Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Compliance-gerechte Authentifizierung


Identitätsmanagement: Die rollenbasierte Steuerung und Verwaltung der Zugriffsrechte ist ein zentraler Bestandteil einer Compliance-gerechten Sicherheitsstrategie
Um ein nachvollziehbares Access Management für alle Mitarbeiter von jedem Endgerät aus umzusetzen, empfiehlt sich eine übergeordnete Steuerung durch eine Identity- und Access-Managment (IAM)-Appliance


Passwort-Token generieren Einmalpasswörter
Passwort-Token generieren Einmalpasswörter Bild: Secure Computing

Von Frank Kölmel*

(31.08.07) - Gesetzliche Anforderung wie Sarbanes-Oxley (SOX) machen die Verifizierung digitaler Identitäten zur Chefsache. Zu den Hauptforderungen zählen der Schutz von Daten und Programmen vor unautorisierten Zugriffen. Besonders bedeutsam wird dies, wenn Mitarbeiter von unterwegs sowie externe Parteien wie Kunden und Partner auf unternehmenseigene Daten zugreifen. Die sichere Authentifizierung mobiler Mitarbeiter macht den externen Datenzugriff erst möglich. Gesetzliche Vorschriften verstärken die Notwendigkeit dieser Maßnahme. Neben dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sind für viele Unternehmen die Anforderungen des Sarbanes-Oxley Acts ausschlaggebend.


Bestimmungen erstrecken sich auf die User-Identität
Das 1998 verabschiedete KonTraG erweitert die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfer in Unternehmen. Kern des Gesetzes ist eine Vorschrift, die das Top Management dazu zwingt, ein unternehmensweites Frühwarnsystem für Risiken (Risikomanagementsystem) einzuführen sowie im Jahresbericht des Unternehmens Aussagen zu Risiken und zur Risikostruktur zu publizieren. Voraussetzung für das geforderte Risikomanagementsystem ist die Identifizierung und Klassifizierung potentieller Bedrohungen der Geschäftstätigkeit, wie sie eine "falsche" Person hinter einer User-ID darstellt. Gelangen digitale Informationen an Unbefugte, kann das beispielsweise im Fall von massiver Wirtschaftsspionage oder groben Datenschutzrechtsverletzungen das Aus für das gesamte Unternehmen bedeuten.

Auch Sarbanes-Oxley fordert, dass die Finanzdaten eines Unternehmens durch strenge Authentifizierungsmaßnahmen geschützt werden. Nur so erzielt man Compliance mit dem Gesetz, das die amerikanische Regierung im Juli 2002 als Konsequenz auf Bilanzskandale von Unternehmen wie Enron oder Worldcom erlassen hat. SOX betrifft verschiedene Aspekte der Corporate Governance, Compliance und der Berichterstattungspflichten von inländischen und ausländischen Unternehmen, die an US-Börsen wie der NASDAQ gelistet sind. Für die IT am relevantesten ist der Abschnitt 404. Laut diesem muss der jährliche Geschäftsbericht Rechenschaft über die Verfügbarkeit und Effektivität interner Kontrollmechanismen ablegen.

Die "internal controls" haben zum Ziel, die Integrität der veröffentlichten Finanzzahlen des Unternehmens zu sichern. Das von der amerikanischen Börsenaufsichtsbehörde "Security and Exchange Commision" (SEC) veröffentlichte Dokument "Control Objectives for Information Technology" (COBIT) schlägt zur Erfüllung der SOX-Vorschriften des Abschnitts 404 daher vor, für User-Authentifizierung und das rollenbasierte Management der Identitäten zu sorgen. Das Regelwerk schreibt jedoch keine spezifische Methode zur Authentifizierung vor. Aus der Zielsetzung erschließt sich, dass die eingesetzten Verfahren möglichst sicher und nachvollziehbar sein sollten. Die Autoren von COBIT plädieren für ein Reporting in Echt-Zeit und ein rollenbasiertes User-Management.

Ein weiterer internationaler Standard ist die ISO 17799. Diese Norm ist eine Sammlung von Vorschlägen, die verschiedene Kontrollmechanismen für die Informationssicherheit beinhaltet. Deswegen ist eine Zertifizierung nach ISO 17799 grundsätzlich nicht möglich. Grundlage für die Standardisierung war eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, um einen Best Practice-Ansatz zu erreichen. Zu den elf Überwachungsbereichen dieser ISO zählt auch die Zugriffskontrolle (Access Control).

