Besser von innen nach außen aufbauen
IT-Sicherheit – Nicht angstgetrieben durch das Internet, sondern überlegt von innen nach außen über Identity- und Access-Management (IAM) sollten die Unternehmen und Verwaltungen ihre Sicherheit aufbauen. Nur dann werden sie ihre gesamte Sicherheitsarchitektur in den (Kosten-) Griff bekommen.
Die Anzeichen für eine aus den Fugen geratene IT-Sicherheit werden vor allem bei den Sicherheitswerkzeugen im Internet-Grenzwall deutlich. Einzelne wie VPN (Virtual-Private-Network), Firewall, Antivirus-Software, Content-Scanner, E-Mail-und Spam-Filter bis hin zu Intrusion-Detection müssen in der Regel separat administriert werden. Das treibt die Betriebskosten in die Höhe und birgt die Gefahr von Fehlbedienungen und -konfigurationen.
Zu den zahlreichen herstellerspezifischen Einzeladministrationen kommen noch viele Updates und Sicherheits-Patches. Sie erfordern nicht nur einen hohen Zusatzaufwand, sondern können auch beim Aufspielen zu Ablaufproblemen führen. Werden Aktualisierungsläufe ausgelassen oder vergessen, ist das Geschäft gegenüber neuen Angriffsformen weitgehend ungeschützt.
Eine UTM (Unified-Threat-Management)-Appliance hilft, diesen Wildwuchs an Werkzeugen im Grenzwall zu auslichten. Die Integration aller wichtigen Sicherheitswerkzeuge auf dieser Plattform verringert den Administrationsaufwand und Fehleinstellungen, die offene Flanken des Internet-Grenzwalls nach sich ziehen. Die Überwachung aller Werkzeuge an einer Konsole und unter einer einheitlichen Bedienungsoberfläche macht dies möglich. Jede neue Software-Aktualisierung bezieht alle Werkzeuge der Plattform ein. Die Flut an Updates und Sicherheits-Patches lässt dadurch eindämmen. Zudem wird durch den Einsatz der UTM-Appliance die Vielfalt der Schnittstellen gegenüber IAM auf ein Interface reduziert. Das eröffnet den Anwendern die Perspektive, die Administratoreinträge dieser Werkzeuge und die dazugehörigen Rechte Kosten sparend im Benutzermanagement von IAM mitzuverwalten.
Dank der Mitverwaltung aller Rechte innerhalb IAM werden die Unternehmen und Verwaltungen erstmals ein Rechtesystem über alle Applikationen einschließlich der Sicherheitswerkzeuge etablieren können. Dadurch werden sie ihren Zugriffsschirm weiter aufspannen, besser absichern, einfacher kontrollieren und bei Bedarf flexibel anpassen können. Darüber hinaus stecken, neben den Modulen zentrales Benutzermanagement und zentrales Rechte- und Rollenmanagement, in den IAM-Bausteinen SSO (Single-Sign-on) und Smartcards weitere Einsparungspotenziale und Sicherheitszugewinne.
Der SSO erspart allen Teilnehmern den Umgang mit vielen Autorisierungspasswörtern für die einzelnen Zielapplikationen. Sie können, weil durch den SSO für die Teilnehmer nicht offensichtlich, nicht mehr vergessen oder von Unberechtigten abgegriffen werden. Das entlastet auch den Helpdesk davon, immer wieder neue Passwörter auszustellen und sicher den Benutzern zuzuweisen.
Über Multifunktionskarten lässt sich nicht nur die Authentisierung der Teilnehmer über sicherere Zertifikate oder biometrische Daten abwickeln. Sie steuern Zusatzfunktionen wie das Öffnen von Parkschranken und Türen, Zeiterfassung, E-Mail-Verschlüsselung, elektronische Signatur von Dokumenten, integrierte Geldbörse und eine teilautomatische Reisekostenabrechnung bei.
Damit das Unternehmen in den Genuss sämtlicher Vorteile kommt, sind die Verantwortlichen gefordert, ihr IAM-Projekt so bald wie möglich zu starten. Zumal sie dieses Vorhaben in Etappen abwickeln sollten. Nur so können sie die Projektrisiken gering halten, die Einstiegskosten budgetschonend verteilen und ihre Organisation allmählich an den Strategiewechsel heranführen.
Theoretisch könnten sie dann ihre Application-Proxy-Firewalls und Authentisierungs-Server ausmustern, weil IAM deren Prüfläufe mit absolvieren kann. Zudem könnten die Unternehmen und Verwaltungen fallweise von IPSec- zu pflegeleichteren SSL -VPNs auf Sitzungsebene wechseln. Bis es soweit ist, werden die Anwender die
Authentisierung, auch gegenüber den mobilen Teilnehmern, durchgehend mit Chipkarten und Token absichern müssen. Sie bieten mit ihrer Zwei-Faktoren-Sicherheit – Besitz des Token, Kenntnis der PIN – einen deutlich besseren Schutz als einfache Passwörter.
