Wie steht es mit dem Zugangsschutz, wenn Daten in die Cloud ausgelagert werden? Lesen Sie, welche Elemente beachtet werden müssen, um den Benutzern auch in Cloud- oder Hybrid-Umgebungen einfachen und benutzerfreundlichen Zugriff zu gewähren.
Gerade kleine Firmen im Dienstleistungs- und Industriesektor zögern aufgrund der verlockenden Cloud-Angebote keine Minute, ihre Daten und Anwendungen an Cloud-Services auszulagern. Der Zugriffsschutz findet dabei oft wenig bis keine Beachtung, obwohl derzeit im Internet diverse sehr heikle, hochkomplexe Spear-Phishing-Attacken und weitere Gefahren lauern. Erstaunlicherweise gelingt es den Angreifern oft mit den einfachsten Mitteln, an Benutzerdaten zu gelangen. Obschon der Grossteil der Cloud-Services bereits integrierte Zugriffsmechanismen bietet und diese kostenfrei zur Verfügung stellt, werden diese von den Unternehmen oftmals nicht genutzt – sprich der Zugang wird nicht ausreichend geschützt.
Status quo: Dezentrales IAM und Passwort-Chaos
Cloud-Services werden oft alle einzeln mit unterschiedlichen Benutzerverwaltungen und dadurch mit verschiedenen Passwörtern ausgerollt. Anstatt zentral ein Benutzerverzeichnis anzulegen, wird dem Benutzer zugemutet, dass er seine Credentials selbst managt. Die BenutzerInnen werden dadurch mit einer unnötigen Menge an Passwörtern überflutet. Fehlt den BenutzerInnen der Überblick, führt dies oft zur Wahl von unsicheren Passwörtern, zur Nutzung des gleichen Passwortes bei mehreren Services oder zum Aufschreiben von Passwörtern. Diesem Problem begegnen kann man mit einem Passwort-Safe-Tool oder mit einer benutzerfreundlichen Single-Sign-On-Lösung. Beides fehlt leider oft.
Wie funktioniert ein sicherer Benutzerzugang auf Cloud-Angebote?
Im Bereich Identity & Access Management für Cloud Services stellen sich folgende zentrale Fragen:
- Wo ist das zentrale Benutzerverzeichnis?
- Wie werden die Benutzerdaten angebunden, synchronisiert, verwaltet und gepflegt?
- Wie werden die Cloud-Services an das Benutzerverzeichnis angebunden? Sind die Cloud-Services kompatibel?
- Wie kann ein Single-Sign-On etabliert werden? Wie funktioniert z.B. die Anbindung mittels Federation?
- Wie funktioniert die Einbindung der mobilen Geräte (iOS/Android) vs. den Windows-Geräten?
Individueller IAM Quick Check
Lassen Sie sich Ihre die offenen Fragen punkto IAM von Profis beantworten. Der IAM Quick Check von United Security Providers bietet Ihnen rasch und kosteneffizient Antworten für ein cloud- und zukunftstaugliches IAM, das zur IT-Strategie Ihres Unternehmens passt.
Sicheres Login für Cloud-Angebote: Enhanced Authentication
Durch das zunehmend mobile Arbeiten, haben die Benutzer die Möglichkeit, von überall her auf die Cloud-Anwendungen zuzugreifen. Wie bereits oben beschrieben, ist der Zugang zu den Cloud-Angeboten häufig lediglich mit Benutzername und Passwort geschützt. Wo früher eine Integration in die Unternehmens-IT gegeben war, fehlen heute oft wesentliche Elemente. Eines dieser Elemente ist eine Enhanced-Authentication oder Multifaktor-Authentisierung.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI hat ein umfangreiches Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter publiziert. Darin steht:
«…Servicekonsumenten sollten bei hohen Anforderungen an die Sicherheit der bereitgestellten Services nur nach einer starken Authentisierung (z.B. Zwei-Faktor-Authentisierung) auf die Dienste zugreifen können, wenn der Zugang zum genutzten Dienst direkt über das Internet erfolgt. Greift ein Kunde über ein VPN aus dem abgesicherten Kundennetz auf die Cloud-Dienste zu, für das er sich mit zwei Faktoren authentisieren muss, ist eine zusätzliche Zwei-Faktor-Authentisierung zur Nutzung der Cloud Services nicht zwingend erforderlich.»
Zwei-Faktor-Authentisierung ist nicht immer das richtige Mittel
Über den Begriff der Zwei-Faktor-Authentisierung (2FA) wird viel gestritten. Eine echte Zweifaktor-Authentisierung besteht gemäss WiSB (Weisung Informationssicherheit des Bundes) dann, wenn zwei Sicherheitselemente (Faktoren), welche aus Wissen und Haben bestehen, miteinander kombiniert werden (z.B. Smartcard-Lösung).
Im mobilen Umfeld ist eine solche 2FA meist nicht realisierbar. Aus diesem Grund wird heute oft von einer Multi-Faktor oder einer Enhanced Authentication gesprochen. Hier bieten die Cloud-Anbieter mittlerweile diverse Möglichkeiten: Seien dies SMS-Token, eines Time-Based-Tokens oder quasi-biometrischen Faktoren als weitere Faktoren zur Authentisierung.
Die Integration dieser Mittel in die bestehende Unternehmens-IT, der Umbau der bestehenden Infrastruktur und insbesondere die Migration in die neue Authentisierungs-Welt stellt die IT-Abteilung vor eine Reihe offener Fragen.
