Die IT-Sicherheitspyramide: Wie Sie Ihr Unternehmen Schritt für Schritt absichern

von Timm Lotter, Senior Presales Consultant, APIIDA AG

Mit der Digitalisierung und dem Cloud-Zeitalter stehen Unternehmen vor der Herausforderung, sich vor neuen Angriffsflächen zu schützen. Dabei gibt es einiges zu beachten, damit die IT-Systeme sicher bleiben.

Die grundlegenden Schritte lassen sich an einer Pyramide erklären, bei der die Schichten aufeinander aufbauen. Somit lassen sich Sicherheitslöcher bereits bei der Planung verhindern.

Warum dies sinnvoll ist, zeigt das folgende Beispiel: Ein Unternehmen hat eine Lösung für Multi-Faktor-Authentifizierung (MFA) eingeführt. Dies ist ein guter Weg, um die Anmeldung an Anwendungen abzusichern. Doch was ist, wenn die zugrundeliegenden Identitäten nicht korrekt verwaltet werden? Was ist, wenn einem Mitarbeiter gekündigt, seine Identität aber nicht deaktiviert wurde? Er kann sich weiterhin anmelden und MFA bringt in diesem Moment überhaupt nichts! In dem Schaubild sehen wir, dass MFA an der Spitze der Pyramide steht. Um diese Sicherheitslücke zu verhindern, ist eine korrekte Identitätsverwaltung auf der untersten Ebene notwendig.

1. Schicht: Identitätsverwaltung

Ein Unternehmen besteht aus mehreren IT-Systemen, die Unterhalb der 1. Schicht dargestellt sind. Als Beispiel sind dies AD, LDAP-Verzeichnisse, SAP und Cloud-Dienste wie Office365 und Salesforce. Damit sich ein Mitarbeiter anmelden kann, muss seine digitale Identität bekannt sein und er benötigt die Berechtigung dafür. Diese Aufgabe übernimmt die Identitätsverwaltung der 1. Schicht. Für die technische Anbindung von Anwendungen gibt es unterschiedliche Technologien. Weit verbreitet bei On-Premise Anwendungen ist das LDAP-Protokoll und bei Cloud-Diensten SCIM. Es gibt aber auch Systeme, die mit proprietären Protokollen arbeiten oder eine interne Benutzerverwaltung haben, für die spezielle Konnektoren von Identitätsverwaltungslösungen notwendig sind.

Warum ist eine korrekte Identitätsverwaltung wichtig? Eine Anwendung kann noch so sicher sein, wenn ein Angreifer eine Identität mit ausreichenden Berechtigungen unter Kontrolle bekommt, kann er erheblichen Schaden anrichten.

2. Schicht: Zugriffsverwaltung (Web Access Management / Privileged Access Management)

Nachdem die Identitäten korrekt verwaltet sind, müssen die Mitarbeiter auf die Anwendungen zugreifen. Um dies für den Anwender möglichst einfach zu gestalten, gibt es die Schicht der Zugriffsverwaltung. Einige Vorteile davon sind:

  • Single Sign-On (SSO): Der Mitarbeiter muss sich nur einmal anmelden und ist automatisch an den anderen Systemen auch angemeldet.
  • Absicherung von Websitzungen: Für eine höhere Sicherheit bieten Zugriffsverwaltungslösungen Mechanismen an, um zum Beispiel das Stehlen von Sitzungen (engl. Session) zu verhindern.
  • Integration: Anwendungen bieten teilweise nur begrenzte Anmeldemöglichkeiten. Mit der Einführung einer Zugriffsverwaltung können sich Anwender einfacher und zentral anmelden.
  • MFA: Ist für die einheitliche Einführung von MFA über alle Anwendungen sinnvoll.

In der heutigen Zeit setzen Unternehmen dafür zwei unterschiedliche Lösungen ein:

  • Web Access Management: Absicherung für den Zugriff auf Webanwendungen, die über den Browser aufgerufen werden. Standard-Protokolle sind SAML, OIDC und OAuth. Für die weitere Anbindung gibt es Ansätze mit Proxys oder Agenten.
  • Privileged Access Management (PAM): Absicherung für den Zugriff auf sensible, administrative oder privilegierte Systeme. Dies betrifft in der Regel nur einen kleinen Kreis von Mitarbeitern. Typische Einsatzszenarien sind RDP für den Zugriff auf Windows-Server oder SSH für den Zugriff auf LINUX-Systeme. Neben der Anmeldung bieten PAM-Lösungen auch die Aufnahme von Sitzungen und Passwortrotation von geteilten Accounts an.

3. Schicht: Multi-Faktor Authentifizierung (MFA)

Sobald die Identitäten korrekt verwaltet sind und es eine Schnittstelle für den Zugriff auf die Anwendungen gibt, ist die Einführung von Multi-Faktor Authentifizierung sinnvoll. Eine MFA-Lösung wird dafür in die Zugriffsverwaltung der 2. Schicht integriert oder diese bietet bereits diese Funktionalität an. Ein Standard-Protokoll für die Integration von VPN ist RADIUS. Wichtig bei MFA-Lösungen sind eine große Auswahl an zweiten Faktoren für unterschiedliche Einsatzgebiete und das dies adaptiv erfolgt, also nur dann ein Faktor abgefragt wird, wenn es notwendig ist, um die Nutzererfahrung zu verbessern.

Bei Cloud-Diensten macht es jedoch Sinn, so schnell wie möglich eine MFA-Lösung einzuführen. Sie sind von überall und jedem verwendbar, auch von potentiellen Angreifern!

Zusammenfassung

Zusammengefasst lassen sich mit der Sicherheitspyramide die Planung und Schritte für die Einführung von IT-Sicherheitssystemen einfach und übersichtlich erklären. Grundlage ist die korrekte Verwaltung von Identitäten, auf die eine Zugriffsverwaltung und Multi-Faktor Authentifizierung aufbauen.

Deutsch
Telefontermin vereinbaren Produktdemo vereinbaren zum Newsletter anmelden

This website uses cookies to permanently improve the user experience. By visiting this website, you automatically agree to this fact. Further information can be found in our Privacy Policy.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close