Die modernen Anforderungen von Access Control

Zugriffskontrollen sind seit Jahrzehnten ein fester Bestandteil der IT, um zu gewährleisten, dass jeder Nutzer ausschliesslich auf die Datensätze und Anwendungen zugreifen kann, für die er autorisiert ist. Seit Netzwerke aus einem festen Rechnerpool bestehen und durch eine Firewall geschützt werden können, hat sich in der IT allerdings einiges getan, während sich die Praktiken für Zugriffssicherheit kaum an die neuen Gegebenheiten angepasst haben. Unternehmen sehen sich daher heute mit einigen Herausforderungen konfrontiert.

Zunehmende Komplexität

Netzwerke bestehen heute aus zahlreichen Anwendungen, die im Laufe der Zeit an bestehende Infrastrukturen angeschlossen wurden. Mit jeder neuen Anwendung entsteht jedoch im Backend ein neues Datensilo, für das die Zugriffsrechte gesondert definiert werden müssen. Dadurch multipliziert sich der Zeit- und Kostenaufwand pro Mitarbeiter im Unternehmen aufgrund von Passwort-Resets oder Löschungen aus dem System nach der Kündigung.

Ausser der Menge an Nutzerkonten steigert auch der veränderte User Lifecycle die Komplexität der Systemadministration. Mitarbeiter bewegen sich dynamischer innerhalb des Unternehmens, sind projektweise in anderen Abteilungen involviert und brauchen somit in kürzeren Intervallen unterschiedliche Berechtigungsstufen. Zudem benötigen externe Berater oder Partner temporären Zugriff auf bestimmte Ressourcen.

Veraltete Authentifizierung und mangelnde Transparenz

Trotz vergangener Pannen gehören Passwörter heutzutage immer noch zum Standardinstrument der Datensicherung, weil viele Unternehmen glauben, es reiche, komplexe Passwörter zu verlangen. Diese können jedoch problemlos durch einfache Tools, die innerhalb von Sekunden unzählige Kombinationen ausprobieren, überwunden werden. Neue Alternativen wie Multi-Faktor-Authentifizierung (MFA) oder biometrische Kennzeichen versprechen mehr Sicherheit und erhöhte Nutzerfreundlichkeit, sind allerdings noch längst nicht flächendeckend im Einsatz.

Haben sich Unbefugte einmal Zugang zum System verschafft, sind Unternehmen meistens auch nicht in der Lage, ein Eindringen zeitig zu erfassen. Dies gefährdet nicht nur die Datensicherheit, sondern verletzt auch die EU-DSGVO-Vorschriften, die verlangen, Datenschutzverletzungen innerhalb von 72 Stunden zu melden.

Mit der Zeit gehen

Die zunehmend heterogenen und disparaten IT-Umgebungen machen es immer schwieriger, mit herkömmlichen Methoden ein angemessenes Schutzniveau zu gewährleisten. Technologien wie Machine Learning und künstliche Intelligenz können Systemadministratoren dabei unterstützen, den ausufernden Datenmengen Herr zu werden und die Millionen von Daten zu analysieren. Anhand von User Behavior Analytics (UBA) lassen sich Profile erstellen und deren Verhalten auf Anomalien untersuchen. Abweichende Verhaltensmuster wie Log-ins zu ungewöhnlichen Zeiten oder von nicht registrierten Geräten kann einen Alarm triggern oder Konten automatisch sperren, um Unbefugte im System zu isolieren – und das automatisiert und in Echtzeit.

Unternehmen müssen sich darüber im Klaren sein, dass moderne Zugriffskontrollen nicht optional, sondern zwingend nötig sind, auch wenn bisher keine Passwort-Lecks oder anderweitige Vorfälle aufgetreten sind. Neuartige Systeme sind leichter mit anderen Lösungen integrierbar, binden weniger Ressourcen und erhöhen somit die Produktivität. Zudem sind neuartige Authentifizierungsmethoden wie biometrische Merkmale deutlich nutzerfreundlicher und garantieren darüber hinaus eine vielfach höhere Sicherheit. Die nötigen Technologien wären also vorhanden, sie müssen nur noch zum Einsatz kommen.