Identity und Access Management: Einfallstore für Hacker schließen

Zugriffsrechte effizient und strukturiert verwalten und gleichzeitig die IT-Sicherheit erhöhen – all das ermöglich ein ausgereiftes Identity and Access Management. Trotzdem kümmern sich Finanzinstitute zu wenig um die Rechtevergabe. Dabei gibt es technische Ansätze, die sich schnell und umfassend integrieren lassen.

von Christian Nern, Partner im Bereich Financial Services bei KPMG

Im vergangenen Jahr haben Cyber-Angriffe auf Banken und Versicherungen massiv zugenommen. Allein während des ersten Lockdowns im Frühjahr 2020 verzeichnete der Sicherheitsbericht Modern Bank Heists 2020 von VMware Carbon Black einen Anstieg um 238 Prozent gegenüber dem Vorjahr. Und die Bedrohungslage bleibt bestehen: So ergab jüngst eine Studie der Allianz Global Corporate & Specialty (AGCS), dass Cybervorfälle zu den größten Risiken für den Finanzdienstleistungssektor gehören. Gemäß der Analyse von mehr als 7.600 Versicherungsschäden für Finanzinstitute sind solche Vorfälle die häufigste Schadensursache. Wer nun vermutet, die Bedrohungen kämen allein von außen, liegt falsch. Denn die Cybervorfälle umfassen neben Hackerangriffen oder Ransomware-Kampagnen auch Systemausfälle und Datenschutzverletzungen. Diese können zum Beispiel dann entstehen, wenn Finanzunternehmen Cloud-Services von Drittanbietern nutzen und diesen bei regulatorischen Vorgaben ein Fehler unterläuft.

Doch der Weg in die Cloud und die Automatisierung von Prozessen sind für Banken und Versicherungen alternativlos geworden, wenn sie mit der dringend benötigten Effizienz, Skalierbarkeit und Kostenoptimierung arbeiten wollen. Damit Sicherheitslücken dabei erst gar nicht entstehen, sind zwei Punkte wesentlich:

Die Cloud darf nicht als ein eigenständiges System gesehen werden, das getrennt von der restlichen IT-Infrastruktur existiert, sondern ist als deren Erweiterung zu betrachten.”

Und der Einsatz von Tools für die IT-Security ist nur dann sinnvoll, wenn diese ebenfalls in einem gesamtheitlichen Ansatz genutzt werden und nicht lediglich als Insellösungen zum Einsatz kommen.

Zu diesen Tools gehört zum Beispiel das Identity and Access Management (IAM). Damit lassen sich Einfallstore für Hacker von Beginn an schließen und gleichzeitig die Vorgaben der Aufsicht einhalten. Das gelingt allerdings nur, wenn sich die Verantwortlichen der Finanzinstitute um eine klare Zuordnung von Business-Rollen und Rechten kümmern – was bislang allzu oft nicht der Fall ist.

Zwar ist ihnen die Notwendigkeit eines solchen Systems durchaus bewusst, die Umsetzung stellt viele aber vor Herausforderungen: So fehlt es oftmals an einem zentralen System, sodass die Rechtevergabe in den verschiedenen Nebensystemen weder synchron erfolgt, noch kontinuierlich gepflegt wird, geschweige denn ein zentraler, regelmäßiger Abgleich des Ist- und Sollzustandes vorgenommen werden kann. Kurz: es fehlt an effizienten und effektiven Kontrollen. Ein zweiter Punkt ist die mangelnde Datengrundlage: Die IT-Verantwortlichen benötigen Informationen, welchen Mitarbeitern welche Rechte eingeräumt werden sollen.

Diese Daten sind in den Fachabteilungen durchaus vorhanden, jedoch fehlt oftmals ein Austausch mit der IT.”

Solche Probleme lassen sich jedoch beseitigen, wenn ein IAM von Beginn an strukturiert aufgebaut wird. Finanzunternehmen haben durch Policy und Governance einen strengen regulatorischen Rahmen, an den sie sich bei der Vergabe von Zugriffsrechten halten müssen. Basierend darauf erarbeiten sie in einem ersten Schritt ein einheitliches unternehmensweites Berechtigungskonzept, das notwendige Prozesse und Kontrollen (z. B. Rezertifizierungen) berücksichtigt. Eine automatisierte Anbindung an die Systeme von Human Resources (HR) ist dabei sinnvoll: So werden alle Mitarbeiter und Dienstleister erfasst und sämtliche HR-Prozesse können auf ein mögliches Vereinfachungspotenzial hin abgeprüft werden (z. B. Joiner-Mover-Leaver).

Dazu empfiehlt es sich, die Daten regelmäßig – im Idealfall sogar täglich – mit den HR-Systemen abzugleichen. Dasselbe gilt für den Soll-Ist-Abgleich mit den gesteuerten Systemen.”

Im Sinne eines gesamtheitlichen Ansatzes muss dann eine Übersicht sämtlicher Systeme gewonnen und eine möglichst homogene IT-Landschaft geschaffen werden. Die Festlegung der Business-Rollen erfolgt auf der Grundlage des Need-to-know-Prinzips und kann durch ein geeignetes Role Mining unterstützt werden. Basierend darauf lassen sich bedarfsabhängig, zeitgesteuert und automatisiert Konten erstellen sowie entsprechend notwendige Berechtigungen vergeben. Die Berechtigungsprozesse werden abschließend End-to-End über den gesamten Leistungsschnitt hinweg umgesetzt.

