Identitäts- und Zugriffsverwaltung für den Praxiseinsatz

Transkript

1 Identitäts- und Zugriffsverwaltung für den Praxiseinsatz Von Todd Peterson, IAM-Experte, und Jackson Shaw, Senior Director of Product Management, Dell Software Dell Software Group 5 Polaris Way Aliso Viejo, CA (USA) iam.askanexpert@quest.com Version

2 Inhaltsverzeichnis Einführung iii Verwendete Symbole iv Kapitel 1: Weniger Komplexität beim Praxiseinsatz 1.1 Kapitel 2: Identitätsverwaltung, die Grundlage für Governance 2.1 Kapitel 3: Verwaltung privilegierter Konten für den Praxiseinsatz 3.1 Kapitel 4: Zugriffssteuerung: Identitäten, Konten, Anwendungen und Daten im Mittelpunkt 4.1 Kapitel 5: Überwachung von Benutzeraktivitäten Vertrauen ist gut, Kontrolle ist besser 5.1 Kapitel 6: Der nächste große Schritt: Cloud, Big Data und BYOD ach du meine Güte! 6.1 Zusammenfassung 7.1 i ii

3 Einführung In einer idealen Welt hätten wir das Budget und die Zeit, die wir benötigen, um unsere Arbeit zu erledigen. Und wir wüssten, was die Zukunft bringt. Doch das ist schlicht und einfach nicht der Fall, ganz besonders nicht im IT-Bereich. Wie Sie wissen, ist der Bereich Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) von kontinuierlicher Veränderung, immer kürzer werdenden Fristen, niedrigen Budgets, überlasteten Mitarbeitern und extrem strengen Richtlinien geprägt. Leider besteht der herkömmliche Ansatz für die Identitäts- und Zugriffsverwaltung darin, Lösungen miteinander zu kombinieren, die nur teilweise den Anforderungen entsprechen und das in der Hoffnung, dass zukünftige Innovationen eine praxisnahe Lösung für das Problem bieten. Dieses kleine Buch untersucht, wie Identitäts- und Zugriffsverwaltung für den Praxiseinsatz aussehen würden, aussehen sollten und aussehen können. Es befasst sich mit den dringendsten Problemen der Identitäts- und Zugriffsverwaltung, denen sich heute nahezu jede Organisation gegenüber sieht, und bietet umsetzbare, erschwingliche und nachhaltige Ansätze für Ihre IAM-Herausforderungen. Wir bei Dell helfen Ihnen, die IAM- Ziele zu erreichen, die für Sie (nicht für uns) in der Praxis wichtig sind. Dabei bringen wir Sie und Ihr Unternehmen einen Schritt näher zum Erfolg. Wir hoffen, dass "Identitäts- und Zugriffsverwaltung für den Praxiseinsatz" für Sie von Nutzen sein wird. Verwendete Symbole Wir verwenden in diesem Buch eine Reihe von Symbolen, um wichtige Punkte herauszustreichen, stützende Beispiele aus der Praxis anzuführen oder Ihnen unseren subjektiven Standpunkt mitzuteilen. Halten Sie nach den folgenden Symbolen Ausschau: Beispiel aus der Praxis: Beispiele für reale Organisationen, die sich realen Herausforderungen gestellt und ihre Probleme tatsächlich gelöst haben (Aus Vertraulichkeitsgründen wurden die Namen häufig geändert.) Tatsachen und Zahlen: Auf Recherchen basierende Informationen, die in diesem Buch behandelte Prinzipien unterstützen Technische Informationen : Definitionen und Begriffe aus der IAM-Branche, mit denen Sie möglicherweise nicht vertraut sind (oder vielleicht doch) Nützlicher Tipp: Informationen, die Ihnen dabei helfen, die in diesem Buch besprochenen Dinge problemlos zu erreichen Verkaufsargumente: Hier erfahren Sie, warum wir dieses Buch eigentlich geschrieben haben. Wir sind wahrscheinlich etwas voreingenommen, doch wir nehmen an, dass Sie dieses Buch lesen, weil Sie nach Lösungen für Ihre Herausforderungen suchen. Und genau die finden Sie hier. iii iv

4 Kapitel 1 "Well, we know where we're goin' But we don't know where we've been And we know what we're knowin' But we can't say what we've seen And we're not little children And we know what we want And the future is certain Give us time to work it out" Talking Heads, Road to Nowhere 1985 Weniger Komplexität beim Praxiseinsatz Diese Hymne von David Byrne aus den Mittachtzigern gibt perfekt die Stimmung vieler Organisationen wieder, die versuchen, mit den sich ständig ändernden Anforderungen an die IT-Sicherheit mitzuhalten. Je mehr wir versuchen, uns gegen die neuste Bedrohung zu wappnen oder Sicherheitsmaßnahmen auf die neueste Technologie anzuwenden, desto schwerer erreichbar scheint unser Ziel. Die Talking Heads versuchen, in einer zunehmend komplexen Welt einen optimistischen Ton anzuschlagen. Doch die Zukunft ist alles andere als sicher. So ist eine stark zunehmende Verbreitung neuer Betriebssysteme zu beobachten, wie die z. B. die explosionsartige Zunahme von ios. Hinzu kommt die Einführung stringenter neuer Vorschriften wie SOX, HIPAA und PCI und dabei wird es sicherlich nicht bleiben. Außerdem gibt es auch immer wieder einen nächsten Megatrend, der in aller Munde zu sein scheint, wie Cloud Computing, BYOD und IT-Consumerization. Veränderung scheint die einzige Konstante zu sein. Wir sehnen uns nach der Zeit, in der Sicherheit nichts anderes erforderte als eine einfache Kennwortänderung alle 90 Tage, bei der nur ein paar Komplexitätsregeln beachtet werden mussten. Benutzerzugriff? Ein Kinderspiel. Es genügte, allen Benutzern den sicheren Zugriff zu gewähren, den sie benötigten, um ihre Aufgaben mit einer Handvoll von Anwendungen auf einer oder vielleicht auch zwei Plattformen zu erledigen. Doch in der IT-Realität von heute sind Kennwortverwaltung, Benutzerzugriff und Sicherheit viel komplexer. Der Songtext von den Talking Heads scheint das Wunschdenken vieler IT-Experten wiederzugeben, die vor diesen komplexen Herausforderungen stehen: "Give us time to work it out." Grundlegende Konzepte der Identitäts- und Zugriffsverwaltung Es gibt viele wichtige Aspekte der IT-Sicherheit, über die es sich zu sprechen lohnt. Doch wir möchten uns nur auf einen davon konzentrieren: die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM). IAM befasst sich mit einigen grundlegenden Konzepten, die sich als die "vier As" zusammenfassen lassen: Authentifizierung: stellt sicher, dass die Person, die sich bei einem System anmeldet, diejenige ist, für die sie sich ausgibt. Dies erfolgt normalerweise mithilfe von Benutzernamen und Kennwörtern, die Ihnen in Kombination eine gewisse Sicherheit der Authentizität der sich anmeldenden Person bieten. Autorisierung: legt die Parameter für die Berechtigungen authentifizierter Benutzer fest. Bei der Autorisierung geht es nicht darum, wer Sie sind, sondern darum, warum Sie sich anmelden und worauf Sie zugreifen können. Bei der Autorisierung kommt es auf verschiedene Faktoren an. Dabei kann es sich um alles Mögliche handeln von Zugriffsberechtigungen und Freigaben für Dateien und Anwendungen bis hin zu äußerst präzise definierten Zugriffsregeln. Sie bestimmen, ob Sie nur Lese- oder auch Schreibzugriff haben. Sie legen sogar fest, auf welche Anwendungsfunktionen Sie basierend auf Ihrer Rolle in der Organisation zugreifen können. Administration: Damit sich ein Benutzer authentifizieren kann und die richtigen Berechtigungen erhält, müssen alle möglichen Verwaltungsaufgaben für ein Konto eingerichtet werden, die häufig unter dem Begriff "Bereitstellung" zusammengefasst werden. Hierzu zählt die Verwaltung der Rollen in der Organisation, die Bestimmung

5 der richtigen Personen in der richtigen Position für die entsprechende Autorisierung sowie die Kennwortverwaltung im Hinblick auf die Komplexität, die Häufigkeit der Kennwortänderung und die Kennwortzurücksetzung. Die Bereitstellung kann buchstäblich Tausende von Aufgaben umfassen, die den Zweck erfüllen, ein nur schwer erreichbares Gleichgewicht zwischen Sicherheit und Benutzerproduktivität herzustellen. Audit: umfasst alle Aktivitäten, mit denen "nachgewiesen" werden kann, dass die Authentifizierung, Autorisierung und Administration gemessen an einer Reihe von Standards ein Mindestmaß an Sicherheit erfüllen. Audits können sich zum Beispiel mit der Sicherstellung von PCI-Compliance oder der Erfüllung der Anforderungen eines Best Practice-Frameworks wie ITIL befassen. Sie können jedoch auch ganz einfach das Ziel verfolgen, dass intern entwickelten Sicherheitsstandards oder -richtlinien entsprochen wird. Bei allen "As" wird vorausgesetzt, dass für jeden Benutzer eine Identität festgelegt und gespeichert wurde, sodass die Identität authentifiziert, autorisiert, verwaltet und geprüft werden kann. Identitäten werden in der Regel in einem Verzeichnis gespeichert, das mit der Anwendung oder dem System verbunden ist, auf die bzw. das der Benutzer zugreift. Bei einer korrekten Durchführung können die vier "As" problemlos erfüllt werden. Doch wir alle wissen, dass "problemlose Erfüllung" ein schwer zu erreichendes Ziel ist. Der klassische Retro-Pop-Song hat auch heute noch Gültigkeit: "And we know what we're knowin', but we can't say what we've seen." Ein holpriger Weg Die Schwierigkeiten treten auf, wenn verschiedene Technologien ins Spiel kommen. Fast jede Organisation verwendet Microsoft Active Directory (AD) als zentrale Steuereinheit für Windows basierte Ressourcen. Dies gilt auch für andere Plattformen WIE Unix oder Linux, Macs oder Mainframes, die alle ihre eigenen Verzeichnisse und ihre eigenen Maßnahmen für die Authentifizierung, Autorisierung, Administration und Audits erfordern. Ganz zu schweigen von den Anwendungen, die maßgeblich zu dieser Komplexität beitragen. Die Eine Umfrage der Aberdeen Group, bei der Tausende von Unternehmen mit durchschnittlich Mitarbeitern befragt wurden, hat die Komplexität der heutigen IT-Sicherheit verdeutlicht. Eine Organisation unterstützt durchschnittlich 198 Anwendungen. Ein typischer Benutzer greift auf 27 Anwendungen zu. In einem Unternehmen gibt es im Durchschnitt festgelegte Rollen. meisten Anwendungen erfordern auch ein Verzeichnis und anwendungsspezifische Maßnahmen zur Erfüllung der vier "As". Jedes "A" wird zwangsläufig einzeln auf Dutzenden, Hunderten oder sogar Tausenden von Systemen durchgeführt. Es ist nicht unüblich, dass ein Benutzer über mehrere Kennwörter verfügt. Jedes Kennwort repräsentiert ein weiteres System, auf dem Authentifizierung, Autorisierung, Administration und Audits ohne Berücksichtigung der anderen Systeme des Unternehmens durchgeführt werden. Nach Schätzungen von Analysten kann ein typischer Benutzer über bis zu 14 Kennwörter verfügen. Doch die Anmeldung oder Authentifizierung ist unsere geringste Sorge. Nicht nur können alle Systeme oder Anwendungen über eine eigene Authentifizierungsmethode mit eigenen Kennwortregeln verfügen, für alle von ihnen ist auch eine eigene Autorisierungsstruktur erforderlich. Es kommt häufig vor, dass die IT die Rollen für jedes einzelne Zugriffsszenario definiert, und zwar für jede einzelne Anwendung. Dies führt zu einer "Rollenschwemme". Jedes Mal wenn eine neue Autorisierung erforderlich ist, wird in der betreffenden Anwendung eine neue Rolle definiert. Dieser Vorgang wird für das gesamte Spektrum an Anwendungen wiederholt. Viele Organisationen haben am Ende mehr Rollen als Benutzer. In der Praxis kann es mitunter chaotisch zugehen. Leider lastet die administrative Verantwortung für die korrekte Einrichtung der Authentifizierung und die angemessene Autorisierung häufig auf den Schultern der IT. Das bedeutet, dass sich gut bezahlte, spezialisierte IT-Experten häufig mit den banalsten Aufgaben der Identitätsverwaltung abplagen müssen. Da sie über die richtigen Rechte verfügen und sich mit den internen Abläufen der Anwendung oder des Systems auskennen, finden sich IT-Experten in der Rolle eines hoch spezialisierten (und sehr teuren) Helpdesks wieder. Das eigentliche Problem ist, dass kritische IT-Initiativen nicht vorankommen, da diese Experten Endbenutzer bei Zugriffsbelangen unterstützen. Bei den Audits sieht es nicht viel besser aus. Wenn es darum geht, "nachzuweisen", dass bei der Authentifizierung, Autorisierung und Administration alle Regeln eingehalten werden, sind IT-Experten häufig die einzige zuverlässige Quelle für die erforderlichen Audit-Informationen. Grund genug, sich zu Audit-Zeiten am besten krankschreiben zu lassen. Die Reduzierung der Komplexität ist der Schlüssel für eine praxisorientierte IAM-Strategie. Wer hat hier eigentlich das Sagen? Wenn spezialisierte IT-Ressourcen so stark in Entscheidungen der Identitäts- und Zugriffsverwaltung involviert sind, liegt ein echtes Effizienzproblem vor. Letztendlich ist die Aufgabe von IT-Mitarbeitern, den Systembetrieb und die Benutzerproduktivität zu gewährleisten, und nicht, sich mit der täglichen Verwendung spezifischer Anwendungen durch einen bestimmten Benutzer zu beschäftigen. Ist ein für das Buchhaltungssystem verantwortlicher IT-Experte wirklich die richtige Person, um Entscheidungen über Benutzerzugriff und -berechtigungen zu treffen? Offensichtlich nicht. Wer ist also dafür verantwortlich, dass die richtigen Entscheidungen getroffen werden? Einfach ausgedrückt: Für die Geschäftsseite steht bei der Identitäts- und Zugriffsverwaltung am meisten auf dem Spiel. Alle Entscheidungen, welche Rollen in einem Buchhaltungssystem erforderlich sind und was sie repräsentieren, wer Aktionen genehmigen muss und wie stark die Daten und Funktionen gesichert werden müssen,

