Was ist Access Security?

Access Security („Zugriffssicherheit“) ist die umfassende Kontrolle der physischen Zugriffsmöglichkeiten auf wertvolle Informationen bzw. Daten durch Anwender und andere Systeme.

Warum ist Access Security notwendig?

  • Schützenswerte Daten

    Daten seien das neue Öl, so heißt es derzeit. Diese sehr plakative Aussage hat allerdings einen ernsten Hintergrund. Daten sind für Unternehmen mittlerweile das eigentliche Kapital. Daten beinhalten das geistige Eigentum und Informationen, die über Wohl oder Wehe eines Unternehmens entscheiden können. Daten und digitale Informationen müssen daher bestmöglich geschützt und gesichert sein, damit diese nicht kompromittiert werden oder verloren gehen. 

  • Unterschiedliche Anwender- und Nutzergruppen

    Zugriffe auf diese sensiblen und kritischen Daten erfolgen durch unterschiedliche Anwendergruppen (bspw. Mitarbeiter, externe Partner, Kunden, IT-Systeme) mittels verschiedener Endgeräte, von unterschiedlichen Lokationen zu unterschiedlichen Zeiten auf hybride IT-Infrastrukturen (Rechenzentrum, SaaS, Cloud Data Center). Anwender haben die traditionellen sicheren Perimeter (beispielsweise das Bürogebäude, Werksgelände) verlassen und bewegen sich frei in der digitalisierten Welt. Aufgrund dieser komplexen Situation sollte entsprechend dem Zero-Trust-Modell grundsätzlich keinem Anwender, Endgerät oder Partnersystem vertraut werden, bevor eine erfolgreiche Identifikation, Authentisierung und Autorisierung stattfindet. 

  • Anforderungen durch Regulation

    Unternehmen sind aufgefordert sichere Anmeldemethoden bereitzustellen. Diese Aufforderung basiert entweder auf regulativen Anforderungen (bspw. DSGVO, MaRisk, VAIT, BAIT) oder aus eigenem Interesse die digitalen Aktivposten zu schützen. Einfache Anmeldungen mit Benutzername und Kennwort reichen nicht mehr aus, Transaktionen müssen dediziert autorisiert werden (PSD2), Datenverkehr muss analysiert und reglementiert werden. 

  • Anforderungen durch Anwender

    Sicherheit zu etablieren ist eine technologische Herausforderung, die manches Mal der Benutzerfreundlichkeit widerspricht. Anwender verlangen trotzdem benutzerfreundlichere Anmeldeverfahren, deren Definition nicht von reinem Sicherheitsdenken geprägt ist, sodass der Anwenderakzeptanz ebenfalls großer Einfluss zugestanden wird. VPN ist eine sicherlich noch notwendige Technologie für bestimmte Situationen, aber der fortschreitende Wandel hin zu „Zugriff von überall“, vermehrt auf Webapplikationen, die in hybriden Infrastrukturen betrieben werden, erfordert neue Denkansätze und Technologien.  

Wie kann Access Security helfen?

Mit diesen Herausforderungen sehen sich viele Unternehmen konfrontiert:

Herausforderung:

Der Benutzername und das Kennwort sind für Heimarbeit oder andere Remotesituationen nicht ausreichend, um den Zugriff auf IT-Ressourcen zu schützen. Benutzernamen und Kennwörter können durch Spoofing und Phishing sehr einfach kompromittiert werden.

Lösung:

Meldungen über gestohlene Zugangsdaten beherrschen die Medien fast wöchentlich. Mit Multifaktorauthentisierung (MFA) können diese Zugangsdaten für sich allein unbrauchbar gemacht werden. MFA ergänzt diese Informationen um einen weiteren Faktor, den man per Aufforderung erhält oder generieren kann (Push-Token, SMS Verifizierungscode, Soft-Token Generator etc.). Wir unterstützen unsere Kunden MFA-Lösungen verschiedener Anbieter ohne große Investition sehr einfach zu implementieren. 

Multifaktorauthentisierung (MFA) macht Zugangsdaten für sich allein unbrauchbar
Single Sign-on (SSO) erlaubt eine einmalige Anmeldung an einem zentralen System

 

Herausforderung:

Anwender können schnell durch sicherheitsrelevante Hürden genervt sein und sich Lösungen suchen, die nicht den Sicherheitsanforderungen des Unternehmens entsprechen (bspw. Schatten IT). Zu viele Anmeldeaufforderungen sind ein Paradebeispiel dieser Problematik. Anwender müssen sich für jeden Zugriff auf Applikationen anmelden, mit ggf. unterschiedlichen Benutzernamen und Passwörtern. 

