Das Vorbeugen von Datenschutzverletzungen mithilfe des Identitäts- und Access-Managements (IAM)

15.03.2022
-Minuten Lesezeit
Yev Koup

Einleitung

Datenschutzverletzungen stellen für viele Unternehmen eine ständig wachsende Bedrohung dar. Der Bericht über Kosten einer Datenschutzverletzung 2021 (Cost of a Data Breach Report) von IBM hat gezeigt, dass Datenschutzverstöße Kosten von durchschnittlich 4,24 Millionen US-Dollar verursachen und der unrechtmäßige Zugang meist durch kompromittierte Anmeldedaten ermöglicht wird. Hacker haben viele Möglichkeiten, an kompromittierte Zugangsdaten zu gelangen. Dazu zählen auch Phishing-Angriffe, die Nutzer zur Preisgabe ihrer Kontodaten verleiten.

 

Durch Datenschutzverletzungen können wiederum kompromittierte Anmeldedaten und personenbezogene Daten (PII) in Umlauf geraten, die anschließend im Dark Web angeboten werden. Spektakuläre Fälle von Datenschutzverletzungen im Jahr 2021, bei denen es um personenbezogene Daten und/oder Zugangsdaten ging, betrafen unter anderem Cognyte (5 Milliarden Datensätze), LinkedIn (700 Millionen Nutzer) und Facebook (533 Millionen Konten). Berücksichtigt man die Anzahl der Benutzer, die ihre Passwörter für mehrere Konten wiederverwenden oder an andere weitergeben, ziehen diese Verstöße weite Kreise.

 

Aufgrund der ständigen Bedrohungen der Cybersicherheit wenden sich immer mehr Unternehmen einem Zero-Trust-Ansatz zu, d. h. keinem wird vertraut und alles wird überprüft.

 

 

Lesen Sie weiter, um zu erfahren, wie das Identitäts- und Access-Management (IAM), eine Schlüsselkomponente des Zero-Trust-Ansatzes, an mehreren Fronten ansetzt, um Datenschutzverletzungen zu verhindern.

Was ist ein Identitäts- und Access-Management (IAM)?

Ein Identitäts- und Access-Management (IAM) ist ein Framework für Cybersicherheit mit zahlreichen Funktionen. Eine besteht in der Fähigkeit, sicherzustellen, dass die Nutzer auch wirklich diejenigen sind, für die sie sich ausgeben. Auf diese Weise wird verhindert, dass Hacker mit kompromittierten Anmeldedaten Zugang zu Ihrem Netzwerk erhalten. Es gibt IAM-Lösungen für Kunden, Mitarbeiter und Partner, die außerdem böswillige Akteure im eigenen Unternehmen davon abhalten, auf sensible Daten zuzugreifen und sie zu verkaufen. Eine IAM-Lösung ist unentbehrlich für die Verbindung und Integration Ihres Unternehmens mit Menschen und Ressourcen, und mit einem Dienst für die Identitätsorchestrierung lässt sich dies noch einfacher bewerkstelligen.

 

Schauen Sie sich dieses kurze Video an, um mehr über das IAM zu erfahren.

 

Hi, I'd like to talk to you today about identity defined security.
Many leading global companies have unlocked huge value in identity and access management solutions.
But putting identity at the core of your security architecture, you can reduce the risk of stolen credentials, eliminating the number one threat of breach in the enterprise.
Centralized access control to remove security holes and improve compliance.
Protect your customers and employee identity data from end to end.
And enforce both corporate data access policy and user preferences for data privacy.
Most organizations today still rely on a perimeter based approach to security.
This is made up of both the physical walls of their office and a network firewall.
This made sense when all the users applications and identities were inside this perimeter and the bad guys were on the outside.
But today, users and their devices are mobile.
And many SaaS enterprise applications and services are in the cloud, making a perimeter based approach to security ineffective in securing the enterprise.
To make matters even worse, users authenticate with many passwords giving hackers a much larger surface area for attack.
Well there's a better way, the Ping Identity platform makes identity a security cornerstone with five key capabilities.
First, single sign-on gives all of your users, your employees, customers and partners single-click access to SaaS, cloud, and legacy apps.
SSO from Ping lets you authenticate your users once, no matter where they are with a single set of corporate credentials, eliminating all of those insecure passwords and giving your organization a single authentication authority.
But since most organizations still rely on passwords for their corporate credentials, they're still susceptible to breach.
Multi-factor authentication or MFA allows your enterprise to move beyond passwords with a great user experience.
As users sign on, policy is evaluated using contextual data to determine if step up authentication beyond a password is necessary.
If so, they're prompted for another factor.
This is highly configurable, including one time pass codes via SMS, email or voice or maybe a user is prompted for a fingerprint on their device.
With MFA, hackers are denied access even with a stolen password.
Okay, so now your users are securely authenticated, but not every user should have access to all applications.
The access security capability will give your organization a central policy driven access control layer for all enterprise apps, whether they're in the cloud or on premises.
As users make requests to applications or to API's through a mobile application for instance, contextual data and attributes such as the application page requested, time of the day, network, session status, group, etc.
are used to evaluate authorization policy at the application page or API level and determine whether access is granted or denied.
Another challenge that many organizations face is keeping their customer and employee identity data safe and secure.
Many times identity data is scattered across many unsecure data stores and directories.
The Ping directory consolidates and secures your sensitive identity data at all phases during capture, and transit, at rest, or during reporting and logging.
It does this without sacrificing performance or scale.
In addition, most organizations are required to govern who has access to what data.
For instance, when a partner requests customer data maybe to fill an order, you may need to protect social security numbers or credit card data.
The Ping data governance capability enforces both corporate policy and user privacy preferences for all requested data from partners, various corporate groups or other applications.
Ensuring your organization complies with all relevant industry, geographic, or corporate policies.
The Ping Identity platform makes identity the new perimeter, strengthening corporate security, and ensuring regulatory compliance without sacrificing user experience.
Thank you.

