Identitäts- und Zugriffsmanagement als zentrale Bausteine für Datensicherheit und Mobilität im Unternehmen
Viele Mitarbeitende benötigen jederzeit Zugriff auf – auch sensitive – Unternehmensdaten. In der Vergangenheit war dies vorrangig nur möglich, wenn man im Unternehmen selbst anwesend war oder über eine VPN-Verbindung verfügte. Die Sicherheitsrichtlinien bildeten um das Unternehmen eine Grenze, machten aus ihm einen in sich geschlossenen, physischen Bereich.
Dass dem heute nicht mehr so sein muss, ist landläufig bekannt. Unternehmen öffnen sich, es kann von überall und über verschiedene, private wie geschäftliche, Geräte auf dessen Daten zugegriffen werden. Immer öfter wird auch Kunden und externen Partnern der Zugang zu Daten und Infrastruktur im eigenen Unternehmen gestattet. Hybride Umgebungen werden immer mehr zum Standard, da sie Bewährtes mit Neuem verknüpfen und den reibungslosen Übergang von einer IT-Landschaft in eine andere gewährleisten.
Um den Benutzern modernes Arbeiten zu ermöglichen und keine Schatten-IT entstehen zu lassen, müssen Unternehmen ihre Sicherheitsrichtlinien dem veränderten Arbeiten von überall, zu jeder Zeit und von unterschiedlichen Geräten aus anpassen. Der Endpunkt, von dem aus der Zugriff auf Unternehmensdaten erfolgt, ist variabel. Um das «Vertrauen» zu einem solchen Endpunkt, hinter dem jeweils ein Benutzer steht, herzustellen, muss folgende Frage beantwortet werden:
«In wie weit kann diesem Endpunkt in dieser Situation der Zugriff gewährt werden?»
Benutzeridentität wird zur Sicherheitsgrundlage
Die Antwort auf die Frage liefert der Benutzer durch seine digitale Identität. Ein Zugang wird nur dem gewährt, der sich mittels seines Passwortes und einer weiteren Authentifizierung ausweisen kann, einer sogenannten Multifaktoren-Authentisierung (MFA). Nach der Passworteingabe folgt die zweite Identitätsüberprüfung wahlweise über eine SMS, einen Telefonanruf oder einen Code, welcher in einer mobilen App generiert wird und dann eingegeben werden muss. Die neueste Variante verlangt via mobiler App sogar nur noch eine Genehmigung. Wichtig ist hierbei, dass für die verschiedenen Schritte unterschiedliche Übermittlungskanäle genutzt werden. Dieses Vorgehen erhöht den Schutz vor «Man-in-the-Middle»-Attacken.
Die technische Voraussetzung hierfür schafft ein zentrales Verzeichnis wie das Microsoft Azure Active Directory, welches in hybriden Umgebungen mit dem lokalen Active Directory verbunden werden kann.
Gerätestandort beeinflusst die Zugriffsberechtigung
Der Standort eines Endgerätes beim Zugriff bestimmt die Sicherheitsanforderungen. Befindet sich der Benutzer bspw. an einem Endgerät in einem Internetcafé, so sind andere Sicherheitsanforderungen und -prüfungen erforderlich, als wenn er sich innerhalb des Unternehmens an einem Firmengerät anmeldet. Diese Unterschiede werden im System als Bedingter Zugriff oder Conditional Access definiert. Die Sicherheitsanforderungen können sogar so weit gehen, dass der Zugriff auf bestimmte Anwendungen gesperrt ist oder dem Benutzer innerhalb einer Anwendung gewisse Funktionen nur dann zur Verfügung stehen – zum Beispiel das Kopieren von Dateien –, wenn er sich innerhalb des Firmennetzwerkes befindet.
Die Sicherheitsprüfungen können je Szenario definiert werden. Meldet sich ein Benutzer z.B. vom Ausland aus an, was über die IP-Adresse seines Endgeräts festgestellt werden kann, so erfordert die Multifaktor-Authentifizierung eine Verifizierung durch einen Telefonanruf. Erfolgt die Anmeldung hingegen aus der Schweiz, kann für die weitere Identifizierung nur ein Code aus einer mobilen App, zum Beispiel die Authenticator App von Microsoft, verlangt werden.
