- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Compliance-gerechte Authentifizierung


Identitätsmanagement: Die rollenbasierte Steuerung und Verwaltung der Zugriffsrechte ist ein zentraler Bestandteil einer Compliance-gerechten Sicherheitsstrategie
Um ein nachvollziehbares Access Management für alle Mitarbeiter von jedem Endgerät aus umzusetzen, empfiehlt sich eine übergeordnete Steuerung durch eine Identity- und Access-Managment (IAM)-Appliance


Passwort-Token generieren Einmalpasswörter
Passwort-Token generieren Einmalpasswörter Bild: Secure Computing

Von Frank Kölmel*

(31.08.07) - Gesetzliche Anforderung wie Sarbanes-Oxley (SOX) machen die Verifizierung digitaler Identitäten zur Chefsache. Zu den Hauptforderungen zählen der Schutz von Daten und Programmen vor unautorisierten Zugriffen. Besonders bedeutsam wird dies, wenn Mitarbeiter von unterwegs sowie externe Parteien wie Kunden und Partner auf unternehmenseigene Daten zugreifen. Die sichere Authentifizierung mobiler Mitarbeiter macht den externen Datenzugriff erst möglich. Gesetzliche Vorschriften verstärken die Notwendigkeit dieser Maßnahme. Neben dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sind für viele Unternehmen die Anforderungen des Sarbanes-Oxley Acts ausschlaggebend.


Bestimmungen erstrecken sich auf die User-Identität
Das 1998 verabschiedete KonTraG erweitert die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfer in Unternehmen. Kern des Gesetzes ist eine Vorschrift, die das Top Management dazu zwingt, ein unternehmensweites Frühwarnsystem für Risiken (Risikomanagementsystem) einzuführen sowie im Jahresbericht des Unternehmens Aussagen zu Risiken und zur Risikostruktur zu publizieren. Voraussetzung für das geforderte Risikomanagementsystem ist die Identifizierung und Klassifizierung potentieller Bedrohungen der Geschäftstätigkeit, wie sie eine "falsche" Person hinter einer User-ID darstellt. Gelangen digitale Informationen an Unbefugte, kann das beispielsweise im Fall von massiver Wirtschaftsspionage oder groben Datenschutzrechtsverletzungen das Aus für das gesamte Unternehmen bedeuten.

Auch Sarbanes-Oxley fordert, dass die Finanzdaten eines Unternehmens durch strenge Authentifizierungsmaßnahmen geschützt werden. Nur so erzielt man Compliance mit dem Gesetz, das die amerikanische Regierung im Juli 2002 als Konsequenz auf Bilanzskandale von Unternehmen wie Enron oder Worldcom erlassen hat. SOX betrifft verschiedene Aspekte der Corporate Governance, Compliance und der Berichterstattungspflichten von inländischen und ausländischen Unternehmen, die an US-Börsen wie der NASDAQ gelistet sind. Für die IT am relevantesten ist der Abschnitt 404. Laut diesem muss der jährliche Geschäftsbericht Rechenschaft über die Verfügbarkeit und Effektivität interner Kontrollmechanismen ablegen.

Die "internal controls" haben zum Ziel, die Integrität der veröffentlichten Finanzzahlen des Unternehmens zu sichern. Das von der amerikanischen Börsenaufsichtsbehörde "Security and Exchange Commision" (SEC) veröffentlichte Dokument "Control Objectives for Information Technology" (COBIT) schlägt zur Erfüllung der SOX-Vorschriften des Abschnitts 404 daher vor, für User-Authentifizierung und das rollenbasierte Management der Identitäten zu sorgen. Das Regelwerk schreibt jedoch keine spezifische Methode zur Authentifizierung vor. Aus der Zielsetzung erschließt sich, dass die eingesetzten Verfahren möglichst sicher und nachvollziehbar sein sollten. Die Autoren von COBIT plädieren für ein Reporting in Echt-Zeit und ein rollenbasiertes User-Management.

