IAM – Kosten und Nutzen: Warum und warum doch nicht?

Veröffentlicht am von
Kommentar

Der wirtschaftliche und qualitative Nutzen von IAM-Lösungen ist durch eine Reihe von Referenzstories und Veröffentlichungen von Analysten belegt und das fast in jeder Branche. Obwohl diese Fakten bekannt sind, tun sich viele Unternehmen und Organisationen immer noch schwer, ein IAM-Projekt kurzfristig mit hoher Priorität zu versehen und zu starten. Mögliche Gründe dafür, die in unseren Kundengesprächen immer wieder genannt werden sind z. B.

  • Ein solches Projekt wurde in der Priorität zurückgestellt, wir brauchen neue HW, eine neue Version unserer Standard-SW muss eingeführt werden..
  • Das brauchen wir nicht, da wir keine so hohen Anforderungen an Security haben und für die Bedrohung von außen sind wir durch Firewalls und Virenscanner hinreichend geschützt.
  • Wir wissen, dass wir das brauchen, aber wir haben z. Zt. dafür kein Budget.
  • Wie kann man den Nutzen in Euro angeben, das ist ja nur qualitativ bewertbar und nicht sofort messbar.
  • In der letzten Revision gab es zwar Beanstandungen, aber diese konnten gezielt bereinigt werden.
  • Was haben denn unsere Anwender davon?
  • Bei uns ist noch kein eklatanter Security Fall vorgekommen, na ja, zumindest wissen wir von keinem …

 

Die gleichen Personen stimmen dann aber sehr wohl der Aussage zu, dass ein IAM eigentlich ein notwendiger Bestandteil einer modernen IT Infrastruktur ist.
Alles verständlich, aber doch mit einem gewissen Mut zum Risiko behaftet. Woran liegt’s?

Wer sollte sich stärker angesprochen fühlen: die Entscheider, die Leute an der IT-Administrationsfront, die geplagten Personen des Helpdesks, die Manager für IT, Security, Unternehmensprozesse, das Controlling,…?

Noch einige Punkte für die Diskussion:
Eigentlich dürfte die Beantwortung der folgenden Fragen für ein Unternehmen keine Schwierigkeiten bereiten. Leider ist dem in der Praxis in keiner Weise so. Kaum ein Unternehmen kann mit gutem Gewissen sagen, dass sie dies alles wissen und in kurzer Zeit die Ergebnisse der Beantwortung auf den Tisch legen können.
Wir glauben, dass wir mit diesen Fragen und ihrer Beantwortung die Grundelemente von IAM-Lösungen ansprechen:

  • Wie authentifiziert sich ein Benutzer?
  • Wer sind die Benutzer?
  • Welche Rechte haben die Benutzer?
  • Wer hat diese Rechte genehmigt?
  • Was machen die Benutzer mit diesen Rechten?

 

Nicht nur der Datenschutz ist damit angesprochen, sondern auch die Reibungsverluste, Leerzeiten, Mehrfacharbeiten etc. Unnötige Arbeiten summieren sich beträchtlich und führen so zu Mehrkosten für das Unternehmen. Meist handelt es sich dabei um hidden costs, aber an einige Stellen lässt sich auch eine Angabe in Euro machen, beispielsweise wie viele Lizenzen einer SW ein Unternehmen laufend zu viel bezahlt, da die Benutzer gar nicht mehr im Unternehmen sind oder wie viele Stunden mehr der Helpdesk aufwenden muss um vergessene Passwörter zurückzusetzen. Natürlich gibt es auch andere oder ergänzende Methoden um die genannten Punkte zu verbessern, aber wir wollen uns ausschließlich auf das Thema IAM konzentrieren.

Glaubt man den Analysten und ihren sehr detaillierten Recherchen, dann können Kosten von einigen Hundertausend €/Jahr oder mehr für größere Unternehmen eingespart werden. Aber auch für Unternehmen mit nur einigen hundert Mitarbeitern ergeben sich beträchtliche Einsparungen. In jedem Fall ist ein RoI innerhalb von 2 Jahren inzwischen erreichbar.

