, thanks for joining us.
>> Thank you, Alex.
>> All right, let's get right into it.
I think first let's ask like what are the essential components of zero trust?
And why is identity key?
>> So, well the one essential component of zero trust is identification right?
If you don't know who somebody else is, then, you're you're starting off on the wrong foot.
And that's one of the reasons why identity is key.
Because you're not relying on any discrete events anymore.
You're not relying on any discrete mechanisms, but it's more of continuously verifying and and evaluating trust in the person or the device or the process.
>> So what are some easy wins for people who are looking to get started with zero trust?
>> So we get asked that a lot, right and I always tell people look, again start with proofing, so making sure that who it is from before you give somebody a credential and then move to authentication.
Then move to access and then move to consolidating your data stores.
Like a lot of people think, let me just consolidate my data stores.
And you know that project takes forever and it never succeeds because it never finishes.
>> Yeah.
So what type of companies do you think would benefit most from a zero trust approach?
>> Well, I used to say that you know, if you have a lot of people that are remote workers, they would benefit the most.
But given that everybody is remote now, I say everybody can benefit, because without zero trust, which is really a bad name for this, right?
Because it's not like you don't trust anything it's that you don't trust anything by default, right in a static manner, so a better name would be maybe ephemeral trust or something like that.
But everybody benefits from that, especially nowadays when you have all folks working remotely in giving things like telehealth or even the proofing that a doctor can prescribe you medicine they have to go through a certain amount of proofing.
That they are credentialed and everything else so that that used to be all in person, new employees.
Right?
>> Right.
>> When you get a new employee on board, you check their authorization to work the I9 form all of that, that used to be in person.
So all of that has to be remote now too, so pretty much everybody benefits from implementing zero trust principles.
>> So, besides technologies like what are the key things people need to know about the people and processes required for zero trust?
>> Yes.
So that's another place where people think that zero trust is some silver bullet and if I implement these four things, and yay, I'm good to go.
[LAUGH] But security is a people problem and a people solution.
The worst thing in security and the biggest hole in security is the combination of the person, email and clicking on links.
Because that violates no matter what kind of firewalls you put up no matter what kind of gates you put up.
It's that one person who didn't think about it or just clicked on it, right?
So that's the weakest link.
So processes become very important because it's educating your folks.
Look, don't do this or, don't connect to systems, don't download information to your machine that is not a possibly have the same level of security or patches on it right?
Don't download super secret documents to grandma's PC that has never been patched for the last 10 years.
And just because you need to work on something right after Thanksgiving dinner.
That is if we get to go to grandma's house this year.
So, yeah, people, processes, education and in really getting that buy in from your organization is very, very important.
>> Yeah, that makes a lot of sense.
Well Baber, thank you so much for joining us today and thanks everyone for taking part.
>> Thank you, Alex.
[MUSIC]

 

Das IAM bietet eine identitätsgesteuerte Sicherheit mithilfe von Tools wie beispielsweise der kontextbezogenen Multifaktor-Authentifizierung (MFA), dem föderierten Single Sign-On (SSO), einer standardbasierten Zugriffskontrolle, die sich dynamisch an Benutzer und Geräte anpasst, einem verschlüsselten Datenspeicher mit konsolidierten Benutzerdaten sowie der Daten-Governance mit einem einzigen Satz von Richtlinien für eine optimierte Compliance. Mit Identität im Mittelpunkt der Sicherheitsstrategie haben Unternehmen eine zentrale, richtliniengesteuerte Kontrolle und damit einen starken Schutz ihrer Anwendungen, Dienste und APIs.

Gängige IAM-Sicherheitswerkzeuge

Folgende Tools sind grundlegend wichtig für eine durchgängige Sicherheit mit IAM. Dazu gehören beispielsweise:
 

Single Sign-On (SSO)

Single Sign-On ist eine Art von IAM-Kontrolle, die es Benutzern ermöglicht, sich bei zahlreichen Ressourcen mit nur einem Satz von Anmeldedaten zu authentifizieren. Wenn sich ein Nutzer zum ersten Mal anmeldet, werden der Benutzername und das Passwort an den Identitätsprovider zur Verifizierung weitergeleitet. Der Authentifizierungsserver gleicht die Anmeldedaten mit dem Verzeichnis ab, in dem die Nutzerdaten hinterlegt sind und startet eine SSO-Session im Browser des Benutzers. Wenn der Nutzer den Zugriff auf eine Anwendung innerhalb einer vertrauten Gruppe anfordert, fragt der Serviceprovider nicht nach einem Passwort, sondern fordert den Identitätsprovider auf, die Identität des Benutzers zu authentifizieren.