Ein weiterer internationaler Standard ist die ISO 17799. Diese Norm ist eine Sammlung von Vorschlägen, die verschiedene Kontrollmechanismen für die Informationssicherheit beinhaltet. Deswegen ist eine Zertifizierung nach ISO 17799 grundsätzlich nicht möglich. Grundlage für die Standardisierung war eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, um einen Best Practice-Ansatz zu erreichen. Zu den elf Überwachungsbereichen dieser ISO zählt auch die Zugriffskontrolle (Access Control).

Umsetzung nach dem Least Access-Prinzip
Ein sicheres Identitätsmanagement beinhaltet die Verwaltung verschiedenster Nutzer und unterschiedlicher Rollen, sowohl innerhalb als auch außerhalb des Unternehmens. Die rollenbasierte Steuerung und Verwaltung der Zugriffsrechte ist ein zentraler Bestandteil einer Compliance-gerechten Sicherheitsstrategie. Dazu zählt die Beschreibung und Festlegung von Nutzerrechten und ein Reporting darüber, wer auf welche Daten Zugriff hat. Eine strikte Authentifizierung stellt sicher, dass die Policy of Least Access umgesetzt werden kann. Dieses Prinzip besagt, dass Personen ausschließlich Zugang zu Files haben, die sie wirklich brauchen und auf nichts darüber hinaus zugreifen können.

Die folgenden Anforderungen müssen erfüllt werden, um Compliance mit den Richtlinien, insbesondere mit SOX zu erzielen:
>>
Wer hat Zugriff auf sensible Daten?
>> Sind alle Sicherheitsprotokolle im Einsatz, um zu garantieren, dass nur autorisierte Anwender auf die Daten zugreifen?
>> Wird eine strenge Zugriffskontrolle für alle User - interne und externe - umgesetzt und ist im Gegenzug sichergestellt, dass nicht berechtigte Mitarbeiter, aber auch bösartige Angreifer und kriminelle Datenräuber nicht ins Unternehmensnetz gelangen?

Zur Überwachung empfiehlt SOX einen Audit Trail, also die elektronische Aufzeichnung, wer auf welche Daten zugegriffen hat und die Erfassung aller unautorisierter Zugriffsversuche.
Das bereits genannte Prinzip des Least Access und eine strikte Aufgabentrennung (separation of duties) sind Best Practices für alle Unternehmen, unabhängig davon, ob sie die Anforderungen des SOX erfüllen müssen oder anderen Sicherheitsrichtlinien unterliegen.

Ein weiterer wichtiger Punkt, der auch Bestandteil der SOX-Anforderungen ist, ist die Verwaltung der unterschiedlichen Zugangspunkte zum Unternehmensnetzwerk. Hierzu zählen Remote-Einwahlverfahren, Citrix Verbindungen, VPNs und alle anderen Zugriffsverfahren. Solche Verbindungen zu den internen Daten können von Zweigstellen, Außendienstmitarbeitern, Partnern, Kunden und anderen Berechtigten, wie Outsourcing-Partnern aufgebaut werden. Die Zugriffsrechte müssen überprüft, mit den internen Policies abgeglichen und dokumentiert werden, egal von welchem Endgerät eine Verbindung aufgebaut wird.

Authentifizierung: Hohe Sicherheit durch Zwei-Faktor Maßnahmen
Eine weit verbreitete und einfache Zugangskontrolle sind Passwörter. Sie schützen jedoch geschäftskritische und vertrauliche Informationen nicht ausreichend. Nach Meinung von Gartner sollten Passwörter generell durch sicherere Verfahren ersetzt werden, da mit frei zugänglichen Tools jedes Passwort innerhalb weniger Stunden zu knacken sei. Eine Studie von Meetbiz Research unterstreicht darüber hinaus die Mitschuld der eigenen Mitarbeiter. Knapp die Hälfte der Befragten habe schon einmal ein Passwort an Kollegen weitergegeben. Ziel muss es daher sein, Passwörter zunehmend durch andere Authentifizierungsmaßnahmen zu ersetzen. Hohe Sicherheit bietet die Zwei-Faktor-Authentifizierung. Das Verfahren basiert auf den Komponenten "Besitz" und "Wissen" und ist mit dem Geldabheben am Bankautomaten vergleichbar: Die Geldkarte entspricht dem Besitz, die PIN-Nummer stellt den Faktor Wissen dar. Selbst wenn es einem Datendieb gelänge, die persönliche PIN zu stehlen, so ist diese Information ohne das dazugehörige Besitzobjekt wertlos.

