IT-Risiko-Management vor neuen Herausforderungen

Die Beachtung der Security-Themen wird durch verschiedene Risiken getrieben, die sich im Wesentlichen aus der zunehmenden Digitalisierung und damit verbundenen Integration des Internets ergeben. Reagiert wird auf diese Risiken mit formalen Vorgaben des Gesetzgebers (wie z. B. Cybersecurity Act, IT-Sicherheitsgesetz 2.0, KRITIS, DSGVO), die oft noch durch die Branchenverbände bzw. Aufsichtsbehörden untersetzt werden. In dem hier beschriebenen Security-Paket haben wir einige Security-relevante Funktionen zusammengefasst und einen attraktiven Paket-Preis definiert. Schwerpunkt des bi-Cube Security-Pakets ist der bi-Cube Access Manager. Folgende Funktionen bzw. Services sind im bi-Cube Access Manager enthalten.

Sicherheit Schlüssel
bi-Cube Access Manager
AD PW-Control
In einigen Unternehmen werden Kennwortänderungen für interaktive Benutzerkonten von Microsoft zu anderen Systemen (SAP) über bi-Cube synchronisiert. Um eine nahtlose Synchronisation der von Windows akzeptierten Kennworte zu angebundenen Zielsystemen zu ermöglichen und somit Fehler beim Kennwortwechsel zu vermeiden, bietet die OEDIV SecuSys GmbH nun einen erweiterten Service an. Weitere Informationen
Admin-Control für Admin-Berechtigungen auf Servern
Ein besonderes Risiko stellen die hohen Berechtigungen der Administratoren dar, die üblicherweise direkt auf den Servern definiert werden. Hier bietet sich eine zentrale Steuerung dieser Accounts an. Dieser Service ist direkt mit dem User-Life-Cycle und dem Rollen-Manager von bi-Cube verbunden und sorgt für die passende Verwaltung der Admin-Accounts auf den Servern. Dies trifft für Stand-Alone-Server als auch für Domain-integrierte Server zu. Zwei Besonderheiten sind zu nennen:
  1. In einer parallelen Transaktion werden die Passwörter eines Admins auf allen „seinen“ Servern gewechselt, womit eine zentrale Anforderung der ISO 27009 erfüllt ist.
  2. In die zentrale Verwaltung können sowohl Windows- als auch Unix-Server einbezogen werden.
In einem Systemhaus arbeitet dieser Service z. B. für ca. 1.300 Server (Win und Unix im Mix).
PSA (Privilegierte Shared Accounts)
Administratoren verfügen über weitreichende Zugriffsberechtigungen. Die ständige Verfügbarkeit kritischer Berechtigungen erhöht jedoch das Risiko missbräuchlicher Nutzung. Mit Privileged Shared Accounts bietet bi-Cube die Lösung zur Zuweisung sicherheitsrelevanter Berechtigungen, die in ihrer Nutzung einer besonderen Kontrolle unterliegen. Weitere Informationen
PW Self-Service

Ein Sicherheits- und gleichzeitig Automatisierungs-Service stellt dem User verschiede Möglichkeiten zur Verfügung, seine Kennwörter zu ändern.

  1. Im adaptiven Workplace gibt es diese Funktion für alle Accounts der User, die von bi-Cube verwaltet werden.
  2. In der Windows-Anmeldung selbst ist eine „Kennwort vergessen“-Funktion integriert.
  3. Über eine Funktion in der App bi-Cube GO ist es ebenfalls möglich, alle Kennwörter zu ändern.
Sichere Selbstregistrierung

Im Zuge der Ausweitung von bi-Cube auf C-IAM-Lösungen besteht eine Variante darin, dass sich ein User (Kunde, Interessent, Leser) selbst im System registriert. Hierbei ist es, abhängig von der Risikostufe der bereitgestellten Funktion, eine gesicherte Identifikation des Users bereitzustellen. Hier bietet bi-Cube drei Varianten, je nach Risikostufe.

