Großzügigkeit mag gemeinhin eine Tugend sein, in der IT-Sicherheit hingegen ist sie fahrlässig. Wer Zugriffsrechte generös verteilt oder Beschäftigten zu freie Hand bei der Erstellung von Konten lässt, riskiert das, was man im Englischen als Identity Sprawl bezeichnet. Passenderweise bedient sich der Begriff an einem Vorgang aus der Botanik.
Ein Beitrag von Thomas Müller-Martin, Global Partner Lead bei Omada.
Identity Sprawl beschreibt eine regelrechte „Wucherung“ von Identitäten und Konten, die sich innerhalb des Unternehmensnetzwerks oder der Cloud erstrecken können – ähnlich einem Wurzelwerk im Erdreich, gleichermaßen unkontrollierbar, unsichtbar und in der Regel weiter verzweigt, als man denkt.
Nicht minder ausgeweitet hat sich die Anzahl der Arbeitsorte, von denen aus Beschäftigte ihrer beruflichen Tätigkeit nachgehen. Von dort aus brauchen Mitarbeiter immer mehr Zugänge zu immer mehr Tools und Applikationen, fragen dafür Berechtigungen an oder erstellen auf eigene Faust neue Konten und betreiben Schatten-IT außerhalb der Kontrolle der Sicherheitsteams.
Das bereitet auch der Geschäftsleitung und den IT-Sicherheitsverantwortlichen nachweislich Sorgen: Über 90 Prozent von ihnen fürchten Risiken aufgrund von identitätsbezogenen Cyberbedrohungen. Unternehmen und Organisationen jeder Größe sollten einem Wildwuchs daher dringend Einhalt gebieten – sonst drohen eklatante Sicherheitsrisiken und Compliance-Verstöße.
Mehr Konten - mehr Chancen für Hacker
Wenn Beschäftigte Dienste nutzen und Konten einrichten, ohne die IT-Abteilung einzubeziehen, steckt dahinter meist keine böswillige Absicht, sondern lediglich der Versuch, sich die Werkzeuge zu beschaffen, die sie zur Erledigung ihrer Arbeit brauchen. Die Verbreitung von Identitäten kann jedoch zu Sicherheits- und Compliance-Risiken führen.
Im Kontext unkontrollierter Wucherung in der Botanik kann man die Compliance als Werkzeug für die Unterscheidung zwischen schützenswerten Gewächsen und Unkraut oder gar Schädlingen betrachten. Wer übermäßige Konten nicht regelmäßig stutzt, erhöht beispielsweise die Angriffsfläche für Phishing-Attacken. Wenn Benutzer unterschiedliche Konten in einem Netzwerk haben, wird es für IT-Team schwieriger, jeden einzelnen Angriff zu überwachen und zu verwalten.
Zudem steigt mit der Anzahl der Nutzerkonten auch die Menge der Accounts, die kompromittiert werden können. Hacker können durch Phishing gestohlene Anmeldeinformationen verwenden, um Zugang zu Systemen oder Anwendungen zu erhalten. Ein weiteres Problem entsteht, wenn Mitarbeiter das Unternehmen verlassen oder Konten, die sie nicht mehr benötigen, nicht schließen.
Dann entstehen sogenannte verwaiste Konten, also Accounts, die mit vielen Privilegien ausgestattet sind, jedoch nicht mehr genutzt werden und nur darauf warten, von einem böswilligen Akteur gekapert und missbraucht zu werden. All dies wird zu einem Problem, das sich verschlimmert, wenn Identitäten nicht gemanagt werden.
CISOs müssen die Kontrolle wiedererlangen
In der Vergangenheit war es viel einfacher zu kontrollieren, was Mitarbeiter im Unternehmensnetzwerk taten, denn sie nutzten meist ausschließlich die Tools, die der Arbeitgeber ihnen zur Verfügung stellte. Heute sind Mitarbeiter jedoch daran gewöhnt, Dinge selbst in die Hand zu nehmen. Sie laden sich einfach eine App herunter, die eine Aufgabe womöglich besser löst als die hauseigene Software und arbeiten mit dieser weiter.