Einmal-Passwörter mit Tokens
Das Authentifizierungsverfahren, das derzeit am meisten verbreitet ist, arbeitet mit so genannten Einmal-Passwörtern, die von verschiedenen Endgeräten generiert werden. Letztere stehen für den Faktor Besitz, ein dazugehöriger PIN-Code bildet die Komponente Wissen ab. Als Endgeräte finden sowohl Smart Cards mit Kartenterminals, Handhelds und Mobiltelefone mit entsprechender Software oder spezielle Passwort-Token Verwendung. Nach Eingabe der PIN in das Endgerät, produziert dieses ein einmal benutzbares Passwort. Gibt der User dieses Passwort beispielsweise in die Eingabemaske einer internetbasierten Fernzugriffslösung ein, wird es verschlüsselt weitergeleitet und geprüft. Ist der Code korrekt, schaltet das System den Zugang frei.

Das Verfahren überzeugt vor allen Dingen durch die bequeme Handhabung und den vergleichsweise sehr niedrigen Preis der schlüsselgroßen Tokens. Die Besonderheit dieser Technologie ist, dass kein Authentifizierungsserver notwendig ist, um die Identität des Users zu prüfen. Die Authentifizierung wird direkt über Active Directory abgewickelt. Zudem bedarf es auf Client-Seite keiner Softwareinstallation – was die Nutzung der Token komplett flexibilisiert. Die Besitzer können sich von jedem Internetzugang über eine webbasierte VPN-Lösung (beispielsweise über Outlook Web Access oder Citrix Metaframe) einloggen. Eine zentrale Lösung kann alle internen Richtlinien und Konfigurationen speichern und verwalten und automatisch für alle Endgeräte, insbesondere auch für mobile Geräte, umsetzen.

Fazit
Um ein nachvollziehbares Access Management für alle Mitarbeiter - insbesondere auch für mobile Mitarbeiter - von jedem Endgerät aus umzusetzen, empfiehlt sich eine übergeordnete Steuerung durch eine Identity- und Access-Managment (IAM)-Appliance. Solche Geräte überprüfen auch zentral, ob das jeweilige Endgerät nach den aktuellen Anforderungen gesichert ist. Egal ob Mitarbeiter über Labtops, Smartphones oder PDAs via Wireless LAN, Outlook Web Access, Netscape oder Citrix Applikationen ins Unternehmensnetz gelangen, einen IAM-Lösung verwaltet alle Zugangswege über eine einzige Plattform.

So ist es möglich, Mitarbeitern je nach Verantwortungsbereich unterschiedliche Zugriffsrechte zuzuordnen. Eine sinnvolle Rechtevergabe erfordert zudem feingranulare Differenzierungsmerkmale, wie beispielsweise die Art der erlaubten Aktivität, nur lesen oder auch schreiben, oder den Zeitpunkt der Anfrage. Über eine zentrale Lösung für das gesamte interne und externe Identitäts- und Zugangsmanagement stellen Unternehmen sicher, dass sie die gesetzlichen Anforderungen im Bereich IT-Sicherheit bestmöglich. (Secure Computing: ra)

* Frank Kölmel ist Sales Director Central and Eastern Europe bei Secure Computing.


- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Entscheidungshilfen

  • Digitale Signatur muss verifizierbar sein

    Eine aktuelle Studie von Creation Technologies hat herausgefunden, dass ein durchschnittlicher Mitarbeiter mit Unterschriftsberechtigung etwa 1.350 Dollar an jährlichen papierbezogenen Kosten verursacht. Für die unterschriftlastige Architektur-, Ingenieur- und Baubranche (AEC), wo Projektpläne, RFIs, Verträge, Zeichnungen und Entwürfe gegebenenfalls sogar mehrere Unterzeichner brauchen, kommt einiges an Kosten zusammen. Setzt man aber einen komplett elektronischen Workflowfür Unterzeichnung, Freigabe und Speicherung von Dokumenten ein, lassen sich diese Kosten deutlich senken. Digitale Signaturen sind eine Kernkomponente, um Ende-zu-Ende elektronische Dokumenten-Workflows zu ermöglichen. Sie erlauben es physisch handschriftliche Unterschriften (und die damit verbundenen manuellen Prozesse) sicher zu ersetzen. Trotz der offensichtlichen Vorteile von digitalen Signaturen, wie beispielsweise weniger Papierabfall, niedrigere Gemeinkosten und kürzere Projektzeitlaufzeiten, zögern viele AEC-Unternehmen den Wechsel hinaus. Bis er ihnen sozusagen staatlich verordnet wird.

