Zugriffskontrolle ist eine grundlegende Cybersicherheitspraxis, die es Unternehmen ermöglicht, zwei konkurrierende Bedürfnisse in Einklang zu bringen: den Schutz wichtiger Unternehmensressourcen und die Gewährung des notwendigen Zugangs für Mitarbeiter, damit sie ihre Arbeit erledigen können.
Es beinhaltet die Überprüfung der Anmeldedaten, die Verwaltung der Zugriffsrechte und die regelmäßige Überwachung Ihres Systems.
Warum ist eine strenge Zugriffskontrolle unerlässlich?
Mildert „Access Mining“: Hacker entwickeln ausgeklügelte Tools, um Computer zu übernehmen und sie zur Suche nach wertvollen Daten zu verwenden. Eine starke Zugriffskontrolle ist die wichtigste Verteidigung gegen dieses „Access Mining“, das für Unternehmen jeder Größe verheerend sein kann.
Stellt die Einhaltung von Vorschriften sicher: In vielen regulierten Branchen ist die Zugriffskontrolle erforderlich, um die staatlichen, lokalen und bundesstaatlichen Gesetze einzuhalten (z. B. HIPAA, PCI DSS).
Baut Vertrauen auf: Indem Sie Richtlinien befolgen und eine Datenschutzverletzung vermeiden, beweisen Sie den Kunden, dass Sie vertrauenswürdig und zuverlässig sind.
So funktioniert die Zugriffskontrolle.
Große Unternehmen können täglich mit einer erschreckend hohen Anzahl von Hackerangriffen konfrontiert werden. Computersysteme des Bundesstaates Utah beispielsweise bestehen täglich bis zu 300 Millionen Hackerversuche. Die Bewältigung jedes einzelnen Problems ohne Hilfe ist unmöglich. Ein robustes System könnte helfen.
Ihr Zutrittskontrollsystem besteht aus Software, Menschen, die es verwalten, und Regeln, die seine Verwendung vorschreiben. Übliche Schritte innerhalb des Systems sind:
Authentifizierung. Ein Benutzer möchte auf Ihr System zugreifen. Handelt es sich bei dieser Person um eine legitime Person, oder haben Sie es mit einem Betrüger zu tun? Benutzernamen, Passwörter, biometrische Daten und einmalige Bestätigungscodes könnten Ihnen helfen, Identitäten zu bestätigen.
Autorisierung. Was sollte dieser Person erlaubt sein? Die Autorisierung umfasst die von Ihnen festgelegten Zugriffsregeln.
Zugang. Wenn Identitäten verifiziert und Regeln festgelegt sind, kann eine Person ein Asset sehen, schreiben, speichern, teilen oder anderweitig damit arbeiten. Umgekehrt verweigert das System den Zutritt, wenn die Person Ihre Authentifizierungs- oder Autorisierungsprüfungen nicht besteht.
Management. Die Teams müssen ihre Regeln und die Datennutzung durch das Unternehmen überwachen. Neue Mitarbeiter, ausscheidende Teammitglieder oder Umstrukturierungen im Unternehmen können die Sicherheit gefährden.
Audit. So sehr Sie sich auch bemühen mögen, den Zugriff streng zu kontrollieren, können Ihnen Details entgehen. Regelmäßige Audits stellen sicher, dass Sie immer wissen, was passiert, und dass Sie entsprechend reagieren können.
Wie sieht die User Experience aus?
Einloggen: Der Benutzer gibt ein Passwort ein, gefolgt von einer anderen Authentifizierungsmethode.
Zugriff: Der Benutzer kann einige Server und Dateien sehen. Andere bleiben möglicherweise verborgen.
Arbeit: Der Benutzer versucht möglicherweise eine Aktion, die nach den Autorisierungsregeln nicht zulässig ist, wie zum Beispiel das Schreiben in eine geschützte Datei. Das System verhindert diese Aktion.
Wenn Sie in den letzten zehn Jahren in einem Büro gearbeitet haben, dürften Ihnen all diese Schritte bekannt vorkommen. Unzählige Angestellte befolgen diese Schritte jeden Tag bei ihrer Arbeit.