So verhindert das IAM Datenschutzverletzungen

Wir beleuchten im Folgenden verschiedene IAM-Funktionen und ihre Funktion bei der Vorbeugung von Datenschutzverletzungen.

 

Authentifizierungsinstanz

Eine Authentifizierungsinstanz bietet einen zentralisierten Authentifizierungsdienst für alle Ihre digitalen Ressourcen – SaaS-basiert, am Standort, oder in der Cloud. Die adaptive Authentifizierung kann Ihre Angriffsfläche verringern, indem sie bei bestimmten Risikosignalen, wie z. B. bei der Authentifizierung von verdächtigen IP-Adressen oder Geostandorten, automatisch ein höheres Verifizierungslevel von den Benutzern verlangt. Benutzer mit erwartungsgemäßen Verhaltensmustern können sich nahtlos anmelden, während Echtzeitbewertungen, die auf den Versuch eines Datenschutzverstoßes hindeuten könnten, zusätzliche Formen der Authentifizierung erfordern.

 

Multi-Faktor-Authentifizierung (MFA)

Bei der Multi-Faktor-Authentifizierung (MFA) müssen die Angestellten, Partner und/oder Kunden ihre Identität mit zwei oder mehreren unterschiedlichen Authentifizierungs-Kategorien nachweisen. Ein Cyberkrimineller, der kompromittierte Anmeldedaten verwendet, erhält keinen Zugang ohne eine zusätzliche Form des Nachweises aus einer anderen Kategorie, z. B. ein mit dem Benutzer verbundenes Mobilgerät oder seinen Fingerabdruck. Laut Microsoft kann die MFA „99,9 Prozent der Angriffe auf Ihre Konten vereiteln.“

 

Dies sind die Authentifizierungsfaktoren:

 

  • Etwas, das man weiß.  Kennwörter, PINs und Antworten auf Sicherheitsfragen fallen unter diese Kategorie. Viele Menschen geben freimütig ihre persönlichen Informationen auf Social-Media-Websites preis. Diese sind dann weniger sicher und können von böswilligen Akteuren leichter herausgefunden werden.
     

  • Etwas, das man hat. Beispiele dafür sind Smartphones, Hard Token, Soft Token, Schlüsselanhänger und Smartcards im Besitz des Nutzers. Die hier angewandten Verfahrensweisen sind zum Beispiel das Senden eines Einmalpassworts (OTP) an ein Smartphone oder das Einstecken einer Smartcard in ein Gerät.
     

  • Etwas, das man ist. Immer häufiger werden biometrische Daten, wie Fingerabdrücke, Stimm- oder Gesichtserkennung und weitere Methoden dazu verwendet, die reale Identität eines Nutzers zu bestätigen.