6 Doch Tatsache ist: Da IT-Experten häufig wissen, "wie" Aufgaben zu erledigen sind, wird irrtümlicherweise angenommen, dass sie auch wissen, "warum" sie erledigt werden müssen. sollten idealerweise in der Verantwortung der Geschäftsbereichsmitarbeiter und -leiter liegen. Schließlich verwenden sie die Anwendungen jeden Tag und können sich daher ein umfassenderes und ganzheitlicheres Bild von den möglichen Auswirkungen machen. Doch Tatsache ist: Da IT-Experten häufig wissen, "wie" Aufgaben zu erledigen sind, wird irrtümlicherweise angenommen, dass sie auch wissen, "warum" sie erledigt werden müssen. Haben Sie schon einmal zufällig mitgehört, wie ein Geschäftsbereichsleiter der IT folgende Anweisung gegeben hat: "Richten Sie für Herrn Bauer den gleichen Zugriff ein wie für Frau Maier."? Für Frau Maier wird dann der gleiche Zugriff reproduziert, doch gibt es keine Garantie dafür, dass sie auf diese Weise die richtigen Zugriffsberechtigungen erhält. Worauf basiert Frau Maiers Zugriff eigentlich? Auf dem einer anderen Person? Wie viele hinfällige Berechtigungen gibt es? Haben sich Ausnahmen in die Autorisierung eingeschlichen, die niemals widerrufen wurden? Es gibt schlicht und einfach zu viele Fragen und unbekannte Faktoren, die die Sicherheit Ihrer Organisation bedrohen können. Das Gleiche gilt für Audits. IT-Experten wissen, wie sie die Informationen erhalten können, müssen sie jedoch nicht verstehen. Die Geschäftsseite weiß dagegen, was sie benötigt, versteht aber selten, was die IT leistet. Es ist ein endloser Zyklus von "Es ist bestimmt so in Ordnung." Das bedeutet in der Regel: "Ich glaube, es ist so in Ordnung und hoffe, dass es mir nicht irgendwann einmal Probleme bereitet." Leider bleiben die Probleme oft nicht aus. Herausforderungen bewältigen IT-Mitarbeiter, die mit Komplexität zu kämpfen haben, sind sich einig: "Es gibt zu viele Identitäten." "Ich möchte keine Rollenschwemme." "Das ist so ineffizient." Doch diese Einwände bringen uns nicht weiter. Heute stehen Technologien zur Verfügung, mit denen die komplexen Probleme der Identitäts- und Zugriffsverwaltung effektiv bewältigt werden können. Vielfalt ist die Norm. Die Herausforderung besteht darin, wie wir mit dieser Vielfalt umgehen. Dabei ist es unsere Aufgabe, dies auf eine Weise zu tun, die Endbenutzern den Alltag erleichtert, Kosten einspart, die Sicherheit verbessert und die Compliance-Erfüllung erleichtert. Seit IT-Technologie erstmals am Arbeitsplatz eingesetzt wurde und sich zu der hoch komplexen und vielseitigen Kernfunktionalität von heute weiterentwickelte, haben Organisationen diese Herausforderungen zu schaffen gemacht. Es haben sich verschiedene Ansätze herausgebildet: Nichts tun: Viele Organisationen tun einfach so, als gäbe es das Problem nicht. Sie geben sich damit zufrieden, die Komplexität weiterhin mit spezialisierten IT- Teams anzugehen, die mit den verfügbaren Tools tun, was sie können, und hoffen, dass am Ende alles in Ordnung ist. Früher oder später kommt es jedoch zu einem Sicherheitsverstoß, ein Prüfer findet eine wesentliche Schwachstelle, die Maßnahmen erfordert, oder die Aufrechterhaltung des Status Quo bei der Identitäts- und Zugriffsverwaltung wird zu teuer. Ein Pflaster drauf kleben: Wenn ein Sicherheitsverstoß auftritt, der Prüfer kommt oder die Buchhalter die Alarmglocken läuten, sehen sich viele Organisationen nach Lösungen um, mit denen sie die spezifische Ursache des Problems angehen können. Wenn zum Beispiel die Kontoverwaltung auf einem System das Problem ist, wird für die Behebung eine maßgeschneiderte Lösung implementiert. Doch wenn das gleiche Problem auf einem anderen System auftritt, kann die vorhandene Lösung leider nicht mehr helfen. Es wird also eine weitere Lösung gekauft. Dieser Ansatz ist sehr weit verbreitet. Doch obwohl dadurch Aufgaben automatisiert werden, ändert sich an der zugrunde liegenden Komplexität in der Regel nichts. Darüber hinaus müssen sich spezialisierte IT-Mitarbeiter weiterhin mit den Problemen befassen. Ein Framework aufbauen: Der traditionelle Ansatz zur Problemlösung ist die Entwicklung eines maßgeschneiderten Frameworks, das eine zentrale Verwaltungsstelle bietet und die Authentifizierungs- und Autorisierungsanforderungen eines äußerst vielseitigen Unternehmens erfüllt. Diese Lösungen sind in der Regel teuer und ihr Aufbau nimmt Jahre in Anspruch. Daher ist es bisher nur den größten und finanzstärksten Organisationen gelungen, die Identitäts- und Zugriffsverwaltung auf diese Weise in den Griff zu bekommen. Doch diese Lösungen leisten keinen Beitrag zur Reduzierung der Komplexität, die den eigentlichen Kern des Problems darstellt. Zwar synchronisieren sie unterschiedliche Identitätsspeicher und Verwaltungsaufgaben, doch erhöhen sie die Komplexität noch weiter. Darüber hinaus sind sie so starr, dass sie später nicht entsprechend angepasst werden können, falls sich die Anforderungen bis zur Implementierung geändert haben. Leider belasten diese stark technologieabhängigen Lösungen die IT noch stärker mit den täglichen Routineaufgaben, die in Verbindung mit der Identitäts- und Zugriffsverwaltung anfallen. Modulare und integrierte geschäftsorientierte Identitäts- und Zugriffsverwaltung: Mit der neuen Welle von IAM-Technologien hat die Anzahl an Einzelproblemen noch weiter zugenommen, sodass eine noch größere Dringlichkeit für die Implementierung eines holistischeren IAM-Frameworks besteht. Da sich diese Technologien deutlich weniger auf die individuelle Anpassung stützen und stattdessen auf einem konfigurierbaren Modellansatz aufbauen, können sie schneller und zu geringeren Kosten als die "traditionellen" Lösungen implementiert werden. Darüber hinaus verhindern sie nicht die Bewältigung der nächsten Herausforderung. Egal, wo Sie anfangen, die Erweiterung ist erschwinglich und effektiv. Doch der größte Vorteil dieses IAM-Ansatzes besteht darin, dass er der Geschäftsseite einer Organisation wieder die Transparenz und Kontrolle gibt, die sie auch haben sollte. Der praxisorientierte IAM-Ansatz Die letzte gerade beschriebene Möglichkeit ist natürlich vorzuziehen, doch was ist mit all den Versuchen, die Sie bereits mit den anderen Ansätzen gemacht haben? Sie können nicht einfach Ihre vorhandenen Investitionen einstellen, Ihr gesamtes Personal umschulen und ganz von vorne beginnen. Was Sie jedoch tun können, ist einen geschäftsorientierten, praxisbezogenen Ansatz zu verfolgen, wenn Sie das nächste Mal Maßnahmen ergreifen müssen. Beispielsweise können Sie bei einem bereits bestehenden IAM-Framework durch die Konsolidierung der Unix, Linux und Mac OS X Identitäten und Authentifizierung in Active Directory die Komplexität reduzieren und so drastische Effizienzverbesserungen erzielen. Falls Sie mehrere Einzellösungen zur Erfüllung spezifischer Anforderungen verwenden, kann die Einführung einer modularen und integrierten Lösung in Zukunft große Vorteile bringen