Gängige Autorisierungsarten
Richtige Zugriffskontrollrichtlinien beginnen mit strengen Autorisierungsregeln. Manchmal bezeichnen die Leute diese Dinge als „Zugriffskontrolltypen“. Aber täuschen Sie sich nicht. Dies sind Regeln, die festlegen, was die Nutzer auf einem Server tun dürfen und was nicht. Es geht ihnen allen um Autorisierung.
Sie können den Zugriff auf folgende Weise zulassen:
Autorisierungsmodell | Was bestimmt den Zugang? | Beispiel |
Attribute | Die Tageszeit, ein Gerätestandort oder der geografische Standort einer Person könnten Ihnen helfen zu verstehen, ob das System eine Person hereinlassen oder fernhalten sollte. | Wenn Sie ein Geschäft in Boise betreiben, das nur bis 17:00 Uhr geöffnet ist, Sie aber um 23:00 Uhr einen Anmeldeversuch aus Indien haben, könnten Sie das System so einrichten, dass es diesen Benutzer ablehnt. |
Diskretion | Die Person, der die Daten gehören, entscheidet, wie weit andere sie einsehen, nutzen und bearbeiten dürfen. | Jemand aus Ihrem Vertriebsteam hat einen Pitch für einen Interessenten, und die Projektmanager müssen die Angaben auf Fehler überprüfen, sodass der Vertriebsmitarbeiter dem Projektmanager Zugriff gewährt. Wenn jemand in der Buchhaltung den Pitch sehen möchte, würde der Dateneigentümer den Zugriff verweigern. |
Obligatorisch | Ein strenges Regelwerk, das typischerweise auf Informationsfreigabestufen basiert, regelt den Zugang. Dies ist ein gängiges Vorgehen in stark hierarchisch organisierten Umgebungen, einschließlich des Militärs. | Die Dokumente werden nur für Oberste angefertigt, da sie sehr sensible Daten über eine bevorstehende Initiative enthalten. Ein Benutzer versucht, auf die Dateien zuzugreifen, wird aber vom System abgewiesen.
|
Rollen | Die Nutzer können nur die Dateien einsehen und bearbeiten, die Personen in ihren Positionen üblicherweise benötigen. | Die Buchhalter in Ihrem Unternehmen können einen Server mit dem Namen „Buchhaltung“ sehen. Die Ingenieure in Ihrem Unternehmen wissen nicht, dass der Buchhaltungsserver existiert. |
Regeln | Ein Administrator erteilt und entzieht Zugriffsrechte auf der Grundlage von Informationen, die für jede Person individuell sein können. | Eine Empfangsmitarbeiterin in Ihrem Unternehmen arbeitet auch im Marketingteam. Diese Person kann auf den Marketing-Server zugreifen, während andere Rezeptionisten dies nicht können. |
Sie können sich auch für eine einzige Methode entscheiden und diese unternehmensweit konsequent anwenden. Oder Sie können eine hybride Mischung aus mehreren Ansätzen erstellen, um Ihr Vermögen in Sicherheitsebenen zu verpacken.
Richtlinien zur Zugriffskontrolle & Vorschriften
In einigen regulatorischen Umfeldern müssen Sie nachweisen, dass Sie Daten sicher und geschützt aufbewahren. Strenge Zugriffskontrollrichtlinien können Ihnen dabei helfen.
Möglicherweise müssen Sie Ihre Sicherheitsrichtlinien aus folgenden Gründen verschärfen:
PCI DSS. Der PCI-Datensicherheitsstandard gilt für jeden, der Zahlungen mit Kredit- und Debitkarten akzeptiert oder speichert. Sie müssen diese Daten schützen, und der Standard verlangt, dass Sie das auch nachweisen.
HIPAA. Der Health Insurance Portability and Accountability Act enthält mehrere Bestimmungen zur Datensicherheit. Im Wesentlichen müssen Sie nachweisen, dass Sie alles schützen, was als persönliche, private Informationen über Patienten angesehen werden könnte. SOC2. Dienstleistungsorganisationen müssen nachweisen, dass sie Daten ordnungsgemäß verarbeiten und schützen.