  • Compliance ist ein kontinuierlicher Prozess

    Betrug ist immer ein großes Ding in den Schlagzeilen. Einer der größten Fälle von Unternehmensbetrug, der die Schlagzeilen beherrschte, war der Abgasskandal des deutschen Automobilriesen Volkswagen, der wegen einer "Betrugssoftware" für seine Dieselmotoren unter Beschuss geraten ist. Heute steht das Unternehmen vor empfindlichen Bußgeldern und Entschädigungsforderungen der Kunden und einer massiven Rufschädigung, mit der Folge eines Rückgangs der Marktanteile. Mittlerweile wurde der Bilanzbetrug des Elektronikkonzerns Toshiba bekannt, der seine Finanzlage über sieben Jahre um mehr als USD 2 Mrd. geschönt hatte, das Vierfache der ursprünglichen Schätzung. Angesichts solcher Skandale wird das Thema Ethik am Arbeitsplatz immer wichtiger.

  • Buchführung ist auch Pflicht für Onlinehändler

    Wie jeder Gewerbetreibende ist auch der Onlinehändler per Gesetz verpflichtet, eine ordnungsgemäße Buchführung vorzunehmen. Zudem ist es elementar für jedes Unternehmen, das Gewinn erwirtschaften will, seine wirtschaftliche Entwicklung stets im Blick zu behalten. Ohne diese Art der Betrachtung werden alle Kosten-/Nutzen-Entscheidungen mehr oder minder aus dem Bauch heraus gefällt.

  • Warum eigentlich Network Access Control?

    Netzwerkzugangskontrolle spielt in der IT eine immer größere Rolle. Der Einsatz unterschiedlichster Endgeräte nimmt rasant zu. Wer sitzt zum Surfen eigentlich noch vor dem PC? Mittlerweile nutzen wir das Smartphone oder Tablet als Zugangsinstrument - das ist komfortabler und handlicher und das überträgt sich bis zum Arbeitsplatz. Die Möglichkeiten und den Komfort, den diese Geräte bieten, erwarten die Mitarbeiter heute und zukünftig auch an ihrem Arbeitsplatz. Gerade die gängigen Endgeräte, wie auch einfache Access Points sind heute so kinderleicht zu bedienen, dass Mitarbeiter ohne weiteres entsprechende "Verteiler" mitbringen, anschließen und betreiben können - ohne, dass es die IT-Abteilung mitbekommen würde. Dem IT-Verantwortlichen läuft es dabei eiskalt den Rücken herunter.

  • Wettbewerbsvorteil Datenschutz

    Der Datenschutz in Deutschland ist aus einem Dornröschenschlaf erwacht. Im Oktober 2015 scheiterte Safe Harbor nach 15 Jahren. Das Abkommen erlaubte es Unternehmen, personenbezogene Daten aus der EU in die USA zu transferieren und dort weiter zu verarbeiten. Eine bindende Nachfolgeregelung gibt es derzeit noch nicht - aktuell haben sich USA und EU vorerst auf ein so genanntes Privacy Shield-Abkommen festgelegt. Zudem haben sich im Dezember 2015 Europarat, Europäisches Parlament und Europäische Kommission auf eine EU-Datenschutzgrundverordnung geeinigt. Eine Geldstrafe in Höhe von 4 Prozent vom globalen Jahresumsatz droht Konzernen ab 2018 bei Verstößen. Unternehmen und Marketers, die sich um den Schutz ihrer Kundendaten kümmern und alle neuen Entwicklungen genauestens verfolgen, sichern sich also ab. Außerdem haben sie das Vertrauen der Kunden und Partner auf ihrer Seite, womit sie einen klaren Wettbewerbsvorteil gewinnen.