7 Überdies decken Compliance-Prüfungen mit Sicherheit die nächsten Probleme auf, mit denen Sie sich befassen müssen. Die grundlegendsten Ergebnisse solcher Prüfungen betreffen meist Sicherheitslücken bei der Authentifizierung und bei Verwaltungsvorgängen. Lücken bei der Autorisierung treten unweigerlich zutage, wenn die anderen Sicherheitsprobleme eingehend untersucht wurden. Die Implementierung geschäftsorientierter, modularer und integrierter Autorisierungsfunktionen ist sinnvoll. Dies gilt sowohl für Endbenutzer als auch für privilegierte Benutze. Konzentration auf die Identitäts- und Zugriffsverwaltung für den Praxiseinsatz Wie alle IT-Experten haben auch Sie viel zu tun. Doch die Konzentration auf die Identitäts- und Zugriffsverwaltung für den Praxiseinsatz kann Ihnen erhebliche Vorteile bringen. Zukunftsorientierte Identitäts- und Zugriffsverwaltung kann durch einen modularen und integrierten Ansatz erreicht werden, wobei nicht nur die IT, sondern auch die Geschäftsseite den Überblick und die Kontrolle behält. Die vier wesentlichen Bereiche der Identitäts- und Zugriffsverwaltung, einschließlich zahlreicher Unterfunktionen, sind: 1. Identitätsverwaltung: vereinfachte Kontoverwaltung, einschließlich gängiger IAM- Funktionen wie: Erstellung, Änderung und Auflösung von Konten Verwaltung und Zurücksetzung von Kennwörtern Einmaliges Anmelden (Single Sign-On, SSO) Starke Authentifizierung 2. Verwaltung privilegierter Konten: Analyse und Kontrolle von Administratoraufgaben, einschließlich gängiger Funktionen wie: Zugriff nach dem Prinzip der minimalen Rechtegewährung Aufgabentrennung (Separation of Duties, SoD) Privilege Safe-Technologien Sitzungs-Audit Keystroke-Logging 3. Zugriffssteuerung: Verwaltung des Zugriffs auf geschäftskritische Daten, einschließlich Funktionen wie: Zugriffsanfragen und -zertifizierung Verwaltung des Datenzugriffs Rollen-Engineering Bereitstellung Granulare Anwendungssicherheit 4. Überwachung der Benutzeraktivität: Überprüfung und Nachverfolgung der Aktivitäten, für die Benutzer ihren Zugriff nutzen, wie z. B. durch: Detaillierte Überprüfung der wichtigsten Verzeichnisse Protokollverwaltung Benachrichtigungen für festgelegte Ereignisse Ganzheitliche Krisenlösung Auf diese Bereiche wird in Folgekapiteln dieses Buchs genauer eingegangen. Es steht außer Frage, dass sich jede Organisation mit allen vier Aufgaben auseinandersetzen muss. Unabhängig davon, wie ausgereift die Identitäts- und Zugriffsverwaltung einer Organisation ist keine von ihnen verfügt über eine perfekte Lösung. Es gibt immer noch Raum für Verbesserungen. Und wenn Sie dabei ein Augenmerk auf praxisorientierte Identitäts- und Zugriffsverwaltung legen, können Sie die Sicherheit erhöhen, die Compliance vereinfachen und verbessern und die betriebliche Effizienz steigern. So sieht die Identitäts- und Zugriffsverwaltung von heute und morgen aus. Eine der größten US-Banken gab nach eigenen Schätzungen monatlich eine Million Dollar allein für das Zurücksetzen von Kennwörtern aus. Eine Million Dollar für Ihre Kennwörter Eine der größten US-Banken gab nach eigenen Schätzungen monatlich eine Million Dollar allein für das Zurücksetzen von Kennwörtern aus. Diese Kosten waren zum Großteil darauf zurückzuführen, dass die zahlreichen Angestellten im Privatkundenbereich der Bank häufig auf mehrere Unix-basierte Anwendungen zugreifen mussten, um ihre Arbeit zu erledigen. Bei Unix Systemen werden Identitätsdaten (wie Benutzername, Kennwort und eindeutige Identifikationsnummern oder Attribute) nicht gemeinsam genutzt, sodass für jedes System eigene Anmeldedaten erforderlich sind. Daher musste sich jeder Bankangestellte mehrere Kennwörter merken und diese wurden oft vergessen. Hinzu kam, dass die Verantwortung für alle Aufgaben der Zugriffsverwaltung dem Unix Team zufiel und diese Ressourcen viel teurer waren als gewöhnliche Helpdesk-Mitarbeiter der Bank. Wenn ein Bankangestellter eines seiner 13 Kennwörter vergaß, waren teure IT-Ressourcen erforderlich, damit er wieder seine Arbeit erledigen konnte. Leider geschah dies sehr häufig. Auch für die Wartung des Lebenszyklus dieser Myriaden an Identitäten waren teure IT-Ressourcen verantwortlich. Dies führte in der Regel zu Verzögerungen bei der Einrichtung und Änderung von Konten und, was am schwerwiegendsten war, bei deren Auflösung. Die Bank implementierte als einer der ersten Anwender Technologie, mit der sich UNIX Identitäten und Authentifizierungsinformationen in einer einzigen universellen Microsoft Active Directory Identität auf Windows-basierten Systemen konsolidieren ließen. Dank der einfachen Ersetzung dieser Unix Identitäten durch eine einzige AD Identität, musste sich jeder Bankangestellte nur noch ein Kennwort merken und das Unix IT-Team musste sich nicht mehr mit der Verwaltung von Identitätslebenszyklen befassen. Darüber hinaus konnten Kennwortzurücksetzungen und Kontover-waltungsaktivitäten von den Mitarbeitern des deutlich kostengünstigeren Windows Helpdesk durchgeführt werden. Nach der Einführung dieser "Ein-Kennwort-Strategie" reduzierten sich die Helpdesk- Kosten der Bank sofort um 35 Prozent. Dieser positive Trend setzte sich fort, als die Strategie im gesamten Privatkundengeschäftsbereich und anderen Bereichen der Bank Anwendung fand

8 Identitäts- und Zugriffsverwaltungslösungen von Dell Es gibt einen IAM-Anbieter, der ein wirklich praxisorientiertes umfassendes Lösungspaket entwickelt hat. Die Identitäts- und Zugriffsverwaltungslösungen von Dell beinhalten alle der weiter oben beschriebenen Funktionen. Doch IAM-Lösungen von Dell unterscheiden sich maßgeblich von Einzellösungen. Ihr breites Funktionsspektrum umfasst neben der Identitätsverwaltung auch die Zugriffssteuerung und die Verwaltung privilegierter Konten. Darüber hinaus heben sich Dell Lösungen von IAM-Frameworks ab, da sie genau den geschäftsorientierten, modularen und integrierten Ansatz bieten, der mit bisherigen Lösungen so schwer zu erreichen war. Dell hat für seine IAM-Lösungen bereits zahlreiche Auszeichnungen erhalten und kann in diesem Bereich außerdem auf eine Reihe weiterer Erfolge zurückblicken. Hierzu zählen: Einstufung als "Leader" in Gartners "Magic Quadrant for User Administration and Provisioning" (2012) Bezeichnung als "Leader" im Marktsegment " Identitätsbereitstellung" durch Kuppinger Cole Beurteilung als "Best Bet" im Bereich "Identitäts- und Zugriffsverwaltung" durch SC Magazine ( ) Auszeichnung als "Editor s Best Management Suite" durch Windows IT Pro im Jahr 2011 Die laut IDC am schnellsten wachsende IAM-Produktpalette mit einem Wachstum von fast 40 Prozent Verwaltung von mehr als Kunden, die mehr als 102 Millionen "Identitäten" repräsentieren Vorreiter bei der Entwicklung der Active Directory Bridge, der Verwaltung privilegierter Konten mit sudo, der externalisierten Autorisierung, der Active Directory Verwaltung und der Zugriffssteuerung Angebot der umfassendsten Komplettlösungen für die Verwaltung privilegierter Konten und Single Sign-On Weitere Informationen zu den Identitäts- und Zugriffsverwaltungslösungen von Dell finden Sie unter

9 Kapitel 2 "Wachstum findet statt, wenn der nächste Schritt aus subjektiver Sicht positiver, erfreulicher und für sich genommen befriedigender ist als die vorherige Gratifikation, an die wir uns gewöhnt haben und die uns sogar langweilt." Identitätsverwaltung die Grundlage für Governance Vielleicht sind Sie der Meinung, dass die Gleichsetzung von etwas so Banalem wie Identitäts- und Zugriffsverwaltung mit etwas so Wichtigem wie Selbstverwirklichung einfach zu weit geht. Doch es gibt Parallelen zwischen der Maslowschen Bedürfnishierarchie und IAM. Vielleicht wissen Sie ja noch aus dem Psychologieunterricht, dass Abraham Maslow eine allgemein anerkannte Theorie entwickelt hat, nach der die menschlichen Bedürfnisse als Pyramide definiert werden können, wobei jede Stufe nur dann erreicht werden kann, wenn die Bedürfnisse der vorhergehenden Stufe befriedigt wurden. Gemäß Maslow müssen zuerst die physiologischen Bedürfnisse wie nach Essen, Wasser und Luft befriedigt werden, bevor das Bedürfnis nach Sicherheit angegangen werden kann. Ihre sozialen Bedürfnisse können wiederum erst erfüllt werden, wenn Sie Sicherheit in Form von Unterkunft und Schutz haben. Die Befriedigung sozialer Bedürfnisse bildet die Grundlage für Geltungsbedürfnisse, die befriedigt werden müssen, bevor Selbstverwirklichung oder die Erfüllung des eigenen Potenzials möglich ist. Wir möchten in keiner Weise andeuten, dass tiefgründige philosophische Theorien und IAM-Technologie das gleiche Gewicht und die gleiche Bedeutung für die Menschheit haben. Doch dies ist eine hilfreiche Analogie, die einfach und schnell zu verstehen ist. Es gibt Parallelen zwischen diesem hierarchischen Modell der menschlichen Entwicklung und dem Prozess, den wir mit Technologien im Allgemeinen und Identitäts- und Zugriffsverwaltung im Besonderen durchlaufen. Selbstverwirklichung Geltungsbedürfnisse Soziale Bedürfnisse Sicherheitsbedürfnisse Agilität Governance Sicherheit Effizienz Abraham Maslow Physiologische Bedürfnisse Zugriff Abbildung 1. Maslowsche Hierarchie menschlicher Bedürfnisse und die Hierarchie der IAM- Bedürfnisse Gemäß unserer Hierarchie der IAM-Bedürfnisse (Abbildung 1) ist wie auch in der Praxis die Grundlage für alles der Zugriff. Von unten nach oben gesehen baut in der Pyramide Effizienz auf dem Zugriff auf, Sicherheit hängt von der Effizienz ab, Governance kommt

10 nach der Sicherheit und Agilität ist das IAM-Pendant zur Selbstverwirklichung. Wenn der Zugriff unterbrochen ist, kann keine Governance mehr helfen. Wenn Effizienz nicht erreicht werden kann, ist auch keine Sicherheit möglich, und so weiter. Dieses Kapitel befasst sich mit den grundlegenden Konzepten von Zugriff und Effizienz bzw. mit der in Kapitel 1 angesprochenen Komponente "Administration" der vier "As" der Identitäts- und Zugriffsverwaltung. Bei der Identitäts- und Zugriffsverwaltung für den Praxiseinsatz geht es häufig einfach darum, Benutzern den Zugriff zu gewähren, den sie benötigen. Darüber hinaus soll sichergestellt werden, dass kritischen Initiativen wie Sicherheit, Governance und Agilität Ressourcen zugewiesen werden. Warum ist das alles so schwierig? Die überwiegende Mehrheit der Organisationen verbringt die meiste Zeit mit täglichen Aufgaben, die in Zusammenhang mit der Gewährung von Zugriff stehen. Sie scheinen endlos danach zu streben, IAM-Prozesse so effizient wie möglich zu machen. Doch wieder einmal sind Komplexität und Vielfältigkeit das Problem. Wie Sie wissen, muss bei jedem System für den Benutzerzugriff ein Authentifizierungspunkt und ein Konto eingerichtet ("bereitgestellt") werden. Hinzu kommt ein Kennwort, das verwaltet werden muss. Diese Aufgaben fallen in der Regel der IT zu, da diese über die erforderlichen Berechtigungen und Tools verfügt, um Konten einzurichten, Sicherheitsregeln für Kennwörter durchzusetzen, und, falls erforderlich, Kennwörter zurückzusetzen. Diese Komplexität wird gut durch Daten der Aberdeen Group veranschaulicht, die Tausende von Unternehmen mit durchschnittlich Mitarbeitern zum aktuellen Stand ihres IAM-Ansatzes befragt hat. Die Ergebnisse zeigen, wie sich Organisationen in den beiden unteren Dritteln der Pyramide im Netz der Komplexität verheddern: Die befragten Unternehmen unterstützten durchschnittlich 198 Anwendungen. Das sind potenziell 198 Stellen, an denen Konten eingerichtet und verwaltet werden müssen, 198 verschiedene Kennwörter und Kennwortrichtlinien sowie Dutzende von IT-Experten, nur um die Benutzer dieser Vielzahl von Anwendungen zu unterstützen. Der typische Endbenutzer muss auf 27 verschiedene Anwendungen zugreifen. Selbst wenn nur für die Hälfte davon eindeutige Kennwörter erforderlich sind wie viele Ihrer Benutzer können sich 13 verschiedene Kennwörter merken? Und wer muss ihnen helfen, wenn sie sie vergessen? Die Bereitstellung für einen neuen Benutzer dauert durchschnittlich zwölf Stunden. Das sind eineinhalb Tage, an denen die Benutzer bezahlt werden, jedoch nicht den Zugriff haben, den sie für die Ausführung ihrer Aufgaben benötigen. Und wer ist für die Einrichtung dieser Konten verantwortlich? Wie viele IT-Teams sind für die "vollständige" Bereitstellung für einen Benutzer erforderlich? Es dauert durchschnittlich 4,9 Stunden, um die Bereitstellung für einen Benutzer aufzuheben. Das ist mehr als ein halber Tag: genug Zeit für einen verärgerten ehemaligen Mitarbeiter, um Schaden anzurichten. Aus diesen Gründen wurde die Identitäts- und Zugriffsverwaltung häufig als Bereich der "Bereitstellung" und des "Single Sign-On" betrachtet. Schließlich sollten sich durch die Einrichtung eines Kontos, für das der Benutzer nur ein einziges Kennwort erhält, ITgestützte Kennwortrücksetzungen erübrigen, zumindest theoretisch. Doch sehen wir uns noch einmal unsere IAM-Pyramide an: Die Entsprechung für die "Selbstverwirklichung" oben in der Maslowschen Pyramide ist "Agilität". Letztendlich soll die Identitäts- und Zugriffsverwaltung Organisationen dabei helfen, eine bessere geschäftliche Agilität zu erreichen. Damit ist die Fähigkeit gemeint, Geschäftsziele wie die Erzielung von Gewinnen, die Bedienung bestimmter Bereiche oder die Änderung der Welt durch Innovation besser zu erreichen. Die Agilität ist von der Governance abhängig, D. H. der Fähigkeit, durchzusetzen und sich zu vergewissern, dass Aktionen entsprechend den Regeln, die Sie (oder jemand anders) festgelegt haben, durchgeführt werden. Die Grundvoraussetzung für Governance ist wiederum Sicherheit. Identitätsverwaltung erfüllt den Zweck, die für die Bereitstellung des Zugriffs erforderlichen Aufgaben effizient auszuführen und so den Aufstieg in der Hierarchie zu ermöglichen. Leider haben selbst die agilsten Organisationen stellenweise Probleme, was den Zugriff und die Effizienz angeht, sodass die Erreichung eines noch höheren Maßes an Sicherheit, Governance und Agilität verhindert wird. Die Behörde kam zu dem Ergebnis, dass jeder einzelne von der IT unterstützte Vorgang der Identitätsverwaltung mehr als 300 USD kostete. Umgerechnet auf ihre Benutzer waren die jährlichen IT-Ausgaben schockierend. Die weite Welt der Identitätsverwaltung Diese Aktivitäten der "Instandhaltung", die auch als Identitätsverwaltung bezeichnet werden, decken die ganze Bandbreite an Bedürfnissen in allen Systemen ab. Diese müssen alle auf jedem einzelnen System für jeden einzelnen Benutzer durchgeführt werden, bevor überhaupt erst die Realisierung eines Mehrwerts möglich ist. Diese Vielfältigkeit und Redundanz verhindert eine effiziente Aufgabenbewältigung. Warum nimmt beispielsweise die vollständige Bereitstellung für einen Benutzer eineinhalb Tage in Anspruch? Dies liegt daran, dass die Bereitstellung auf allen Systemen einzeln durch spezialisierte IT-Ressourcen durchgeführt wird, die ihre üblichen wenn auch möglicherweise veralteten Verfahren anwenden. Das Gleiche gilt für Kennwörter. Eine große Regierungsbehörde berechnete ihre gesamten Kosten für die Identitätsverwaltung in allen ihren Windows und Unix/Linux Umgebungen. Einschließlich Personalkosten, physischer Ressourcen, der Kosten für Ausfallzeiten und anderer Faktoren, kam die Behörde zu dem Ergebnis, dass jeder einzelne, von der IT unterstützte Vorgang der Identitätsverwaltung mehr als 300 USD kostete. Umgerechnet auf ihre Benutzer waren die jährlichen IT-Ausgaben schockierend. Zu den gängigsten Prinzipen der Identitätsverwaltung gehören u. a.: Kontoverwaltung: Komponente für die Einrichtung und Aufhebung der Bereitstellung. Die echte Bereitstellung umfasst außerdem die Autorisierung und Governance. Bitte beachten Sie, dass ohne die korrekte und sorgfältige Einrichtung und Deaktivierung von Konten keine Governance möglich ist

