What Are Identity Risks and How Can They Be Mitigated?

IT-Security wird nicht einfacher.

Seit Beginn der Covid-19-Pandemie müssen IT-Abteilungen auf immer neue dynamische Veränderungen reagieren – von der Bereitstellung hybrider Arbeitsmodelle zur flächendeckenden Einführung Cloud-basierter SaaS-Tools und Services.

Eine Folge dieser Veränderungen war es, dass sich Mitarbeiter und Devices immer öfter außerhalb des klassischen Security-Perimeters befinden. Damit wird es immer schwieriger und immer wichtiger, zu verstehen, wer Ihre Anwender sind und auf welche Ressourcen sie zugreifen können.

Es ist von zentraler Bedeutung, dass Unternehmen die kritischen Identity-Risiken im Blick behalten und ihre Identities sicher managen. Unternehmen müssen die Risiken von Account-Übernahmen und Identitätsdiebstahl kennen – und wissen, wie sie sich schützen und zeitnah auf verdächtige Aktivitäten reagieren können. 

Was ist die Definition von Identity-Risiken?

Als Identity-Risiko bezeichnet man Schwachstellen in den Identity- und Access-Management-Prozessen einer Organisation. Wenn Unternehmen wachsen, expandiert auch ihre Angriffsfläche für Identity-Risiken, da es ohne eine zentrale Management-Lösung wesentlich schwieriger wird, Daten zu verifizieren und zu kontrollieren.  

Warum man digitale Identity-Risiken im Blick behalten muss

Ein unachtsamer Umgang mit Identity-Risiken kann gravierende Folgen haben. Ihr Unternehmen und Ihre Mitarbeiter könnten zum Opfer von Identitätsbetrug, finanziellen Verlusten, dem Diebstahl persönlicher Daten, Account-Übernahmen, Produktivitätseinbußen, Rufschädigung und Compliance-Verstößen werden.

Unternehmen können es sich nicht leisten, im Bereich digitale Security unnötige Risiken einzugehen. Mit den richtigen Strategien zum Schutz vor digitalen Risiken können sie eine strengere Kontrolle der Workforce-Zugriffe gewährleisten – und so verhindern, dass kritische Ressourcen bei einem Angriff kompromittiert werden.

Die Identity-Risikofaktoren im Überblick

Die häufigste Ursache für Identity-Risiken liegt darin, dass Mitarbeiter unnötig weit gefasste Berechtigungen für den Zugriff auf unternehmensweite Daten, Anwendungen oder Netzwerke erhalten, und dass kein angemessenes Identity Management vorhanden ist, um fundierte Zugriffsentscheidungen zu treffen. 

Wer entscheidet über die Zugriffsrechte im Unternehmen: die IT-Abteilung, das Security-Team oder die Business-Entscheider?

Früher fiel das IAM meist in die Verantwortung der IT, die ihrerseits an den CIO berichtete. Inzwischen hat sich die Technologie aber weiterentwickelt, und das Thema hat an strategischer Bedeutung gewonnen. Heute ist immer öfter der CISO zuständig. 

Ganz egal, ob das Thema bei der IT oder bei der Security liegt: IAM erfordert eine enge unternehmensweite Zusammenarbeit. Die IT-Abteilung hat eine grundlegende Vorstellung davon, welchen Zugang die verschiedenen Benutzer, Gruppen und Abteilungen benötigen. Sie braucht aber klare Vorgaben von Seiten der Abteilungsleiter oder der Geschäftsleitung, wer auf was zugreifen muss. Andernfalls besteht die Gefahr, Zu weit gefasste Zugriffsrechte dass ein Anwender unnötig weit gefasste Zugriffsrechte erhält.  

Zu Identitätsdiebstahl kann es auch kommen, wenn zu viele Benutzer in einer einzigen Gruppe zusammengefasst werden. Dies kann zu allzu lockeren Zugangskontrollen führen – oder, noch schlimmer, zu Verstößen gegen regulatorische Vorgaben. 

Verwaiste Accounts (Accounts, die keinem aktiven Anwender zugewiesen sind) stellen ebenfalls eine Gefahr dar, vor allem im Fall von Accounts, die nicht deaktiviert wurden, nachdem der User das Unternehmen verlassen hat oder ihm eine neue Rolle zugewiesen wurde.

Die Gefahr von Identitätsdiebstahl besteht auch, wenn Zugang außerhalb der etablierten Genehmigungsprozesses gewährt wird (Access Outlier), oder wenn einem Benutzer Zugang gewährt wird, damit er widersprüchliche Aufgaben erfüllen kann. Ein Beispiel wäre etwa, wenn er sowohl die Vergabe von Purchase Orders verantwortet als auch die Bezahlung der bestellten Artikel (Toxische Rollenkombination).

Wie Sie Identity-Risiken einen Riegel vorschieben

Sobald Ihr Unternehmen die kritischen Identity-Risikofaktoren verstanden hat, die ihnen drohen, stehen Ihnen verschiedene Ansätze zur Risikominimierung offen. 

Von Grund auf robuste Identity Governance

Ein erfolgreiches Management der Identity-Risiken beginnt mit robusten Identity Governance & Administration (IGA)-Prozessen. Wenn Sie sich einen lückenlosen Überblick über alle Anwendungen und Nutzer verschaffen, wird Ihnen dies dabei helfen, zu evaluieren, welche Informationen und Details Sie für das Management der Identities und Zugriffe benötigen – einschließlich aller Hinweise auf unbefugte Zugriffe und Policy-Verstöße. 

Um dies zu erreichen, müssen Sie robuste Business-Prozesse implementieren und Regeln und risikobasierte Informationen verwenden, um einen angemessenen Risiko-Level für Zugangsberechtigungen und Autorisierungen zu definieren.

Automatisierte Zugangskontrollen

Die Automatisierung des Lifecycle-Managements kann dabei eine große Hilfe sein: Fehlende Konsolidierung und Automatisierung an sich ist ebenfalls ein Risiko, da dies dazu führen kann, dass kritische Prozesse nicht abgeschlossen werden. Dies ist beispielsweise der Fall, wenn ein Mitarbeiter seinen Arbeitsplatz wechselt oder das Unternehmen verlässt, aber seine Zugriffsrechte nicht aktualisiert und aufgehoben werden. Auch bei geteilten Accounts oder Service-Accounts kann es zu Problemen führen, wenn die Identity, die mit einem dieser Konten verknüpft ist, aus dem Unternehmen ausscheidet oder die Rolle wechselt.

Im Zusammenspiel mit dem Identity & Access Management (IAM) können zeitgemäße Automatisierungsfunktionalitäten Ihrem Unternehmen dabei helfen, mit den unvermeidlichen Veränderungen in der Access-Umgebung – etwa aufgrund von technologischen Neuerungen oder dem Wachstum des eigenen Unternehmens – Schritt zu halten. Und natürlich brauchen die Unternehmen auch eine strenge Access-Policy, die regelt, wer das IAM selbst verwalten darf.

Sind Sie vor Identity-Risiken geschützt?

Angesichts immer strengerer regulatorischer Vorschriften gewinnt die Überwachung der Datenzugriffe immer mehr an Bedeutung. Es lohnt sich also, die Sicherheitsmaßnahmen Ihrer eigenen Organisation zu überprüfen. Sind Sie sich sicher, dass Ihre Netzwerke, Anwendungen und persönlichen Daten zuverlässig durch ein zeitgemäßes Identity Management geschützt sind? Wie viele Anwender können darauf zugreifen? Ermöglicht es Ihr System Ihrem Unternehmen, sein Bestes zu erreichen?

Erfahren Sie, wie Sie Ihren Mitarbeitern unabhängig vom Standort einen sicheren und smarten Zugang zu Ressourcen ermöglichen – mit Workforce-Identity-Lösungen von Okta