Compliance-gerechte Authentifizierung
Identitätsmanagement: Die rollenbasierte Steuerung und Verwaltung der Zugriffsrechte ist ein zentraler Bestandteil einer Compliance-gerechten Sicherheitsstrategie
Um ein nachvollziehbares Access Management für alle Mitarbeiter von jedem Endgerät aus umzusetzen, empfiehlt sich eine übergeordnete Steuerung durch eine Identity- und Access-Managment (IAM)-Appliance
Von Frank Kölmel*
(31.08.07) - Gesetzliche Anforderung wie Sarbanes-Oxley (SOX) machen die Verifizierung digitaler Identitäten zur Chefsache. Zu den Hauptforderungen zählen der Schutz von Daten und Programmen vor unautorisierten Zugriffen. Besonders bedeutsam wird dies, wenn Mitarbeiter von unterwegs sowie externe Parteien wie Kunden und Partner auf unternehmenseigene Daten zugreifen. Die sichere Authentifizierung mobiler Mitarbeiter macht den externen Datenzugriff erst möglich. Gesetzliche Vorschriften verstärken die Notwendigkeit dieser Maßnahme. Neben dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sind für viele Unternehmen die Anforderungen des Sarbanes-Oxley Acts ausschlaggebend.
Bestimmungen erstrecken sich auf die User-Identität
Das 1998 verabschiedete KonTraG erweitert die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfer in Unternehmen. Kern des Gesetzes ist eine Vorschrift, die das Top Management dazu zwingt, ein unternehmensweites Frühwarnsystem für Risiken (Risikomanagementsystem) einzuführen sowie im Jahresbericht des Unternehmens Aussagen zu Risiken und zur Risikostruktur zu publizieren. Voraussetzung für das geforderte Risikomanagementsystem ist die Identifizierung und Klassifizierung potentieller Bedrohungen der Geschäftstätigkeit, wie sie eine "falsche" Person hinter einer User-ID darstellt. Gelangen digitale Informationen an Unbefugte, kann das beispielsweise im Fall von massiver Wirtschaftsspionage oder groben Datenschutzrechtsverletzungen das Aus für das gesamte Unternehmen bedeuten.
Auch Sarbanes-Oxley fordert, dass die Finanzdaten eines Unternehmens durch strenge Authentifizierungsmaßnahmen geschützt werden. Nur so erzielt man Compliance mit dem Gesetz, das die amerikanische Regierung im Juli 2002 als Konsequenz auf Bilanzskandale von Unternehmen wie Enron oder Worldcom erlassen hat. SOX betrifft verschiedene Aspekte der Corporate Governance, Compliance und der Berichterstattungspflichten von inländischen und ausländischen Unternehmen, die an US-Börsen wie der NASDAQ gelistet sind. Für die IT am relevantesten ist der Abschnitt 404. Laut diesem muss der jährliche Geschäftsbericht Rechenschaft über die Verfügbarkeit und Effektivität interner Kontrollmechanismen ablegen.
Die "internal controls" haben zum Ziel, die Integrität der veröffentlichten Finanzzahlen des Unternehmens zu sichern. Das von der amerikanischen Börsenaufsichtsbehörde "Security and Exchange Commision" (SEC) veröffentlichte Dokument "Control Objectives for Information Technology" (COBIT) schlägt zur Erfüllung der SOX-Vorschriften des Abschnitts 404 daher vor, für User-Authentifizierung und das rollenbasierte Management der Identitäten zu sorgen. Das Regelwerk schreibt jedoch keine spezifische Methode zur Authentifizierung vor. Aus der Zielsetzung erschließt sich, dass die eingesetzten Verfahren möglichst sicher und nachvollziehbar sein sollten. Die Autoren von COBIT plädieren für ein Reporting in Echt-Zeit und ein rollenbasiertes User-Management.
Ein weiterer internationaler Standard ist die ISO 17799. Diese Norm ist eine Sammlung von Vorschlägen, die verschiedene Kontrollmechanismen für die Informationssicherheit beinhaltet. Deswegen ist eine Zertifizierung nach ISO 17799 grundsätzlich nicht möglich. Grundlage für die Standardisierung war eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, um einen Best Practice-Ansatz zu erreichen. Zu den elf Überwachungsbereichen dieser ISO zählt auch die Zugriffskontrolle (Access Control).
Umsetzung nach dem Least Access-Prinzip
Ein sicheres Identitätsmanagement beinhaltet die Verwaltung verschiedenster Nutzer und unterschiedlicher Rollen, sowohl innerhalb als auch außerhalb des Unternehmens. Die rollenbasierte Steuerung und Verwaltung der Zugriffsrechte ist ein zentraler Bestandteil einer Compliance-gerechten Sicherheitsstrategie. Dazu zählt die Beschreibung und Festlegung von Nutzerrechten und ein Reporting darüber, wer auf welche Daten Zugriff hat. Eine strikte Authentifizierung stellt sicher, dass die Policy of Least Access umgesetzt werden kann. Dieses Prinzip besagt, dass Personen ausschließlich Zugang zu Files haben, die sie wirklich brauchen und auf nichts darüber hinaus zugreifen können.
Die folgenden Anforderungen müssen erfüllt werden, um Compliance mit den Richtlinien, insbesondere mit SOX zu erzielen:
>> Wer hat Zugriff auf sensible Daten?
>> Sind alle Sicherheitsprotokolle im Einsatz, um zu garantieren, dass nur autorisierte Anwender auf die Daten zugreifen?
>> Wird eine strenge Zugriffskontrolle für alle User - interne und externe - umgesetzt und ist im Gegenzug sichergestellt, dass nicht berechtigte Mitarbeiter, aber auch bösartige Angreifer und kriminelle Datenräuber nicht ins Unternehmensnetz gelangen?