11 Kennwortverwaltung: Prozesse für die Festlegung und Durchsetzung von Kennwortrichtlinien. Dies umfasst beispielsweise die Häufigkeit des Kennwortablaufs und die Kennwortkomplexität sowie alle Maßnahmen zur Erleichterung von Kennwortänderungen und -zurücksetzungen ein ständiges Problem des Helpdesks. Starke Authentifizierung: Maßnahmen, die für die größtmögliche Sicherheit bei der Benutzeranmeldung sorgen. Dies kann eine stärkere Kennwortrichtlinie, Verschlüsselungstechnologien zum Schutz des Kennworts bei der Übertragung oder das Hinzufügen weiterer "Faktoren" für eine erweiterte Identitätsprüfung umfassen. Gruppenverwaltung: Einrichtung und Durchsetzung der Autorisierung mithilfe von Gruppen. Die Zugehörigkeit zu einer Gruppe bestimmt den Benutzerzugriff auf einem bestimmten System. Eine höhere Form der Gruppenverwaltung wäre die Rollenverwaltung, ein Prinzip der Governance. Einmaliges Anmelden (Single Sign-On): Erstellung eines Szenarios der einmaligen Benutzeranmeldung, um mehrfache Kennwörter zu eliminieren. Single Sign-On ist möglicherweise der am häufigsten missverstandene Aspekt der Identitätsverwaltung. Wenn Sie einen Schritt zurücktreten und sich überlegen, wodurch alle diese gängigen Prinzipen der Identitätsverwaltung beeinflusst werden, dann sehen Sie, dass sie alle abhängig sind von: Der Anzahl der Systeme, auf denen sie ausgeführt werden müssen Der Vielfältigkeit dieser Systeme Den manuellen Arbeitsschritten, die die IT in der Regel ausführen muss Der Anzahl der beteiligten IT-Teams Der geschäftlichen Wichtigkeit des fraglichen Systems Mit anderen Worten: Je höher die Komplexität und je inkompatibler die Systeme, desto schwieriger wird es, alles richtig zu machen. Darüber hinaus wird es umso problematischer, das Thema Sicherheit richtig anzugehen. Doch was wäre, wenn Sie die Anzahl der zu verwaltenden Identitäten reduzieren und viele der Aufgaben, die bisher von der IT ausgeführt werden, automatisieren könnten? Welche Kosten könnten Sie einsparen? Welche Effizienzgewinne könnten Sie erzielen? Wie viel mehr Konsistenz könnte in der komplexen und vielfältigen Umgebung implementiert werden? Was wäre, wenn Sie nur eine Identität hätten? Die zuvor erwähnte Regierungsbehörde sah sich diesen Herausforderungen der Komplexität und Vielfältigkeit gegenüber. Kontoverwaltung, Kennwortzurücksetzungen und Gruppenverwaltung waren für ihre Active Directory Umgebung, in der pro Benutzer nur eine Identität nötig war, problematisch. Doch diese grundlegenden Aufgaben waren nahezu unmöglich für ihre Unix/Linux Systeme, die für jeden Benutzer auf jedem Server eine eindeutige Identität erforderten. Die Behörde setzte auf Active Directory. So konnte sie ihre Konto- und Gruppenverwaltung voll automatisieren und die IT in hohem Maße von bisher störenden Arbeitsaufgaben befreien. Darüber hinaus wurden Kennwortzurücksetzungen von der IT auf die jeweiligen Endbenutzer übertragen, die ihre Kennwörter vergessen hatten. Schließlich entledigte sie sich des Problems der separaten Identitätsspeicher der Unix und Linux Systeme, indem sie diese über eine Active Directory Bridge mit der einzigen AD Identität verknüpfte. Dies bedeutete, dass die Kontoverwaltungsaktivitäten, die mithilfe von automatisierten Tools in AD durchgeführt wurden, automatisch den Zugriff auf die Unix und Linux Systeme beeinflussten. Nun konnten Active Directory Gruppen zur Steuerung dieses Zugriffs verwendet werden und die Zurücksetzung von Kennwörtern für die AD Identität durch die Benutzer selbst sorgte für eine nahtlose Gewährung des Zugriffs auf Unix und Linux. Die Behörde meldete Kosteneinsparungen von über 40 Mio. USD im ersten Jahr der Einführung dieses einheitlichen und automatisierten Ansatzes für die Identitätsverwaltung. Die Behörde meldete Kosteneinsparungen von über 40 Mio. USD im ersten Jahr der Einführung dieses einheitlichen und automatisierten Ansatzes für die Identitätsverwaltung. Die Vorteile des Ansatzes liegen auf der Hand. Je weniger Identitäten es zu verwalten gibt und je besser Sie diese verwalten können, desto höher kann Ihre IT in der Hierarchiepyramide aufsteigen. Doch wie können Sie dies erreichen, wenn Komplexität die Regel ist und möglicherweise bereits Tools (oder sogar ein IAM-Framework) vorhanden sind? Wir kennen viele Beispiele für ähnliche Organisationen, die mit genau den gleichen Herausforderungen konfrontiert waren. Bisher hat sich die Einhaltung einiger grundlegender Prinzipien als Schlüssel zu einer erfolgreichen Verwaltung erwiesen: Automatisieren Sie, was am Wichtigsten ist. In den meisten Organisationen ist der größte und wichtigste Identitätsspeicher, der effizient verwaltet werden sollte, Active Directory. In der Regel verfügt jeder Benutzer über ein AD Konto. AD Gruppen werden verwendet, um den Zugriff auf wichtige Windows Ressourcen, wie z. B. Exchange, zu kontrollieren. Darüber hinaus können sich die Benutzer das AD Kennwort leichter merken, da sie es jeden Tag verwenden. Doch die Verwaltung von AD kann ohne Unterstützung schwierig sein. Es gibt Tools, mit deren Hilfe Sie die Verwaltung von AD Benutzern und Gruppen sowie von AD selbst effizient und sicher gestalten können. Ermöglichen Sie Benutzern, sich selbst zu helfen. Die einfache Implementierung einer AD basierten Lösung zur Zurücksetzung des Kennworts per Self-Service kann die betriebliche Effizienz drastisch verbessern. Wenn man bedenkt, dass jede ITgestützte Kennwortzurücksetzung schätzungsweise 25 USD kostet, können Sie mit einer Self-Service-Lösung eine schnelle und beachtliche Investitionsrendite erzielen. Erweitern Sie AD. AD mag Herausforderungen bergen, doch Unix, Linux und Mac OS X Systeme bringen Unmengen davon mit sich. Unix basierte Systeme nutzen keinen gemeinsamen Identitätsspeicher wie AD. Folglich gibt es auf jedem Server für jeden Benutzer eine eindeutige Identität. Diese bedeutet, dass sich Benutzer viele Kennwörter merken müssen, die sie möglicherweise wieder vergessen, und in der Regel nur teure Unix IT-Mitarbeiter die Kennwörter zurücksetzen können. Active Directory Bridge-Technologien entlasten Unix, Linux und Mac Betriebssysteme von der Bürde der Identitäten und sorgen dafür, dass sie in AD voll einsatzfähig und nutzbar sind ganz so, wie eine Windows Ressource. Bei Verwaltungsvorgängen,