Technische und fachliche Expertise: Hand in Hand

Ein ausgewogenes IAM setzt sich zu 70 Prozent aus fachlichen Komponenten und zu 30 Prozent aus technischen Anwendungen zusammen. Ein holistischer Ansatz ist daher für die reibungslose Funktion des IAM unumgänglich. Betrachtet man die Dokumentationshierarchie des IAM, so steht am Beginn die schriftlich fixierte Ordnung in Form des Governance-Konzepts sowie ergänzender regulatorischer Vorgaben etwa zur Funktionstrennung (SoD) oder zur Rezertifizierung. Darauf fußt das fachliche Design, welches das IT-Benutzermanagement, das IT-Berechtigungsmanagement sowie Betriebs- und Administrationsprozesse umfasst. Erst dann folgt die technische Realisierung: Dafür definiert das Finanzinstitut zunächst seine individuellen Anforderungen an ein IAM, bevor ein funktionaler bzw. technischer Systementwurf sowie ein Testkonzept des IAM erstellt werden können.

Technisch wird das Access Management über drei Säulen realisiert: Das Berechtigungssystem läuft über eine Identity-Security-App wie beispielsweise SailPoint. Hier erfolgt die Bestellung und Verwaltung von Berechtigungen einschließlich ihrer Provisionierung, Rezertifizierung und Reconciliation. Im Berechtigungskonzept des IT-Systems lassen sich die Berechtigungen jeweils einer von drei Kritikalitätsklassen (Standard, wesentlich, privilegiert) zuweisen.

Dafür können in einem teilautomatisierten Prozess auch Informationen aus dem Risikomanagement sowie dem Business Continuity Management (BCM) einbezogen werden. Innerhalb des IT-Systems ist dann zwischen zwei Account-Typen zu unterschieden: Accounts ohne privilegierte Rechte und Accounts mit privilegierten Rechten. Bei ersteren kann mit niedrigerem Sicherheitsniveau, z.B. einfachem Single-Sign-On (SSO) oder einer Ein-Faktor-Authentifizierung gearbeitet werden, während bei den privilegierten Accounts umfassendere Schutzmaßnahmen zum Einsatz kommen sollten. Der Kategorisierungsansatz privilegierter Konten muss dann neben persönliche Konten, gemeinsam genutzte Konten sowie Konten für Softwaresysteme – zum Beispiel Ressource Access Control Facility (RACF) auch die Zugangsinformationen für die Nutzung von Softwareschnittstellen (APIs sowie die Konnten von Infrastrukturkomponenten, z.B. Router und Switches, abdecken. Mit Tools zum Privileged Access Management (PAM), wie etwa der CyberArk Privileged Access Security Suite und weiteren ergänzenden Modulen, können privilegierte Business-Rollen und Konten gezielt verwaltet und geschützt werden – zum Beispiel mittels Passwortrotation, erzwungener Zwei-Faktor-Authentifizierung, KI-gestützter Erkennung von ungewöhnlichen Rechtevergaben bis hin zur Sperrung von Bildschirmaufnahmen. Bei der Verwaltung der Log-Daten ist eine zentrale, manipulationssichere Log-Infrastruktur erforderlich und eine Anbindung an ein Security Information and Event Management (SIEM), um automatisierte Sicherheitsauswertungen vornehmen zu können, empfehlenswert.

System mit Zukunft

Steht das IAM aus technischer Sicht, geht es in die fachliche Realisierung, die neben den verschiedenen Berechtigungs- und Fachrollenkonzepten auch Schulungen für diese umfasst. Erst danach kann das IAM in Betrieb genommen werden. Ein IAM, das so strukturiert aufgebaut wird, fügt sich meist nahtlos in die bestehende IT-Landschaft ein: Es schafft Verbindungen zu anderen Security-Tools wie dem Security Operation Center (SOC).

Damit das SOC in einem sicherheitsrelevanten Fall (teil)automatisiert reagieren kann, sollten vorab Use Cases beschrieben und zugehörige Runbooks erstellt werden.”

Darüber hinaus lässt sich das IAM problemlos in hybride Multi-Cloud-Umgebungen integrieren: Remote-Zugänge für Angestellte von Drittanbietern, Administratoren oder Mitarbeiter mit privilegierten Rechten können so einfach abgesichert werden. Zudem lässt sich dadurch das Least-Privilege-Prinzip erzwingen, das einem Nutzer nur die Zugriffsrechte gewährt, die für seine Tätigkeit unbedingt benötigt werden.

Und nicht zuletzt ermöglicht die Integration auch, die Berechtigungen der Cloudumgebung zu verwalten.”

Ein solcher holistischer IAM-Ansatz sorgt letztlich für umfassenden Schutz und vereinfacht die Rechtevergabe, da alle Prozesse die Regulatorik von Beginn an berücksichtigen. darüber hinaus profitieren Banken und Versicherungen von der Ausbaufähigkeit des Systems: So, wie für jeden Mitarbeiter und Dienstleister eine Business-Rolle definiert werden kann, lassen sich auch Zugriffsrechte für Kunden festlegen. Das vereinfacht die Integration eines Customer Identity Systems enorm.Christian Nern, KPMG