Erschwerend kommt dazu, dass die Cloud-Provider oft im 2-Wochen- oder Monats-Rhythmus neue Features und Möglichkeiten bringen, was eine kontinuierliche Planung auf Unternehmensseite praktisch verunmöglicht.
Anpassung der eigenen IT-Sicherheitsarchitektur für die Integration von Cloud-Angeboten
Vor diesem Hintergrund ist es für Unternehmen ratsam, die Planung selbst in die Hand zu nehmen und die IT-Sicherheitsarchitektur dahingehend anzupassen, dass sie unabhängig von den Angeboten der verschiedenen Cloud-Provider funktioniert. Ein besonderes Augenmerk gilt dabei der DMZ- und der IAM-Architektur einer Organisation.
Je nach Schutzbedarf der Daten ist zu entscheiden, ob zusätzliche Massnahmen (z.B. spezielle Apps mit App-Security-Mechanismen eines Mobile Device Managements) benötigt werden.
Access Governance: Nachvollziehbarkeit der Datenzugriffe
Neben den Authentisierungs-Mechanismen spielt heute die sogenannte Access Governance eine enorm wichtige Rolle. Weil die Daten die Unternehmensgrenzen in Richtung Cloud verlassen und dadurch auch die klassischen Netzwerkgrenzen verschwinden, wird es umso wichtiger, zu überwachen, wer wann auf welche Daten zugegriffen hat. Im Falle eines Security-Incidents ist die Nachverfolgbarkeit der Zugriffe enorm wichtig, um die notwendigen Massnahmen ableiten zu können. Es findet definitiv eine Verschiebung von rein protektiven Massnahmen zu Massnahmen im Bereich Detection und Response statt. Zugriffe auf Cloud-Services müssen systematisch überwacht und Fehlmanipulationen erkannt und behandelt werden.
Durchgängiger Single Sign-On bis in die Cloud
Ein modernes Cloud-orientiertes IAM ermöglicht dem Benutzer einen Single-Sign-On auf alle, durch die Organisation genutzten, Cloud-Services. Eine solche Lösung bietet eine ganze Reihe von Vorteilen: Die Unternehmung ist in der Lage, den Zugriff auf Ihre Daten, egal ob im Unternehmensnetzwerk oder ausserhalb in der Cloud, jederzeit einwandfrei nachzuvollziehen, Fehlverhalten zu detektieren und gegebenenfalls Massnahmen einzuleiten.
Ein Cloud-Single-Sign On bietet den Benutzern erhöhten Komfort. Das vom Benutzer ausgehende Risiko durch unsichere Passwörter wird minimiert, in dem er nur noch ein einziges, dafür aber sicheres Passwort in Kombination mit einem zusätzlichen Faktor verwendet.
Zudem bietet Cloud-Single-Sign On die Möglichkeit, die Auswahl des zusätzlichen Faktors bei der Authentisierung selbst zu steuern. Auf diese Weise verringern die Unternehmen ihre Abhängigkeit von den verschiedenen Cloud-Providern im Bereich der angebotenen Authentisierungsmittel und können selbst steuern, welche Faktoren sie den Benutzern für den Login anbieten möchten. Damit schaffen sich die Unternehmen den Grundstein, für Konzepte im Bereich der kontextbasierten Authentisierung.
Komplexität reduzieren: Externe Hilfe vom Profi
In vielen Unternehmen war IAM schon vor dem Cloud-Zeitalter ein Sorgenkind. Kein Wunder, tun sie sich im Hinblick auf die Integration von Cloud-Angeboten in ihr IAM besonders schwer. Wer sichere, benutzerfreundliche und langfristig für die verschiedenen Cloud-Services passende IAM-Lösung wünscht, kommt um einige Anpassungen im Bereich DMZ und IAM nicht herum. Jedoch lohnt es sich, heute den richtigen Grundstein zu setzen und ein Konzept zu wählen, welches auch mit zukünftigen Anforderungen und der weiterwachsenden Komplexität gerecht wird.
IAM Quick Check für die Cloud
Externe IAM-Spezialisten kennen die sich rasch ändernde Cloud-Welt und deren Produkte und unterstützen Unternehmen, ihr IAM-Konzept fit für die Cloud zu machen. Mit dem IAM Quick Check bietet United Security Providers Unternehmen einen individuellen Überblick über den Stand des Benutzermanagements, der Zugangs- und Zugriffskontrolle auf Daten und Anwendungen. Als Resultat erhalten die Unternehmen einen Kurzbericht mit einer grafischen Auswertung der Resultate, eine priorisierte Liste mit Handlungsempfehlungen und eine kategorisierte Liste der empfohlenen Massnahmen. In einem Debriefing werden die Ergebnisse des IAM Quick Checks eingehend besprochen und letzte offene Fragen beantwortet.
Beratung und Konzeption im Bereich Identity & Access Management
Grösseren Unternehmen hilft United Security Providers mit der strategischen Erarbeitung des IAM-Themas mit der Erstellung einer IAM Roadmap, Konzepten oder Projektmanagement.
Gerne beantworten wir Ihre Fragen zum Thema IAM. Nehmen Sie mit uns Kontakt auf.
Zurück zu Teil 1 „Datenschutz in der Cloud“
Andres Wohler war bis 2019 als Senior Security Consultant bei United Security Providers tätig.