TFA-Möglichkeiten: SMS-, Soft- und Mobile Token
Für eine gesicherte 2-Faktor-Authentifikation stellt bi-Cube drei Varianten eines Token (OTP) und die Mail-Identifikation mittels eines zugesandten Token zur Verfügung. Weitere Informationen
ID-Provider
Zahlreiche Anwendungen, zahlreiche Kennwörter – eine zentrale Lösung zur Authentifizierung erspart Mitarbeitern im Unternehmen viel Ärger und dem User Help Desk viel Arbeit. bi-Cube übernimmt mit seinem Identity Provider die sichere Authentifizierung der Nutzer an Webanwendungen und realisiert damit die Funktion der Federation. Eine Anmeldung am bi-Cube Workplace ermöglicht damit den Zugriff auf das Intranet des Unternehmens und zahlreiche externe Webanwendungen. Weitere Informationen
Web SSO
WebSSO

Web SSO ist eine Kombination des bisherigen SSO mit dem ID-Provider. Es ist ein wichtiges Sicherheitsthema, wo die ID-Daten des Users liegen: in einem US-amerikanischen System (Facebook, Google usw.), auf einem eigenen Server oder zumindest auf einem vertrauenswürdigen Server in Deutschland. Eine eigene Kachel auf der Startseite des bi-Cube Workplace erweitert damit das bi-Cube Serviceportal um alle Anmeldungen der anderen Anwendungen des Users

Berechtigung VPN-Zugang

Berechtigung, VPN zu nutzen: In bi-Cube wurde ein Antragsprozess für einen VPN-Zugang bereitgestellt. Dieser Antrag kann so indiziert werden, dass er nur ausgewählten Usern (z. B. nur internen Mitarbeitern des User-Help-Desk) zur Verfügung gestellt wird. Mit Freigabe wird der User der entsprechenden AD Gruppe zugefügt. Ergänzend kann diese Berechtigung in einer Rolle mit weiteren Berechtigungen verbunden werden.

L2TP over IPsec - Zugang für Mitarbeiter mit UnternehmensPCs/Notebooks
Diese Art der VPN-Verbindung ist für Computer gedacht, die dem Mitarbeiter vom Unternehmen bereitgestellt wurden, da jeglicher Datenverkehr über den VPN-Tunnel gesendet wird.

VPN - L2TP over IPsec

Für den Verbindungsaufbau benötigt der Mitarbeiter seine Active-Directory-Zugangsdaten und einen Preshared Key. Der Pre-shared Key wird benötigt, damit die Firewall die Verbindungsanfrage annimmt. Danach fragt die Firewall den RADIUS-Server, ob eine Verbindung mit diesen AD-Zugangsdaten aufgebaut werden darf. Der RADIUS-Server überprüft mithilfe des Domain-Controllers die Korrektheit der Zugangsdaten sind und ob der User berechtigt ist, VPN zu nutzen. Die Berechtigung wird bei uns zurzeit über eine Gruppe im AD gesteuert. Wenn Zugangsdaten und Gruppenmitgliedschaft überprüft wurden, wird der VPN-Tunnel geöffnet.
OpenVPN - Zugang für Mitarbeiter mit ihrem privaten PC
Diese Art der VPN-Verbindung ist für Nutzer gedacht, die mit ihren Privat-Computern den VPN-Tunnel öffnen, da nur der Datenverkehr, der für das Firmennetzwerk bestimmt ist, auch dorthin geroutet wird. Für den Verbindungsaufbau benötigt der Mitarbeiter seine AD Zugangsdaten und die Sophos Authenticator Token App. Initial muss der Mitarbeiter in der Token-Generator App einen Schlüssel hinterlegen. Diesen Schlüssel erhält er bei der Erstanmeldung am Nutzerportal. Danach wird alle 30 Sekunden auf dem Handy und der Firewall ein neues Einmalpasswort (OTP) erzeugt. Bei dem Verbindungsaufbau muss der Mitarbeiter nun sein AD-Kennwort + OTP eingeben, um die Verbindung aufzubauen. Die Firewall überprüft nun mittels LDAP, ob die Zugangsdaten korrekt sind und ob der User die Mitgliedschaft der VPN-Gruppe innehält. Wenn Zugangsdaten und Gruppenmitgliedschaft überprüft wurden, wird der VPN-Tunnel geöffnet.

OpenVPN

Verfahren des IT-Risiko-Managements

Risiko-Metrik der User/Berechtigungen
Auf Basis der SC kann mithilfe der Risk-Metrik ein Risiko-Maß für jeden User berechnet werden. Über ein mathematisches Aggregationsverfahren wird das Risk-Level eines jeden Users ermittelt und dargestellt. Über eine weitere Aggregations-Stufe kann das Risk-Level eines ganzen Bereiches ermittelt werden. Diese Risiko-Analysen sind dann die Basis geeigneter Maßnahmen zur eventuell erforderlichen Reduzierung des Risikos eines Bereiches und der Analyse von Anhäufungen risikobehafteter Kompetenzen eines Users.
Security Classification (SC)

Die Security Classification (SC) ist die Basis das Risiko-Managements! Jeder User, jedes Objekt und jedes Attribut kann mit einer Security Classification versehen werden. Damit ist die Basis für ein übergreifendes Risiko-Management gelegt. Die SC steuert diverse Prozesse und Reports. Ein Mapping der SC des Users mit der des Objektes, das er beantragt, reduziert den Zugang zu Berechtigungen, die seiner Risiko-Einstufung nicht entsprechen. Dies ist ein Vorteil gegenüber anderen Systemen am Markt, die dem User alles zum Antrag bereitstellen, was es gibt und überlassen die Entscheidung dann dem Freigeber (z. B. ServiceNow). Diese Freizügigkeit öffnet Sicherheitsverstößen Tür und Tor und ist als problematisch zu bewerten.

Dedizierte Admin-Rollen (Job-Family-Admins)

Durch die Rollen der Job-Family ‚IT-Admin‘ sind die einzelnen Admin-Bereiche streng in die Modellierer und Operatoren getrennt, womit sich die auch für diesen Bereich wichtigen SoD-Regeln sicherstellen lassen.

Der Super-Admin steht nur zum Aufsetzen des Systems zur Verfügung. In einem eventuellen Notfall kann der bi-Cube Account dieser Rolle durch den PSA-Prozess in bi-Cube personifiziert und zeitlich limitiert bereitgestellt werden.

Zu beachten ist, dass jede Admin-Rolle mit der Absolvierung des entsprechenden Online-Schulungspaketes und des damit zu erreichenden Zertifikats verbunden ist.

Geregeltes Richtlinien-Management

Die bi-Cube Produktsuite verfügt über einen umfangreichen Satz generischer Prozessmodelle, die im Rahmen der Softwarelösung für das Identity & Access Management in jahrelanger Projekterfahrung entwickelt wurden. Speziell für das Richtlinienmanagement steht der Prozess der Re-Confirmation bereit. Der Prozess zur Bestätigung und Wiederbestätigung von wichtigen Unternehmensrichtlinien und Betriebsinformationen im bi-Cube Web Portal: einfach, automatisiert und nachvollziehbar mit dem Prozess Re-Confirmation.

Weitere Informationen

bi-Cube IAM als DSGVO-Repository (Verfahrensdokumentationen) und -Monitor

Für Unternehmen, die personenbezogene Daten von EU-Bürgern speichern, ergibt sich durch die Anforderungen der EU-DSGVO die Notwendigkeit einer neuerlichen Prüfung von internen Datenverarbeitungsprozessen und die Ergreifung entsprechender Maßnahmen. Um ein DSGVO-konformes Schutzniveau für gespeicherte personenbezogene Daten zu erreichen, müssen die Risiken in Bezug auf Vernichtung, Verlust, Veränderung, unbefugtem Zugriff und unbefugter Offenlegung minimiert werden. bi-Cube unterstützt Sie dabei.

Interesse an dem bi-Cube Access Manager?

Wenden Sie sich gerne direkt telefonisch an uns oder schreiben Sie uns eine Nachricht!