Novell Analyzer für optimale Datenqualität

Veröffentlicht am von
Kommentar

In vielen Unternehmen besteht die IT-Landschaft aus einer Vielzahl von Systemen, die Identitätsdaten von Personen beinhalten, die in Abhängigkeit der verschiedenen Systeme gespeichert werden. Im Laufe der Zeit passiert es oft, dass bei vorgenommenen Änderungen an Datensätzen vergessen wird alle Systeme zu aktualisieren. Dadurch entstehen häufig Daten, die nicht mehr in Verwendung sind und unnötig Speicherplatz verbrauchen. Häufig passiert es auch, dass Datensätze mehrfach ins System importiert werden und dadurch keine eindeutige Zuordnung der Personen mehr möglich ist.  Schlechte Datenqualität ist ein nicht zu unterschätzender Kostenfaktor für ein Unternehmen oder eine Institution.
Eine gute Möglichkeit den Datenbestand eines Systems zu überprüfen bietet der Analyzer aus dem Hause Novell. Der Analyzer ist ein auf Eclipse basierendes Tool, das mehrere Features bietet, die das Ziel haben, unter Einhaltung verschiedener Richtlinien die Datenqualität verschiedener Systeme zu untersuchen und gegebenenfalls zu verbessern.  Er ist besonders gut zur Analyse, Bereinigung, Abgleich und Kontrolle von Identitätsdaten geeignet.
Besonders bei der Einführung eines Identity Management Systems ist es wichtig, vor der Entwurfsphase die Qualität der Daten zu untersuchen und eine stabile Datenbasis der verschiedene Systeme herzustellen um in weiterer Folge ein gutes Ergebnis für die automatischen Abläufe zu erzielen.

2-Faktor Authentifizierung, wirklich wirksame Mechanismen zur Authentifizierung?

Veröffentlicht am von
Kommentar

Gesetzliche und betriebseigene Vorgaben  zwingen heute die Unternehmen zu mehr IT-Sicherheit. In den letzten Jahren haben die Angriffe auf die Unternehmensgateways durch Hacker-Aktivitäten dramatisch zugenommen.

Die 2-Faktor-Authentifizierung durch ein RSA Token ist dabei seit langem ein anerkanntes Verfahren bei RLA Anmeldung.  Aber auch Zertifikate auf Smartcards kommen schon seit geraumer Zeit zum Einsatz. Leider ist es Hackern jedoch im vergangenen Jahr bei beiden Systemen gelungen, die Sicherheitsmechanismen teilweise auszuhebeln. RSA hat auf Anfrage die Tokens ausgetauscht, die betroffene Root CA wurde von Netz genommen. Die ausgestellten Zertifikate waren somit wertlos.

Wann spricht man von einer 2-Faktor Authentifizierung?

Die 2-Faktor-Authentifizierungen bestehen immer aus zwei Faktoren aus den Bereichen „Wissen“, „Haben“ oder „Sein“.

  • Passwort (Wissen) und OTP (Haben) oder
  • Passwort (Wissen) und Fingerabdruck (Sein)

 

Es bleibt zu berücksichtigen, dass „Wissen“ gestohlen werden kann, ohne dass der Eigentümer davon etwas bemerkt (Passwort wird ausgespäht). Aber auch das „Haben“ kann ohne das Wissen des Benutzers missbraucht werden. So kann eine Grid-Karte einfach kopiert werden und der Eigentümer bemerkt es nicht. Ein verschwundenes Token oder Telefon wird in der Regel sehr schnell bemerkt.

Je verteilter nun die Kommunikationswege zwischen Empfang und Eingabe der  beiden Faktoren passiert, desto schwieriger gestaltet sich ein Angriff. Wird ein OTP zum Beispiel über Mail verschickt, ist ein Abfangen dieser Informationen einfacher, als wenn das OTP auf einem getrennten Kanal, z.B. als SMS verschickt wird.

Hard- und Soft-Token

Die bekanntesten, aber auch die ältesten Lösungen zur 2-Faktor-Authentifizierung sind Hardware-Token. Hier wird ein zusätzliches OTP am Token des Anwenders generiert und vom Authentifizierungs-Server validiert. Stimmen „Haben“ und „Wissen“ überein, so wird der Remote-Zugriff erlaubt.

Obwohl es einen Einbruch beim Token-Hersteller RSA gegeben hat, gelten die Token nach wie vor als sicher. Da Anwender jedoch ein zusätzliches Gerät mitführen müssen, sind diese jedoch eher unbeliebt. Es kommt dazu, dass sich die Verwaltung der Tokens aufwendig und teuer gestaltet.

Software-Token funktionieren ähnlich, sind aber im Bezug auf die Hardware variabler, da die Software zur Errechnung der Codes auf verschiedenen Devices installiert werden kann. Gleichzeitig ist das aber auch einer der großen Nachteile. Software Lösungen werden gegenüber Hardware-Token  als unsicherer angesehen.

