Mit Identity Management die IT Sicherheit stärken

Der Telekom ist es schon passiert, der Deutschen Bahn ebenso. Die Datenskandale waren in aller Munde. Sicherheitslücken in Unternehmen erleichtern Datenräubern die Arbeit. Dass IT Sicherheit immer mehr an Relevanz gewinnt, dringt langsam ins Bewusstsein der Unternehmen. Mit dem Begriff Identity Management können bislang die Wenigsten etwas anfangen. Der sichere Umgang mit personenbezogenen Daten mit denen sich Mitarbeiter und Kunden identifizieren lassen, fällt aber zum Großteil unter dieses Stichwort.

Der wichtigste Investitionsbereich der Unternehmen ist das Identity Management. Generell bleiben die Ausgaben für IT Sicherheit laut einer Gartner-Prognose für die kommenden zwölf Monate stabil, sind aber gemessen an der massiven Bedrohung durch Passwort-Fischer und Hacker zu gering. Meist ist das Sicherheitsbudget anderen Investitionen untergeordnet.

Der Marktforschungsspezialist Gartner kommt in einer Befragung (nachzulesen auf searchsecurity.de) zu dem Ergebnis, dass immerhin ein Fünftel der Unternehmen in das Gebiet Identity Management investieren. Allerdings würde nur etwa fünf Prozent des gesamten EDV Budgets in IT Sicherheits Maßnahmen gesteckt. Zwar bleibt damit das Ausgabevolumen im Vergleich zum Vorjahr etwa konstant, kaum eines der befragten Unternehmen plant jedoch kostspieligere IT Sicherheits Projekte. Diese Zahlen deuten die Relevanz des Themas Identity Management an. Was genau aber bedeutet es eigentlich?

Was ist Identity Management?

Identity Management bezeichnet den gezielten und bewussten Umgang mit Identitäten, Anonymität oder Identifizierbarkeit. Ein einfaches Beispiel: Jeder Bundesbürger ist verpflichtet einen Personalausweis zu besitzen. Im Intenet hingegen brauchen wir Zugangsdaten um an Daten jeglicher Art zu gelangen. Durch die online-Vernetzung hat das Thema Identity Management eine extrem hohe Komplexität erlangt. Zwei gegensätzliche Werte sind dabei Anonymität und Identifizierbarkeit von Internetusern, Servern oder Verkaufsplattformen. Von hoher Bedeutung ist daher die Verwaltung sicherer Identitäten. Identitäsdiebstahl gehört mitunter zu den am häufigst vorkommenden online-Straftaten. Der Identifakationsprozess von Zugangsberechtigungen spielt dabei eine zentrale Rolle. Er umfasst auch deren Geltungsbereiche, Zugriffsmöglichkeiten und Lebenszyklen (z.B. von der Einrichtung eines E-Mail-Accounts über die Archivierung bis hin zum Löschen des Accounts).

Angesichts zunehmender Phishing Attacken ist der wohl wichtigste Aspekt der IT Sicherheit das Management von Benutzerdaten. Passwortsynchronisierung oder Zugriffsrechte werden in den meisten größeren Unternehmen über eine Identity Management Architektur in Form unterschiedlichster Software Komponenten verwaltet. Im Durchschnitt geben die Unternehmen Gartner zufolge etwa 525$ im Jahr pro Mitarbeiter für IT Sicherheit aus. In Branchen wie dem Finanzsektor oder im Versicherungswesen liegen die Ausgaben dafür noch wesentlich höher. Ein Großteil der CIOs aus den Unternehmen gaben an, Identity Management habe für sie die höchste Prioritätsstufe.

Warum Identity Management?

Einer der Gründe, warum man sich Unternehmen mit Identitätsmanagement beschäftigen, ist die Anforderung, personenbezogene Daten konsistent, ständig verfügbar und verlässlich bereitzuhalten. Dienste wie ein Mail-System oder eine Personalbuchhaltung sind auf diese Daten angewiesen, ohne sie wäre kein individualisierter Betrieb möglich. Für Unternehmen gilt: je größer desto komplexer die Verwaltung von Identitäten. Neben einfachen Verzeichnisdiensten (zur Erfassung inividueller Daten) wird das Thema Acces-Management immer wichtiger, bei dem es um die Zuteilung von Berechtigungen beispielsweise in Firmen-Portalen oder Datenbanken geht.

Die IT Sicherheit stellt zwar ein immer wichtigeres Operationsfeld in Unternehmen dar, das Bewusstsein dafür implantiert sich allerdings erst langsam in die Köpfe der CIOs.  Die Gartner-Befragung fand heraus, dass Firmen oftmals lieber in Anwendungen oder Techniken investieren, die kurzfristig direkte Kosteneinsparungen oder Umsätze generieren sollen. IT Sicherheits Maßnahmen haben dagegen oft das Nachsehen.

Ein Grund für das dennoch wachsende Interesse an Identity Management könnten  laut Vic Wheatman, Managing Vice President von Gartner die Bedenken um den sogenannten Advanced Persistent Threat sein. Dabei suchen Angreifer häufig unbemerkt nach Schwachstellen, um Informationen über Rechner oder Netzwerke zu erlangen. Dies kann erhebliche Schäden nach sich ziehen, wenn sensible und nicht öffentliche Daten dabei preisgegeben werden.

Lösungsansätze für das Identity Management

Smartcards:

Einen guten Lösungsansatz für das Identity Management können so genannte Smartcards liefern. Sie werden zunehmend für alle möglichen Bereiche des Identity Managements und der IT Sicherheit verwendet: Für Zugangsberechtigungen, Passwortschutz, logistische Anwendungen, im Gesundheitsbereich oder sogar zum Bezahlen in der Betriebskantine können sie eingesetzt werden. Viele Firmen mit nach der Wirtschaftskrise geschrumpften IT Budgets schrecken vor der relativ kostenaufwendigen Anschaffung zurück. Eine rundum sicheres Identity Management kann diese Ausgaben allerdings schnell wieder reinholen.

Aufklärung:

Der scheinbar banale Hinweis, seine Mitarbeiter über die Gefahren von Internetkriminalität zu informieren, wird oftmals nicht umgesetzt. Das Sicherheitsrisiko Mitarbeiter sollte nicht unterschätzt werden. Der Umgang mit Unternehmensdaten oder das Internet Nutzungsverhalten zeugen immer noch von großer Sorglosigkeit bezüglich IT Sicherheit.

Genau definierte Abläufe:

Gerade größere  Unternehmen sollte sich auf eine klare Linie eingigen, wie mit längerfristigen Routineabläufen wie Zugangsbeschränkungen für Mitarbeiter, Datenfreigabe oder Personalwechseln umgegangen wird. Scheiden beispielsweise Mitarbeiter aus, ist das Löschen der Zugangsdaten oder Accounts von Ex-Angestellten unerlässlich. So genannte EDV-Leichen sind beliebte Einfallstore für Hackerangriffe.

Passwörter:

Phishing Angriffen sind viele Unternehmen ausgesetzt. Schützen Sie ihr Unternehmen durch sichere und vor allem kontinuierlich wechselnde Passwörter. Die Preisgabe der Passwörter sollte nur für authentifizierte Benutzeranwendungen erfolgen. Auch Unternehmensintern sollten Zugänge geschützt werden: Die besten Spione sind womöglich die eigenen Kollegen.