Identitäten schützen – warum es so wichtig ist

Die Cloud Welt hat einen wesentlichen Unterschied zu den vor Ort IT-Plattformen. Keine physischen Barrieren verhindern den Zugriff auf Ressourcen. Jeder Benutzer kann von überall, jederzeit auf Daten und Systeme zugreifen. Ich muss die Identitäten unseres Unternehmens möglichst wirkungsvoll schützen und habe mir dazu einige Gedanken verfasst.

Bis vor kurzer Zeit waren wir uns in der IT-Welt ziemlich sicher, dass wir mit einem hohen physischen Schutz und raffinierter Technik, die Sicherheit im eigenen IT-Backend möglichst hochhalten können. Mit der Transformation in die Cloud-Welt haben sich viele weitere Einfallspunkte eröffnet. Dennoch sind wirkungsvolle Perimeter Schutzmechanismen und hochwertiger physischer Schutz auch heute noch unabdingbar. Es treffen nun weitere Herausforderungen auf uns zu.

Identitätswolke

Zugriffe auf Services
Heute kann ein Mitarbeiter:in der Regel «von jeder Ecke dieser Welt» auf Systeme und Funktionen zugreifen. Für (Cyber-)Kriminelle ist es offensichtlich weniger aufwendig, die Identität eines Users:in zu stehlen. Mit dem Diebstahl der Identität steht das Tor zu wertvollen Informationen oder schlimmstenfalls zur Administration der eingesetzten Plattform sperrangelweit offen.
Die Cloud Welt nimmt uns daher in die Pflicht als IT, neben dem Schutz der Systeme und Netzwerke, zusätzlich ein Augenmerk auf den Schutz der Benutzer:innen oder eben deren Identitäten zu legen.
Die Anwender:innen sind dann augenblicklich mit neuen Anwendungen und Anmeldemethoden konfrontiert. Allfällige Vorbehalten der User:innen können mit guten Schulungen und dem Aufzeigen des Benefit dieser Schutzmechanismen gut vermittelt werden. Diese müssen im Betrieb in Fleisch und Blut übergehen. Es ist ein Paradigmen Wechsel für die typischen Schweizer KMU-Betriebe und ebenso eine kulturelle Weiterentwicklung in der IT-Maturität für die jeweilige Unternehmung.

Cloud Platine

Werkzeuge zur Umsetzung
In der M365 und Azure Plattform von Microsoft stehen uns dazu geeignete und wirkungsvolle Tools und Möglichkeiten zur Verfügung.

MFA – Multifaktor Authentifizierung
Mit dem Einsatz von MFA (Multifaktor Authentifizierung) aus dem Toolset der Microsoft Azure AD Dienste ist eine Unternehmung innert nützlicher Zeit in der Lage, die Identität eines Benutzers:in zusätzlich zu schützen. Nach erfolgreicher Überprüfung von Username und Passwort wird vom System eine weitere Verifikation verlangt; der zusätzliche Authenfikations Faktor. Damit wird wirkungsvoll der Verlust von Anmelde Informationen und Daten erschwert. Die technische Implementierung ist nicht sehr aufwendig.

Azure – device hybrid join
In heutigen IT-Umgebung werden Geräteidentitäten in die Sicherheitskonzepte mit einbezogen. Mit diesen technischen Sicherheitssignalen ist es möglich, die Zugriffs Regelwerke noch besser zu verfeinern. Ein Gerät, dass aus der eigenen Organisation erkannt wird, kann zum Beispiel mit Mitwirkungsrechten auf Daten versorgt werden. Ein organisationsfremdes Gerät hingegen, nur auf einen lesenden Status, bzw. ausgeschlossen Status versetzt werden.

Conditional Based Access (CBA)
Conditional Based Access (CBA) ist eine Art Firewall, die erkennen kann, woher das Gerät zugreift, wohin es gehört, etc. Wie es der Name CBA vermuten lässt, kann auf solche Signale ein bedingter Zugriff verwehrt oder erlaubt werden. Die Verknüpfung von Identität und Gerät lässt die Wirksamkeit der Sicherheitsmechanismen enorm steigern. Eine Implementierung von CBA’s hängt von der Pflege des Datenbestandes ab und ist initial aufwendiger, als es vermuten lässt.

Mein Fazit
Es besteht die grosse Wahrscheinlichkeit, dass sich Benutzer:innen gegen weitere Anwendungen sträuben. Das Vermitteln der Wichtigkeit des Identitätschutz und eine nachhaltige Schulung im Unternehmen wird jeden Mitarbeiter:in davon überzeugen sich gerne mitzuhelfen sein Unternehmen und seine eigene Identität bestmöglich zu schützen.

Die technische Einführung von bedingungsabhängigen Zugriffen steigert die Wirksamkeit der Schutzmechanismen spürbar und hilft die Daten und Zugriffe den richtigen Personen zur Verfügung zu stellen oder eben zu verwehren.

Entscheidend über den Erfolg oder Misserfolg ist vom Know How des Implementierers und der Kommunikation im Betrieb abhängig. Die noch so sicherste Lösung muss verstanden und gelebt werden (können).

Im «CAS – Cloud and Plattform Manager» verspreche ich mir zusätzliche Skills zu weiteren Cloud und Organisationsthemen anzueignen.

 

Weiterführende Links zum Thema

Was ist Identity Protection

So funktioniert Multifaktor Authentifizierung

Was ist bedingter Zugriff

Bildernachweise: 

Pixabay License

Freie kommerzielle Nutzung

Beitrag teilen

Roger Dierauer

Roger Dierauer ist Project Manager / Senior System Engineer der Baumer Gruppe in Frauenfeld. Er bloggt aus dem CAS - Cloud and Plattform Manager. Aktuell beschäftigen ihn diverse Projekte der Baumer Gruppe zum Thema Move zu M365 und Azure Cloud. «SaaS prefered» ist der Leitsatz.

Alle Beiträge ansehen von Roger Dierauer →

Schreibe einen Kommentar