IAM legt die Hürden für Hacker höher
Von Florian Probst und Günter Thiel, TÜV Rheinland
Der Kanton Aargau ist ein innovativer Hightech-Hotspot in privilegierter Lage, mitten im stärksten wirtschaftlichen Zentrum der Schweiz. Dadurch ist die Region ein bevorzugter Standort für Einwohner und Firmen, zieht aufgrund seiner Attraktivität aber auch vermehrt IT-Kriminelle an. Um den Hackern ihr Handwerk zu erschweren, betreibt die Kantonsverwaltung Aargau darum bereits seit einiger Zeit ein professionelles Identitätenmanagement. Nun war zur Aktualisierung des Systems die Migration auf eine neue Lösung erforderlich.
Ransomware sucht sich öffentliche Opfer
Die Entwicklung geht derzeit dahin, dass Berechtigungen immer dynamischer zu pflegen sind und in immer kürzerer Zeit vergeben werden, während Benutzer mit zunehmenden Identitäten und Accounts belastet werden, die sie als lästig empfinden und daher gerne umgehen. Häufig führt das zum Einsatz identischer Passwörter für mehrere, unter Umständen sensible Systeme und zu voneinander abweichenden Passwort-Policies unterschiedlicher Systeme. Hinzu kommt, dass die Kosten für Passwort-Rücksetzungen steigen. Das durchlöchert die IT-Sicherheit und spielt vor allem Angreifern in die Hände.
Seit nämlich Cybergangster vermehrt mit Ransomware-Erpressungen arbeiten, rücken öffentliche Verwaltungen, Versorger, Krankenhäuser und ähnliche Organisationen ins Fadenkreuz. Gegen den Schadwurm WannaCry im Frühjahr 2017 hätte zwar ein simples Windows Security Update geholfen, doch sonst sind überholte Rechte, vergessene Identitäten und mangelhaft kontrollierte Privilegien genau die Einfallstore für derartige Malware. Genau darum ist auch ein sorgsam aufgesetztes Identity and Access Management (IAM) von zentraler Bedeutung.
Für wen lohnt sich ein IAM?
Jeder, der sich beruflich in der internen IT-Umgebung bewegt, kennt das: In der Regel muss der User erst einmal seine Identität nachweisen (Authentisierung) und dann sein Recht (Autorisierung), dass er auf die Ressource bzw. Anwendung zugreifen darf. In welchem Umfang er berechtigt ist, darauf zuzugreifen, bestimmt die sogenannte Rolle, die ihm die Führungskraft zugedacht und die der Admin eingerichtet hat. Verwaltet werden Benutzer, Rollen und Berechtigungen in einem zentralen Identity-und-Access-Management-System. Hier können Benutzer, Rollen und Berechtigungen mit etablierten Prozessen angelegt, verwaltet und wieder gelöscht werden.
Ein umfassendes IAM reicht vom Rollen- und Passwortmanagement bis zu Zertifizierung und Reporting. (Bild: TÜV Rheinland)
Ein professionell aufgestelltes IAM ist sinnvoll für alle Organisationen, die dynamische Organisationsstrukturen produktiv abbilden wollen und Mitarbeiter, Geschäftspartner, Kunden oder Bürger einzubinden haben. Ziel des IAM ist es, Anwendungs- und Netzwerksicherheit aktiv zu steuern, unter anderem, indem sich Identitäten dynamisch pflegen und Berechtigungen automatisch provisionieren lassen. Berechtigungsvergaben und Rezertifizierungen sind so jederzeit transparent nachvollziehbar, doppelter Aufwand zur Pflege von Benutzerkennungen lässt sich vermeiden, Benutzer müssen sich nur einmal anmelden.
Die Vorteile:
- Prozessautomatisierung
- zeitnahe Einrichtung von Benutzern
- Nachvollziehbarkeit der Berechtigungsvergabe:
- Reports über alle vorhandenen Benutzer
- Reports der Berechtigungen eines Benutzers (inklusive Historie)
- Reports der Mitglieder einer Gruppe/Rolle (inklusive Historie)
- Reports über Grund und Genehmiger einer Berechtigungsvergabe
- Rezertifizierung von Berechtigungen
- Nachweis über eine ordnungsgemäß durchgeführte Prüfung der Berechtigungen aller Benutzer im Sinne des Need to know (oft mindestens jährlich)
- eine am tatsächlichen Bedarf orientierte Berechtigungsvergabe
Durchgehend wirksame IT-Sicherheitsstrategie
Zunächst war beim Kanton Aargau ein System von Sun Microsystems im Einsatz. Nach dem Verkauf des kalifornischen Softwarehauses an Oracle entschied sich der Kanton Aargau, auf die Lösung von Oracle umzusteigen. „Das IAM ist für die Wirksamkeit unserer IT-Sicherheitsstrategie von zentraler Bedeutung. Zugleich ist es eine wesentliche Grundlage für die aktive Weiterentwicklung eines modernen E-Governments“, sagt Benno Kissling, Sektionsleiter Applikationsmanagement beim Kanton Aargau. Unterstützung holte sich die deutsch-schweizerische Verwaltung bei TÜV Rheinland. Insgesamt forderte das Projekt die Erfahrung und Kompetenz eines fünfköpfigen Expertenteams und der Spezialisten des Kantons Aargau über 14 Monate hinweg. Die IAM-Fachleute verfügen über ausgewiesene Erfahrungen in der Implementierung beider Systeme, die umfangreiche Programm-Anpassungen erforderten.