Zu viele Anmeldeaufforderungen

 

Lösung:

Single Sign-on (SSO) erlaubt eine einmalige Anmeldung an einem zentralen System. Diese Anmeldung kann für andere Applikationen verwendet werden, um im Hintergrund und für den Anwender nicht sichtbar die Identifizierung und Authentisierung des Anwenders durchzuführen. Diese Technologie basiert auf erprobten und standardisierten Methoden (wie SAML oder OpenID Connect). Wir haben in der Vergangenheit sichere und robuste SSO-Infrastrukturen entworfen und implementiert und geben diese Erfahrung gerne an andere Kunden weiter. 

Herausforderung:

Ausgewählte Anwender oder auch Systeme verschiedener Unternehmen und Organisationen benötigen gegenseitigen Zugriff auf IT-Ressourcen. Bisher musste das bereitstellende Unternehmen die Administration der externen Anwender durchführen und verantworten. Ebenso möchten Kunden einfacher integriert werden, sodass eine Anbindung an Social Media gefordert sein kann. 

Mittels Federation lassen sich Vertrauensstellungen über Unternehmensgrenzen hinweg etablieren

 

Lösung:

Mittels Federation lassen sich Vertrauensstellungen über Unternehmensgrenzen hinweg etablieren, sodass für Unternehmen der administrative Aufwand verringert wird. Anwender externer Organisationen erhalten so dedizierten und kontrollierten Zugriff auf Daten. Kunden werden beispielsweise mit geringem Aufwand integriert, da die meisten Social Media Plattformen eine Authentisierung als Drittanbieter zur Verfügung stellen. Sollte der Zugriff nicht mehr erforderlich sein, kann die Federation einfach für einzelne Anwender gekappt werden. Erprobte und standardisierte Protokolle wie SAML, OAuth/OIDC unterstützen die Standardisierung. Wir von der TIMETOACT agieren schon seit Jahren mit Federation und helfen unseren Kunden die Vorteile zu nutzen.  

Datenfluss mit CASP zwischen Cloud und Anwender steuerbar

 

Herausforderung:

Hybride Infrastrukturen und die notwendige Integration von IT Services aus Cloud Data Centern lassen die traditionellen Firewall-geschützten Grenzen bröckeln. Die Einfachheit der generellen Abschottung ist kontraproduktiv zu den neuen Ansätzen der Bereitstellung, sodass neue Sicherheitsperimeter definiert und kontrolliert werden müssen. 

 

Lösung:

Mit einem Cloud Access Security Broker (CASB) besteht die Möglichkeit den Datenfluss zwischen der Cloud und dem Anwender zu steuern, zu analysieren und zu reagieren. Mittels Richtlinien können Situationen definiert werden, die selektive Zugriffe auf Daten oder Datenbestandteile erlauben oder blockieren. 

Herausforderung:

Wie kann sichergestellt werden, dass Anwender/-innen wirklich die sind, die sie vorgeben zu sein? Auch wenn ein Zugriff zu einer ungewohnten Uhrzeit oder aus einer unbekannten Lokation erfolgt? Wie kann darüber hinaus die Legitimität eines Zugriffes geprüft werden? Wie können solche Anomalien entdeckt werden, auf Basis welcher Referenzinformationen? 

Lösung:

Wichtig ist daher die Anomalien unmittelbar zu entdecken, bevor ein Datenverlust entstehen kann. Solche adaptiven Kontrollen können ein essentieller Baustein einer Access Security Strategie sein, um die Zugriffssicherheit zu verbessern und um das Risiko des Datenverlustes (Data Loss Prevention – DLP) zu reduzieren. Wenn Zugriffe auf sensible Daten und Ressourcen aus aller Welt erfolgen, sollte diese Legitimität mithilfe von Anomalitätsanalysen ausgewertet werden können. Eine Anomalie zu entdecken, nachdem diese passiert ist, hat den Datenverlust schon zur Folge gehabt. Die TIMETOACT nutzt mit dem führenden Technologiepartner IBM die gemeinsame Erfahrung und setzt neuste modernste Ansätze (AI, Machine Learning) ein, um solche Risiken für Kunden zu eliminieren. 

Adaptive Kontrolle über Zugriffe ist ein essentieller Baustein des Access Security

Herausforderung:

Manchmal sieht man den Wald vor lauter Bäumen nicht mehr - man ist nicht in der Lage eine belastbare Aussage über den Zustand der eigenen IT-Sicherheit machen zu können.

