- Anzeigen -

Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Compliance-gerechte Authentifizierung


Identitätsmanagement: Die rollenbasierte Steuerung und Verwaltung der Zugriffsrechte ist ein zentraler Bestandteil einer Compliance-gerechten Sicherheitsstrategie
Um ein nachvollziehbares Access Management für alle Mitarbeiter von jedem Endgerät aus umzusetzen, empfiehlt sich eine übergeordnete Steuerung durch eine Identity- und Access-Managment (IAM)-Appliance


Passwort-Token generieren Einmalpasswörter
Passwort-Token generieren Einmalpasswörter Bild: Secure Computing

Von Frank Kölmel*

(31.08.07) - Gesetzliche Anforderung wie Sarbanes-Oxley (SOX) machen die Verifizierung digitaler Identitäten zur Chefsache. Zu den Hauptforderungen zählen der Schutz von Daten und Programmen vor unautorisierten Zugriffen. Besonders bedeutsam wird dies, wenn Mitarbeiter von unterwegs sowie externe Parteien wie Kunden und Partner auf unternehmenseigene Daten zugreifen. Die sichere Authentifizierung mobiler Mitarbeiter macht den externen Datenzugriff erst möglich. Gesetzliche Vorschriften verstärken die Notwendigkeit dieser Maßnahme. Neben dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sind für viele Unternehmen die Anforderungen des Sarbanes-Oxley Acts ausschlaggebend.


Bestimmungen erstrecken sich auf die User-Identität
Das 1998 verabschiedete KonTraG erweitert die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfer in Unternehmen. Kern des Gesetzes ist eine Vorschrift, die das Top Management dazu zwingt, ein unternehmensweites Frühwarnsystem für Risiken (Risikomanagementsystem) einzuführen sowie im Jahresbericht des Unternehmens Aussagen zu Risiken und zur Risikostruktur zu publizieren. Voraussetzung für das geforderte Risikomanagementsystem ist die Identifizierung und Klassifizierung potentieller Bedrohungen der Geschäftstätigkeit, wie sie eine "falsche" Person hinter einer User-ID darstellt. Gelangen digitale Informationen an Unbefugte, kann das beispielsweise im Fall von massiver Wirtschaftsspionage oder groben Datenschutzrechtsverletzungen das Aus für das gesamte Unternehmen bedeuten.

Auch Sarbanes-Oxley fordert, dass die Finanzdaten eines Unternehmens durch strenge Authentifizierungsmaßnahmen geschützt werden. Nur so erzielt man Compliance mit dem Gesetz, das die amerikanische Regierung im Juli 2002 als Konsequenz auf Bilanzskandale von Unternehmen wie Enron oder Worldcom erlassen hat. SOX betrifft verschiedene Aspekte der Corporate Governance, Compliance und der Berichterstattungspflichten von inländischen und ausländischen Unternehmen, die an US-Börsen wie der NASDAQ gelistet sind. Für die IT am relevantesten ist der Abschnitt 404. Laut diesem muss der jährliche Geschäftsbericht Rechenschaft über die Verfügbarkeit und Effektivität interner Kontrollmechanismen ablegen.

Die "internal controls" haben zum Ziel, die Integrität der veröffentlichten Finanzzahlen des Unternehmens zu sichern. Das von der amerikanischen Börsenaufsichtsbehörde "Security and Exchange Commision" (SEC) veröffentlichte Dokument "Control Objectives for Information Technology" (COBIT) schlägt zur Erfüllung der SOX-Vorschriften des Abschnitts 404 daher vor, für User-Authentifizierung und das rollenbasierte Management der Identitäten zu sorgen. Das Regelwerk schreibt jedoch keine spezifische Methode zur Authentifizierung vor. Aus der Zielsetzung erschließt sich, dass die eingesetzten Verfahren möglichst sicher und nachvollziehbar sein sollten. Die Autoren von COBIT plädieren für ein Reporting in Echt-Zeit und ein rollenbasiertes User-Management.

Ein weiterer internationaler Standard ist die ISO 17799. Diese Norm ist eine Sammlung von Vorschlägen, die verschiedene Kontrollmechanismen für die Informationssicherheit beinhaltet. Deswegen ist eine Zertifizierung nach ISO 17799 grundsätzlich nicht möglich. Grundlage für die Standardisierung war eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, um einen Best Practice-Ansatz zu erreichen. Zu den elf Überwachungsbereichen dieser ISO zählt auch die Zugriffskontrolle (Access Control).

