In vielen Unternehmen herrscht Wildwuchs: Rechtechaos und unbekannte Accounts bestimmen das Lagebild. Kommen jetzt noch Cloud-Dienste ins Spiel, steigt die Bedrohungslage enorm. Höchste Zeit für ein kohärentes Identitätsmanagement.
Die Verwaltung digitaler Identitäten und zugeordneten Berechtigungen ist keine einfache
Aufgabe. Durch Mitarbeiter im Homeoffice und den damit verbundenen Anstieg der Cloud-Nutzung verschärft sich die Lage. Das in vielen Unternehmen eingesetzten Identity and Access Management (IAM) ist häufig weder für Remote-Zugriffe noch für Cloud-Dienste ausgelegt. Doch ein geeignetes IAM kann insbesondere in der Cloud helfen, identitätsbasierte Angriffe zu verhindern.
Beim Cloud Computing werden Daten in externen Rechenzentren gespeichert, der Zugriff erfolgt über das Internet. Ein großer Vorteil besteht darin, dass Nutzer und Nutzerinnen von fast jedem beliebigen Standort und Gerät darauf zugreifen können, denn die meisten Cloud-Dienste sind geräte- und standortunabhängig ausgelegt. Da aber Anwender nicht mehr im Büro oder an einem firmeneigenen Gerät arbeiten müssen, greifen klassische Sicherheitsmaßnahmen, wie die Perimeterabsicherung per Firewall, in der Regel nicht mehr. Infolgedessen wird die Identität zum wichtigsten Kriterium bei der Zugriffskontrolle. Die Identität des Benutzers bestimmt, auf welche Cloud-Daten er zugreifen kann, nicht sein Gerät oder Standort.
Hohe Anforderungen durch Cloud Computing
Doch in Cloud herrschen für die IT-Security andere Bedingungen, auf die viele Fachabteilungen nicht vorbereitet sind. Alle großen Cloud-Anbieter verfügen über ein eigenes Sicherheits-Framework und oft auch über ein eigenes Identity and Access Management (IAM). Firmeneigene IT-Spezialisten müssen damit zusätzlich die von den Cloud-Providern bereitgestellten Richtlinien und Rollen konfigurieren und verwalten. Dazu benötigen sie ergänzendes Fachwissen. Zudem sind bei Cloud-Diensten auch Netzwerkspezialisten involviert.
Die meisten Policies der Cloud-Anbieter sind sehr komplex aufgebaut. Die Auseinandersetzung mit den jeweiligen Berechtigungskonzepten der verschiedenen Anbieter ist daher aufwendig, zugleich aber Grundlage, um unternehmensinterne Richtlinien und Rollen umzusetzen. Doch in vielen Unternehmen müssen etliche Vorgaben angepasst werden, die bestimmen, wie Objekte und Dienste in der Cloud miteinander interagieren.
Große Cloud-Dienstleister bieten eigenes IAM
Viele der größeren Cloud-Provider sind sich der Problematik bewusst und unterstützen ihre Kunden dabei, Richtlinien umzusetzen oder riskante Policies zu identifizieren. Dazu haben sie Werkzeuge wie
Google Cloud Identity,
AWS IAM Access Analyzer oder
Azure Security Center and Privileged Identity Management entwickelt. Doch es bleibt ein hoher Aufwand, Richtlinien dauerhaft zu kontrollieren und kontinuierlich an Veränderungen anzupassen.
Insbesondere Unternehmen, die Hybrid- oder Multi-Cloud-Lösungen einsetzen, nutzen häufig spezielle Cloud-Dienste zur Identitätsüberprüfung, Identity-as-a-Service (IdaaS) genannt. Diese Dienste können als Variante zum teilweisen Outsourcing der Identitätsverwaltung betrachtet werden. Sie fungieren als eine Art zentrale Schaltstelle für Single Sign-on (SSO) und Rechteverwaltung. Die IdaaS-Anbieter docken dazu an betriebseigenen Verzeichnisdiensten wie Microsofts Active Directory an. Da die Anbieter dieser Dienste dadurch Zugriff auf hochsensible Unternehmensdaten erhalten, ist neben Vertrauen eine intensive Prüfung des Anbieters und der Verträge notwendig.
Autor: Uwe Sievers 
