Die Netzwerksegmentierung ist seit langem als Strategie zur Stärkung der IT-Security in der Unternehmenswelt etabliert. Mithilfe von Maßnahmen wie Routern, Firewalls und VLANs teilen Sie Ihr Unternehmensnetzwerk in kleinere Teilnetzwerke auf. So begrenzen Sie den Schaden von Cyberangriffen, indem Sie die laterale Bewegung der Angreifer im Netz einschränken. Sie können die Bewegung von Identitäten über bestimmte Kontrollpunkte nachvollziehen und einschränken. Diese Art des Schutzes hat jedoch eine große Schwachstelle.
Stellen Sie sich vor, ein Eindringling hat eine legitime Identität innerhalb Ihres Unternehmens erbeutet. Nun kann er sich im gesamten Bereich Ihres Systems bewegen, für den die Identität freigeschaltet ist, ohne eine Entdeckung befürchten zu müssen. Glücklicherweise gibt es für dieses Risiko eine Lösung.
Mit Hilfe der Identitätssegmentierung ist Ihr Sicherheitskonzept nicht nur am System, sondern auch an den einzelnen Identitäten darin ausgerichtet. Sie ordnen jede Identität in eine oder mehrere Gruppen ein. Beispiele dafür sind Standort, Abteilung und Rolle. Jeder Gruppe weisen Sie bestimmte Zugriffsberechtigungen zu. Sobald eine Identität auf einen Teil des Netzwerkes zugreifen möchte, für den eine ihrer Gruppen keine Berechtigung hat, wird der Zugriff verweigert.
Worauf Sie bei der Identitätssegmentierung achten müssen
Wie oben bereits beschrieben, sollten Sie die Zugriffsberechtigung jeder Identität davon abhängig machen, welchen Gruppen sie zugewiesen ist. Die Gruppen und jeweils zugeordneten Berechtigungen sollen so gestaltet sein, dass jede Identität nur die Berechtigungen erhält, die für ihre Arbeit benötigt werden. Es gibt jedoch noch weitere Prinzipien, die Sie befolgen sollten, um Ihre IT-Security zu stärken.
Anwendungs- und Verwaltungsidentitäten separat: Die meisten Produkte bestehen aus zwei Ebenen. Die erste Ebene ist die operative Ebene. Hier arbeiten die Nutzer mit den Funktionen, die die Anwendung anbietet. Die zweite Ebene ist die administrative Ebene. Hier kann das Produkt, dessen freigeschaltete Funktionen und dessen Einstellungen angepasst werden. In der Regel bearbeiten unterschiedliche Identitäten die beiden Ebenen. Daher sollten Sie auch die Zugriffsberechtigung für die Ebenen aufteilen. So kann der Zugriffsradius genauer auf das jeweilige Aufgabengebiet zugeschnitten werden.
Sie sollten bei der Berechtigung außerdem nach dem „Least Privilege“ Prinzip vorgehen. Dieses besagt, dass immer die geringstmöglichen Berechtigungen vergeben werden. Im Zweifel sollten Sie lieber im Nachhinein die Berechtigungen einer individuellen Identität ausweiten, als Berechtigungen zu vergeben, die nicht zwingend benötigt werden.
Wenn Sie mehr darüber erfahren wollen, wie genau Sie mit Hilfe des „Least Privilege“ Prinzips Ihre Zugriffskontrolle gestalten können, lesen Sie hier weiter.
Planung ist alles
Wenn Sie die Identitätssegmentierung entlang der oben beschriebenen Prinzipien implementieren, kann Ihre IT-Security viel davon profitieren. Diese Prinzipien setzen jedoch eine genaue Kenntnis der Struktur Ihres Unternehmensnetzwerkes voraus. Außerdem benötigen Sie eine Liste aller Identitäten und derer Aufgabenfelder, um sicherzustellen, dass jede Identität die benötigten Berechtigungen erhält.
Wenn Sie bereits eine Netzwerksegmentierung besitzen, kann diese ein guter Ausgangspunkt für Ihre Planung sein. Sie hilft Ihnen, Ihr gesamtes Netzwerk im Blick zu halten und die Analyse der Berechtigungen kann bei der Definition sinnvoller Identitätsgruppen helfen. Die Anzahl und Art der Gruppen kann sich nämlich je nach Unternehmensaufbau und Größe unterscheiden.
In jedem Fall sollten Sie vor der Implementierung einen guten Überblick und Plan haben. Ist dies nicht der Fall, kommt wahrscheinlich ein großer Mehraufwand mit mittelmäßigem Ergebnis auf Sie zu.
Vorteile der Identitätssegmentierung
Jetzt wissen Sie, wo der Unterschied zwischen der Netzwerksegmentierung und der Identitätssegmentierung liegt. Doch was sind die großen Vorteile der Identitätssegmentierung?
1. Vereinfachte Arbeitsabläufe
Bei der Einführung der Identitätssegmentierung definieren Sie Gruppen, in die alle Identitäten Ihres Unternehmens eingeteilt werden. Zusätzlich bestimmen Sie, welche Gruppen auf welche Teile des Netzwerks Zugriff haben. Wenn Sie jetzt eine neue Identität in Ihr Unternehmen integrieren, müssen Sie nur entsprechend eingruppieren und nicht ihre Berechtigung für alle Kontrollpunkte einzeln eintragen.
2. Einfache Skalierung
Wenn Sie Ihr Netzwerk erweitern, müssen Sie bei der reinen Netzwerksegmentierung für jedes neue Teilnetzwerk die Berechtigungen aller Identitäten einzeln eintragen. Dies ist zeitaufwändig und aufgrund des höheren Arbeitsaufwands ist der Prozess auch fehleranfälliger. Mit Hilfe der Identitätssegmentierung müssen Sie wieder nur die definierten Gruppen, die zum Zugriff berechtigt sind, zuweisen.
3. Automatisierung
Die Identitätssegmentierung erleichtert Ihnen die Automatisierung Ihres IT-Security Systems. Die Daten für die Eingruppierung der Identitäten werden in der Regel bei der Anschaffung/Einstellung sowieso erhoben. So werden in der Regel Standort, Abteilung und Rolle/Zweck für neues Personal und neue Geräte festgehalten. Diese Informationen können Sie für die automatische Eingruppierung verwenden. Wenn Sie Änderungen an diesen Stammdaten vornehmen, können diese ebenfalls automatisch überspielt werden. So müssen Sie die Berechtigungen nicht mehr manuell bearbeiten.
Bei Fragen oder Anregungen zum Thema Zero Trust Security, IT-Security oder Security Governance stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.