Umsetzung nach dem Least Access-Prinzip
Ein sicheres Identitätsmanagement beinhaltet die Verwaltung verschiedenster Nutzer und unterschiedlicher Rollen, sowohl innerhalb als auch außerhalb des Unternehmens. Die rollenbasierte Steuerung und Verwaltung der Zugriffsrechte ist ein zentraler Bestandteil einer Compliance-gerechten Sicherheitsstrategie. Dazu zählt die Beschreibung und Festlegung von Nutzerrechten und ein Reporting darüber, wer auf welche Daten Zugriff hat. Eine strikte Authentifizierung stellt sicher, dass die Policy of Least Access umgesetzt werden kann. Dieses Prinzip besagt, dass Personen ausschließlich Zugang zu Files haben, die sie wirklich brauchen und auf nichts darüber hinaus zugreifen können.

Die folgenden Anforderungen müssen erfüllt werden, um Compliance mit den Richtlinien, insbesondere mit SOX zu erzielen:
>>
Wer hat Zugriff auf sensible Daten?
>> Sind alle Sicherheitsprotokolle im Einsatz, um zu garantieren, dass nur autorisierte Anwender auf die Daten zugreifen?
>> Wird eine strenge Zugriffskontrolle für alle User - interne und externe - umgesetzt und ist im Gegenzug sichergestellt, dass nicht berechtigte Mitarbeiter, aber auch bösartige Angreifer und kriminelle Datenräuber nicht ins Unternehmensnetz gelangen?

Zur Überwachung empfiehlt SOX einen Audit Trail, also die elektronische Aufzeichnung, wer auf welche Daten zugegriffen hat und die Erfassung aller unautorisierter Zugriffsversuche.
Das bereits genannte Prinzip des Least Access und eine strikte Aufgabentrennung (separation of duties) sind Best Practices für alle Unternehmen, unabhängig davon, ob sie die Anforderungen des SOX erfüllen müssen oder anderen Sicherheitsrichtlinien unterliegen.

Ein weiterer wichtiger Punkt, der auch Bestandteil der SOX-Anforderungen ist, ist die Verwaltung der unterschiedlichen Zugangspunkte zum Unternehmensnetzwerk. Hierzu zählen Remote-Einwahlverfahren, Citrix Verbindungen, VPNs und alle anderen Zugriffsverfahren. Solche Verbindungen zu den internen Daten können von Zweigstellen, Außendienstmitarbeitern, Partnern, Kunden und anderen Berechtigten, wie Outsourcing-Partnern aufgebaut werden. Die Zugriffsrechte müssen überprüft, mit den internen Policies abgeglichen und dokumentiert werden, egal von welchem Endgerät eine Verbindung aufgebaut wird.

Authentifizierung: Hohe Sicherheit durch Zwei-Faktor Maßnahmen
Eine weit verbreitete und einfache Zugangskontrolle sind Passwörter. Sie schützen jedoch geschäftskritische und vertrauliche Informationen nicht ausreichend. Nach Meinung von Gartner sollten Passwörter generell durch sicherere Verfahren ersetzt werden, da mit frei zugänglichen Tools jedes Passwort innerhalb weniger Stunden zu knacken sei. Eine Studie von Meetbiz Research unterstreicht darüber hinaus die Mitschuld der eigenen Mitarbeiter. Knapp die Hälfte der Befragten habe schon einmal ein Passwort an Kollegen weitergegeben. Ziel muss es daher sein, Passwörter zunehmend durch andere Authentifizierungsmaßnahmen zu ersetzen. Hohe Sicherheit bietet die Zwei-Faktor-Authentifizierung. Das Verfahren basiert auf den Komponenten "Besitz" und "Wissen" und ist mit dem Geldabheben am Bankautomaten vergleichbar: Die Geldkarte entspricht dem Besitz, die PIN-Nummer stellt den Faktor Wissen dar. Selbst wenn es einem Datendieb gelänge, die persönliche PIN zu stehlen, so ist diese Information ohne das dazugehörige Besitzobjekt wertlos.

