de en
Feeling Lucky
Zurück

Online Magazine

Wie ISPs digitale Identitäten managen

Um im Bereich Security auf stabilen Beinen zu stehen, sollten Unternehmen in Zeiten zunehmender Cloud-Services den Einsatz eines Identity Service Providers (ISP) in Betracht ziehen. Diese bringen Vorteile, die über den Sicherheitsaspekt hinausgehen.


von Peter Stadler

Viele Handlungen, die Einfluss auf ein Unternehmen haben, werden heute von Mitarbeiter*innen am Computer durchgeführt. Das heisst, physische, selbstbestimmte Personen bewegen sich mit digitalen Identitäten im digitalen Unternehmensumfeld, wo sie Entscheidungen treffen und Aktionen durchführen können und müssen.

Wie auch sonst im Unternehmen üblich, ist es deshalb auch in diesem Kontext angezeigt, festzulegen und durchzusetzen, auf welche Art Entscheidungen und Handlungen durchgeführt werden können. Ansonsten besteht die Gefahr, dass die regulierten Pfade verlassen werden und man Spielraum für unerwünschte Ergebnisse, wie etwa die unkontrollierte Ablage von Daten, lässt. Doch wie setzt man das um?

Zunächst gilt es, zwischen verschiedenen Identitäten unterscheiden zu können. Grundsätzlich spricht man von folgenden Kategorien:

  • Private Identitäten: Handlungen in diesem Bereich haben meist Accounts, die auf die jeweilige Plattform zugeschnitten sind. Beispiele hierfür sind Twitter, Amazon oder Netflix.

  • Berufliche Identitäten: Handlungen in diesem Bereich sollten im besten Fall einen Account haben, der mit der ausgeübten Kerntätigkeit oder dem Unternehmen verbunden ist.

  • Anonymität: Handlungen in diesem Bereich werden ohne Account getroffen und können nur schwer zurückverfolgt werden.


Um also als Unternehmen die obig genannte Herausforderung meistern zu können, müssen entsprechend berufliche Identitäten respektive Accounts aufgebaut werden. Als das Thema Cloud noch in den Kinderschuhen steckte, war es für Unternehmen üblich, sich selbst ein Verwaltungssystem für Identitäten aufzubauen und zu betreiben. Eines der bekanntesten Tools dafür ist der Microsoft Active Directory Domain Service (ADDS). Damit werden heute aber in erster Linie nur noch lokal betriebene Applikationen verwaltet. Denn mittlerweile eröffnet die Cloud ganz neue Möglichkeiten, insbesondere eine Vielzahl neuer Services – und damit ist auch das Thema Identitäten komplexer geworden.

 

Warum braucht man einen Identity Service Provider (ISP)?

Heute nutzen die meisten Unternehmen die Möglichkeit, Services wie Dropbox, Salesforce, Slack, Microsoft 365 u.v.m. von spezialisierten Dienstleistern betreiben zu lassen und auf diese Weise Ressourcen zu sparen. Das bedeutet aber auch, dass es kaum mehr sinnvoll ist, Identitäten mit der ursprünglichen Methode (ADDS) selbst zu verwalten und zu betreiben, weil mehrfach verschiedene Accounts für die Vielzahl an Services gehandhabt werden müssten.

State of the Art ist es deshalb, mit einem Identity Service Provider (ISP) zu arbeiten. Vereinfacht dargelegt wird dabei die Aufgabe, mehrere Identitäten für eine Person in verschiedenen Systemen zu verwalten und zu betreiben, abgegeben. Als Unternehmen muss man sich also keine tiefergehenden Kompetenzen im technischen Bereich mehr aufbauen und Ressourcen darin investieren, sondern braucht lediglich noch in einem dafür vorgesehenen System auf administrativer Ebene die zur Verfügung stehenden und modernen Leistungen zu beziehen. Zusammengefasst ist also ein ISP der Betreiber des Verwaltungssystems für Identitäten, wobei es eine abgekapselte und abgeschirmte Umgebung für Administration und Verwendung aller zur Verfügung stehenden Features gibt.

 

Welche Mehrwerte generiert ein ISP?

Einer der beliebtesten ISPs ist das Microsoft Azure Active Directory (Azure AD). Die allgemeinen Mehrwerte in Verbindung mit Azure AD sehen etwa wie folgt aus:

  • Moderne Applikationen haben in der Regel eine Schnittstelle zur Integration eines ISPs etabliert. Somit kann die Identitätsverwaltung problemlos an den jeweiligen ISP übergeben werden. In unserem Beispiel an das Azure AD.