Das Identity Management erkennt und reagiert auch auf Anomalien beim Login. Angenommen, ein Benutzer meldet sich in Zürich an und fünf Minuten später nochmals von Hamburg aus, erkennt das System, dass dies aufgrund des Verhältnisses von Zeit und Entfernung nicht möglich ist. Abhängig von der definierten Sicherheitsrichtlinie wird dann beispielsweise der Zugriff blockiert und kann erst durch eine weitere Authentifizierung (beispielsweise ein Telefonat mit dem Servicedesk) wieder freigeschaltet werden.
Bedingter Zugriff bietet Kontrolle auf folgenden Ebenen
- Benutzer
- Standort
- Endgeräte
- Anwendung
und unterstützt alle Plattformen wie Windows, iOS, Android sowie neu auch macOS.
Mit Mobilgeräten sicher auf Unternehmensdaten zugreifen
Durch die Integration eines Mobile-Device-Managements (MDM) können Unternehmensrichtlinien auf den Endgeräten der Benutzer, auch auf deren privaten Geräten, angewendet und durchgesetzt werden.
Die Datensicherheit kann mittels besonderer Anforderung zusätzlich erhöht werden. Beispielsweise gelingt der Zugriff auf Firmenmails oder -dokumente nur dann, wenn der Speicher des Endgeräts verschlüsselt wurde.
Microsoft Intune dient der cloudbasierten Verwaltung mobiler Anwendungen und Geräte im Unternehmen.
Einmal-Authentifizierung schafft Sicherheit und Effizienz
Durch die Single Sign-on Funktion des Identity Management Systems erhält der Benutzer mit einem Login Zugriff auf all seine Anwendungen, unabhängig davon, ob diese im Firmenumfeld gehostet sind, sich in der Cloud oder auf anderen Plattformen (wie Salesforce, Twitter, Facebook, Google, Dropbox etc.) befinden. Neben Standardanwendungen können gleichzeitig auch eigene wie auch Mobil- und Web-Anwendungen des Unternehmens gesichert werden. Tausende von SaaS-Lösungen (Software-as-a-Service) können so geschützt und zentral angeboten werden, auch wenn die Anwendung an sich nicht MFA-fähig ist.
Passwortmanagement einfach und sicher gemacht
Die hohe Anzahl von Anrufen zwecks Zurücksetzung des Passworts beschäftigen Servicedesks erfahrungsgemäss intensiv. Mit der Einrichtung eines Self-Service-Portals können Servicedesk-Mitarbeitende entlastet werden und die anfragenden Benutzer schneller zu einem neuen Passwort gelangen.
Mit dem sogenannten Self-Service-Password-Reset kann der Benutzer sein Passwort eigenständig zurücksetzen. Selbstverständlich greifen auch hier die Sicherheitsrichtlinien, so dass nur der berechtigte Benutzer sein Passwort zurücksetzen kann.
Cloud-Lösung generiert vielschichtigen Mehrwert
Das Cloud Identity Management bringt folgenden Mehrwert:
⚿ Mehr Sicherheit
⛁ Geringere Kosten
⚒ Einfachere Inbetriebnahme
☺ Bessere Benutzererfahrung (User Experience)
✓ Gerüstet für die Zukunft
Cloud-first, mobile-first – immer mehr Unternehmen wählen diese IT-Strategie, denn heute wird vielerorts in hybriden, mobilen Umgebungen gearbeitet und entwickelt. Ein lokales Identity Management wäre nie so sicher, so günstig und so einfach zu betreiben wie ein cloudbasiertes.
Mittels Identity Management und Conditional Access von Microsoft Azure Active Directory & Enterprise Mobility + Security erhalten Sie die Kontrolle und Sicherheit, dass ihre Firmendaten geschützt sind, während Ihre Mitarbeitenden frei von jedem Gerät aus auf alle Anwendungen und Daten zugreifen können, unabhängig davon, ob sich diese in der Cloud oder in Ihrem Unternehmensnetzwerk befinden.
24. Oktober 2017 | Geschrieben von Udo Jetschmanegg
