Nachricht schreiben an

Sie haben keinen Betreff angegeben, möchten Sie die Nachricht ohne Betreff versenden?
Bitte beachten Sie, dass Ihre Nachricht maximal 1000 Zeichen lang sein darf
Sonderzeichen '<', '>' sind im Betreff und in der Nachricht nicht erlaubt
reCaptcha ist ungültig.
reCaptcha ist aufgrund eines Serverproblems gescheitert.

Ihre Nachricht wurde gesendet

Sie finden die Nachricht jetzt in Ihrem persönlichen Bereich unter „Meine Nachrichten“.

Es ist ein Fehler aufgetreten

Bitte versuchen Sie es nochmal.

Termin vereinbaren mit

Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.

Vor-Ort-Termin vereinbaren mit

Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.

Header von Beta Systems Software AG
Congress@it-sa Vortragsreihe

Vollständige NIS2-Konformität nur mit IAM

Welche NIS2-Maßnahmen sind IAM-relevant und wie lassen sich diese umsetzen? Welche generellen IAM-Funktionen sollten dafür zusammenspielen?

calendar_today Mi, 23.10.2024, 10:30 - 11:30

event_available Vor Ort

place Raum Neu-Delhi, NCC Ost

Actionbeschreibung

south_east

Speaker

south_east

Themen

Governance, Riskmanagement und Compliance Identity- und Accessmanagement

Key Facts

  • NIS2 regelt das Risikomanagement im Bereich Cybersicherheit
  • IAM ist für die Zugangskontrolle und Authentifizierung nötig
  • IAM-Segmente IGA und IdP (AM) bilden eine Gesamtlösung

Event

Diese Action ist Teil des Events Congress@it-sa

Actionbeschreibung

NIS2, die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit, wurde im Dezember 2022 von der Europäischen Union veröffentlicht. Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umgesetzt haben. Wesentliche Unterschiede zur Vorgängerversion sind die Ausweitung der betroffenen Unternehmen auf mehrere Sektoren, die Verschärfung der Anforderungen an die Informationssicherheit und die verstärkte Zusammenarbeit mit den Behörden, insbesondere die Meldepflichten auf EU-Ebene.

Für die betroffenen Unternehmen drängt die Zeit, NIS2 umzusetzen und die Konformität zu erreichen. Dabei sind auch Lieferketten mit Zulieferern und Dienstleistern zu berücksichtigen.

NIS2, aber auch andere Regularien wie BAIT und DORA, sind aktuelle Regelwerke, die sich mit Cybersicherheit beschäftigen. So werden in NIS2 konkrete „Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit“ beschrieben. Diese umfassen unter anderem:

• die Gewährleistung der Sicherheit von Netzwerken, Informationssystemen und Lieferketten,
• die regelmäßige Bewertung und Überprüfung von Sicherheitssystemen,
• die Meldung und den Austausch von Informationen über Cybervorfälle,
• Verfahren im Bereich der Cyberhygiene,
• Maßnahmen zur Zugriffskontrolle in IT-Systemen,
• kontinuierliche Benutzerauthentifizierung, einschließlich der Multi-Faktor-Authentifizierung (MFA).

Cyberhygiene richtet sich eher an die Benutzer, um das Bewusstsein für sicherheitsorientiertes Verhalten zu schärfen, sodass eine regelmäßige Durchführung von Vorsichtsmaßnahmen zur Gewohnheit wird.

Wirksame Zugangskontrollen und Authentifizierungsmaßnahmen für IT-Systeme sind dagegen nur durch den Einsatz weiterer Systeme möglich. Hier kommt das Identity and Access Management (IAM) ins Spiel, um die Maßnahmen adäquat umsetzen zu können und eine vollständige NIS2-Konformität zu erreichen.

Authentifizierung ist der Prozess der Überprüfung der Identität, oft im Rahmen einer Anmeldung. Zugriffskontrolle bezeichnet eher den Vorgang der Autorisierung, um festzulegen, was die (überprüfte) Identität aufgrund ihrer Berechtigungen im IT-System tun darf. Zuerst ermöglicht also die Authentifizierung den Zugang zu den IT-Systemen und danach erlaubt die Zugriffskontrolle die Ausführung der berechtigten Aktionen. Der Schutz der Identitäten steht daher an erster Stelle (Identity-First Prinzip), da der Missbrauch von Identitäten (z.B. durch Phishing, Spoofing) gerade in Cloud-Systemen der häufigste Angriffsvektor ist.

Kommt es dennoch zu einem erfolgreichen Angriff, besteht die nächste Abwehrmaßnahme darin, die Angriffsfläche so gering wie möglich zu halten. Identitäten sollten demnach gemäß dem Least-Privilege-Prinzip so wenig Berechtigungen wie möglich haben. Identitäten mit privilegierten Berechtigungen (im Sinne der Kritikalität) sind dabei besonders gefährdet, da diese i.d.R. ein deutlich höheres Gefahren- und Schadenspotenzial aufweisen. Darum sollten sie durch weitere Maßnahmen geschützt werden, z.B. durch zusätzliche Authentifizierungen verbunden mit Just-in-Time-Aktivierung der Berechtigungen.

Wie können diese verschiedenen Aspekte mit IAM umgesetzt werden?
Der IAM-Markt ist in drei große Segmente unterteilt:

• Identity Governance and Administration (IGA)
• Access Management, i.d.R. als Identity Provider (AM/IdP)
• Privileged Access Management (PAM)

Das IGA übernimmt als „vorgelagertes“ System die zentrale Verwaltung der Identitäten und deren Berechtigungen und verteilt diese an die jeweiligen Anwendungen. Ein IdP stellt einen zentralen Authentifizierungsdienst zur Verfügung und bietet SSO, MFA und verschiedene andere identitätsbezogene Funktionen. PAM konzentriert sich auf Zusatzfunktionen für privilegierte Zugriffe und operiert als separates System oder als Build-In-Funktionalität der jeweiligen Anwendung.

Der Vortrag zeigt das Zusammenspiel von IGA und IdP aus Sicht der Anwendungen und geht dabei näher auf einzelne Funktionen ein.
... mehr lesen

Teilnehmerbegrenzung: 55

Sprache: Deutsch

Action beinhaltet Q&A: Ja

close

Diese Inhalte oder Funktionen stehen der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.