Florian Probst und Günter Thiel sind Senior Consultants mit Fachgebiet Identity und Access Management, Public-Key-Infrastrukturen und Risikomanagement bei TÜV Rheinland, der für den Schweizer Kanton Aargau 2014/15 die Umstellung und Modernisierung des IAM-Systems besorgte. TÜV Rheinland leistete Unterstützung von der Planung über die Implementierung bis hin zum Produktivbetrieb. Seit dem Rollout begleitet TÜV Rheinland den Kanton im laufenden Betrieb sowie mit gezielten Schulungen.
TÜV Rheinland, Am Grauen Stein, 51105 Köln, Tel.: 0221-806-9000, www.tuv.com/iam
Die Aufgabe bestand darin, den Oracle Identity Manager auf der Basis des aktuellen Ist-Stands des Sun Identity Management Systems zu konzipieren und die Migration von Sun auf Oracle IDM in die Produktion zu planen und umzusetzen. Zu einem der ersten Schritte gehörte es daher, gemeinsam mit dem Auftraggeber den Ist-Stand des bestehenden Sun-IAMs und die zukünftigen fachlichen und technischen Anforderungen an die Oracle-Implementierung zu ermitteln.
Im nächsten Schritt verschafften sich die Experten einen Überblick über die Komplexität des gesamten Projekts: Welche Berechtigungsprozesse sind notwendig? Welche Sonderlocken gibt es? Im Falle des Kantons Aargau waren die Berechtigungsworkflows relativ komplex, darüber hinaus war pro User eine Vielzahl an Attributen zu bewältigen. Überdies stand bereits fest, dass die Telefonie-Anbindung mittelfristig wegen der Umstellung auf Voice over IP aus dem bestehenden Legacy-System ins Active Directory umziehen musste.
Alle Faktoren erforderten eine relativ komplexe Logik. Auf dieser Basis entwickelten die Experten ein Architekturkonzept inklusive Prozess-, Identitäts- und Rollenkonzept, das die ausdrücklichen Bedürfnisse des Kantons Aargau berücksichtigte.
Migration mit Entwicklung, Test und Produktion
Die Migration erfolgte sukzessive nach Benutzergruppen, allerdings – um die hohe Verfügbarkeit aller angebundenen Systeme zu gewährleisten – in einem überschaubaren Zeitfenster. Da der Kanton Aargau auch an das BIT (Bundesamt für Informatik) angeschlossen ist, über das die Zertifikate für die gesamte Schweiz verwaltet werden und auf das auch jeder normale Bürger zugreifen kann, kam der Verwaltung von Zertifikaten im Oracle IDM ein besonders hoher Stellenwert zu.
Zu den Herausforderungen des gewachsenen Systems, das über den Quellcode hinaus nicht dokumentiert war, zählte unter anderem die Migration von fünf Benutzertypen und neun Systemen, das Aufspüren und Aufklären von Inkonsistenzen sowie die konsequente Bereinigung der Datenqualität, die zum Beispiel auch scheinbar kleine, aber in der Praxis problematische Details wie den Missbrauch von Eingabefeldern künftig vermeiden sollte.
Um Performance und Authentisierung zu erproben, konfigurierte TÜV Rheinland im Auftrag des Kantons drei Umgebungen für Entwicklung, Test und Produktion. Die Bewährungsproben für Konzept, Infrastruktur und Prozesse verliefen erfolgreich, der Launch des Pilots und der Flächenrollout erfolgte 2015. Zum Abschluss des Kernprojekts erstellte der Dienstleister außerdem eine detaillierte, heute mehrere hundert Seiten umfassende Dokumentation. Sie stellt eine wichtige Basis für alle weiteren Arbeiten am lebenden System und dessen Fortentwicklung dar. „Angesichts der Komplexität unseres bereits implementierten IAM war der Systemwechsel für uns eine gewaltige Herausforderung, die wir ohne externe Unterstützung wohl nicht gemeistert hätten“, resümiert Benno Kissling. „Die Zusammenarbeit mit TÜV Rheinland war für uns zu jedem Zeitpunkt das Rundum-sorglos-Paket.“ Der Kanton Aargau habe sehr davon profitiert, dass die Fachleute beide Systeme beherrschen.
Sicher vor Ort – und in der Cloud
Weil eine leistungsfähige und flexible IT-Infrastruktur in Unternehmen und Verwaltung ohne den Einsatz von Cloud-Diensten heute kaum noch denkbar ist, empfiehlt sich eine stärkere Verzahnung von IAM- und Cloud-Strategie. IAM und Cloud sind die neuen Perimeter der Organisation, und eine stärkere Verzahnung kann bedeuten, ein zentrales IAM-System auch für die Cloud Services zu verwenden. Nicht umsonst haben die Cyber Security Trends 2017 für Unternehmen und die öffentliche Hand die Kombination IAM und Cloud bereits als das „neue Traumpaar“ ausgerufen.
Steuern lässt sich der Zugriff auf die Cloud-Services durch ein bereits vorhandenes lokales IAM-System. Dort wird nach wie vor der Benutzer angelegt. Nach einer Genehmigung durch den Vorgesetzten legt das Identity-Management-System den Benutzer in allen erforderlichen weiteren Systemen an, zum Beispiel eben in einer externen Cloud-Anwendung.
Alternativ dazu lässt sich auch das komplette IAM-System in die Cloud auslagern. Benutzer, Rollen und Berechtigungen werden in diesem Falle sowohl lokal als auch in den entfernten Systemen aus dem Cloud-IAM heraus verwaltet. Das Ergebnis: eine erhöhte Agilität und Effizienz sowie ein echter Sicherheitsgewinn auf allen Ebenen innerhalb der Organisation.