Umsetzung nach dem Least Access-Prinzip
Ein sicheres Identitätsmanagement beinhaltet die Verwaltung verschiedenster Nutzer und unterschiedlicher Rollen, sowohl innerhalb als auch außerhalb des Unternehmens. Die rollenbasierte Steuerung und Verwaltung der Zugriffsrechte ist ein zentraler Bestandteil einer Compliance-gerechten Sicherheitsstrategie. Dazu zählt die Beschreibung und Festlegung von Nutzerrechten und ein Reporting darüber, wer auf welche Daten Zugriff hat. Eine strikte Authentifizierung stellt sicher, dass die Policy of Least Access umgesetzt werden kann. Dieses Prinzip besagt, dass Personen ausschließlich Zugang zu Files haben, die sie wirklich brauchen und auf nichts darüber hinaus zugreifen können.

Die folgenden Anforderungen müssen erfüllt werden, um Compliance mit den Richtlinien, insbesondere mit SOX zu erzielen:
>>
Wer hat Zugriff auf sensible Daten?
>> Sind alle Sicherheitsprotokolle im Einsatz, um zu garantieren, dass nur autorisierte Anwender auf die Daten zugreifen?
>> Wird eine strenge Zugriffskontrolle für alle User - interne und externe - umgesetzt und ist im Gegenzug sichergestellt, dass nicht berechtigte Mitarbeiter, aber auch bösartige Angreifer und kriminelle Datenräuber nicht ins Unternehmensnetz gelangen?

Zur Überwachung empfiehlt SOX einen Audit Trail, also die elektronische Aufzeichnung, wer auf welche Daten zugegriffen hat und die Erfassung aller unautorisierter Zugriffsversuche.
Das bereits genannte Prinzip des Least Access und eine strikte Aufgabentrennung (separation of duties) sind Best Practices für alle Unternehmen, unabhängig davon, ob sie die Anforderungen des SOX erfüllen müssen oder anderen Sicherheitsrichtlinien unterliegen.

Ein weiterer wichtiger Punkt, der auch Bestandteil der SOX-Anforderungen ist, ist die Verwaltung der unterschiedlichen Zugangspunkte zum Unternehmensnetzwerk. Hierzu zählen Remote-Einwahlverfahren, Citrix Verbindungen, VPNs und alle anderen Zugriffsverfahren. Solche Verbindungen zu den internen Daten können von Zweigstellen, Außendienstmitarbeitern, Partnern, Kunden und anderen Berechtigten, wie Outsourcing-Partnern aufgebaut werden. Die Zugriffsrechte müssen überprüft, mit den internen Policies abgeglichen und dokumentiert werden, egal von welchem Endgerät eine Verbindung aufgebaut wird.

Authentifizierung: Hohe Sicherheit durch Zwei-Faktor Maßnahmen
Eine weit verbreitete und einfache Zugangskontrolle sind Passwörter. Sie schützen jedoch geschäftskritische und vertrauliche Informationen nicht ausreichend. Nach Meinung von Gartner sollten Passwörter generell durch sicherere Verfahren ersetzt werden, da mit frei zugänglichen Tools jedes Passwort innerhalb weniger Stunden zu knacken sei. Eine Studie von Meetbiz Research unterstreicht darüber hinaus die Mitschuld der eigenen Mitarbeiter. Knapp die Hälfte der Befragten habe schon einmal ein Passwort an Kollegen weitergegeben. Ziel muss es daher sein, Passwörter zunehmend durch andere Authentifizierungsmaßnahmen zu ersetzen. Hohe Sicherheit bietet die Zwei-Faktor-Authentifizierung. Das Verfahren basiert auf den Komponenten "Besitz" und "Wissen" und ist mit dem Geldabheben am Bankautomaten vergleichbar: Die Geldkarte entspricht dem Besitz, die PIN-Nummer stellt den Faktor Wissen dar. Selbst wenn es einem Datendieb gelänge, die persönliche PIN zu stehlen, so ist diese Information ohne das dazugehörige Besitzobjekt wertlos.