Einmal-Passwörter mit Tokens
Das Authentifizierungsverfahren, das derzeit am meisten verbreitet ist, arbeitet mit so genannten Einmal-Passwörtern, die von verschiedenen Endgeräten generiert werden. Letztere stehen für den Faktor Besitz, ein dazugehöriger PIN-Code bildet die Komponente Wissen ab. Als Endgeräte finden sowohl Smart Cards mit Kartenterminals, Handhelds und Mobiltelefone mit entsprechender Software oder spezielle Passwort-Token Verwendung. Nach Eingabe der PIN in das Endgerät, produziert dieses ein einmal benutzbares Passwort. Gibt der User dieses Passwort beispielsweise in die Eingabemaske einer internetbasierten Fernzugriffslösung ein, wird es verschlüsselt weitergeleitet und geprüft. Ist der Code korrekt, schaltet das System den Zugang frei.

Das Verfahren überzeugt vor allen Dingen durch die bequeme Handhabung und den vergleichsweise sehr niedrigen Preis der schlüsselgroßen Tokens. Die Besonderheit dieser Technologie ist, dass kein Authentifizierungsserver notwendig ist, um die Identität des Users zu prüfen. Die Authentifizierung wird direkt über Active Directory abgewickelt. Zudem bedarf es auf Client-Seite keiner Softwareinstallation – was die Nutzung der Token komplett flexibilisiert. Die Besitzer können sich von jedem Internetzugang über eine webbasierte VPN-Lösung (beispielsweise über Outlook Web Access oder Citrix Metaframe) einloggen. Eine zentrale Lösung kann alle internen Richtlinien und Konfigurationen speichern und verwalten und automatisch für alle Endgeräte, insbesondere auch für mobile Geräte, umsetzen.

Fazit
Um ein nachvollziehbares Access Management für alle Mitarbeiter - insbesondere auch für mobile Mitarbeiter - von jedem Endgerät aus umzusetzen, empfiehlt sich eine übergeordnete Steuerung durch eine Identity- und Access-Managment (IAM)-Appliance. Solche Geräte überprüfen auch zentral, ob das jeweilige Endgerät nach den aktuellen Anforderungen gesichert ist. Egal ob Mitarbeiter über Labtops, Smartphones oder PDAs via Wireless LAN, Outlook Web Access, Netscape oder Citrix Applikationen ins Unternehmensnetz gelangen, einen IAM-Lösung verwaltet alle Zugangswege über eine einzige Plattform.

So ist es möglich, Mitarbeitern je nach Verantwortungsbereich unterschiedliche Zugriffsrechte zuzuordnen. Eine sinnvolle Rechtevergabe erfordert zudem feingranulare Differenzierungsmerkmale, wie beispielsweise die Art der erlaubten Aktivität, nur lesen oder auch schreiben, oder den Zeitpunkt der Anfrage. Über eine zentrale Lösung für das gesamte interne und externe Identitäts- und Zugangsmanagement stellen Unternehmen sicher, dass sie die gesetzlichen Anforderungen im Bereich IT-Sicherheit bestmöglich. (Secure Computing: ra)

* Frank Kölmel ist Sales Director Central and Eastern Europe bei Secure Computing.



Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Entscheidungshilfen

  • Daten in virtuellen Datenräumen

    Die Lage der IT-Sicherheit ist weiterhin angespannt und die Zahl der Cyberangriffe steigt stetig. Betroffen sind neben Privathaushalten vor allem Unternehmen, Organisationen und Behörden. Das bestätigt auch die aktuelle Studie des Branchenverbands Bitkom: Neun von zehn Unternehmen wurden im vergangen Jahr Opfer eines Cyberangriffs. Eines der größten Einfallstore für Cyberkriminelle ist dabei der ungesicherte Austausch sensibler Informationen. Rund 68 Prozent der befragten Unternehmen geben an, dass Cyberkriminelle Kommunikationsdaten entwendet haben.