 

Das SSO bietet unter anderem folgende Vorteile:

 

  • Die Angriffsfläche vieler Anmeldedaten wird auf eine Kombination reduziert

  • Eine optimierte Benutzererfahrung und eine Minimierung der Passwortmüdigkeit

  • Geringere Sicherheitsrisiken bei Partnern, Kunden und anderen, mit dem Unternehmen verbundenen Instanzen

 

Multifaktor-Authentifizierung (MFA)

Wenn ein Hacker auf ein Konto stößt, das von nur von einem Passwort und einem Benutzernamen geschützt wird, weiß er sofort, dass er ins Schwarze getroffen hat. Cyberkriminelle haben Zugang zu einer im Dark Web angebotenen Software, die in weniger als einer Minute Hunderttausende von Passwörtern und Benutzernamen an dieses Konto senden kann. Sobald das Konto die richtige Kombination aus Buchstaben, Zahlen und Symbolen erkennt, kann der Hacker auf das Konto zugreifen und bekommt möglicherweise empfindliche Unternehmensdaten in die Hände.

 

Die Multifaktor-Authentifizierung sorgt für eine wahrheitsgetreue Identifizierung der digitalen Nutzer, indem sie von ihnen mindestens zwei Nachweise für ihre Identität verlangt. Die einzelnen Nachweise müssen unterschiedlichen Kategorien entstammen: Etwas, das sie kennen, etwas, das sie haben oder etwas, das sie sind. Wenn einer der Faktoren kompromittiert wurde, besteht nur eine geringe Wahrscheinlichkeit, dass ein weiterer Faktor ebenfalls kompromittiert wurde. Auf diese Weise bietet das Anfordern mehrerer Authentifizierungsfaktoren einen höheren Grad der Gewissheit über die Identität des Benutzers. Diese zusätzlichen Faktoren können in verschiedenen Formen vorliegen: als an ein Mobiltelefon gesendete numerische Codes, Schlüsselanhänger, Smartcards, Standortprüfungen, biometrische Informationen oder sonstige Faktoren.

 

So funktioniert eine Zugriffsanfrage mit einer MFA

 

 

Verzeichnisse

Die Benutzeridentitätsdaten sind ein bevorzugtes Ziel von Angreifern, vor allem wenn sie in dezentralen Datenspeichern liegen, deren Sicherheitsrichtlinien nicht einheitlich sind. IAM-Sicherheit kann Mitarbeiter-, Partner- und Kundendaten über ein Verzeichnis schützen, das Identitätsdaten zentralisiert und verschlüsselt, um sie vor Angriffen zu bewahren. Eine solide Verzeichnislösung kann auch dem Schutz vor Insider-Angriffen dienen, wenn Unternehmen den Administrator-Zugriff einschränken und bei verdächtigen Aktivitäten aktive wie auch passive Warnmeldungen senden können.

 

Passwortrücksetzungen als Selfservice-Funktion

Eine wichtige, aber häufig unterschätzte Funktion einer IAM-Sicherheitslösung ist die Möglichkeit, die Anfragen der Nutzer an die Helpdesks der IT-Abteilung wegen Passwortrücksetzungen durch eine Selfservice-Funktion zu ersetzen. Wenn die Mitarbeiter ihre Identität mit einer MFA nachweisen können, reduzieren Sie nicht nur die Anzahl der kostspieligen Passwortrücksetzungen, sondern können auch die Gefahr, dass Hacker durch ihr Monitoring-System „Chatter“ die Passwörter „hijacken“ erheblich eindämmen.