Einmal-Passwörter mit Tokens
Das Authentifizierungsverfahren, das derzeit am meisten verbreitet ist, arbeitet mit so genannten Einmal-Passwörtern, die von verschiedenen Endgeräten generiert werden. Letztere stehen für den Faktor Besitz, ein dazugehöriger PIN-Code bildet die Komponente Wissen ab. Als Endgeräte finden sowohl Smart Cards mit Kartenterminals, Handhelds und Mobiltelefone mit entsprechender Software oder spezielle Passwort-Token Verwendung. Nach Eingabe der PIN in das Endgerät, produziert dieses ein einmal benutzbares Passwort. Gibt der User dieses Passwort beispielsweise in die Eingabemaske einer internetbasierten Fernzugriffslösung ein, wird es verschlüsselt weitergeleitet und geprüft. Ist der Code korrekt, schaltet das System den Zugang frei.

Das Verfahren überzeugt vor allen Dingen durch die bequeme Handhabung und den vergleichsweise sehr niedrigen Preis der schlüsselgroßen Tokens. Die Besonderheit dieser Technologie ist, dass kein Authentifizierungsserver notwendig ist, um die Identität des Users zu prüfen. Die Authentifizierung wird direkt über Active Directory abgewickelt. Zudem bedarf es auf Client-Seite keiner Softwareinstallation – was die Nutzung der Token komplett flexibilisiert. Die Besitzer können sich von jedem Internetzugang über eine webbasierte VPN-Lösung (beispielsweise über Outlook Web Access oder Citrix Metaframe) einloggen. Eine zentrale Lösung kann alle internen Richtlinien und Konfigurationen speichern und verwalten und automatisch für alle Endgeräte, insbesondere auch für mobile Geräte, umsetzen.

Fazit
Um ein nachvollziehbares Access Management für alle Mitarbeiter - insbesondere auch für mobile Mitarbeiter - von jedem Endgerät aus umzusetzen, empfiehlt sich eine übergeordnete Steuerung durch eine Identity- und Access-Managment (IAM)-Appliance. Solche Geräte überprüfen auch zentral, ob das jeweilige Endgerät nach den aktuellen Anforderungen gesichert ist. Egal ob Mitarbeiter über Labtops, Smartphones oder PDAs via Wireless LAN, Outlook Web Access, Netscape oder Citrix Applikationen ins Unternehmensnetz gelangen, einen IAM-Lösung verwaltet alle Zugangswege über eine einzige Plattform.

So ist es möglich, Mitarbeitern je nach Verantwortungsbereich unterschiedliche Zugriffsrechte zuzuordnen. Eine sinnvolle Rechtevergabe erfordert zudem feingranulare Differenzierungsmerkmale, wie beispielsweise die Art der erlaubten Aktivität, nur lesen oder auch schreiben, oder den Zeitpunkt der Anfrage. Über eine zentrale Lösung für das gesamte interne und externe Identitäts- und Zugangsmanagement stellen Unternehmen sicher, dass sie die gesetzlichen Anforderungen im Bereich IT-Sicherheit bestmöglich. (Secure Computing: ra)

* Frank Kölmel ist Sales Director Central and Eastern Europe bei Secure Computing.


- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Entscheidungshilfen

  • Compliance-bezogene Kosten

    Datenschutzverletzungen mit einem genauen Preisschild zu versehen ist keine ganz triviale Aufgabe. Es wurden schon einige Berichte veröffentlicht, in denen versucht wurde, die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen. Aber inwieweit sind diese Zahlen aussagekräftig und geben uns Aufschluss für ein einzelnes Unternehmen? Sicherheitsvorfälle sind heute für jedes Unternehmen so gut wie unausweichlich. Deshalb verwenden Sicherheitsexperten solche Kennzahlen gerne als Unterstützung bei der Entscheidungsfindung. Man muss eine ungefähre Vorstellung davon haben, was eine potenzielle Datenschutzverletzung kosten kann, um in etwa einschätzen zu können wie viel man ausgeben muss, um sie zu verhindern. Und nicht zuletzt, um die Ausgaben auf der Geschäftsleitungsebene oder der Vorstandsetage zu rechtfertigen.