SMS Lösungen

Im Gegensatz zu Token-Lösungen werden SMS-Lösungen immer wichtiger. Dabei wird das OTP als SMS auf das Handy geschickt. Die Vorteile hierbei sind, dass der Versand des OTP über das Mobilfunknetz und damit einem separierten Kanal erfolgt, Anwender im Normalfall Mobiltelefone als Standard-Arbeitsmittel nutzen, deren Vorteile also kennen und keine weitere Hardware benötigt wird. Die Relevanz und dadurch die Sorgfalt im Umgang mit Mobiltelefonen ist größer als bei Hardware, die nur der Authentifizierung dient. Da das Handy nur als SMS-Empfänger dient, ist von Seiten der IT keinerlei Verwaltung dieser Geräte notwendig.

Die Sorge, dass eine OTP-SMS nicht ankommt, ist meist unbegründet, da das SMS-Verfahren standardisiert ist. International tätige Unternehmen stehen lediglich in Teilen Asiens oder in Nordamerika vor der Herausforderung, dort auf andere Möglichkeiten als auf den SMS-Versand zu setzen, da manche Länder auf andere Standards setzen. Der Hersteller von SMS PASSCODE bietet dafür Alternativen zum OTP-Versand an.

Biometrie

Absolut eindeutige Faktoren sind biometrische Eigenschaften, wie zum Beispiel der persönliche Fingerabdruck oder die Iris. Da es sich bei biometrischen Eigenschaften um eindeutige persönliche Merkmale handelt, ist die Biometrie als 2-Faktor-Authentifizierung umstritten. Schließlich lassen sich biometrische Charakteristika nicht wie Passwörter einfach auswechseln, wenn sie kompromittiert wurden.

Zudem ist die Nutzung der Biometrie zur Authentifizierung auf Geräte beschränkt, wo Scanner integriert sind bzw. angeschlossen werden können. In einem Internetcafe oder Hotel ist dies meist ausgeschlossen.

Zertifikate

In zertifikatsbasierten Systemen erhält jeder Benutzer ein digitales Zertifikat, welches Angaben zu seiner Identität und dem öffentlichen Schlüssel enthält. Zertifikate bestehen aus einem Schlüsselpaar mit je einem privaten, geheimen und einem öffentlichen, nicht geheimen Schlüssel. Jedes Zertifikat ist von einer ausgebenden Stelle beglaubigt. Die Sicherheit wird durch kryptografische Verfahren sichergestellt und durch unabhängige Institutionen kontrolliert.

Im 2-Faktor-Verfahren bei  Remote-Zugriffen überprüft der Server zusätzlich zu den Login-Daten, ob er dem Zertifikat trauen kann. Die Anschaffung und der Betrieb von Zertifikaten sind mit hohen Kosten verbunden und stellt viele IT-Mannschaften vor eine nicht selbst lösbare Aufgabe.

Fazit

Dass eine 2-Faktor-Authentifizierung beim Zugriff auf Firmendaten heute unabdingbar ist, steht sicherlich außer Frage, da ein Diebstahl von Zugangsdaten nur zu leicht ist. Ebenso wichtig wie das Vorhandensein eines zweiten Faktors ist das Erkennen des Verlustes des zweiten Faktors um die entstandene Sicherheitslücke umgehend schließen zu können. Die Auswahl der richtigen Methode muss jedoch auf die Unternehmensstruktur und den jeweiligen Anwendungsfall abgestimmt sein.

Welche ist die richtige Smart Card für Ihr Unternehmen?

Veröffentlicht am von
Kommentar

Aufgrund der großen Anzahl der am Markt erhältlichen Smart Cards fällt die richtige Entscheidung meist nicht leicht. Daher ist es notwendig, sich vor der Anschaffung der Karten genau zu überlegen, wie und wo diese eingesetzt wird:

•    Soll die Smart Card den Mitarbeitern Zutritt gewähren und eine Zeiterfassung ermöglichen?
•    Dient die Karte zur Authentisierung am PC? Soll eine Anmeldung mittels Zertifikaten durchgeführt werden?
•    Ist die Smart Card das Mittel zur Verschlüsselung und Signierung von E-Mails?
•    Sollen weitere bestehende Systeme wie Kantine oder Bezahlsysteme eingebunden werden?

