Privileged-Identity-Management

Mit der Automatisierung steigen die Angriffsziele

Von Daniela Hoffmann · 2021

In der digitalen Transformation geht es vielfach darum, Aufgaben zu automatisieren, die bisher manuell von Menschen erledigt wurden: Softwareroboter brauchen dafür allerdings Zugriffsprivilegien, genau wie die Mitarbeitenden. Damit keine Sicherheitslücken entstehen, muss sich das Identity- und Access-Management jetzt auch um Zugriffsprivilegien von Maschinenaccounts kümmern.

Eine mit Lichtern erleuchtete Autobahn.
Zugänge zur Datenautobahn benötigen besonderen Schutz. Foto:iStock / Ali Shahgholi

Die Mitarbeitenden in der Buchhaltung gleichen Zahlungseingänge und Rechnungen nicht mehr selbst ab, Personalexpertinnen jonglieren nicht mehr mit Urlaubsplänen oder Reiseabrechnungen. Denn heute agieren Softwareroboter – sogenannte RPA-Tools – wie Menschen. Sie öffnen unterschiedliche Anwendungen, suchen Daten, füllen Felder aus oder steuern einen vollständigen Geschäftsprozess. Für jedes involvierte System ist eine Zugriffsberechtigung nötig. Immer häufiger sind solche Konzepte auch mit KI-Algorithmen verbunden, die zum Beispiel Bilder oder Sprache erkennen. Oft geht es um Entscheidungsunterstützung für das Management oder sogar darum, dass die Software selbst Entscheidungen trifft, wenn bestimmte Messwerte oder Kennzahlen über- oder unterschritten sind.Ein typischer Fehler besteht darin, der Einfachheit halber einen sogenannten „Super User Account“ für alle Softwareroboter zu schaffen, der ihnen sehr viele Zugriffsrechte gewährt – anstatt einzelner Konten für jeden Roboter mit seiner jeweiligen, eng umrissenen Aufgabe. Lösungen für das „Privileged-Identity-Management“ übernehmen diese Aufgabe und behandeln jede RPA-Anwendung oder Maschinenidentität eigenständig. Bei der Auswahl entsprechender Tools sollten Unternehmen jedoch darauf achten, dass sie für alle neuen Technologieszenarien rund um Cloud, KI und IoT ausgelegt sind.

Sicherheit gegen Anwenderfreundlichkeit abwägen

Denn tatsächlich tun sich viele Unternehmen mit der Aufgabe schwer, die menschlichen User mit Zugriffsprivilegien sicher zu verwalten und jedem jeweils nur genau die Rechte zu geben, die innerhalb einer Rolle wirklich benötigt werden. In der IT gilt zum einen das Least-Privilege-Prinzip als wichtige Orientierung, zum anderen sollen die Rechte regelmäßig überprüft und gegebenenfalls schnell wieder entzogen werden. Doch Umfragen zeigen, dass viele Unternehmen mit dieser Aufgabe Probleme haben. Vor allem das Austarieren von Sicherheit auf der einen Seite und Anwenderfreundlichkeit der Security-Maßnahmen auf der anderen Seite fällt in der Praxis oft schwer.

Die Zahl der Identitäten von Maschinen explodiert

Durch aktuelle Technologien wie RPA, Maschinenkommunikation, IoT oder neue Automatisierungskonzepte wie DevOps in der IT-Abteilung selbst, steigt nun die Zahl der privilegienbezogenen Angriffspunkte immer weiter an. Marktforschungsunternehmen zufolge wachsen die maschinellen Identitäten doppelt so schnell wie die menschlichen. Zugleich ist bekannt, dass mittlerweile nahezu alle komplexen Attacken auf das Hacken von Anmeldeinformationen für privilegierte Nutzerkonten zurückgehen. Angreifer können sich damit als autorisierte Person ausgeben und erhalten so Zugriff auf unternehmenskritische Ressourcen und sensible Daten. Ohne Privileged-Identity-Management, das Anmeldeinformationen und privilegierte Benutzeraktivitäten schützt, lässt sich ein umfassendes Sicherheitskonzept heute praktisch nicht mehr umsetzen. Dazu gehört auch, den Ablauf und das Ende einer Sitzung zentral zu überwachen und zu steuern. Werkzeuge zum Identitätsschutz sollten darüber hinaus Muster aufspüren, die auf eine missbräuchliche Verwendung von Privilegien hindeuten.

Quellen:
Google Books
Robots-Blog
Frauenhofer

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)