  • Azure AD kann eine Verbindung zu den bestehenden lokalen Systemen von Microsoft (ADDS) herstellen (Hybride Identität). Dadurch können mit nur einer Identität sowohl lokale/veraltete Services als auch neue/innovative Services aus der Cloud bedient werden.

  • Es gibt Innovationen um altmodische Zugriffe von extern auf lokale Applikationen des Unternehmens zu ersetzen. Zum Beispiel kann die VPN-Einwahl durch den Azure Application Proxy ersetzt und mit neuen Schutzmaßnahmen gepaart werden.

  • Da die Identitätsverwaltung an den ISP ausgelagert wird, können die Einwahlverfahren für den Nutzer vereinfacht werden. Hierzu werden Möglichkeiten wie etwa das Single-Sign-On (SSO) Verfahren etabliert. Durch diese Technologie wird der Nutzer automatisch ohne seine Interaktion an die angebundenen Services angemeldet und benötigt nur noch eine Identität für den Zugriff.

  • Da die Identitäten zentral und übergreifend im Azure AD verwaltet werden, kann auch für die angebunden Services der Zugriff reguliert und beeinflusst werden.

  • Bei jedem Zugriff auf die Dienste fallen Informationen und Daten an. Dadurch können das Nutzerverhalten langfristig beeinflusst oder die angebotenen Services angepasst werden. Die Informationen werden detailliert im Log abgespeichert und können zu Analysezwecken herangezogen werden.

  • Der technische Austausch von Informationen über die Nutzer zwischen ISP und der jeweiligen Applikation entspricht den neusten Standards wie etwa Oauth 2.0 (Sicherheit, technologischer Fortschritt, Authentifizierung, Autorisierung, u.v.m.).

  • Azure AD eröffnet innovative Kollaborationsmöglichkeiten mit Partnern und/oder Kunden.

Es gibt aber noch einige weitere Mehrwerte. Ein moderner ISP kann beispielsweise neben individuellen Identitäten auch Gruppen von Personen oder mobile Endgeräte (Devices) verwalten/steuern.

 

ISP als Grundlage für ein Zero-Trust-Modell

Eng mit dem Thema ISP verbunden ist das Zero-Trust-Modell. Dabei handelt es sich um einen modernen Ansatz, der unter anderem die Sicherheit auf Ebene der Identität stärkt. Der Hintergrund ist, dass viele erfolgreiche Cyberangriffe auf menschliche Interaktionen zurückzuführen sind. Die nachfolgende Grafik zeigt, wie ein solches Modell aufgebaut werden kann.

Quelle: Microsoft Zero-Trust-Whitepaper

 

Der linke Bereich bis zur „Zero Trust Policy“ kann durch einen modernen ISP abgedeckt werden. So lassen sich mit einem modernen ISP individuelle Regulierungen umsetzen, wie etwa das Erzwingen einer Multi-Faktor-Authentifizierung bei einer Anmeldung. Auch der Einsatz von künstlicher Intelligenz kommt in diesen Bereichen immer mehr zum Tragen und ist bereits jetzt eine tolle Ergänzung. Im Kern analysiert sie das Nutzerverhalten und leitet darauf basierend bei Abweichungen frühzeitig Massnahmen ein. Folglich gehört ein moderner ISP zu den Basiselementen eines guten Zero-Trust-Modells.

 

Fazit: ISP ist heute für viele Unternehmen essenziell

Auch wenn man keine Absicht hegt oder Bedarf dafür sieht, ein Zero-Trust-Modell aufzubauen, ist ein ISP vor allem für Unternehmen, die eine Vielzahl von Cloud-Services nutzen, essenziell. Ein ISP bietet praktisch die einzige Möglichkeit, Identitäten noch mit vernünftigem Ressourceneinsatz zu verwalten und zu betreiben sowie in Sachen Security ständig auf dem neusten Stand zu bleiben. Es empfiehlt sich für solche Unternehmen also, ein modernes Verwaltungssystem nach den eigenen Richtlinien und Konformitäten mit einem „Identity and Access Management (IAM)“ Konzept aufzubauen.

Deine Ansprechperson

DIESE ARTIKEL KÖNNTEN AUCH WAS FÜR DICH SEIN:

TechTalk
Digitale Transformation

Wer braucht eine Digital­strategie?
Hack der Woche
Data Analytics

Excel Files & Azure Synapse Analytics
TechTalk
KI im Business Automatisierung KI

Gedanken zu GPT-3
Gelesen