 

 

 

Dynamische Autorisierung

Mit der dynamischen Autorisierung haben Sie die Kontrolle darüber, wem Sie Zugriff auf Daten und Aktionen in Ihren SaaS-, Mobil-, Web- und Unternehmensanwendungen gewähren. Der Echtzeitkontext wird hinzugezogen, um fein abgestimmte Entscheidungen über das Genehmigen, Blockieren, Filtern oder Verschleiern zu treffen. Die Autorisierung spielt auch eine Rolle bei der Einhaltung gesetzlicher Vorschriften. Die Vorschriften zum Schutz der Verbraucherdaten unterscheiden sich nach Branche und Region, wobei regelmäßig neue Bestimmungen eingeführt oder ältere aktualisiert werden. Damit diese Vorschriften, wie unter anderem die Datenschutzgrundverordnung (DSGVO), der California Consumer Privacy Act (CCPA) und das Consumer Data Right (CDR) eingehalten werden können, muss es Kunden möglich sein, die Kontrolle und den Überblick über ihre Daten zu behalten.

 

Verzeichnisse

Kriminelle sind auf die Daten Ihrer Mitarbeiter, Partner und Kunden aus. Ein Verzeichnis, das die Identitätsdaten zentralisiert und verschlüsselt, trägt zu ihrem Schutz vor Angriffen bei. Statt mehrere Verzeichnisse als getrennte Datensilos zu verwalten, werden diese zu einer einzigen verlässlichen Datenquelle für Ihr gesamtes Unternehmen und ihre vertrauenswürdigen Partner zusammengeführt, so dass Sie die User Journey ohne Einbußen bei der Datensicherheit personalisieren können. Das Verzeichnis verschlüsselt die Daten in jedem Zustand (im Ruhezustand ebenso wie bei der Übertragung und Verwendung), damit Datenschutzverletzungen und Probleme mit der Compliance vermieden werden. Ein zentralisiertes Verzeichnis kann auch Insider-Angriffe abwehren, indem es Unternehmen ermöglicht, den Zugriff einzuschränken und bei verdächtigen Aktivitäten aktive und passive Warnmeldungen zu versenden.

 

API-Sicherheit

Anwendungsprogrammierbare Interfaces (APIs) sind Programmierschnittstellen, die für die Kommunikation zwischen Anwendungen eingesetzt werden und mit verschiedenen Methoden entwickelt werden können. Da APIs Datenströme weiterleiten, sind sie ein bevorzugtes Ziel für Cyberkriminelle. Die API-Sicherheit berücksichtigt API-Zugriffskontrollen und Datenschutz, das Aufdecken und Beheben von Angriffen auf APIs durch Reverse Engineering sowie das Ausnutzen von API-Schwachstellen, wie im Open Web Application Security Project (OWASP) API Security Top 10 beschrieben.

 

Schauen Sie sich dieses kurze Video an, um mehr über die API-Sicherheit zu erfahren.

 

Digital transformation is built on APIs, which drive new operating models that provide direct access to business logic, applications, and data.
While this access is invaluable for your employees, partners, and customers, it also makes APIs attractive targets for hackers and rogue insiders.
A growing number of highly publicized attacks have revealed how vulnerable APIs can be to attack vectors like credential stuffing, stolen tokens, data extraction, broken authentication, account takeover, and breaches through a partner.
Existing API security solutions like content delivery networks and application delivery controllers, web application firewalls, identity and access management systems, and API gateways provide basic protections for your API infrastructure against volumetric DDOS attacks, OWASP top ten vulnerabilities, session hijacking, and invalid input attacks, to name a few.
But they're not enough to stop hackers determined to exploit vulnerabilities unique to each API.
To learn more about four common gaps in API security, visit our website at the link below or visit the API intelligence page at www.pingidentity.com.
Thanks for watching.

Weitere Informationen über Zero Trust

Cyberkriminelle sind unablässig auf der Suche nach neuen Methoden, um in Ihr System einzudringen, Daten zu stehlen oder (noch schlimmer) Ihre Daten vorzuhalten und für einen Ransomware-Angriff zu nutzen. Zero Trust bietet einen ganzheitlichen Ansatz zur Absicherung Ihres Netzwerks. Laden Sie unser Whitepaper herunter, um mehr zu erfahren: Die Reise zu Zero Trust.

Diesen Artikel teilen:
Verwandte Ressourcen
Transformation der CIAM-Strategie in ein Profitcenter für Finanzdienstleistungen
03.07.2024
Verwandeln Sie CIAM in ein Profitcenter für Finanzdienstleistungen, um nahtlose und sichere digitale Erlebnisse zu bieten.
5 Mglichkeiten den digitalen Kampf im Finanzdienstleistungssektor mit Identitt zu gewinnen
5 Möglichkeiten, den digitalen Kampf im Finanzdienstleistungssektor mit Identität zu gewinnen
Adam Preis
21.02.2024
Werden Sie wettbewerbsfähiger mit den Anbietern der digitalen Zukunft, indem Sie die Möglichkeiten der digitalen Identität bei Finanzdienstleistungen nutzen.

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.