Eitel Consulting - Unternehmensberatung und Interim Mnagement
Beraten und auditieren von Informationssicherheit und IT Regulatorik

Identity and Access Management Beratung

Als Freelancer, Berater, Consultant und Interim Manager biete ich im Zuge einer Identity und Access Management Beratung die folgenden freiberuflichen Beratungs-Leistungen an:


• Identity und Access Management (IAM)
• User Access Management (UAM)
• Berechtigungsmanagement
• Privileged Account und Access Management (PAM)
• Authentisierung bzw. Authentication und Autorisierung
• Berechtigungsprozesse und Berechtigungsvergabe
• Diesbezügliche Regulatorische Anforderungen aus der MARisk, BAIT, VAIT und den EBA Guidelines für IKT /ICT bzw. IT Sicherheit
• Insbesondere für Banken, Versicherungen und kritische Infrastruktur, die dem BSIG unterliegen
• Internal Control & internes Kontroll-System (IKS) bzgl- der Berechtigungsvergabe
• Integration von Prozessen und Risiko-Betrachtungen
• Schutz des IT Assets durch geeignete Controls im Berechtigungsmanagement
• Berechtigungsmanagement Projekte mit Six Sigma und Lean Management Methodik
• Funktionstrennung und Segregation of Duties
• Passwort Safe und Vaulting
• Erstellung und Anpassung für Berechtigungskonzepte und Rollenkonzepte
• Projektmanager und Prozessmanager für o.a. Themen


Identity und Access Management im Fokus regulatorischer Anforderungen


Das Berechtigungsmanagement – auch User Access Management oder Identity und Access Management genannt – rückt zunehmend in den Fokus regulatorischer Anforderungen. Nachdem das Berechtigungsmanagement bislang in der MARisk am Rande erwähnt war, wurde dem Bereich in der BAIT und VAIT ein eigenes Kapitel gewidmet.  Zuletzt wurden die Anforderungen durch die EBA Guidelines abgerundet und von der Bafin in eine neue BAIT Novelle eingearbeitet.


Berechtigungsmanagement - Grundsätze


Eine der Grundsätze im Berechtigungsmanagement ist die Sparsamkeit der Berechtigungsvergaben nach dem Prinzip least privileged und need to know. D.h. ein Anwender soll nur die Berechtigungen bekommen die er für seine tägliche Arbeit benötigt. Benutzerkonten mit Berechtigungen die nur selten verwendet werden müssen, sollten nicht laufend für Tätigkeiten verwendet werden für die die Privilegien nicht nötig sind. Mitarbeiter sollten auch nur auf die Daten und Informationen Zugriff haben, die sie benötigen.

Die Steuerung der Zugriffe durch verscheidene Berechtigungen und Konten sollen in einem Berechtigungskonzept dargestellt werden. Auf Grundlage des Berechtigungskonzeptes werden die Berechtigungen vergeben. Das berechtigungskonzept stellt quasi ein SOLL dar gegen das die tatsächlich bestehenden Berechtigungen geprüft werden können. Ein Antragssystem sollte in jedem größeren Unternehmen implementiert sein zusammen mit der Anweisung und ggf auch technischen Kontrolle die Sicherstellt dass Berechtigungen auf Systemen nur für Mitarbeiter vergeben werden für die vorher ein Entsprechender Antrag gestellt wurde und auch eine Genehmigung vorliegt.


Privileged Account und Access Management (PAM) – Angriffsvektoren für Cybercrime und regulatorischer Fokus


Privilegierte Konten und privileged Access sind Multiplikatoren für Cyber-Angriffe und stellen potenzielle Angriffsvektoren dar. Sie sollten entsprechend den regulatorischen Anforderungen in das interne Kontroll-System eingebunden sein und in den Berechtigungsprozessen entsprechend berücksichtigt werden. Gleiches gilt generell für die Autorisierung und Authentisierung der User am jeweiligen IT System (Asset). Privilegierte Berechtigungen sollte entsprechend gemanaged werden, um IT Risiken zu beschränken. Just in time spielt hier eine Rolle, da man privilegierte Konten so einrichten kann, dass sie nur auf anforderung für bestimmte Tätigkeiten zur Verfügung stehen und ansonsten vor Zugriffen geschützt sind.


Identity und Access Management (IAM) und Segregation of Duties (Funktionstrennung)


Segregation of Duties bzw. Funktionstrennung spielt hier eine entscheidende Rolle. SoD ist auch im COSO Framework maßgeblich und wird von der regulatorischen Seite gefordert. Identity und Access Management ist ein Baustein, um Funktionstrennungs-Probleme bei der Berechtigungsvergabe zu erkennen und zu vermeiden.

Über toxische Kombinationen können Berechtigungen definiert werden, die nicht zusammen mit anderen Berechtigunegn an ein und diselbe Identität vergeben werden dürfen. Besonders schwierig ist die Aufgabe, wenn sich hinter einer Identität mehrere Benutzerkonten verbergen, z.B. ein privilegiertes und und nicht privilegiertes oder wenn bestimmte funktional zu trennende Tätigkeiten mit unterschiedlichen IT Systemen ausgeführt werden. In disem Fall müssen toxische Kombinationen auch über IT Systeme hinweg definiert, gebildet und unterbunden bzw überwacht werden.


Passwort Management für Jedermann


Da mich das Thema auch im priveten Umfeld immer wieder erreicht hier ein paar Tipps zum Umgang mit Passworten (in Unternehmen, ggf auch privat):
• Passworte sollten regelmäßig gewechselt werden (auch wenn sie nicht verwendet wurden)
• Passworte sollte niemals weitergegeben bzw. geteilt werden
• Passworte sollten niemals an verschiedenen Systemen verwendet oder „wiederverwendet“ werden
• Passworte sollten eine gewisse Komplexität aufweisen und nicht leicht zu „erraten“ seien.
• Accounts sollten nicht dauerhaft „privilegiert“ sein, sondern nut im jeweils erforderlichen Masse (least privileged).
• Passworte sollten nicht in Textform elektronisch gespeichert werden (Ausnahme: Vaulting z.B. in Unternehmen)
• Es sollten pro user möglichst wenige Accounts (Alias) geben
• Authentisierung über mehrere Faktoren sollte verwendet weren
• Privilegierte Tätigkeiten müssen genehmigt und überwacht werden (Unternehmen)


Ein paar Angriffsszenarien: Über sogenannte Rainbow-Tabeles lassen sich einfache und häufig verwendete Passworte aus Hash-Werten in IT Systemen zurück erschliessen, dewegen sollte man komplexe Passworte verwenden. Wenn einmal doch ein Passwort geknackt werden sollte und man verwendet das gleiche Passwort in verschiednen OnlineShops / Mail-Accounts etc., so sind alle Benutzterkonten der Gefahr eines Mißbrauchs ausgesetzt. 2 Faktoren verhindern, dass ein Täter allein mit dem Knacken eines Passwortes zum Erfolg kommt. Wenn man Passworte regelmäßig wechselt (z.B. alle 6 Monate) hat ein Angreifer weniger Zeit das Passort für einen Accounts herauszufinden. Er hat nur 6 Monate. Wechselt man es nicht hat er ggf 24, 36 usw. Monate Zeit dass Passwort zu Knacken. Mit der Zeit steigt das Risiko.  Wenn man alle seine Passworte für alle Accounts auf einem PC speichert in einer Datei "Passworte" und der PC wird kompromittiert sind alle Accounts gefährdet.

Das gute alte Notizbuch ist hier ggf eine bessere Alternative. Für Unternehmen gibt es technische Lösungen die genau dieses Password-Management im Focus haben.