12 die über ein für AD optimiertes Tool erfolgen, werden Konten automatisch erstellt und aufgelöst, Gruppenanmeldungen vorgenommen und die Anforderungen bei der Verwaltung des Identitätslebenszyklus berücksichtigt, die für den Unix Zugriff erforderlich sind. Darüber hinaus wird in AD durch die Kennwortzurücksetzung per Self-Service automatisch wieder der Zugriff auf das Unix System hergestellt. (Mehr zur AD Bridge-Technologie erfahren Sie im nächsten Kapitel, wenn wir auf die Verwaltung privilegierter Konten eingehen.) Dieser Ansatz orientiert sich eng an der modularen und integrierten Strategie, die so wichtig für den Erfolg der Identitäts- und Zugriffsverwaltung ist. Eine für AD optimierte Verwaltungslösung kann eigenständig implementiert werden. Dies gilt auch für eine Lösung zur Kennwortzurücksetzung per Self-Service oder eine AD Bridge. In Kombination werden die Vorteile jedoch verstärkt. Bei keiner der Lösungen ist der Erfolg von einem proprietären "Framework" abhängig. Tatsächlich konnten Dutzende von Organisationen mit vorhandenen IAM-Frameworks eine Beschleunigung der Investitionsrendite verzeichnen. Sie optimieren die AD Verwaltung und erweitern diese auf viele Systeme, die nicht auf Windows basieren, sodass eine umständliche individuelle Integration und schlechte Verwaltung von AD sowie Unix, Linux und Mac entfallen. Mehrstufige Authentifizierung: Mit Defender von Dell erhalten Sie eine auf der bestehenden AD Infrastruktur aufbauende Einmalkennwortlösung, die einfach zu implementieren und zu verwalten ist die optimale Alternative zu Kennwörtern alleine. Virtuelle Verzeichnisdienste: Die IAM-Lösungen von Dell meistern Herausforderungen im Hinblick auf Inkompatibilität und Komplexität, die sich aufgrund der zahlreichen, verschiedenen Identitätsspeicher ergeben. Die Integration erfolgt mithilfe eines virtuellen Verzeichnisservers, sodass das Verzeichnis selbst entlastet wird. Hierdurch werden eine schnelle und gründliche Integration und Migration ermöglicht. Für weitere Informationen zu den IAM-Lösungen von Dell, eine kostenlose Online- Demo oder zum Herunterladen einer 30-Tage-Testversion besuchen Sie unsere Webseite unter Identitäts- und Zugriffsverwaltungslösungen von Dell Die IAM-Lösungen von Dell bieten eine umfassende Palette an modularen und integrierten Tools, die Ihre Anforderungen an eine praxisorientierte Identitätsverwaltung erfüllen. Dabei spielt es keine Rolle, auf welcher Stufe in der Hierarchie der IAM-Bedürfnisse Sie sich befinden. Dell verfügt über fundiertes Know-how im Bereich Active Directory. Darüber hinaus haben wir mit der Entwicklung unserer Active Directory Bridge eine wichtige Vorreiterrolle gespielt. Wir bei Dell investieren weiterhin stark in die Erfüllung der grundlegendsten IAM-Bedürfnisse unserer Kunden, um ihnen dabei zu helfen, in der Pyramide zu Sicherheit, Governance und letztendlich Agilität aufzusteigen. Die Dell IAM-Lösungen für die Identitätsverwaltung umfassen: Optimierte Active Directory Sicherheit und Verwaltung: ActiveRoles Server ist die branchenführende Lösung für die AD Verwaltung, die Kontoverwaltung, Gruppenverwaltung, Sicherheit und viele andere Funktionen zur Unterstützung der IT bietet, mit denen Schwachstellen von AD behoben werden. Active Directory Bridge: Authentication Services ist die zuverlässigste und am längsten bestehende AD Bridge auf dem Markt. Sie eliminiert die Notwendigkeit, Identitäten für Unix, Linux und Mac OS X Systeme auf Einzelbasis zu verwalten. Darüber hinaus können diese von der erweiterten Sicherheit und Verwaltbarkeit profitieren, die nur über AD verfügbar sind. Einmaliges Anmelden (Single Sign-On): Die Dell IAM-Lösungen bieten das branchenweit umfassendste Paket an Single Sign-On-Optionen, von einer einheitlichen Identität bis hin zu AD Erweiterungen für Unix, Linux, Mac, Java und andere standardbasierte Anwendungen. Dank Kennwort-Replay, Kennwortsynchronisierung, Single Sign-On für Webanwendungen und "echtem" Single Sign-On für die meisten gängigen Cloud-Anwendungen müssen Sie sich wirklich nur einmal anmelden

13 Kapitel 3 "Ein von Fannie Mae entlassener Computer-Techniker wurde festgenommen und angeklagt, ein schädliches Softwareskript platziert zu haben, das auf allen Servern der riesigen Hypothekenbank Daten im Wert von Millionen von Dollar dauerhaft zerstören sollte." The Register, 29. Januar 2009 Verwaltung privilegierter Konten für den Praxiseinsatz "Ein von Fannie Mae entlassener Computer-Techniker wurde festgenommen und angeklagt, ein schädliches Softwareskript platziert zu haben, das auf allen Servern der riesigen Hypothekenbank Daten im Wert von Millionen von Dollar dauerhaft zerstören sollte. Der 35-jährige Unix Techniker Rajendrasinh Babubahai Makwana aus Virginia verbarg das Unix Skript am 24. Oktober auf dem Hauptverwaltungsserver von Fannie Mae. Gemäß den am Dienstag veröffentlichten Gerichtsdokumenten war dies der Tag seiner Entlassung. Das Skript sollte für drei Monate inaktiv bleiben, um dann die Administratoren mit der Anmeldenachricht "Server Graveyard" (Serverfriedhof) zu begrüßen und systematisch alle Daten auf allen Produktions-, Verwaltungs- und Sicherungsservern des Unternehmens mit Nullen zu ersetzen. [...] Trotz seiner Entlassung am 24. Oktober wurden die hochgradig privilegierten Zugriffsrechte von Herrn Makwana aufgrund der bürokratischen Prozeduren der Beschaffungsabteilung von Fannie Mae erst am späten Abend aufgehoben. [...]" Ermittlungsbehörden: IT-Administrator plante Auslöschung von Fannie Mae Serverfriedhof in letzter Minute verhindert Von Dan Goodwin, The Register, 29. Januar 2009 Wahrscheinlich haben Sie die Geschichte schon einmal gehört. Sie wurde schon oft als Paradebeispiel für die schlechte Verwaltung privilegierter Konten angeführt. Doch man kann sich dieses Schreckensszenario nicht oft genug vor Augen halten. Bei der Identitätsund Zugriffsverwaltung liegt das Hauptaugenmerk verständlicherweise auf der Gewährung, Verwaltung, Kontrolle und Governance des Endbenutzerzugriffs auf kritische Ressourcen. Die meisten IAM-Aktivitäten befassen sich damit, einer großen Anzahl von Endbenutzern bei minimaler Unterbrechung der IT-Operationen einfachen und ungehinderten Zugriff zu gewähren. Doch der vergessene Bereich der Identitäts- und Zugriffsverwaltung und damit eine oft unerkannte Gefahr ist nach wie vor die Verwaltung privilegierter Konten. Gemäß dem 2011 veröffentlichten Data Breach Investigations Report (Untersuchungsbericht zu unbefugtem Datenzugriff) von Verizon sind 49 Prozent der Sicherheitsverstöße auf den Missbrauch von Systemzugriff und privilegierten Zugriffsrechten zurückzuführen. Tatsächlich heißt es in diesem Bericht "[...] die Wahrscheinlichkeit des Diebstahls von geistigem Eigentum durch einen Insider war mindestens dreimal so hoch wie durch einen Outsider." Was ist die Verwaltung privilegierter Konten und warum ist sie so wichtig? Die Verwaltung privilegierter Konten (Privileged Account Management, PAM) wird auch manchmal als "Privileged Identity Management" oder "Privileged Access Management" bezeichnet. PAM befasst sich mit der Kontrolle und Überprüfung des Zugriffs über die Administratorkonten der einzelnen Systeme

14 Gehen wir doch einmal einen Schritt zurück und denken darüber nach, wie Systeme, d. h. Anwendungen, Datenbanken und Betriebssysteme, eigentlich funktionieren. Wie bereits angesprochen, muss ein Konto erstellt und verwaltet werden, damit ein Benutzer auf das System zugreifen und seine Arbeit erledigen kann. Das ist der Kern der klassischen Identitätsverwaltung. Doch jedes System verfügt auch über ein oder mehrere Konten, die nicht einem einzelnen Benutzer, sondern dem System selbst zugeordnet sind. Diese "Superuser"-Konten sind mit allen Rechten ausgestattet, die zur Durchführung von Verwaltungs-, Wartungs- und anderen Aufgaben im System erforderlich sind. Für die Einrichtung eines Kontos, die Zurücksetzung eines Kennworts oder die Installation einer Software-Aktualisierung benötigen Sie privilegierte Zugriffsrechte. Privilegierte Benutzerkonten stellen ein großes Problem dar. Häufig sind sie die Hauptursache für Sicherheitsverstöße. Doch wir müssen mit ihnen leben. Beispiele für gängige privilegierte Konten sind das Unix Root-Konto, das Active Directory Administratorkonto, ein DBA-Konto oder die Superuser-Konten, die in alle Anwendungen und Systeme integriert sind. In der Regel gilt bei diesen Konten der Grundsatz "Alles oder nichts". Entweder haben Sie auf dem System völlig freie Hand oder Sie haben nur die Zugriffsrechte, die Ihnen auch Ihr reguläres Benutzerkonto verleihen würde. Da Superuser- Konten dem System und keinem einzelnen Benutzer zugeordnet sind, werden sie in der Regel von allen Administratoren, die möglicherweise Zugriff benötigen, gemeinsam genutzt. Genau hier liegt die unerkannte Gefahr. Wenn etwas schief geht, ist es nicht einfach, die genaue Ursache zu ermitteln. Beispielsweise können Sie herausfinden, dass "Root", "Admin" oder "DBA" angemeldet waren, als der Schaden verursacht wurde. Doch dieses Superuser-Konto wird von 20 verschiedenen Administratoren verwendet, daher lässt sich nicht mit Sicherheit feststellen, wer der Schuldige ist. Doch es kommt noch schlimmer: Wie dies bei Fannie Mae der Fall war, können Superuser Protokolle ändern oder auf andere Weise ihre Spuren verwischen. Insgesamt lässt sich sagen, dass privilegierte Konten mit einigen Problemen verbunden sind: 1. Sie sind alle mit weitreichenden Berechtigungen ausgestattet. Wenn jemand das Kennwort hat, kann er fast alles tun, was er möchte. 2. Sie werden gemeinsam genutzt. Jeder, der möglicherweise Administratoraktionen auf dem System durchführen muss, benötigt dafür Zugriff auf das privilegierte Konto. 3. Sie sind anonym. Bei privilegierten Konten und den Benutzern, die diese gemeinsam verwenden, besteht keine individuelle Verantwortlichkeit. 4. Sie werden oft nicht ausreichend überprüft. Häufig ist es schwierig, wenn nicht sogar unmöglich, zu überprüfen, was ein Administrator mit einem privilegierten Konto tut. 5. Wir können ohne sie nicht auskommen. IT-Mitarbeiter, einschließlich Vertragspartnern und Dienstleistern, müssen für das von ihnen verwaltete System über ausreichende Zugriffsberechtigungen verfügen, um ihre Arbeit erledigen zu können. Bei einer Umfrage unter mehr als 100 Benutzern verschiedener privilegierter Kontoverwaltungslösungen, einschließlich Open Source, systemeigener Tools und kommerziell erhältlicher Angebote, traten einige interessante und aufschlussreiche Statistiken zutage: Fast die Hälfte der befragten Organisationen verfügen über mehr als 100 privilegierte Konten. Mehr als die Hälfte davon (53 Prozent) haben mehr als zehn Administratoren, die auf die einzelnen Konten zugreifen müssen. Bei mehr als einem Viertel (27 Prozent) werden die Kennwörter von mindestens zehn Administratoren gemeinsam genutzt. Bei zwei Dritteln werden sie von mindestens drei Administratoren gemeinsam genutzt. Privilegierte Benutzerkonten stellen ein großes Problem dar. Häufig sind sie die Hauptursache für Sicherheitsverstöße. Doch wir müssen mit ihnen leben. Was sollen wir also tun? Zum Glück gibt es Lösungen. Verwalten privilegierter Konten Bei jeder Lösung für diese Sicherheitsrisiken müssen die Probleme der privilegierten Konten behoben werden, ohne dass die Arbeit der IT-Mitarbeiter beeinträchtigt wird. Dies erfordert zunächst die Umsetzung konsequenter Maßnahmen in drei Bereichen: 1. Eliminieren Sie die gemeinsame Nutzung von Kennwörtern. Wenn Sie dafür sorgen, dass die gemeinsame Nutzung von Administratorkennwörtern nicht mehr erforderlich ist, kann dies wesentlich zu einer Reduzierung der Risiken privilegierter Konten beitragen. Das ist jedoch leichter gesagt als getan. Es gibt viele Fälle, in denen das Superuser-Konto erforderlich ist. Anstatt zu versuchen, Kennwortausgaben, -genehmigungen, -zuweisungen und -berechtigungen auf mühsame Weise manuell zu kontrollieren, können Sie das Problem einfach DURch die Implementierung eines automatisierten "Privilege Safe" beheben. Ein Privilege Safe ist eine Software, in der man eine Sammlung von Kennwörtern wie in einem physischen Safe sicher aufbewahren kann. Nur der Chef kennt die Zahlenkombination und gibt sie nur Preis, wenn jemanden einen triftigen Grund dafür hat. Privilege Safe-Technologien nehmen Superuser-Kennwörter aus den Händen der verschiedenen Administratoren, die diese zuvor gemeinsam genutzt haben. Wenn ein Administrator gemäß einer genau definierten Richtlinie die vollständigen Anmeldeinformationen für das Superuser-Konto benötigt, muss er diese über den Privilege Safe anfordern. Der Privilege Safe prüft automatisch die Richtlinie und gibt dann für einen festgelegten Zeitraum das Kennwort aus, falls alle Voraussetzungen erfüllt sind. Bei der "Rückgabe" des Kennworts wird es automatisch geändert. Der gesamte Prozess wird protokolliert. Sagen wir zum Beispiel einmal, dass Sie der IT-Mitarbeiter sind, der diese Wochenendschicht übernommen hat. Wenn während Ihres Bereitschaftsdiensts einer der 50 Server ausfällt, für die Sie normalerweise zuständig sind, wird Ihnen gemäß der Richtlinie automatisch für 30 Minuten das Kennwort erteilt. Ihr Vorgesetzter wird dann per über das Ereignis informiert. Wenn Sie jedoch das Kennwort außerhalb Ihrer Dienstzeiten oder für ein System anfordern, das Sie normalerweise nicht verwalten, gibt der Privilege Safe die Anmeldeinformationen nur nach einer physischen Bestätigung von Ihrem Vorgesetzten