Erschwerend kommt hinzu, dass viele Unternehmen das Ausmaß der Verbreitung von Identitäten erst erkennen, wenn eine Sicherheitsverletzung oder ein anderes Problem auftritt. Verantwortliche müssen hier einen individuellen Mittelweg finden: Zwar können sie einschränken, was ihre Mitarbeiter installieren dürfen - doch bei Cloud-Anwendungen ist das schwieriger. Es gilt, abzuwägen, wie viel Freiheit die Mitarbeiter haben sollen und was der beste Ansatz für das eigene Unternehmen ist.
Um die Kontrolle wiederzuerlangen, benötigen IT-Verantwortliche eine Richtlinie für das Identitäts- und Zugriffsmanagement. Bestenfalls ist eine solche Richtlinie jedoch nicht nur restriktiv, sondern auch anleitend: Zum einen sollte sie eine Liste der Applikationen enthalten, die man im Sinne der Sicherheit besser sperrt und festlegen, welche Applikationen und Dienste Mitarbeiter nutzen dürfen und wie.
Gleichzeitig unterstützt eine solche Richtlinie die Belegschaft im Idealfall dabei, die Arbeitsmittel und Dienste auszuwählen, die sie bei der täglichen Arbeit unterstützen. Auch Schulungen der Belegschaft gehören zu einem ganzheitlichen Cyber-Security Ansatz. Wenn die eigenen Mitarbeiter verstehen, warum es diese Richtlinie gibt und das Gefühl haben, dass Führungskräfte ihnen zuhören, ist die Wahrscheinlichkeit geringer, dass die Schatten-IT ausufert.
Identity Governance and Administration (IGA) legt die Kontrolle und Sichtbarkeit zurück in die Hände der Sicherheitsverantwortlichen. Mit einer entsprechenden Lösung lassen sich Anwendungen entfernen und Zugänge zu sperren, sobald Mitarbeiter sie nicht mehr benötigen oder das Unternehmen verlassen haben.
Zeit ist hier von entscheidender Bedeutung, denn um Sicherheitsrisiken zu minimieren, braucht es flexible Werkzeuge, um schnell auf interne Veränderungen reagieren zu können. Zudem vereinfacht IGA der IT die Eingliederung neuer „genehmigter“ Anwendungen. Das erhöht die Transparenz, verschafft Kontrolle und beschleunigt gleichzeitig den Prozess, den Mitarbeitern Zugang zu den Tools zu geben, die sie für effizientes Arbeiten benötigen.
Bei Zugriffsrechten gilt: Weniger ist mehr
Wie fast jede Innovation hat auch das ortsunabhängige Arbeiten seine Vor- und Nachteile. Ein Nachteil ist, dass Mitarbeiter, die sich außerhalb der traditionellen Netzwerkgrenzen fernab der IT-Abteilung bewegen und unabhängiger geworden sind. Das klingt gut - bis man feststellt, dass dies oft bedeutet, dass sie Regeln umgehen, um Anwendungen zu nutzen, mit denen sie vertraut sind – die jedoch auch zuweilen eine Kompromittierung der Unternehmenssicherheit ermöglichen.
Das Ergebnis ist besagter Identity Sprawl, der sich zu einem Sicherheitsproblem entwickelt. Kontrollieren zu können, wer worauf Zugriff hat, wird spätestens bei einer Cyberattacke überlebenswichtig. Richtlinien, Mitarbeiterschulungen und durchgängiges IGA sind in der Cyber-Security so essenziell wie Rasenmäher und Heckenschere in der Gartenarbeit. Sie geben Unternehmen die Kontrolle zurück, reduzieren unkontrollierten Wildwuchs, und ermöglichen es florierenden Unternehmen, ihre Stärken voll zu entfalten.