ISO 27001. Jede Organisation, einschließlich solcher, die mit Finanzdaten, geistigem Eigentum oder Mitarbeiterdaten zu tun haben, könnte verpflichtet sein, diese Datenschutzbestimmungen einzuhalten.
Die von uns bereitgestellte Liste ist nicht vollständig. Möglicherweise gelten für Sie weitaus mehr Regeln, die festlegen, wie Sie die in Ihrem Unternehmen gesammelten Informationen erfassen, speichern und weitergeben.
Eine strenge Zugangskontrollrichtlinie, einschließlich häufiger Audits, kann Ihnen helfen, die richtigen Unterlagen einzureichen, um nachzuweisen, dass Sie die Anforderungen einhalten.
Die Vermeidung von Bußgeldern ist nur ein Grund, sich an die Regeln zu halten. Denken Sie daran, dass Ihre Kunden Sie beobachten und darauf vertrauen, dass Sie ihre Daten schützen. Wenn Sie die Richtlinien befolgen und eine Sicherheitsverletzung vermeiden, werden sie wissen, dass Sie vertrauenswürdig sind. Und umgekehrt gilt: Wenn Sie gehackt werden, wird es für Sie extrem schwierig sein, das Vertrauen Ihrer Kunden zurückzugewinnen.
Allgemeine Herausforderungen bei der Zugriffskontrolle
Es ist klar, dass die meisten Unternehmen die Kontrolle über sensible Informationen behalten müssen und dass Zugriffskontrollrichtlinien helfen könnten. Aber es gibt auch Nachteile.
Komplexität des Cloud-Computings: Es ist schwierig, lokal-geografische Zugriffsregeln einheitlich anzuwenden, wenn Cloud-Services globalen Zugriff ermöglichen, was zu Diskrepanzen führt.
Mehrere Geräte: Die Regeln müssen flexibel genug sein, um den Zugriff auf die zahlreichen Geräte (z. B. Telefone, Tablets) zu sichern, die eine einzelne Person verwendet.
Spannungen zwischen Mitarbeitern: Administratoren müssen bereit sein, verärgerten Benutzern standhaft entgegenzutreten, wenn neue, strengere Regeln frühere, zu weit gefasste Zugriffsberechtigungen entziehen.
Zutrittskontrollsoftware und -lösungen
Jeder mit wertvollen Daten benötigt strenge Zugriffskontrollrichtlinien. Sie benötigen außerdem Software, die Ihnen bei der Arbeit hilft.
Zugangskontrollsoftware wurde entwickelt, um diese Herausforderungen effizient zu bewältigen.
Diese Lösungen:
Arbeiten Sie mit mehreren Umgebungen und Geräten.
Einfach skalieren, um mehr Benutzern gerecht zu werden.
Reduzieren Sie den Personal- und Wartungsaufwand.
Prozesse automatisieren , wodurch Hacking deutlich erschwert wird.
Wenn Sie nach einer Zutrittskontrolllösung suchen, würden wir gerne mit Ihnen sprechen. Bei Okta entwickeln wir starke Produkte, die für jeden einfach zu verwenden sind. Kontaktieren Sie uns, um mehr zu erfahren.
Referenzen
Smominru kapert eine halbe Million PCs, um Kryptowährungen abzubauen, und stiehlt Zugangsdaten für Verkäufe im Dark Web. (August 2019). ZD Net.
Das NSA-Rechenzentrum erlebt 300 Millionen Hacking-Versuche pro Tag. Der Rat der Versicherungsagenten und -makler.
Händler. Rat für PCI-Sicherheitsstandards.
Zusammenfassung der HIPAA-Sicherheitsregel. (Juli 2013). US-Gesundheitsministerium.
SOC2. Auditing Standards Board des American Institute of Certified Public Accountants.
ISO/IEC 27001. Internationale Organisation für Normung.
Gartner prognostiziert, dass die weltweiten Ausgaben für Public-Cloud-Endbenutzer im Jahr 2021 um 18 Prozent steigen werden. (November 2020). Gartner.
Ein Drittel der Amerikaner lebt in einem Haushalt mit drei oder mehr Smartphones. (Mai 2017). Pew Research Center.