15 aus, und zwar nur für zehn Minuten. In jedem Fall ändert das System automatisch das Kennwort, sobald Sie es wieder einchecken, sodass Sie es nicht noch einmal außerhalb des Geltungsbereichs der Richtlinie und ohne die erforderlichen Genehmigungen verwenden können. Die Privilege Safe-Technologie ist außerdem extrem nützlich für Kennwörter, die in Anwendungen hardcodiert sind, da sie mit anderen Anwendungen oder Datenbanken kommunizieren. Diese Aktivität zwischen Anwendungen (Application-to-Application, A2A) sowie zwischen Anwendungen und Datenbanken (Application-to-Database, A2DB) ist eine häufig übersehene Sicherheitslücke bei privilegierten Konten, die mit der richtigen PAM- Technologie einfach geschlossen werden kann. 2. Setzen Sie ein Zugriffsmodell nach dem Prinzip der minimalen Rechtegewährung durch. Vielleicht fragen Sie sich gerade: "Ist denn die Aufgabe eines Administrators nicht die Verwaltung? Und wie soll das ohne das Administratorkennwort möglich sein?" Der Großteil der IT-Aktivitäten beansprucht nur einen Bruchteil der Funktionen des Superuser-Kontos. Die Einrichtung eines neuen Benutzers, die Zurücksetzung eines Kennworts oder die Sicherung eines Systems sind wiederkehrende Aufgaben, die so häufig durchgeführt werden müssen, dass ein Privilege Safe dafür keinen Sinn macht. Für diese alltäglichen, risikoarmen Aktivitäten ist die Delegation bestimmter Bereiche des privilegierten Kontos am sinnvollsten. Ein Zugriffsmodell nach dem Prinzip der minimalen Rechtegewährung bedeutet, dass Sie einem Benutzer, der Administratoraufgaben ausführt, nur die Berechtigungen geben, die er zur Ausführung seiner Arbeit unbedingt benötigt. Alles, was über die minimalen Rechte hinausgeht, fällt in den Bereich des Privilege Safe. Nur sehr wenige Systeme umfassen eine eigene Delegationsfunktion, sodass in der Regel Lösungen anderer Anbieter erforderlich sind. Die vielleicht am besten bekannte Lösung ist das Unix Dienstprogramm sudo. "sudo" steht für "superuser do" und wird kostenlos mit nahezu allen Unix und Linux Betriebssystemen ausgeliefert. Wenn ein Administrator eine Aufgabe ausführen muss, die erweiterte Rechte erfordert, setzt er "su" vor seinen Befehl. Das Dienstprogramm sudo überprüft dann eine Richtliniendatei. Wenn der angeforderte Befehl zulässig ist, wird er genehmigt. Wenn er nicht zulässig ist, darf der Administrator den Befehl nicht ausführen. 3. Überprüfen Sie, wie die erweiterten Rechte verwendet werden. Es genügt nicht, einfach zu kontrollieren, welche Rechte Administratoren über den Privilege Safe und per Delegation erhalten. Sie sollten auch wissen, was sie eigentlich mit diesen Rechten tun. Die Fähigkeit, privilegierte Sitzungen zu überprüfen, ist genauso wichtig, wie die Fähigkeit, den Zugriff zu kontrollieren, insbesondere, wenn es um die Compliance geht. Die besten Delegations- und Privilege Safe-Lösungen bieten außerdem die Möglichkeit, Aktivitäten nachzuverfolgen, die mithilfe ihrer kontrollierten Berechtigungen ausgeführt werden. Für die Überwachung der Aktivitäten von Administratoren gibt es zwei Möglichkeiten. Erstens gibt es Sitzungs-Audits, die in Kombination mit einem Privilege Safe genau dokumentieren, welche Aktivitäten mit dem ausgegebenen Kennwort durchgeführt werden. Sitzungs-Audits enthalten auch ein Befehlszentrale, mit der Aktionen eingeschränkt und Zeitlimits durchgesetzt werden können. Sie können sogar die Beendung einer Sitzung erzwingen, falls dies erwünscht ist. Die zweite Art der Überwachung ist Keystroke-Logging. Sie ist in der Regel mit plattformspezifischen Delegationstools erhältlich. Beim Keystroke-Logging werden alle getippten Eingaben aufgezeichnet, damit sie später durchsucht werden können. Der beste Ansatz für die Verwaltung privilegierter Konten würde alle drei dieser Maßnahmen abdecken. Ein internationales, im Bereich Kreditkartenverarbeitung tätiges Unternehmen sah sich mit allen klassischen Herausforderungen der Verwaltung privilegierter Konten konfrontiert. Aufgrund der hohen Anzahl an gemeinsamen Administratorkennwörtern konnte die Organisation nicht feststellen, welcher Benutzer für welche Aktivitäten verantwortlich war. Niemand wusste, was vor sich ging, sobald sich Benutzer als Administrator angemeldet hatten. Aufgrund einer umfangreichen Unix Implementierung waren die Probleme des Root-Kontos besonders besorgniserregend. Das Unternehmen verwendete sudo, fühlte sich jedoch noch nicht Beruhigend war für das Unternehmen auch, dass Administratoren nur den Zugriff erhielten, den sie für genehmigte Aufgaben benötigten. den Audit-Anforderungen gewachsen und befürchtete, dass seine Versuche, ein Zugriffsmodell nach dem Prinzip der minimalen Rechtegewährung durchzusetzen, speziell auf Unix uneinheitlich waren und zu Fehlern führen könnten. Das Unternehmen implementierte einen Privilege Safe mit Sitzungs-Audit-Funktionen, um gemeinsame Kennwörter zu eliminieren, Verantwortlichkeiten für Aktivitäten zuzuweisen und einen Audit-Pfad für die Nutzung des Superuser-Kontos bereitzustellen. In seiner Unix Umgebung zentralisierte das Unternehmen zunächst die Identitäten und Richtlinien für Unix in Active Directory. Dann verbesserte es seine sudo Installationen durch eine zentrale Richtlinien- und Berichterstellungsfunktion, die einen deutlich höheren Grad an Transparenz und Kontrolle für das Root-Konto unter Unix lieferte. Das Unternehmen verfügte jedoch über einige Unix Server mit hochsensiblen Daten, für die sudo keine adäquate Lösung war. Bei diesen Servern ersetzte das Unternehmen sudo durch eine extrem umfassende und sichere Lösung für den delegierten Zugriff auf das Root-Verzeichnis und Keystroke-Logging. Das Ergebnis war eine sofortige Verbesserung der Sicherheit. Beruhigend war für das Unternehmen auch, dass Administratoren nur den Zugriff erhielten, den sie für genehmigte Aufgaben benötigten. Eine der Barrieren für die effektive Verwaltung privilegierter Konten ist die schlechte Kombinierbarkeit verfügbarer Lösungen. Viele Organisationen verwenden bereits sudo. Möglicherweise erwerben sie auch eine Active Directory Bridge, eine Lösung für den delegierten Zugriff auf das Root-Verzeichnis von einem Anbieter und einen Privilege Safe von einem anderen. Es kann auch sein, dass sie die Verwendung einiger dieser Lösungen in Erwägung gezogen haben, aber nicht genau wissen, wie kompatibel sie sind. Kommt Ihnen das bekannt vor? Verfolgen Sie bei der Verwaltung privilegierter Konten den gleichen Ansatz wie bei der Identitätsverwaltung. Setzen Sie nur modulare und integrierte Technologien ein. Auf diese Weise erhalten Sie eine Lösung mit einer deutlich höheren Zukunftssicherheit

16 Der nächste große Schritt für privilegierte Konten ist Governance. Kleiner Exkurs zum Thema Governance In Kapitel 2 haben Sie bereits die Entsprechung der Maslowschen Bedürfnishierarchie im Bereich der IT kennengelernt. Wie Sie wissen, müssen Sie zuerst Zugriff und Effizienz gewährleisten, bevor Sie Sicherheit und Governance angehen können. In den vergangenen Jahren ist die Verwaltung von Benutzerzugriff und Identitäten in vielen Organisationen so weit fortgeschritten, dass sie sich jetzt ihren Sicherheits- und Governance-Zielen zuwenden können. Privilegierte Konten hinken in der Entwicklung generell ein paar Jahre hinter den Endbenutzerkonten hinterher. Bei aktuellen Diskussionen zu privilegierten Konten geht es meistens um die effizienteste Möglichkeit, Zugriff zu gewähren und zu verwalten. Dieses Bestreben führt früher oder später zu einer besseren Sicherheit. Doch was kommt, sobald Sie optimale Sicherheit erreicht haben? Und wie sollen Sie einen Mehrwert erzielen und geschäftsfördernde Chancen nutzen können, wenn Sie alles daran setzen, Ihre privilegierten Konten möglichst effizient zu verwalten? Der nächste große Schritt für privilegierte Konten ist Governance. Stellen Sie sich einmal vor, welche Vorteile es bringen würde, wenn die Geschäftsseite und nicht die IT alle Entscheidungen mit Auswirkungen auf die privilegierten Konten träfe. Stellen Sie sich einmal vor, der Zugriff von Endbenutzern und privilegierten Benutzern würde mithilfe einer einzigen universellen Richtlinie, eines universellen Rollensatzes und einer gemeinsamen Schnittstelle kontrolliert werden. (Schließlich sind privilegierte Benutzer nichts anderes als Endbenutzer mit einigen zusätzlichen Berechtigungen.) Und zu guter Letzt: Stellen Sie sich einmal vor, bei der Einstellung eines neuen Administrators könnte mithilfe der gleichen automatisierten Prozesse, die bei der Einrichtung seiner Anwendungskonten und seines Zugriffs verwendet werden, die richtigen privilegierten Konten eingerichtet werden. Dies würde alle erforderlichen minimalen Rechte, durch den Privilege Safe erteilte Rechte sowie Genehmigungen und Workflows umfassen. Für Unix optimierte Verwaltung privilegierter Konten: Dell bietet ein komplettes Lösungspaket zur Verwaltung privilegierter Konten mit einer einzigen Schnittstelle, das sich perfekt für Unix und Linux Umgebungen eignet. Zum Funktionsumfang zählt eine Active Directory Bridge, ein zentraler Richtlinienserver und Berichterstellung für sudo. Je nach Anforderung ist auch eine äußerst detaillierte Ersatzlösung für sudo erhältlich. Active Directory: Die Lösungen von Dell optimieren die Verwaltung privilegierter Konten mithilfe extrem leistungsfähiger Verwaltungs- und Sicherheitstools für AD. Darüber hinaus erhalten Sie ein Zugriffsmodell nach dem Prinzip der minimalen Rechtegewährung für das Active Directory Administratorkonto. Mehrstufige Authentifizierung: Viele Organisationen möchten eine stärkeren Authentifizierung für privilegierte Konten, doch nur Dell kann ihnen eine voll integrierte Einmalkennwortlösung bieten. Governance für privilegierte Konten: Dell bietet eine geschäftsorientierte, modulare und integrierte Lösung für die Zugriffssteuerung. Diese kann in Lösungen zur Verwaltung privilegierter Konten integriert werden, um die entsprechende Governance sicherzustellen. Für weitere Informationen zu den Dell IAM-Lösungen für die Verwaltung privilegierter Konten, eine kostenlose Online-Demo oder zum Herunterladen einer Testversion besuchen Sie unsere Webseite unter Wäre das nicht einfach toll? Identitäts- und Zugriffsverwaltungslösungen von Dell Die IAM-Lösungen von Dell umfassen ein komplettes Lösungspaket für die Verwaltung privilegierter Konten einschließlich einiger einzigartiger und wichtiger Angebote, die Sie nirgendwo anders finden. Hierzu zählen: Privilege Safe-Technologie: Der Privilege Safe von Dell bietet innerhalb einer ultrasicheren Appliance alle Funktionen, die erforderlich sind, um gemeinsame Superuser-Kennwörter im gesamten Unternehmen zu eliminieren. Dies gilt auch für A2A- und A2DB-Szenarien. Sitzungs-Audit: Mit dieser Dell Funktion, die einfach zum Privilege Safe hinzugefügt werden kann, können Sie nicht nur überprüfen, wozu Administratoren die vom Privilege Safe ausgegebenen Anmeldeinformationen nutzen, sondern auch die ausführbaren Befehle beschränken