Lösung:

Unser Security Assessment hilft Unternehmen zu verstehen, an welchen Stellen die durchgeführten Maßnahmen ausreichend sind und an welchen Stellen Verbesserungspotential für die Etablierung der notwendigen Sicherheit zu finden ist. Die Experten der TIMETOACT greifen auf Erfahrungen aus Jahrzehnten in der IT-Security zurückgreifen, um Unternehmen zu beraten und deren Sicherheit der IT-Infrastruktur nachhaltig zu optimieren. Dabei werden verschiedene Perspektiven eingenommen und die IT des Kunden ganzheitlich betrachtet. 

TIMETOACT hilft bei einer optimalen Access Security

Warum TIMETOACT?

Die TIMETOACT Gruppe hat sich im Fachgebiet Identity & Access als Marktführer in DACH etabliert. Mit unseren Experten und unserer Kompetenz konnten wir unseren Kunden in herausfordernden Situationen helfen, sowohl die  Verwaltung und Kontrolle von Identitäten und Berechtigungen, als auch die Zugriffssicherheit und Datenschutz konsequent zu optimieren. Mit unserem über die Jahre entwickelten Vorgehensmodell erfassen wir den Reifegrad, um jederzeit den Status und Erfolg zu messen und die nächsten Schritte gemeinsam mit dem Kunden bedarfsorientiert zu definieren. So unterstützen wir unsere Kunden bei der Erfüllung von regulativen Anforderungen und in der fachlichen Umsetzung der Compliance- und Governance-Anforderungen. 

Mit unserem standardisierten Vorgehen, in Verbindung mit den passenden Produkten unserer Technologiepartner, definieren wir die 100% passgenaue Lösung für Ihren Bedarf. Es gehört zu unserer Philosophie unsere Kunden in allen Facetten einer erfolgreichen Einführung und Weiterentwicklung der Lösungen rund um Identity & Access der Zugriffssicherheit zu unterstützen und zu beraten. Auch nach Beendigung des Einführungsprojektes stehen wir Ihnen weiter zur Verfügung: Wir unterstützen Sie sowohl bei der Pflege Ihrer Lösung und bei der Weiterentwicklung, als auch im fachlichen und technischen Betrieb der Lösungen. Für weiterführende Informationen stehen wir gerne unter +49 221 97343230 oder unter [email protected] zur Verfügung. 

Wie passt Access Security zu Identity Governance & Administration?

Access Security ist eine integrale Erweiterung zu Identity Governance & Administration (IGA). IGA ist die lösungsgestützte Abbildung und Ausführung von IT-Prozessen, mit dem Ziel die Benutzerverwaltung und Zugriffskontrolle auf und in IT-Systeme zu vereinfachen, zu automatisieren, zu kontrollieren und nachvollziehbar aufzubereiten. Auf den ersten Blick werden zwei große Aufgabenbereiche unterschieden: Identity Administration und Identity Governance.

Der Bereich der Identity Administration beinhaltet die Teilaufgaben aus Sicht des Anwenders mit dessen Identitätsinformationen im organisatorischen Kontext und den Konten und Profilen im IT-Systemkontext:

  • Identity Lifecycle Management
  • Access Lifecycle Management
  • Systemkonnektivität und automatisierte Provisionierung
  • Passwortverwaltung
  • Self-Service
  • Zielsystemberechtigungen

Der zweite notwendige Bereich ist die Identity Governance, welches sich mit der Verwaltung und Verantwortlichkeit von Berechtigungen und Zugriffen, sowie deren Nachvollziehbarkeit beschäftigt:

  • Richtliniendurchsetzung
  • Aufgabentrennung
  • Zugriffsattestierung
  • Verwaltung von Applikationsberechtigungen
  • Rollen
  • Auditierung und Berichte

Access Security ergänzt die Aufgaben des Identity Governance & Administration, mit dem Ziel einer ganzheitlichen Sicherheit der IT-Ressourcen und Daten. Notwendige Entscheidungen bez. Authentisierung und Autorisierung können in ein IGA-System verlagert und einer ganzheitlichen Betrachtung und Verwaltung unterzogen werden.

Blogbeitrag: Zero Trust – oder lassen Sie jeden rein?

Mehr zu Zero Trust erfahren Sie in unserem Blogbeitrag. Darin möchten wir uns mit ein paar grundlegen Fragen zu Zero Trust beschäftigen: Was bedeutet Zero Trust eigentlich? Was ist das Prinzip dahinter? Was ist der Nutzen?

Zum Blogbeitrag

Für jedes Projekt den richtigen Hersteller

Logo okta
IBM Platinum Business Partner

Unsere Referenzen

Sprechen Sie uns zu Access Security gerne an!