Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

Was ist Zugriffskontrolle und wie wichtig ist die IT für die Cybersicherheit?

Aktualisiert: 26. August 2024 Lesezeit: ~

Topics

Active Directory, Access Control, IAM

Inhalt

 

Dieser Artikel wurde maschinell übersetzt.

 

Experten für digitale Sicherheit stehen jeden Tag vor schwierigen Entscheidungen. Auf der einen Seite müssen Sie die lebenswichtigen Ressourcen Ihres Unternehmens schützen. Auf der anderen Seite müssen Sie den Mitarbeitern Zugang zu den Tools geben, die sie für ihre Arbeit benötigen. 

Die strenge Zugriffskontrollrichtlinie ermöglicht Ihnen beides. 

Bei der Zugriffskontrolle geht es um die Überprüfung der Anmeldedaten, die Verwaltung des Zugriffs und die regelmäßige Überwachung Ihres Systems. In vielen Branchen müssen Sie die Zugriffskontrolle so handhaben, dass sie die staatlichen, lokalen und bundesstaatlichen Gesetze einhalten muss. 

Aber selbst wenn Sie sich nicht in einem stark regulierten Markt befinden, ist es klug, sich um die Zugriffskontrolle zu kümmern. Reporter sagen, dass einige Hacker ausgeklügelte Tools entwickelt haben, um Computer zu übernehmen und diese Zombies dazu zu ermutigen, nach wertvollen Daten zu suchen.

Ein solcher Access Mining kann für ein Unternehmen verheerend sein, unabhängig von seiner Größe. Die Zugriffskontrolle könnte die IT stoppen. 

Funktionsweise der Zugriffskontrolle 

Große Unternehmen können jeden Tag mit einer schwindelerregenden Anzahl von Hacking-Versuchen konfrontiert werden. Die Computersysteme des Bundesstaates Utah zum Beispiel erleiden jeden Tag bis zu 300 Millionen Hackerangriffe . Es ist unmöglich, jedes Problem ohne Hilfe zu bewältigen. Ein robustes System könnte helfen. 

Ihr Zugriffskontrollsystem besteht aus Software, Menschen, die die IT verwalten, und Regeln, die die IT-Nutzung diktieren. Zu den üblichen Schritten innerhalb des Systems gehören:

  • Authentifizierung. Ein Benutzer möchte auf Ihr System zugreifen. Ist diese Person legitim oder haben Sie es mit einem Betrüger zu tun? Benutzernamen, Passwörter, biometrische Daten und einmalige Verifizierungscodes können Ihnen helfen, Ihre Identität zu bestätigen.
     
  • Ermächtigung. Was sollte diese Person tun dürfen? Die Autorisierung umfasst die Regeln, die Sie für den Zugriff festlegen.
     
  • Zugang. Wenn die Identität verifiziert und Regeln festgelegt sind, kann eine Person ein Asset sehen, schreiben, speichern, freigeben oder anderweitig damit arbeiten. Besteht die Person hingegen Ihre Authentifizierungs- oder Autorisierungsprüfungen nicht, verweigert das System den Zutritt.
     
  • Management. Die Teams müssen ihre Regeln und die Nutzung der Daten durch das Unternehmen überwachen. Neue Mitarbeiter, ausscheidende Teamkollegen oder Unternehmensumstrukturierungen können die Sicherheit gefährden.
     
  • Audit. Auch wenn Sie versuchen, den Zugriff streng zu kontrollieren, kann es sein, dass Ihnen Einzelheiten entgehen. Regelmäßige Audits sorgen dafür, dass Sie immer wissen, was passiert und entsprechend reagieren können. 

Für jemanden, der versucht, auf eine Ressource zuzugreifen, könnte die Zugriffskontrolle wie folgt aussehen:

  1. Log in: Der Benutzer gibt ein Passwort an, gefolgt von einer weiteren Authentifizierungsmethode.
     
  2. Zugang: Der Benutzer kann einige Server und Dateien sehen. Andere können verborgen bleiben.
     
  3. Arbeit: Der Benutzer kann versuchen, eine Aktion auszuführen, die von den Autorisierungsregeln nicht zugelassen wird, z. B. das Schreiben in eine geschützte Datei. Das System verhindert diese Aktion. 

Wenn Sie in den letzten zehn Jahren in einer Büroumgebung gearbeitet haben, kommen Ihnen all diese Schritte bekannt vor. Unzählige Mitarbeiter haben diese Schritte jeden Tag bei der Arbeit befolgt.

Allgemeine Autorisierungstypen

Eine ordnungsgemäße Richtlinie zur Zugriffskontrolle beginnt mit strengen Autorisierungsregeln. Manchmal werden diese Dinge auch als „Zugriffskontrolltypen“ bezeichnet. Aber machen Sie keinen Fehler. Dies sind Regeln, die vorschreiben, was Personen auf einem Server tun dürfen und was nicht. Dabei dreht es sich ausschließlich um Autorisierung. 

Sie können den Zugriff basierend auf Folgendem zulassen:

  • Attribute. Die Tageszeit, der Standort eines Geräts oder der geografische Standort einer Person können Ihnen helfen zu verstehen, ob das System eine Person hereinlassen oder sie fernhalten sollte.

    Wenn Sie beispielsweise ein Geschäft in Boise betreiben, das nur bis 17:00 Uhr geöffnet ist, Sie aber um 23:00 Uhr einen Anmeldeversuch aus Indien haben, können Sie das System so einrichten, dass diesem Benutzer die Anmeldung verweigert wird.
     

  • Diskretion. Die Person, der die Daten gehören, entscheidet, wie weit die IT sichtbar, verwendet und mit ihr gearbeitet werden kann.

    Beispiel: Jemand in Ihrem Vertriebsteam hat einen Pitch, den er an einen Interessenten senden möchte, und der Projektmanager muss die Details auf Fehler überprüfen, damit der Vertriebsmitarbeiter dem Projektmanager Zugriff gewährt. Wenn jemand in der Buchhaltung den Pitch sehen möchte, verweigert der Dateneigentümer den Zugriff.
     

  • Obligatorisch. Ein strenges Regelwerk, das in der Regel auf der Freigabe von Informationen basiert, schreibt den Zugriff vor. Dies ist ein üblicher Ansatz in sehr hierarchischen Umgebungen, einschließlich des Militärs.

    Zum Beispiel werden Dokumente nur für Oberst erstellt, da sie sehr sensible Daten über eine bevorstehende Initiative enthalten. Ein Gefreiter versucht, auf die Dateien zuzugreifen, und das System verweigert sie.
     

  • Rollen. Personen können nur die Dateien sehen und mit ihnen arbeiten, die Personen in ihren Positionen häufig benötigen.

    Zum Beispiel können Buchhalter in Ihrem Unternehmen einen Server namens "Buchhaltung" sehen. Die Ingenieure in Ihrem Unternehmen wissen nicht, dass der Buchhaltungsserver existiert.
     

  • Regeln. Ein Administrator erteilt und widerruft den Zugriff auf der Grundlage von Informationen, die für jede Person eindeutig sein können.

    Zum Beispiel arbeitet eine Rezeptionistin in Ihrem Unternehmen auch im Marketing-Team. Diese Person kann den Marketing-Server sehen, während andere Rezeptionisten dies nicht können. 

Sie können sich für nur eine Methode entscheiden und die IT einheitlich in Ihrem Unternehmen einsetzen. Oder Sie können eine hybride Mischung aus einigen Ansätzen erstellen, um Ihre Assets in die Integration der Sicherheit zu hüllen.

Zugriffskontrolle Richtlinie & Regulations

In einigen regulatorischen Umgebungen müssen Sie nachweisen, dass Sie Ihre Daten sicher und geschützt aufbewahren. Eine starke Zugriffskontrolle Richtlinie kann Ihnen dabei helfen. 

Möglicherweise müssen Sie Ihre Sicherheitsrichtlinie aus folgenden Gründen verstärken:

  • PCI DSS. Die PCI Data Security Standard gilt für alle, die Zahlungen von Kredit- und Debitkarten akzeptieren oder speichern. Sie müssen diese Daten schützen, und der Standard verlangt von Ihnen, dass Sie auch die IT nachweisen.
     
  • HIPAA. Der Health Insurance Portability and Accountability Act enthält mehrere Bestimmungen zur Datensicherheit. Im Wesentlichen müssen Sie nachweisen, dass Sie alles schützen, was als persönliche, private Informationen über Patienten angesehen werden könnte.
     
  • SOC2. Serviceunternehmen müssen nachweisen, dass sie Daten ordnungsgemäß verarbeiten und schützen.
     
  • ISO 27001. Jedes Unternehmen, einschließlich derjenigen, die mit Finanzdaten, geistigem Eigentum oder Mitarbeiterdaten umgehen, könnte zur Einhaltung dieser Datenschutzbestimmungen verpflichtet sein. 

Die Liste, die wir zur Verfügung gestellt haben, ist nicht vollständig. Möglicherweise haben Sie weitaus mehr Regeln, die regeln, wie Sie die Informationen sammeln, speichern und weitergeben, die Sie in Ihrem Unternehmen sammeln. 

Eine strenge Zugriffskontrollrichtlinie, einschließlich der Verwendung häufiger Audits, kann Ihnen helfen, die richtigen Unterlagen einzureichen, um nachzuweisen, dass Sie die Vorschriften einhalten. 

Die Vermeidung von Bußgeldern ist nur ein Grund, sich an die Regeln zu halten. Denken Sie daran, dass Ihre Kunden Sie beobachten und sich darauf verlassen, dass Sie ihre Informationen sicher aufbewahren. Wenn du dich an die Richtlinien hältst und eine Sicherheitsverletzung vermeidest, werden sie wissen, dass du vertrauenswürdig bist. Und umgekehrt, wenn Sie gehackt werden, wird es für Sie äußerst schwierig sein, das Vertrauen der Kunden zurückzugewinnen.

Common Zugriffskontrolle Sicherheitsabfrage 

Es ist klar, dass die meisten Unternehmen die Kontrolle über sensible Informationen behalten müssen und dass die Zugriffskontrolle Richtlinie hilfreich sein könnte. Aber es gibt auch Nachteile. 

Zum Beispiel nutzen viele Unternehmen Cloud-(Computing)-Dienste, und Experten sagen, dass sich dieser Trend fortsetzen wird. Es ist nicht einfach, Regeln zu erstellen, die an Ihrem physischen Standort und in der Cloud funktionieren. Wenn Sie beispielsweise geografische Regeln verwenden, um den Zugriff zu erlauben oder zu verweigern, und Ihre Cloud den Zugriff auf der ganzen Welt zulässt, ist es nicht einfach, Diskrepanzen zu erkennen. 

In ähnlicher Weise verfügt die durchschnittliche Person über mehrere Geräte, um auf Ihre Ressourcen zuzugreifen. Tatsächlich sagen Forscher, dass ein Drittel der amerikanischen Haushalte drei oder mehr Smartphones hat. Die Regeln, die Sie angeben, müssen sich pro Gerät biegen und biegen, und das ist nicht einfach. 

Auch die Administratoren an der Front können mit verärgerten Mitarbeitern konfrontiert werden, wenn die Regeln neu sind. Jemand, der immer alles gesehen hat (und gern herumschnüffelt), könnte verärgert sein, wenn ihm diese Freiheit entrissen wird. Und die Mitarbeiter müssen dem Druck standhalten und sich an die Regeln halten. Andernfalls werden wichtige Schutzmaßnahmen verwässert und weniger wirksam.

Zugriffskontrollsoftware & Lösungen 

Jeder, der über wertvolle Daten verfügt, benötigt eine strenge Richtlinie zur Zugriffskontrolle. Sie benötigen außerdem Software, die Sie bei der Arbeit unterstützt.

Die Zugriffskontrollsoftware ist so konzipiert, dass sie mit mehreren Umgebungen und Geräten funktioniert, und die IT kann skaliert werden, um bei Bedarf mehr Benutzer zuzulassen. Ein Produkt wie dieses reduziert den Personal- und Wartungsaufwand, und die Automatisierung erschwert das Hacken erheblich.

Wenn Sie auf der Suche nach Lösungen zur Zugriffskontrolle sind, würden wir uns gerne mit Ihnen unterhalten. Bei Okta entwickeln wir leistungsstarke Produkte, die für jeden einfach zu verwenden sind. Kontaktieren Sie uns , um mehr zu erfahren. 

Referenzen

Smominru entführt eine halbe Million PCs, um Kryptowährung zu schürfen, stiehlt Zugangsdaten für den Verkauf im Dark Webbasiert. (August 2019). ZD netto. 

NSA-Rechenzentrum mit 300 Millionen Hacking-Versuchen pro Tag. Der Rat der Versicherungsagenten und -makler. 

Händler. PCI Security Standard Council. 

Zusammenfassung der HIPAA-Sicherheitsregel. (Juli 2013). US-Gesundheitsministerium. 

SOC2. Audit Standard Board des American Institute of Certified Public Accountants. 

ISO/IEC 27001. Internationales Unternehmen für Normung. 

Gartner prognostiziert ein weltweites Wachstum der Ausgaben für Public Cloud Endbenutzer um 18 Prozent im Jahr 2021. (November 2020). Gartner.

Ein Drittel der Amerikaner lebt in einem Haushalt mit drei oder mehr Smartphones. (Mai 2017). Pew Research Center. 

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt