Identity Management

Versteckte Risiken bei einer isolierten Betrachtung der IT-Sicherheit staatlicher Behörden

, München, SailPoint | Autor: Volker Sommer

Versteckte Risiken bei einer isolierten Betrachtung der IT-Sicherheit staatlicher Behörden

Fachkräftemangel und Digitalisierung: Gefahrenniveau steigt

Von Volker Sommer, SailPoint

Volker Sommer, SailPoint

Wie Anfang Mai dieses Jahres bekannt wurde, kam es in Österreich zum wohl größten Datenschutzskandal innerhalb der Republik – Daten von einer Million Bürgern seien zeitweise frei im Netz zugänglich gewesen sein, der Fall betraf auch Spitzenpolitiker. Die Informationen waren offenbar über ein auf der Homepage des Wirtschaftsministeriums zugängliches Register einsehbar. Konkret handelte es sich um Namen, persönliche Adressen und Geburtstage, aber auch einzelne Steuerdaten waren frei verfügbar. Offenbar existierte die öffentliche Datensammlung schon länger, fiel Abgeordneten der Oppositionspartei Neos aber erst im Zuge der Abwicklung eines Härtefallfonds wegen der derzeitigen Corona-Pandemie auf. Die Nutzung sei wohl mitunter durch das Finanzamt, das Finanzministerium und die Wirtschaftskammer erfolgt. Der Fall offenbart, wie schnell sensible Daten selbst in der staatlichen Verwaltung kompromittiert werden können. Doch wie können öffentliche Organisationen so einen Vorfall vermeiden?

IT-Abteilungen von Regierungsbehörden werden notorisch vernachlässigt. Häufig fehlt es ihnen an Ressourcen oder Budget für ihren Betrieb, und die Angestellten sind am Ende sehr reaktiv, können nur grundlegende Anfragen bearbeiten und sind nicht in der Lage, proaktiv auf längerfristige Anforderungen zu reagieren.

Hinzu kommen Fragen der Cyber Security in einer Zeit, in der sich die staatliche Infrastruktur immer attraktiver für Bedrohungsakteure und staatlich geförderte Hacker aus aller Welt erweist. Während Interkonnektivität, Cloud- und Mobile-First-Strategien heute die moderne Organisation vorantreiben und eine bessere Zusammenarbeit ermöglichen, führen sie auch zu einem erhöhten Bedarf an Zugang zu Anwendungen und Daten. Bezogen auf die Regierungsebene kann dies bedeuten: Zugriff auf Daten und teilweise streng geheime Informationen, die die nationale Sicherheit beeinflussen können.

Verhinderung von Informationsverlust hat oberste Priorität: Kontrolle ist wichtig

Eine kürzlich von EY durchgeführte Umfrage ergab, dass 56 Prozent der Befragten die Verhinderung von Datenlecks und Datenverlusten als hohe Priorität für ihre Organisation betrachten. 42 Prozent sind der Ansicht, eine zentrale Herausforderung für die Informationssicherheit sei es, zu wissen, wer Zugriff auf alle Ressourcen hat. Die Arbeit in Silos verschlimmert diese Herausforderung nur noch. Wenn Daten etwa unsachgemäß verarbeitet und verwaltet werden, kann dies enorme Risiken für die IT-Sicherheit der Regierung darstellen. Ein Beispiel: Ein hochrangiger Beamter verlässt seinen Posten, wichtige Daten werden nicht weitergegeben und/oder sein Zugriff wird beim Verlassen seiner Position nicht ordnungsgemäß widerrufen. Die Tatsache, dass ein solches Szenario fatale Auswirkungen haben kann, liegt auf der Hand.

Die heutigen Cyber-Bedrohungen werden immer raffinierter. Sie sind darauf ausgelegt, mehrere Angriffsvektoren ins Visier zu nehmen, Schwachstellen aufzudecken und schließlich einen Weg in das Netzwerk zu finden. Die Angreifer arbeiten zusammen, um den besten Weg in und um ein System herum zu finden – und in den meisten Fällen erfolgt der Eintritt in ein Unternehmen über ein kompromittiertes Benutzerkonto, das leicht unbemerkt bleiben kann, wenn der Zugriff zum Account nicht ordnungsgemäß geregelt ist.

Deshalb ist es unerlässlich, dass die IT-Sicherheitsabteilungen von Regierungsbehörden wissen, wer und in welchem Umfang Zugang zu den Unternehmenssystemen und den darin enthaltenen sensiblen Daten hat. Jedes Benutzerkonto – privilegiert oder nicht – muss verifiziert und überwacht werden, um sicherzustellen, dass der Zugriff ordnungsgemäß geregelt ist und dass das Benutzerkonto nicht kompromittiert wurde. Das bedeutet, dass die Sicherheits- und IT-Teams eng zusammenarbeiten müssen, um alle Benutzer und deren Zugriffslebenszyklus zu verwalten, wenn sie beitreten, innerhalb von Abteilungen wechseln und schließlich wieder gehen. In der Praxis ist dies jedoch weit von der Realität entfernt.

Cyber-Bedrohungen denken nicht nach Ressortzugehörigkeit

Das Denken in Abteilungs- und Aufgabenbereichen kann zu Silobildung führen, die ein Sicherheitsrisiko darstellt. Regierungsorganisationen können zu den am stärksten Segmentierten gehören, wobei strikte Grenzen aus politischen oder budgetären Gründen nicht überschritten werden können. Und wenn eine Gruppe nicht weiß, was die andere tut, wird es schwierig, den Zugang zu sensiblen Anwendungen und Daten richtig zu regeln.

Wenn sich Abteilungen nur auf die Genehmigung und Gewährung des Zugriffs auf Anwendungen und Daten konzentrieren, ohne die Rolle des Benutzers zu berücksichtigen, kann dies zu einer Überregulierung in der IT der Regierung führen. Benutzer können leicht zu viel Zugriff für ihre Rolle erhalten und unnötige Rechte auf Systeme und Daten erhalten. Durch die Überversorgung von Benutzern kann dies ein leichtes Ziel für Cyber-Angreifer darstellen, die zunehmend auf Benutzerkonten als einfachsten Weg in die Organisation abzielen.

Lösungen aus dem Bereich Identity Governance bestimmen, ob und wie Mitarbeiter auf alles von ihren E-Mails bis hin zu vertraulichen Dokumenten zugreifen können und sich mit Cloud- und Netzwerk-basierten Ressourcen verbinden. Solche Technologien werden implementiert, um sicherzustellen, dass nur die richtigen Personen auf die richtigen Systeme und Daten zugreifen. Weiterhin werden Benutzeraktivitäten kontrolliert und vor unbefugten Benutzern geschützt, die vertrauliche Informationen potenziell mitlesen oder preisgeben.

Eine umfassende Strategie zum Identity Management ist entscheidend für eine robuste IT-Security der Regierung

Eine stärkere Zusammenarbeit über Teams, Aufgabenbereiche und Abteilungen hinweg kann zu einem umfassenderen Ansatz für die Gesamtsicherheit der Organisation führen. Darüber hinaus ist es jedoch unerlässlich, dass die Verwaltung von Identitäten in den Mittelpunkt der heutigen Cyberstrategie gestellt wird, um Lücken oder blinde Flecken, die ein größeres Risiko für die Sicherheit der Abteilungen darstellen, effizient zu schließen.

Mit einem umfassenden Ansatz für das Indentity Management, der die Zugriffsanforderungen aller Benutzer abdeckt, können die IT-Sicherheitsteams der Behörden einen vollständigen Überblick darüber erhalten, wer auf welche Ressourcen Zugriff hat, was nicht nur zu effizienteren Zugriffsprotokollen, sondern auch zu konsistenteren und streng kontrollierten Zugriffsrichtlinien beiträgt.

Diese Art von stärkerer Zusammenarbeit und klarer Sichtbarkeit zwischen Benutzern und ihrem Zugang ermöglicht sicherere und effizientere Abläufe und hilft Mitarbeitern, gut geschützt auf die benötigten Unternehmensressourcen zuzugreifen, ohne ihr Arbeitstempo zu verlangsamen. In der Zwischenzeit können diejenigen im IT-Team, die für das Identity Management verantwortlich sind, jede Benutzeranfrage hinsichtlich Einhaltung, Angemessenheit und Sicherheit besser beurteilen.