Ebenfalls muss unterschieden werden, ob die Karte kontaktlos, kontaktbehaftet oder eine Mischform von beiden sein soll. Diese Entscheidung wirkt sich auf die gesamte Infrastruktur, wie Kartenlesegeräte, mit aus. Möchte man Zertifikate verwenden, ist der Einsatz einer Standard PKI Karte die Mindestanforderung. Welche PKI letztendlich zum Einsatz kommen soll, hängt direkt von Ihren Anforderungen ab. Im Zusammenhang mit der Anzahl der zu speichernden Zertifikate ist die Speichergröße der Smartcard  relevant. Dienen die Zertifikate sowohl intern als auch extern zur Verschlüsselung und Signatur, müssen diese von einem externen Provider (wie zum Beispiel A-Trust oder T-Systems) ausgestellt werden. Dadurch erhöhen sich die Kosten, da für diese Variante zusätzlich zum höheren Preis der Karte eine jährliche Gebühr zu entrichten ist.

Die Gemalto Classic TPC IS V2 ist ein Beispiel einer klassischen PKI Karte. Der Einzelverkaufspreis ist etwas geringer als der einer Gemalto .NET IM V2 Smart Card. Jedoch liegt ein großer Vorteil der letztgenannten in deren optimalen Unterstützung in einer Microsoft Umgebung. Der für die .NET Karte benötigte Microsoft Base Smart Card CSP ist bei Windows Vista und Windows 7 standardmäßig vorhanden und kann bei früheren Versionen nachinstalliert werden.  Daher fallen für ein Unternehmen keine Kosten für eine Middleware an, die von anderen Smart Cards für einen Zugriff darauf benötigt wird.

Auch der Einsatz der richtigen Middleware ist ausschlaggebend, da diese die Schnittstellen zu Anwendungen (beispielsweise E-Mail-Programme oder eine Single Sign On Lösung wie von Evidian), die die Smart Card verwenden sollen, bereitstellen muss.

All diese Komponenten sind bei der Einführung von Smart Cards in Ihrem Unternehmen zu beachten. Haben Sie Fragen? Wir sind für Sie da. Rufen Sie uns an!

IT Compliance im Health-Care Bereich durch IAM Reporting

Veröffentlicht am von
Kommentar

Die zahlreichen gesetzlichen Vorgaben an die IT Sicherheit im Gesundheitssektor stellen hohe Anforderungen an die IT Abteilung eines Krankenhauses. Selbst wenn alle Vorgaben und Empfehlungen befolgt werden, ist der Nachweis dieser Tatsache für Überprüfungen oder Zertifizierungen oft mit einigem Aufwand verbunden. Gerade die Erstellung von Auswertungen über User Accounts, Berechtigungen und IT-Rollen über alle Systeme der IT-Landschaft hinweg verschlingt regelmäßig ungeplant viele Ressourcen.

Es geht aber auch einfacher, nämlich wenn man bereits ein Identity Management System im Einsatz hat. Im IDM werden sämtliche Informationen zu Benutzerrechten und -rollen dauerhaft gespeichert. Alles was es zur Beantwortung der typischen Fragen bei IT-Prüfungen (“Welche Berechtigungen hat dieser Benutzer?”, “Warum hat er diese Berechtigungen?”, “Wer hat diese Berechtigungen genehmigt?”, …) noch braucht, ist ein Tool, das die vorhandenen Informationen in geeigneter Form aufbereitet.

Lesen Sie in folgendem Artikel aus der Botenstoff Ausgabe 01.11 mehr über den erfolgreichen Einsatz eines Compliance Reporting Tools der UseNet Software im LKH Villach.

Botenstoff ist die Mitgliederzeitschrift des human.technology.styria Clusters, die regelmäßig über interessante IT Entwicklungen im Gesundheitsbereich berichtet.

Evidian SSO löst vorhandene Smartcard Management Software ab

Veröffentlicht am von
Kommentar

In vielen Unternehmen werden heute bereits Smartcards eingesetzt um Zertifikate zum Signieren und Verschlüsseln von Emails an die Benutzer zu verteilen. Oft kommt dabei eine teure und komplizierte Smartcard Management Software zum Einsatz.

Mit der Einführung von Evidian Enterprise Single Sign On (kurz E-SSO) ist es nun einfach möglich die Ausgabe und Verwaltung von Zertifikaten in das SSO zu integrieren. Bei der Ausstellung der Karte für einen Benutzer über die Evidian Console werden die vordefinierten Zertifikate von einer CA angefordert und automatisch auf die Karte aufgebracht. Selbstverständlich werden alle Aktionen revisionssicher auditiert.

Noch nie war es so einfach, diesen Prozess umzusetzen.