Wer darf was im internen Netz? Diese Frage ist in der Regel leicht zu beantworten, die Durchsetzung der hauseigenen Rechte und Beschränkungen ist allerdings mit einigen Schwierigkeiten behaftet. Die Krux liegt vor allen Dingen am "wer" - es wird immer komplizierter sicherzustellen, dass hinter dem digitalen User-Namen auch wirklich die zugriffsberechtigte Person steckt.
Unternehmen stehen vor der Herausforderung, sowohl die eigenen Mitarbeiter als auch externe Interessensgruppen verlässlich zu authentifizieren, egal, von wo sie auf das sichere Netz zugreifen wollen. Zudem entwickelten sich die Endgeräte der User immer mehr zum Einfallstor für digitales Ungeziefer.
Diebstahl von virtuellen Identitäten
Virtuelle Identitäten sind eine höchst attraktive Beute, das belegen seit geraumer Zeit unzählige Meldungen in den Medien. Die kriminelle Energie kommt dabei sowohl von böswilligen Einzelpersonen, als auch vermehrt von mafiaähnlichen Gruppierungen. Im öffentlichen Interesse stehen vor allen Dingen die Übergriffe auf den "gewöhnlichen" Bürger. Fast jeder, der regelmäßig im World Wide Web seine Spuren hinterlässt, hat schon einmal Phishing-Mails bekommen - ob er es gemerkt hat, ist eine andere Frage. Unternehmen wie beispielsweise Online-Auktionshäuser, die ihre Geschäftstätigkeit vollständig oder zu großen Teilen über das Netz abwickeln, mussten sich bereits intensiv mit der Problematik auseinander setzen. Auch Banken sehen sich im Epizentrum der Attacken und reagieren bereits hektisch. Der übliche Maßnahmenkatalog erstreckt sich dabei von Warnungen und Verhaltensregeln auf den institutseigenen Webseiten bis hin zur Verbesserung des PIN/TAN-Verfahrens für das Online-Banking.
Im Business-to-Business-Bereich dient die gestohlene virtuelle Identität vor allen Dingen zur Ausspähung der Konkurrenz. Von Interesse sind dabei Informationen zu Preisen und Konditionen neuer Produkte, zu Marktstrategien, zu Zusammenschlüssen und Absprachen zwischen Konkurrenzunternehmen oder zu Managern und deren unmittelbaren Mitarbeitern. Ist die allzu große Neugier staatlich initiiert, dienen falsche Benutzernamen und Kennwörter sogar zur Wirtschaftsspionage. Korrupte Regimes versprechen sich seit jeher handfeste Vorteile von fremdem Know-how: Es lassen sich Entwicklungskosten sparen oder gar kostengünstigere Nachbauten auf den Markt bringen. Neben der Beschaffung geheimen Wissens können die Zugangscodes auch dazu genutzt werden, wichtige Daten zu löschen, sie zu verändern oder sie Dritten in die Hände zu spielen. Handfeste Sabotage bringt Unternehmen schnell in den wirtschaftlichen Ruin, Szenarien dafür gibt es en masse - man denke nur an die Lahmlegung eines großen Providers.
Die Sicherung der korrekten Identitäten und die Kontrolle der Zugänge zum internen Netz werden nicht leichter. Folgende Trends "plagen" die Unternehmen:
Grenzen weichen auf
Die Mauer, die Firmen um ihre "Festung" internes Netzwerk in den letzten Jahren gezogen haben, hat mittlerweile viele Tore. Statt eines zentralen Gateways zum LAN gibt es heute Dutzende Zugänge zum Netz. Die Ursache ist der Wandel im geschäftlichen Alltag: Mitarbeiter müssen auch von unterwegs jederzeit auf ihre Daten und die wichtigen Anwendungen zugreifen können und realisieren dies beispielsweise über WLAN. Zudem vernetzen sich Unternehmen immer mehr mit externen Organisationen wie Zulieferern oder anderen Partnern, um ihre gemeinsamen Prozesse effizienter zu gestalten. Beliebtes Werkzeug dafür sind beispielsweise eigene, gruppenspezifische Webportale mit Anschluss an das interne Netzwerk. Das Sicherheitskonzept vieler Betriebe wandelt sich folglich zunehmend in ein sogenanntes "Airport-Style"-Modell, welches eine Vielzahl an Subnetzen mit unterschiedlichen Sicherheitslevels integriert.