Zur Überwachung empfiehlt SOX einen Audit Trail, also die elektronische Aufzeichnung, wer auf welche Daten zugegriffen hat und die Erfassung aller unautorisierter Zugriffsversuche.
Das bereits genannte Prinzip des Least Access und eine strikte Aufgabentrennung (separation of duties) sind Best Practices für alle Unternehmen, unabhängig davon, ob sie die Anforderungen des SOX erfüllen müssen oder anderen Sicherheitsrichtlinien unterliegen.
Ein weiterer wichtiger Punkt, der auch Bestandteil der SOX-Anforderungen ist, ist die Verwaltung der unterschiedlichen Zugangspunkte zum Unternehmensnetzwerk. Hierzu zählen Remote-Einwahlverfahren, Citrix Verbindungen, VPNs und alle anderen Zugriffsverfahren. Solche Verbindungen zu den internen Daten können von Zweigstellen, Außendienstmitarbeitern, Partnern, Kunden und anderen Berechtigten, wie Outsourcing-Partnern aufgebaut werden. Die Zugriffsrechte müssen überprüft, mit den internen Policies abgeglichen und dokumentiert werden, egal von welchem Endgerät eine Verbindung aufgebaut wird.
Authentifizierung: Hohe Sicherheit durch Zwei-Faktor Maßnahmen
Eine weit verbreitete und einfache Zugangskontrolle sind Passwörter. Sie schützen jedoch geschäftskritische und vertrauliche Informationen nicht ausreichend. Nach Meinung von Gartner sollten Passwörter generell durch sicherere Verfahren ersetzt werden, da mit frei zugänglichen Tools jedes Passwort innerhalb weniger Stunden zu knacken sei. Eine Studie von Meetbiz Research unterstreicht darüber hinaus die Mitschuld der eigenen Mitarbeiter. Knapp die Hälfte der Befragten habe schon einmal ein Passwort an Kollegen weitergegeben. Ziel muss es daher sein, Passwörter zunehmend durch andere Authentifizierungsmaßnahmen zu ersetzen. Hohe Sicherheit bietet die Zwei-Faktor-Authentifizierung. Das Verfahren basiert auf den Komponenten "Besitz" und "Wissen" und ist mit dem Geldabheben am Bankautomaten vergleichbar: Die Geldkarte entspricht dem Besitz, die PIN-Nummer stellt den Faktor Wissen dar. Selbst wenn es einem Datendieb gelänge, die persönliche PIN zu stehlen, so ist diese Information ohne das dazugehörige Besitzobjekt wertlos.
Einmal-Passwörter mit Tokens
Das Authentifizierungsverfahren, das derzeit am meisten verbreitet ist, arbeitet mit so genannten Einmal-Passwörtern, die von verschiedenen Endgeräten generiert werden. Letztere stehen für den Faktor Besitz, ein dazugehöriger PIN-Code bildet die Komponente Wissen ab. Als Endgeräte finden sowohl Smart Cards mit Kartenterminals, Handhelds und Mobiltelefone mit entsprechender Software oder spezielle Passwort-Token Verwendung. Nach Eingabe der PIN in das Endgerät, produziert dieses ein einmal benutzbares Passwort. Gibt der User dieses Passwort beispielsweise in die Eingabemaske einer internetbasierten Fernzugriffslösung ein, wird es verschlüsselt weitergeleitet und geprüft. Ist der Code korrekt, schaltet das System den Zugang frei.
Das Verfahren überzeugt vor allen Dingen durch die bequeme Handhabung und den vergleichsweise sehr niedrigen Preis der schlüsselgroßen Tokens. Die Besonderheit dieser Technologie ist, dass kein Authentifizierungsserver notwendig ist, um die Identität des Users zu prüfen. Die Authentifizierung wird direkt über Active Directory abgewickelt. Zudem bedarf es auf Client-Seite keiner Softwareinstallation – was die Nutzung der Token komplett flexibilisiert. Die Besitzer können sich von jedem Internetzugang über eine webbasierte VPN-Lösung (beispielsweise über Outlook Web Access oder Citrix Metaframe) einloggen. Eine zentrale Lösung kann alle internen Richtlinien und Konfigurationen speichern und verwalten und automatisch für alle Endgeräte, insbesondere auch für mobile Geräte, umsetzen.
Fazit
Um ein nachvollziehbares Access Management für alle Mitarbeiter - insbesondere auch für mobile Mitarbeiter - von jedem Endgerät aus umzusetzen, empfiehlt sich eine übergeordnete Steuerung durch eine Identity- und Access-Managment (IAM)-Appliance. Solche Geräte überprüfen auch zentral, ob das jeweilige Endgerät nach den aktuellen Anforderungen gesichert ist. Egal ob Mitarbeiter über Labtops, Smartphones oder PDAs via Wireless LAN, Outlook Web Access, Netscape oder Citrix Applikationen ins Unternehmensnetz gelangen, einen IAM-Lösung verwaltet alle Zugangswege über eine einzige Plattform.
So ist es möglich, Mitarbeitern je nach Verantwortungsbereich unterschiedliche Zugriffsrechte zuzuordnen. Eine sinnvolle Rechtevergabe erfordert zudem feingranulare Differenzierungsmerkmale, wie beispielsweise die Art der erlaubten Aktivität, nur lesen oder auch schreiben, oder den Zeitpunkt der Anfrage. Über eine zentrale Lösung für das gesamte interne und externe Identitäts- und Zugangsmanagement stellen Unternehmen sicher, dass sie die gesetzlichen Anforderungen im Bereich IT-Sicherheit bestmöglich. (Secure Computing: ra)
* Frank Kölmel ist Sales Director Central and Eastern Europe bei Secure Computing.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>