Identity and Access Management

In der Zugriffssteuerung wird zwischen Authentifizierung, Autorisierung und Abrechnung (authentication, authorization, accounting, AAA) unterschieden. Authentifizierung beschreibt die Feststellung der Identität und Autorisierung die Zuweisung objektabhängiger Rechte; Abrechnung bedeutet in diesem Zusammenhang Nutzungsprotokollierung. Das Ziel der meisten finanziell motivierten Cyberangriffe ist der Zugang zu geschützten Ressourcen, entweder durch Fälschung der Identität (Passwortdiebstahl durch Phishing) oder durch Ausweitung der Zugriffsrechte eines Kontos (privilege escalation). Mit entsprechenden Kontrollen ist dem im Grundschutz entgegenzuwirken.

In der Praxis ist es daher elementar, dass das vorher definierte Rollen-Rechte-Konzept durch geeignete Maßnahmen umgesetzt wird. Genauso wichtig, wie neue Benutzer zu erstellen und ihrer Funktion nach zu berechtigen ist es, diese z.B. nach dem Ausscheiden eines Mitarbeiters wieder zurückzuziehen. Identitätsmanagement (IdM) ist das Verfahren, Single Sign-on (SSO) eine technische Umsetzung, mit der sich Sicherheit und Komfort verbinden lassen. Mit einer einzigen Anmeldung kann so auf verschiedenen Systemen mit der individuellen Freigabe gearbeitet werden.

Wenn sich nur noch ein Kennwort gemerkt werden muss, bzw. falls Systeme wie ein Passwordsafe zum Einsatz kommen, ist es für bestimmte Anwendungen sinnvoll, eine Zwei- oder Mehr-Faktor-Authentisierung (2FA / MFA) zu etablieren. Dadurch erfolgt der Login über Passwort in Verbindung mit biometrischen Sensoren (Fingerabdruck) oder Token (z.B. RSA bzw. Chipkarte). Besonders für Webanwendungen sind auch Einmalkennwörter (OTP) per SMS - als TAN beim Onlinebanking - oder Verhaltensanalyse üblich.