Gesetzliche Vorschriften
Die Sicherheit in den Unternehmen unterliegt verstärkt gesetzlichen Vorschriften. Diese sind zum Teil international von Bedeutung, in den meisten Fällen aber länderspezifisch orientiert. Beispielweise ist die Verschlüsselung des Datenverkehrs in manchen Staaten ein heiß umstrittenes Thema. Prominente Richtlinien wie Sarbanes-Oxley oder Basel II bringen erhöhte Anforderungen an Monitoring, Dokumentation und Reporting mit sich. Die Vorschriften müssen sich in den firmeninternen Sicherheitsrichtlinien ("Policies") und damit auch in der Konfiguration von Hard- und Software widerspiegeln. Unternehmen stehen vor der schwierigen Aufgabe, zu gewährleisten, dass alle Endgeräte, mit denen Mitarbeiter eine Verbindung zum internen Netz aufbauen, mit diesen Regelungen konform sind.
Zunehmende Komplexität
Das weite Spektrum an Attacken und Angriffsmöglichkeiten setzt die Netzwerkverantwortlichen unter massiven Druck. Die Administratoren müssen in der Lage sein, eine Vielzahl an Sicherheitstechnologien zu beherrschen, zu verwalten und regelmäßig zu pflegen. Hinzu kommt, dass sich externe Zugänge über multiple Plattformen abwickeln lassen. Diese müssen unter Umständen - gerade nach Akquisitionen - parallel betrieben werden.
Die Anforderungen an das Identitäts- und Access-Management sind hoch. Um die Komplexität in Management und Pflege dauerhaft zu reduzieren, empfiehlt es sich, eine zentrale Lösung für das gesamte Unternehmen zu implementieren. Diese sollte Folgendes leisten:
Authentifizierung über zwei Faktoren
Eine grundlegende Aufgabe ist es, alle User sicher zu authentifizieren. Dies gelingt am besten über zwei Faktoren (Besitz und Wissen). Realisieren lässt sich dieser Ansatz beispielsweise über Smartcards: Der User gibt in die Oberfläche einer webbasierten Zugangssoftware seine persönliche PIN ein, ein angeschlossener Kartenterminal liest die Personendaten auf der Smartcard und verifiziert sie über einen entsprechenden Server. Das Verfahren hat jedoch den großen Nachteil, dass das eingesetzte Endgerät immer mit einem Smart Card Reader verbunden sein muss. Für den mobilen Zugangsschutz eigenen sich die Cards aus diesem Grunde kaum. Die gleiche Problematik hat die Authentifizierung über s genannte Public-Key-Infrastrukturen (PKIs) in Verbindung mit Smart Cards. Eine PKI für sich alleine ist ein Verfahren zur Ver- und Entschlüsselung von Daten. Die Teilnehmer erhalten einen geheimen privaten Schlüssel (Private Key) und einen öffentlichen Schlüssel (Public Key). Den öffentlichen Schlüssel können sie zum Verschlüsseln und zum Überprüfen einer digitalen Signatur, den privaten zum Entschlüsseln und zum Signieren von persönlichen Daten einsetzen. Verschlüsselte Daten sind entsprechend nur mit dem dazugehörigen privaten Schlüssel lesbar. Um das PKI-Schlüsselpaar zur Authentifizierung von Usern zu nutzen, bedarf es noch des Faktors Besitz, den in der Praxis eben oft eine Smart Card abdeckt. Diese speichert beide Keys sowie zusätzliche Personaldaten. Auch hier sind jedoch die Einsatzmöglichkeiten beschränkt. Ein wesentlich flexibleres Authentifizierungswerkzeug stellen schlüsselanhängergroße Token dar. Sie generieren je Login nach Eingabe einer persönlichen PIN ein einmal nutzbares Passwort. Ein Authentifizierungsserver prüft, ob der Code korrekt ist und schaltet in diesem Fall den Zugang zum sicheren Netz frei. Token-Nutzer können sich von jedem beliebigen Standort aus in das Firmennetz einwählen. Optimal ist, wenn die gewählte IAM-Plattform verschiedene Authentifizierungstechnologien unterstützt.
Neben der Zwei-Faktor-Authentifizierung ist die Verschlüsselung des Datenverkehrs ein weiteres wichtiges Element von IAM. Neben dem aufwendigen PKI-Verfahren bietet sich die Verschlüsselung über kryptische Protokolle wie SSL oder IPSec an. Hierzu wird für jede Verbindung ein sogenanntes Virtual Private Network (VPN) aufgebaut, sodass die Daten zwischen zwei definierten Endpunkten verschlüsselt verkehren. Sie sind dadurch für Wegelagerer unlesbar.
Schutz von innen und von außen
Die Sicherung der Identitäten und der Zugänge darf sich nicht nur auf externe Personen beziehen, sondern muss auch die Mitarbeiter innerhalb des Unternehmens sowie temporäre Gast-User einschließen. Idealerweise ist dies auf derselben Plattform durchführbar. Es sollte möglich sein, Mitarbeitern je nach Verantwortungsbereich unterschiedliche Zugriffsrechte zuzuordnen. Eine sinnvolle Rechtevergabe erfordert zudem feingranulare Differenzierungsmerkmale, wie beispielsweise die Art der erlaubten Aktivität (nur lesen oder auch schreiben) oder den Zeitpunkt der Anfrage.
Verifikation der Endpunkte
Neben der Identität des Users muss der Sicherungsgrad des "zugreifenden" Gerätes ein Entscheidungskriterium für den Netzwerkzutritt sein. Alle Geräte wie PCs, Notebooks, PDAs oder Smart Phones müssen hinsichtlich der eigenen Sicherheitsregeln sowie der gesetzlichen Vorschriften konfiguriert und gewartet sein. Dazu gehört beispielsweise, dass die Besitzer ihre mobilen Begleiter regelmäßig mit Systempatches pflegen und eine Anti-Viren-Software aufspielen. Eine relevante Entlastung können Sicherheitsmanager dabei nur erreichen, wenn die zentrale IAM-Lösung den Prozess der Compliance-Überwachung von Endgeräten automatisiert: Ändert das Unternehmen eine Policy, sollte es dies ausschließlich an der zentralen IAM-Technologie tun müssen und nicht mehr an Dutzenden von alternativen Zugangssystemen beziehungsweise an den entsprechenden Servern. Interne und externe User greifen über verschiedene Wege auf das LAN zu. Oft gibt es eine ganze Reihe von Zugangstechnologien in Unternehmen. Wichtig ist, dass das IAM alle Zugangsoptionen (beispielsweise auch WLAN) und jede Anwendung (wie Internet Explorer, Netscape, Mac OS X oder Suse Linux) unterstützt. Dazu gehört auch ein systemübergreifendes Reporting und Auditing, welches alle Anfragen nach Zugang, Authentifizierung oder Autorisierung aufzeichnet und in konsolidierten, übersichtlichen Berichten zusammenfasst.
Fazit
IDC geht davon aus, dass das Marktvolumen für IAM bis 2009 auf vier Milliarden US-Dollar ansteigt. Angesichts der dramatischen Komplexität beim Identitäts- und Access-Management werden sich vor allen Dingen Lösungen durchsetzen, die diese elementare Sicherungsaufgabe zentral für das ganze Unternehmen und über alle Zugangsysteme hinweg leisten. Größtmögliche Flexibilität hinsichtlich heterogener Systeme und Skalierbarkeit ist dabei oberstes Gebot.