17 Kapitel 4 "Ihr geht geradeaus... den Gang entlang, dann rechts... ungefähr 30 Schritte, dann biegt ihr links ab... gerade aus... dann nach rechts um die nächsten beiden Ecken... auf der ersten Tür steht "Autorisierte Mitarbeiter". Ihr seid doch Musiker, oder? Rock and Roll... Hallo Cleveland! Hallo Cleveland! Backstage-Wartungstechniker, Derek Smalls und Nigel Tuffnel "This is Spinal Tap" 1984 Zugriffssteuerung: Identitäten und Konten, Anwendungen und Daten im Mittelpunkt Wie oft ähneln unsere Governance-Bemühungen den ergebnislosen Versuchen der jungen Bandmitglieder in der Komödie von 1984 "This is Spinal Tap", die Bühne zu finden? Wie oft scheinen diejenigen, an die wir uns mit Fragen zur Governance wenden, eine andere Sprache zu sprechen? Und wie häufig irren wir trotz unserer besten Absichten und Anstrengungen durch das Labyrinth unserer Organisation, in der Hoffnung, auf die Bühnentür zu stoßen, die uns zu unserem Traum-Konzert führt? In einer perfekten Welt könnte Ihre Organisation Compliance-Anforderungen problemlos erfüllen. Wenn ein Prüfer nach Informationen fragt oder eine neue Berechtigungszertifizierung fällig ist, könnten Sie mit nur ein paar Mausklicks einen präzisen und völlig einfach zu verstehenden Bericht produzieren. Doch leider arbeiten wir nicht in einer perfekten Welt. Wir arbeiten in der Praxis. In der Praxis ist die Zugriffssteuerung eine der größten Herausforderungen. Tatsächlich ist Governance erst möglich, wenn ein gewisses Maß an Verwaltungseffizienz erreicht wurde. Wenn schon allein die Bereitstellung von Zugriff ein Problem darstellt, ist es nahezu unmöglich, angemessenen Zugriff zu gewährleisten. Wenn Sie Ihre gesamte Zeit mit Abhilfemaßnahmen für vergessene Benutzerkennwörter verbringen, wie sollen Sie dann sicherstellen, dass die richtigen Kontrollen stattfinden, damit der Benutzer von Anfang an den richtigen Zugriff hat? Und das sind nur zwei Aspekte der Compliance. Die wahre Herausforderung besteht darin, die Einhaltung der Richtlinien nachzuweisen. Wieder einmal ist die Komplexität das Problem. Die alte Leier von der Komplexität, zahlreichen s, ein paar Telefongesprächen und schließlich Governance (mehr oder weniger) Sehen wir uns doch einmal einen fiktionalen Tag im Leben eines Abteilungsleiters an. Auch wenn wir die Umgebung zur Veranschaulichung vereinfacht und die Situation für dramatische Effekte ein wenig übertrieben haben, sind wir uns sicher, dass Ihnen dieses Szenario bekannt vorkommt. Herr Fischer ist der Leiter der Rechnungsabteilung des Geschäftsbereichs einer ziemlich großen Organisation. Er hat gerade das letzte Vorstellungsgespräch beendet und Herrn Jäger die Stelle angeboten. Am Montag ist sein erster Arbeitstag. Herr Jäger ist der Nachfolger von Frau Schulz, die in Ruhestand getreten ist. Herr Fischer möchte keine Zeit verlieren und seinen neuen Mitarbeiter gleich vom ersten Tag an effektiv einsetzen. Er lässt sofort alles von der IT einrichten Herr Jäger wird von Montag früh an produktiv sein müssen. Er ruft den Helpdesk an und spricht mit Frau Peters. Er sagt ihr, dass Herr Jäger ab Montagmorgen den gleichen Zugriff benötigt wie Frau Schulz. Doch der Helpdesk ist nicht bereit, improvisierten Support über das Telefon zu geben, und Frau Peters bittet Herrn Fischer, das offizielle Formular im Intranet auszufüllen. Herr Fischer meldet sich an und füllt das Formular aus. Er erhält sofort die Nachricht, dass

18 seine Anfrage im System aufgezeichnet und Herrn Gläser zugewiesen wurde. Herr Fischer beendet zufrieden seine Woche und überlegt sich, mit welchen Aufgaben er Herrn Jäger betrauen soll. Er geht nach Hause ins Wochenende und will am Montagmorgen früher im Büro sein, damit er Herrn Jäger begrüßen kann, wenn er zur Tür herein kommt. Als Herr Jäger am Montagmorgen um 8.00 Uhr ins Büro kommt, begrüßt Herr Fischer ihn enthusiastisch, führt ihn zu seinem Schreibtisch und zeigt auf den Computer. "Legen Sie los und melden Sie sich an alles ist einsatzbereit", sagt er mit Überzeugung. Herr Jäger setzt sich hin, drückt den Betriebsschalter und wartet. Als der Anmeldebildschirm angezeigt wird, schlagen alle seine Versuche, auf das System zuzugreifen, fehl. Kleinlaut informiert er Herrn Fischer darüber, der sich entschuldigt und in sein Büro geht, um die Angelegenheit zu klären. Er ruft Herrn Gläser an, erreicht jedoch nur seinen Anrufbeantworter. Daraufhin schickt er ihm eine mit der Ticketnummer und allen anderen Details, die er letzte Woche angefordert hatte. In der Zwischenzeit sitzt Herr Jäger untätig an seinem Schreibtisch. Als Herr Gläser schließlich ein paar Stunden später die beantwortet, informiert er Herrn Fischer, dass der Helpdesk erst anfangen kann, wenn die Personalabteilung Herrn Jäger offiziell als Mitarbeiter eingerichtet hat. Herr Fischer ruft Herrn Jung in der Personalabteilung an, um herauszufinden, warum es nicht voran geht, doch auch er geht nicht ans Telefon. Herr Fischer sendet schnell noch eine , die Herr Jung sofort beantwortet. Es stellt sich heraus, dass er einfach noch nicht alle Formalitäten erledigt hat. Er sagt jedoch, dass er sich jetzt sofort darum kümmert. "Herr Jäger kann in zehn Minuten ins System", versichert ihm Herr Jung. Nach weiteren 30 Minuten sendet Herr Fischer zur Sicherheit noch eine weitere an Herrn Gläser und fragt, ob sich Herr Jäger jetzt anmelden kann. "Alles ist erledigt", berichtet Herr Gläser. "Sein Kennwort lautet und er wird dazu aufgefordert, es sofort zu ändern." Herr Fischer entschuldigt sich nochmals bei Herrn Jäger und beobachtet zögerlich, wie er sich endlich anmeldet. Erleichtert vereinbaren Herr Fischer und Herr Jäger, sich nach dem Mittagessen zu treffen und sich die Anwendung vorzunehmen, die Herr Jäger bei seinem neuen Job am häufigsten verwenden wird: Oracle Financials. "96 Prozent der Sicherheitsverstöße hätten durch einfache Prüfungen oder Zwischenkontrollen vermieden werden können. Quelle: Data Breach Investigations Report 2011 (Untersuchungsbericht zu unbefugtem Datenzugriff), Verizon RISK Team mit Unterstützung des US-Geheimdiensts (United States Secret Service) und der niederländischen High Tech Crime Unit. Nach dem Mittagessen klickt Herr Jäger auf das Symbol für Oracle Financials und versucht, sich anzumelden, doch er erhält die gefürchtete Meldung "Ungültiger Benutzername oder ungültiges Kennwort". Mit zunehmender Frustration ruft Herr Fischer nochmals Herrn Gläser an, erreicht jedoch nur den Anrufbeantworter. Er sendet also wieder einmal schnell eine an Herrn Gläser. Diesmal ist er versucht, Großbuchstaben zu verwenden. Doch Herr Gläser ist in der Mittagspause und hat ohnehin schon das ursprüngliche Helpdesk-Ticket geschlossen. Am späten Nachmittag erhält Herr Fischer endlich eine Antwort auf seine . Herr Gläser erklärt, dass der Helpdesk nur für den "allgemeinen" Zugriff von Mitarbeitern auf das Unternehmensnetzwerk und s zuständig ist. Für den Zugriff auf spezielle Anwendungen wie z. B. Oracle Financials muss sich Herr Fischer an das Team wenden, das diese verwaltet. Nachdem er ein paar Nachforschungen angestellt hat, findet Herr Fischer heraus, dass Herr Plötz für ihn der beste Ansprechpartner im Oracle Team ist und bittet ihn in einer "48 Prozent der Befragten bewerteten das Risiko eines Compliance-Verstoßes in den nächsten 18 Monaten als "hoch" oder "sehr hoch"." Quelle: State of Compliance 2011, PWC inständig, ihm zu helfen. Da es jetzt schon spät ist, schickt Herr Fischer Herrn Jäger nach Hause und versichert ihm, dass bis zum nächsten Morgen alles geregelt sein wird. Herr Plötz antwortet sofort und fragt, für welche Bereiche des Systems Herr Jäger welche Zugriffsberechtigungen benötigt. Herr Fischer antwortet: "Genau die gleichen wie Frau Schulz", und geht mit der Zuversicht nach Hause, dass der Albtraum endlich vorbei ist. Am nächsten Morgen meldet sich Herr Jäger erfolgreich an, prüft seine s und beschließt, die Arbeit in Oracle in Angriff zu nehmen. Er kann sich aber immer noch nicht anmelden. Er erwischt Herrn Fischer, als er um 9.30 Uhr aus einer Besprechung kommt und berichtet ihm von seinem Problem. Herr Fischer ruft Herrn Plötz an. Er ist nahe daran, seine Fassung zu verlieren. Herr Plötz antwortet: "Ich habe Sie gestern Abend angerufen und Ihnen eine Nachricht auf dem Anrufbeantworter hinterlassen, um Ihnen zu sagen, dass einige der angeforderten Rechte gemäß der Unternehmensrichtlinie nur mit der Genehmigung eines Direktors gewährt werden dürfen." Zu Herrn Fischers und Herrn Jägers Unglück ist Frau Engel, die Finanzdirektorin, auf Geschäftsreise und erst später am Tag wieder online. Da ihm keine andere Wahl bleibt, sendet Herr Fischer Frau Engel eine mit hoher Priorität, bei der er Herrn Plötz und Herrn Jäger in Kopie setzt, und bittet sie um die entsprechenden Genehmigungen. In der Zwischenzeit hatte Herr Jäger nichts Besseres zu tun, als auf Facebook zu gehen, Zeitung zu lesen und die beste Kaffeemaschine im Gebäude aufzusuchen. Noch ein verschwendeter Tag. Als Herr Fischer um Uhr nach Hause geht, kommt Frau Engels an, die "alles, was Herr Fischer für Herrn Jäger benötigt" genehmigt. "Ich regele das, bevor ich heute Abend nach Hause gehe", versichert Herr Plötz und bleibt noch bis lange nach Uhr im Büro, um Herrn Jägers Berechtigungen einzurichten. Herauszufinden, welche Rechte Frau Schulz hatte, war deutlich schwerer als gedacht, aber Herr Plötz bekommt es hin. Schließlich kann sich Herr Jäger am Mittwochmorgen endlich bei Oracle anmelden und mit der Arbeit beginnen