  • Triage-Entscheidungen treffen

    Bei der Bewältigung der Corona-Pandemie kann auch das deutsche Gesundheitssystem an seine Kapazitätsgrenzen stoßen. Abhängig von der weiteren Entwicklung der Pandemie kann es wie etwa in Italien zu Situationen kommen, in denen nicht mehr alle Patienten einer lebenserhaltenden Intensivbehandlung zugeführt werden können. Entscheidungen über die Zuteilung knapper Ressourcen wären dann unausweichlich. Da es an rechtsverbindlichen Vorgaben für solche Entscheidungen fehlt, bewegen sich Mediziner auf ethisch wie rechtlich ungesichertem Terrain. Im Ernstfall drohen Ärzten und Krankenhäusern erhebliche Haftungsrisiken, wenn einem Patienten die medizinisch erforderliche Behandlung verweigert wird.

  • Was bedeutet RTS SCA/CSC für PSD2?

    Im September 2019 sind sie in vollem Umfang in Kraft getreten: Die überarbeitete Zahlungsdiensterichtlinie (Payment Service Directive), die meist mit der Abkürzung PSD2 bezeichnet wird, und die technischen Regulierungsstandards (Regulatory Technical Standards, RTS), die vorschreiben, wie PSD2 umzusetzen ist. Die Richtlinie gilt für alle Mitgliedstaaten der Europäischen Union (EU) und verpflichtet sämtliche Finanzinstitute, ihre Kundendaten und Zahlungsnetzwerke für Zahlungsdienstleister (Payment Service Providers, PSP) und andere Drittanbieter (Third Party Providers, TPP) zu öffnen. Ziel der Richtlinie ist es, das Monopol der Finanzinstitute auf die Daten ihrer Nutzer abzuschaffen, den Wettbewerb zu stärken und neue, innovative Finanzlösungen zu fördern sowie gleichzeitig Standards zur Gewährleistung der Interoperabilität und der Sicherheit von Nutzerdaten festzulegen.

  • Datenqualität sowie Datenmaskierung

    FinTechs machen es den traditionellen Geldinstituten vor, worin die Zukunft liegt: In den Kundendaten. Diese dürfen Banken jedoch nicht mehr in einen großen Pool leiten und in Datensilos verteilen. Stattdessen müssen sie dafür sorgen, dass ihre Abteilungen und Entwickler unkompliziert auf Daten zugreifen und diese datenschutzkonform verarbeiten. Erst dann können Banken ihren Kunden in Echtzeit personalisierte Angebote machen. Sobald eine Kunde etwas tut, gleichen gute Finanz-Startups die Aktion mit der Historie ab, um sofort ein personalisiertes Angebot zu unterbreiten. Diese Agilität ist der große Vorteil. Allerdings haben viele Verbraucher ihr Geld noch überwiegend bei einer klassischen Bank liegen. Die wenigsten wickeln ihre Überweisungen über FinTechs oder Messenger ab. Der Grund: Geldinstitute genießen bei Verbrauchern vor allem hinsichtlich des Datenschutzes das höchste Vertrauen. Diese Einschätzung trifft die "BLC Studie Datenschutz 2018", durchgeführt von Berg, Lund & Company. "Den Vertrauensvorschuss und ihre große Kundenbasis müssen Banken nutzen, um neue Geschäftsmodelle mutig anzugehen", empfiehlt die Studie. Bleibt die Frage nach dem Wie? Das schnelle Entwickeln einer App ist die Antwort. Doch dafür gilt es zunächst, für Datenqualität und -schutz zu sorgen - und zwar so, dass sich der Datenzugriff nicht verlangsamt. Genau das blockieren die Datensilos, welche die meisten Banken verwalten.

  • Grundlagen eines Sicherheits-Risikoprogramms

    Die Vielzahl und Schwere der Datensicherheitsverletzungen, auf die ein Unternehmen heute vorbereitet sein muss, zeigt, wie grundlegend wichtig es ist, im Hinblick auf die Datensicherheit ein Konzept und ein Ziel zu definieren. Compliance-Manager erleben tagtäglich, zu welchen katastrophalen Konsequenzen es führen kann, wenn dies versäumt wird. Aus diesem Grund werden im Folgenden die Grundlagen des Risikomanagements noch einmal zusammengefasst.