 

Hi, I'd like to talk to you today about identity defined security.
Many leading global companies have unlocked huge value in identity and access management solutions.
But putting identity at the core of your security architecture, you can reduce the risk of stolen credentials, eliminating the number one threat of breach in the enterprise.
Centralized access control to remove security holes and improve compliance.
Protect your customers and employee identity data from end to end.
And enforce both corporate data access policy and user preferences for data privacy.
Most organizations today still rely on a perimeter based approach to security.
This is made up of both the physical walls of their office and a network firewall.
This made sense when all the users applications and identities were inside this perimeter and the bad guys were on the outside.
But today, users and their devices are mobile.
And many SaaS enterprise applications and services are in the cloud, making a perimeter based approach to security ineffective in securing the enterprise.
To make matters even worse, users authenticate with many passwords giving hackers a much larger surface area for attack.
Well there's a better way, the Ping Identity platform makes identity a security cornerstone with five key capabilities.
First, single sign-on gives all of your users, your employees, customers and partners single-click access to SaaS, cloud, and legacy apps.
SSO from Ping lets you authenticate your users once, no matter where they are with a single set of corporate credentials, eliminating all of those insecure passwords and giving your organization a single authentication authority.
But since most organizations still rely on passwords for their corporate credentials, they're still susceptible to breach.
Multi-factor authentication or MFA allows your enterprise to move beyond passwords with a great user experience.
As users sign on, policy is evaluated using contextual data to determine if step up authentication beyond a password is necessary.
If so, they're prompted for another factor.
This is highly configurable, including one time pass codes via SMS, email or voice or maybe a user is prompted for a fingerprint on their device.
With MFA, hackers are denied access even with a stolen password.
Okay, so now your users are securely authenticated, but not every user should have access to all applications.
The access security capability will give your organization a central policy driven access control layer for all enterprise apps, whether they're in the cloud or on premises.
As users make requests to applications or to API's through a mobile application for instance, contextual data and attributes such as the application page requested, time of the day, network, session status, group, etc.
are used to evaluate authorization policy at the application page or API level and determine whether access is granted or denied.
Another challenge that many organizations face is keeping their customer and employee identity data safe and secure.
Many times identity data is scattered across many unsecure data stores and directories.
The Ping directory consolidates and secures your sensitive identity data at all phases during capture, and transit, at rest, or during reporting and logging.
It does this without sacrificing performance or scale.
In addition, most organizations are required to govern who has access to what data.
For instance, when a partner requests customer data maybe to fill an order, you may need to protect social security numbers or credit card data.
The Ping data governance capability enforces both corporate policy and user privacy preferences for all requested data from partners, various corporate groups or other applications.
Ensuring your organization complies with all relevant industry, geographic, or corporate policies.
The Ping Identity platform makes identity the new perimeter, strengthening corporate security, and ensuring regulatory compliance without sacrificing user experience.
Thank you.

Schützen Sie Ihr Unternehmen mit IAM-Sicherheit

Wir bei Ping sehen das moderne Identitätsmanagement als roten Faden, der sich durch die ganze digitale Welt zieht, und erkennen es als einen entscheidenden Faktor für die Umsetzung der digitalen Transformation. Noch nie haben Kunden so vehement Datenschutz und -sicherheit gefordert wie heute, und durch die globale Gesundheitskrise ist der sichere Fernzugriff ins Zentrum des Interesses gerückt, da das ortsunabhängige Arbeiten eine unbestrittene Notwendigkeit darstellt. Dies bedeutet auch, dass die richtige IAM-Sicherheitsstrategie die Liste Ihrer Prioritäten bei der digitalen Transformation anführt. 


Wenn Sie mehr darüber erfahren möchten, warum sich die größten Unternehmen der Welt für IAM-Lösungen von Ping Identity entscheiden, um ihre wichtigsten Ressourcen zu schützen und Mitarbeitern, Kunden und Partnern einen sicheren Zugang zu ermöglichen, möchten wir Ihnen dieses Video empfehlen..

Diesen Artikel teilen:
Verwandte Ressourcen
Transformation der CIAM-Strategie in ein Profitcenter für Finanzdienstleistungen
03.07.2024
Verwandeln Sie CIAM in ein Profitcenter für Finanzdienstleistungen, um nahtlose und sichere digitale Erlebnisse zu bieten.
Pekin Insurance bietet weiterhin höchste Sicherheitsstufen mit optimaler Erfahrung
Nicole Roseveare
22.04.2024
Pekin Insurance verwendet Ping für SSO und MFA sowie PingOne Protect und PingFederate, um seine Mitarbeiter und Makler zu schützen und gleichzeitig ein außergewöhnliches Nutzererlebnis zu bieten

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.