19 Doch das ist noch nicht alles. Leider stellt Herr Jäger schnell fest, dass er nicht nur auf Oracle und das Windows Netzwerk zugreifen muss. Er und Herr Fischer durchlaufen noch einmal einen ähnlichen Prozess mit Frau Strobel, die einige benutzerdefinierte Anwendungen verwaltet, die speziell für den Umgang mit internationalen Partnern entwickelt wurden. Er durchläuft auch noch einmal den gleichen Prozess mit Herrn Becker, einem seiner Kollegen in der Abteilung, der eine SharePoint Website für die Zusammenarbeit und Dateifreigabe eingerichtet hat. Glücklicherweise hat Herr Becker die Website so eingerichtet, dass er Herrn Jäger direkt den Zugriff gewähren kann und keine IT-Mitarbeiter hinzugezogen werden müssen. In den nächsten Wochen treten noch einige weitere Anwendungen zutage, auf die Herr Jäger hin und wieder zugreifen muss. In jedem einzelnen Fall müssen sich Herr Fischer und Herr Jäger an eine andere IT-Stelle wenden. Manchmal ist eine zusätzliche Genehmigung erforderlich und manchmal nicht. Die Verzögerungen reichen von "Ich erledige das gleich nach dem Mittagessen" bis zu "Da müssen Sie bis zum Quartalsende warten." " 57 Prozent der befragten Organisationen nennen die Komplexität der IT-Umgebung als Hinderungsgrund für die Erreichung ihrer IAM-Ziele. Die durchschnittliche IAM-Initiative dauert bereits sechs Jahre." Quelle: Aberdeen Group Schließlich und endlich verfügt Herr Jäger über alle erforderlichen Zugriffsberechtigungen und Herr Fischer ist sich ziemlich sicher, dass er genau den Zugriff hat, den er benötigt. Außerdem ist er optimistisch, dass er einem Audit gewachsen ist. Das heißt, bis es so weit ist. Bei einem typischen Audit kommen mehrere wichtige Aspekte der "Governance" zum Tragen. Sie können in verschiedener Form auftreten, doch im Endeffekt sind dies: 1. Bereitstellung: Die möglichst effiziente Gestaltung des Prozesses der sorgfältigen und korrekten Gewährung von Zugriff in der gesamten Umgebung. Dies schließt auch die noch wichtigere, für die Sicherheit relevante "Aufhebung der Bereitstellung" ein. 2. Rezertifizierung: Die regelmäßige Überprüfung aller Zugriffsberechtigungen und die Bestätigung ihrer Angemessenheit. 3. Workflow: Darlegung aller Schritte in Bezug auf den erforderlichen Zugriff von der Anforderung bis hin zur Erteilung, wobei sicherzustellen ist, dass alle Compliance- Prozesse eingehalten werden. 4. Richtlinie: Die Dokumentierung und Durchsetzung der zugrunde liegenden Regeln, die den Benutzerzugriff auf Anwendungen und Daten regeln, sowie der Nachweis, dass diese Regeln mit geltenden Vorschriften übereinstimmen. 5. Genehmigungen: Sicherstellen, dass der Zugriff vor der Erteilung von den richtigen Personen genehmigt wird. Es besteht ein großer Unterschied zwischen der Administration (siehe Kapitel 2), bei der es ausschließlich um die Erledigung von Aufgaben geht, und der Governance, die sich damit befasst, dass diese Aufgaben auf die richtige Weise erledigt werden. Die Ursache des Problems Unser fiktionales Szenario mit Herrn Fischer und Herrn Jäger veranschaulicht die Probleme, die in heutigen hoch komplexen Umgebungen mit ihren hohen Sicherheitsanforderungen nur allzu häufig auftreten. Es gibt einfach zu viele Zutaten für zu viele Köche, die den Brei verderben können. Anders ausgedrückt bedeutet dies: Es gibt zu viele: Verschiedene Systeme, auf die Benutzer zugreifen müssen, um ihre Arbeit zu erledigen Verschiedene Möglichkeiten der Gewährung des Zugriffs Verschiedene IT-Teams mit einer zu starken Spezialisierung Blinde Bestätigungen Sicherheitsrichtlinien, die durch die IT und nicht von der Geschäftsseite entwickelt werden Es gibt zu wenig: Möglichkeiten für die Geschäftsseite, sich einen Überblick über den Benutzerzugriff und dessen Erlangung zu verschaffen Kenntnisse der Geschäftsseite zu den Verfahren Kenntnisse der IT, warum bestimmte Verfahren eingehalten werden müssen Verständnis der IT zu den möglichen Auswirkungen, wenn bestimmte Verfahren nicht eingehalten werden Die Saga geht weiter: Zurück zu Herrn Fischer und Herrn Jäger Eines Tages erhält Herr Fischer eine von Frau Strobel, der Compliance- Beauftragten des Unternehmens. Sie setzt ihn und alle anderen Abteilungsleiter davon in Kenntnis, dass ein Audit bevorsteht und sie alle die Zugriffsrechte ihrer Mitarbeiter neu zertifizieren müssen. Das Audit soll in einer Woche beginnen und Frau Strobel möchte alle Informationen parat haben, wenn der Prüfer kommt. Um die Arbeit zu erleichtern, hat sie eine Tabelle angelegt, in der alle erforderlichen Informationen aufgeführt sind. Herr Fischer muss nur noch für jeden seiner Mitarbeiter die entsprechenden Daten eintragen. Als sich Herr Fischer die Tabelle ansieht, stellt er fest, dass sie Spalten für den Namen des Mitarbeiters und den Tätigkeitsbereich, gefolgt von Spalten für das System oder die Anwendung, die Art des Zugriffs, die Art der Daten und die spezifischen Aufgaben, die der Mitarbeiter durchführen darf, enthält. "Das ist viel aufwendiger als es auf den ersten Blick aussieht", denkt Herr Fischer. Zum Glück können ihm seine Kollegen aus der IT-Abteilung helfen. Herr Fischer schreibt schnell eine an seine Kollegen aus der IT-Abteilung, Herrn Plötz und Herrn Gläser, und alle anderen, die ihm zu Beginn des Jahres bei der

20 Einrichtung von Herrn Jägers Konto geholfen haben. Herr Fischers ist eine von ungefähr 20 s mit ähnlichem Inhalt, die die einzelnen IT-Mitarbeiter an diesem Tag erhalten haben. Nach einer Krisensitzung beschließt die IT, dass es am besten ist, einfach jedem Abteilungsleiter eine umfassende Liste aller Benutzer und ihrer jeweiligen Rolle zur Verfügung zu stellen. Schließlich können die Abteilungsleiter die erforderlichen Informationen einfach aus der Liste extrahieren. Anhand der Rolle können sie dann für jeden einzelnen Mitarbeiter die Benutzerrechte ermitteln. Sechs Tage später hat Herr Fischer ein Dutzend Tabellen geöffnet und kopiert daraus hektisch Daten in seine Haupttabelle. Er beginnt mit Oracle, da ihm diese Anwendung am meisten Sorgen bereitet. Er sucht nach seinen Mitarbeitern und findet die meisten von ihnen. Doch als er zu Herrn Jäger gelangt, findet er einen Benutzer mit dem Namen "TJ", einen anderen mit dem Namen "TJa" und noch einen mit dem Namen "thomasj". Da alle von ihnen Herr Jäger sein könnten, beschließt er, sich die Rollen anzusehen. Die Rolle von TJ ist "Vertriebsmitarbeiter" (nicht Herr Jägers Abteilung). Die Rolle von TJa ist "KB" (Kreditorenbuchhaltung, nimmt er an). Und bei thomasj handelt es sich um "Frau Schulz". Da Herr Jäger die gleichen Aufgaben ausführt, für die früher Frau Schulz zuständig war, wählt er diesen Benutzernamen. Als er zu den Zugriffsberechtigungen der einzelnen Mitarbeiter gelangt, versucht er für ein paar Stunden, die Tabelle von Herrn Plötz zu verstehen. Am Ende bestätigt er einfach alles, da er Herrn Plötz vertraut und keine Hinweise dafür gesehen hat, dass in seiner Abteilung Compliance-Verstöße vorliegen. Zur Verwunderung aller ist der Prüfer drei Wochen später immer noch da. Der gleiche Vorgang wiederholt sich für die anderen Dutzend Tabellen. Leider werden manche Mitarbeiter als Zahlen dargestellt und auf jeder Tabelle anders bezeichnet. Außerdem hat er Probleme, das System der einzelnen Tabellen nachzuvollziehen und muss oft zur ursprünglichen zurückkehren und Nachforschungen anstellen. Herr Fischer macht auch an diesem Freitagabend lange Überstunden, doch als er seine Version der Tabelle an Frau Strobel abschickt, ist er zuversichtlich, dass er das nächste Mal gut vorbereitet ist. Schließlich muss er dann nur die Tabelle für neue Mitarbeiter aktualisieren. Dies ist ein klassischer Fall von "blinder Bestätigung", bei der angenommen wird, das etwas richtig ist, da Sie der Person, die Ihnen die Informationen gegeben hat, vertrauen, oder da diese auf etwas basieren, dass Sie für richtig halten. Zur Verwunderung aller ist der Prüfer drei Wochen später immer noch da. Frau Strobel sieht jeden Tag abgearbeiteter aus und die Anfragen nach Compliance-Informationen haben wieder zugenommen. Frau Strobel vereinbart einen Besprechungstermin mit Herrn Fischer und bittet ihn, sich auf ein Gespräch über die SharePoint Website der Rechnungsabteilung einzustellen, die nicht in dem ursprünglichen System- und Anwendungsbestand erfasst worden war. "Ich muss dafür sorgen, dass Herr Becker an der Besprechung teilnimmt", denkt Herr Fischer. Herr Becker kann auch ein paar kleinere Unstimmigkeiten erklären, die der Prüfer entdeckt hat. Bei der Besprechung fragt der Prüfer nach dem Zweck der SharePoint Website. Antwort: "Damit wir von überall einfacheren Zugang zu den Informationen haben, die wir am häufigsten verwenden." Sind Sie sich dessen bewusst, dass 20 Ihrer ehemaligen Mitarbeiter immer noch in manchen Systemen über Konten verfügen? Der Prüfer fragt, welche Arten von Informationen darauf gespeichert sind. Antwort: "Verbindlichkeiten, Forderungen, vierteljährliche Berichte und so weiter." Wer kann darauf zugreifen? Antwort: "Jeder, der für Herrn Fischer arbeitet." Gibt es Kontrollen dafür, wer worauf zugreifen kann? Antwort: "Nein, wir vertrauen unseren Mitarbeitern und verlassen uns darauf, dass sie das Richtige tun werden." Schließlich ordnet der Prüfer an: "Sie müssen die SharePoint Website sofort vom Netz nehmen, bis Sie die Sicherheit und Trennung der Daten sicherstellen können und einen besseren Überblick darüber haben, wer aus welchen Gründen worauf zugreift, und den Zugriff der einzelnen Benutzer kontrollieren können." Frau Strobel entlässt Herrn Becker und geht mit Herrn Fischer die Regelverstöße durch. "Sind Sie sich dessen bewusst, dass 20 Ihrer ehemaligen Mitarbeiter immer noch in manchen Systemen über Konten verfügen?", fragt sie. Herr Fischer wusste das nicht. "Wussten Sie, dass für Ihre 17 Mitarbeiter 150 Rollen definiert sind?" "Ja", antwortet Herr Fischer. "Das ist mir auch aufgefallen, als ich die Tabelle ausgefüllt habe, aber das sind all die Rollen, die wir haben." "Können wir uns jetzt über Frau Schulz unterhalten?", fragt Frau Strobel. Frau Strobel informiert Herrn Fischer darüber, dass Frau Schulz beide Berechtigungen hatte, die sie für die Genehmigung der Ausgaben und die Tätigung von Zahlungen benötigte ("Ein Verstoß gegen die Aufgabentrennung", wirft der Prüfer freundlich ein). Das wusste Herr Fischer auch nicht. Frau Schulz war schon seit Jahren im Unternehmen tätig gewesen, bevor er die Abteilung übernahm. Wahrscheinlich hatte sie einige Zeit in der Zahlungsabteilung gearbeitet, bevor sie zur Genehmigung von Zahlungen wechselte