  • Moderne Banken-IT-Sicherheit

    Die Sicherheitsabläufe einer Bank zu verwalten, ist ein komplexes Unterfangen. Es bedarf hohem Aufwand, um mit den sich ständig ändernden Sicherheitsanforderungen Schritt zu halten. Entsprechend lang ist die Liste für Sicherheitsverantwortliche. Da ist die kontinuierliche Integration genannter Anforderungen in die bestehende Infrastruktur: IT-Abteilungen müssen mit den stetigen Veränderungen der Gesetzeslage mithalten.

  • Sich für das Lieferkettengesetz wappnen

    Das Lieferkettengesetz bereitet vielen Unternehmen Kopfzerbrechen - vor allem, weil sie nicht wissen, wie sie seine Anforderungen erfüllen sollen, ohne dass der bürokratische Aufwand und die Kosten aus dem Ruder laufen. Ab dem 1. Januar 2023 treten die Vorschriften des Lieferkettengesetzes stufenweise in Kraft. Danach müssen fast 3.000 Unternehmen in Deutschland mit mehr als 1.000 Beschäftigten sicherstellen, dass ihre nationalen und internationalen Lieferanten keine Menschenrechte verletzen, die Grundsätze der Arbeitssicherheit beachten und die Auflagen des Umweltschutzes erfüllen. Hierfür gilt es in den nächsten Monaten die Voraussetzungen zu schaffen.

  • Betriebsrente jenseits BetrAVG

    Wer als Arbeitgeber Betriebsrenten gestalten möchte, schaut in das Betriebsrentengesetz, genauer das Betriebliche Altersversorgungsgesetz (BetrAVG). Doch eine Betriebsrente nach dem BetrAVG zu gestalten passt meist weder zu den Arbeitgeberbedürfnissen noch für Arbeitnehmer. Gesetzesänderungen auch infolge EU-Recht und Rechtsprechung machen das BetrAVG zudem unberechenbar. Wirkliche Freiheit für eine Gestaltung nach eigenen Wünschen gewinnt, wer das BetrAVG als unnötige Belastung und Einschränkung über Bord wirft. Dazu bedarf es erstaunlich wenig - bewirkt indes viel. Das unnötige Korsett des Betriebsrentengesetzes hat bereits abgestreift, wer die Rente nicht als Arbeitgeber selbst zusagt. Denn der erste Satz besagten Gesetzes lautet "Werden einem Arbeitnehmer Leistungen der Alters-, Invaliditäts- oder Hinterbliebenenversorgung aus Anlass seines Arbeitsverhältnisses vom Arbeitgeber zugesagt (betriebliche Altersversorgung), gelten die Vorschriften dieses Gesetzes." Sobald also nicht der Arbeitgeber die Zusage erteilt, gilt schlicht das ganze Gesetz dafür nicht, nicht mal eine einzige Bestimmung daraus. Richtig gemacht ergibt sich so größte Freiheit für eine optimale und flexible Gestaltung von Betriebsrenten.

  • Mittels gezielter Analyse Geldwäsche erkennen

    Terroristen, organisierte Kriminelle, Menschenhändler, Drogenschmuggler, korrupte Politiker - sie alle nutzen den internationalen Finanzmarkt, um ihre inkriminierten Gelder zu waschen und daraus Profit zu schlagen. Geldwäsche. Überall. Ungehindert. Ungestraft. Die aktuellen Enthüllungen um die FinCEN-Files zeigen ein globales Problem schonungslos auf, dessen Dimension kaum zu fassen ist. Laut einstimmigen Berichten werden 5,5 Milliarden Dollar gewaschen - täglich. Die Vereinten Nationen sprechen von nur circa 0,2 und einem Prozent von Fällen, die tatsächlich erkannt werden. Für Deutschland gibt es verschiedene Schätzungen, wonach das Volumen des gewaschenen Geldes zwischen 50 und 110 Milliarden Euro jährlich liegt. Wie die FinCEN-Files laut einschlägigen Medienberichten darlegen, zeigen diese Nachforschungen insbesondere die systemischen Fehler in der Bekämpfung von Geldwäsche auf. Kriminelle können ohne große Hindernisse Geldwäsche betreiben, in mehreren Fällen ist es so, dass die notwendigen Meldungen über verdächtige Transaktionen im Schnitt ein halbes Jahr lang nicht an die entsprechenden Anti-Geldwäsche-Behörden weitergeleitet wurden.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen