Die IT-Welt hat sich massiv verändert: Das Perimeter, das die Firmen-IT von der Außenwelt abschottet, wurde längst von mobilen Mitarbeitern, Home-Offices sowie Kunden- und Partner-Anbindungen durchlöchert. Und immer mehr externe Dienste erschweren die Lage. Doch wie kann in einer solchen Welt ein Sicherheitskonzept aussehen?
Man kann die zunehmende Öffnung der Unternehmens-IT weder ignorieren noch durch einzelne Lösungen und Ansätze adressieren. Vielmehr benötigt man neue, durchgängige Sicherheitskonzepte, die einen ganzheitlichen Ansatz verfolgen.
Es ist nicht sinnvoll, für einzelne Systeme, die man Kunden oder Partnern zugänglich macht, immer wieder neue isolierte Verzeichnisse oder vorgelagerte „Sicherheits“-Schnittstellen zu schaffen. Das führt nur zu Silos und einer undurchsichtigen und damit nicht beherrschbaren Sicherheit – die eben keine ist.
Ebenso wenig sollte man IT-Sicherheit einerseits für die geschäftsinterne IT und andererseits für alle externen Aktivitäten betreiben. Cloud-basierende Sicherheitslösungen einzig und allein durch SaaS-Anwendungen helfen im Gegenzug genauso wenig. Es geht um konsistente Ansätze, die auf die Realität einer zunehmend offenen und vernetzten IT über die Unternehmensgrenzen hinweg ausgelegt sind.
Bei der wachsenden Zahl externer IT-Dienstleister muss man natürlich auch darauf achten, dass man die Sicherheit Griff behält. Denn was oft übersehen wird: Dort gibt es privilegierte Benutzer wie Administratoren und Operatoren, die potenziell umfassende Zugriffe auf Informationen haben. Und auch dort wird immer mehr mobil gearbeitet. Das muss man in Verträgen berücksichtigen und gegebenenfalls auch bestehende Verträge entsprechend aktualisieren.
Gerade bei Kunden muss man auch darüber nachdenken, für bestimmte Aktivitäten beispielsweise Facebook oder andere soziale Netzwerke als „Verzeichnis“ und für die primäre „Authentifizierung“ zu akzeptieren. Das führt zum zweiten erforderlichen Schritt: Man sollte nicht eine bestimmte Form des Identitätsmanagements und der Authentifizierung zwingend voraussetzen, sondern Konzepte entwickeln, um die jeweils angemessene Vorgehensweise für unterschiedliche Interaktionen und Transaktionen zu kennen und zu nutzen.
Ein Kunde, der sich auf der Website nur informiert und den man optimal mit Information versorgen will, muss sich nicht stark authentifizieren. Hier reicht es aus, sich auf schwache Identity Provider wie soziale Netzwerke zu verlassen. Wenn es um finanzielle Transaktionen geht, sieht das aber wieder ganz anders aus – aber dann kann man immer noch eine bessere Authentifizierung anfordern.
Letztlich besteht die Herausforderung darin, eine angemessene Authentifizierung zu fordern – aber in flexibler Weise. Statische Konzepte, die für den internen Gebrauch angemessen sind, funktionieren außerhalb kaum. Die mit dem Mitarbeiterausweis integrierte Smartcard ist für festangestellte Personen nützlich – aber sonst?
Kurz gesagt: Es gibt nicht den einen richtigen Ansatz. Vielmehr muss man eine mehrdimensionale Matrix aus Identitätstypen, Verwaltungs-, Authentifizierungs- und Autorisierungsansätzen sowie den Klassen von Interaktionen und Transaktionen füllen.
Das hört sich komplizierter an als es tatsächlich ist, weil man schnell feststellen wird, dass es eine überschaubare Zahl von sinnvollen Kombinationen gibt. Ein solches Konzept hilft aber auch dabei, die erforderlichen Varianten für Verzeichnisse und Authentifizierungs- sowie Autorisierungsmechanismen zu identifizieren.
Ganz klar gilt dabei: Nicht mehr, sondern angemessen und überschaubar ist besser. Wenige Varianten, die man in den richtigen Situationen nutzt, sind der richtige Weg. Nur so lassen sich auch die Kosten in Grenzen halten.
Auf Hardware-Token basierende, starke Mechanismen zur Authentifizierung sind beispielsweise sowohl von der Beschaffung als auch der Logistik her ziemlich teuer. Man benötigt sie aber auch nur für ausgewählte, besonders sensitive Interaktionen und Transaktionen und damit typischerweise nur für eine sehr begrenzte Zahl von „Identitäten“. Und statt eines flächendeckenden Mittelmaßes, das für die wirklich sensitiven Fälle nicht ausreicht – aber bezahlbar erscheint – sind abgestufte Ansätze das Mittel der Wahl.
Hinzu kommt, dass ohnehin nicht alle Verfahren überall funktionieren. Mobile Endgeräte sind inhärent unsicher, aber beispielsweise als Transportmedium für PINs in einer „out-of-band“-Kommunikation, also auf einem vom Internet getrennten Kommunikationsweg, gut geeignet.
Wenn man aber auf die Autorisierung blickt, dann müssen solche Geräte anders behandelt werden als Desktop-PCs im Unternehmen oder mit Windows BitLocker-Festplattenverschlüsselung und einer Zwei-Faktor-Authentifizierung geschützte Notebooks, die auf einem verschlüsselten Transportweg für den Zugriff auf Anwendungen genutzt werden.
Zwei Schlüsselkonzepte dabei sind die „versatile“ und die „context-based“ Authentifizierung und Autorisierung. Der erste Begriff steht für die Fähigkeit, flexibel unterschiedliche Authentifizierungsmechanismen nutzen zu können. Der zweite zielt darauf ab, dass Zugriffe in unterschiedlichem Kontext – im Unternehmen oder von außerhalb, vom PC oder Mobilgerät, aus Deutschland oder China und so weiter – unterschiedlich behandelt werden.
Das zusammen mit einem Ansatz, der Identitäten nicht mehr in einem Silo hält, sondern intelligent verschiedene Quellen nutzt, ist die Basis dafür, dass man sichere Geschäftsprozesse über die Unternehmensgrenzen hinaus umsetzen kann und die IT trotz des durchlöcherten Perimeters sicher bleibt.