PIAM: physische und logische Zugangssicherung kombinieren

Schutz vor Sabotage und Datendiebstahl lässt sich nur durch eine Kette von Maßnahmen erreichen – und diese ist immer nur so stark wie ihr schwächstes Glied. Physical Identity and Access Management ist zentrale Berechtigungsverwaltung für alle Anwendungen im Unternehmen – die Kombination aus Zugangsberechtigung und gesichertem Login. Dabei ist die praktikable Umsetzung ebenso wichtig wie das Sicherheitskonzept.

PIAM – Physical Identity and Access Management heißt die zentralisierte Verwaltung von physischem Zutritt und logischem Zugriff.

Unsere Wirtschaft und die kritischen Infrastrukturen sind in Gefahr: Auf mehr als 223 Milliarden Euro summiert sich der Schaden durch Datendiebstahl, Industriespionage oder Sabotage in Unternehmen in Deutschland, allein im Jahr 2021^[1]. Eine Bitkom-Studie stellt fest: Neun von zehn Firmen wurden bereits Opfer von Cyberattacken.^[2] Dabei sind Ransomware-Angriffe Treiber eines enormen Anstiegs: „Die so verursachten Schäden haben sich im Vergleich zu den Vorjahren 2018/2019 mehr als vervierfacht (+358 Prozent)“, meldet der Branchenverband. Dass Computerkriminalität buchstäblich die Räder stillstehen lässt, musste Oiltanking erfahren: Der Tankstellenzulieferer konnte keine Treibstoffe mehr aus seinen 13 Lagern liefern.^[3] Kürzlich warnte der Verfassungsschutz vor chinesischen Hackern, die Betriebsgeheimnisse ins Visier nehmen und sogar für Attacken auf westliche Regierungsstellen verantwortlich gemacht werden.^[4] Spuren der jüngsten Cyber-Angriffe auf die Ukraine führen nach Belarus und Russland.^[5] Diese Liste ließe sich noch beliebig fortführen. Cyber-Attacken sind Teil des organisierten Verbrechens und der verdeckten Kriegsführung.

Social Engineering gilt dabei auch in der Bitcom-Studie als wichtigstes initiales Einfallstor für Hacker und Cracker. Bei 41 Prozent der befragten Unternehmen gab es zuletzt Versuche, durch Manipulation von Beschäftigten Passwörter abzugreifen – 27 Prozent der Befragten gaben an, unter anderem per Telefon kontaktiert worden zu sein, 24 Prozent per E-Mail. Im Zuge der Corona-Pandemie mit sehr heißer Nadel gestrickte Home-Office-Konzepte haben hier neue Lücken aufgerissen.

Dynamische Passwörter und Zwei-Faktor-Authentisierung können den Angreifern durchaus das Leben schwer machen. Viele Unternehmen scheuen allerdings den hohen Aufwand gängiger Sicherheitskonzepte – sowohl bei deren Implementierung als auch im laufenden Betrieb.

Denn ein gesichertes Login bleibt nutzlos, wenn sich betriebsfremde Personen allzu leicht Zugang zum Firmengelände verschaffen können. Dann lassen sich schnell Daten an gerade nicht genutzten, aber noch eingeloggten Terminals stehlen oder mit einem einfachen Netzwerkkabel zumindest physikalische LAN-Verbindungen herstellen.

Logische Zugangsbeschränkungen ohne physische Barrieren sind also nichts wert – und umgekehrt. In vielen Sicherheitskonzepten haben sich für die beiden einander ergänzenden Abschirmungskonzepte allerdings zwei oder mehr getrennte Welten etabliert. Das führt nicht nur zu unnötigem Verwaltungsaufwand, sondern auch zu Sicherheitslücken: Schnell wird vergessen, dass beim Ausscheiden eines Mitarbeiters sowohl seine Smartcard fürs Büro als auch sein VPN- und PC-Login gesperrt werden muss – und zwar bei allen Filialen und Außenstellen und bei allen Servern.

Gerade in der modernen Arbeitswelt, mit ihren immer heterogener werdenden Strukturen und einem rasant steigenden Bedrohungspotenzial, ist also eine zentralisierte digitale Identität für jeden Mitarbeiter wichtiger denn je: Sämtliche Sicherheitssysteme, logisch wie physisch, beziehen ihre Zugangsparameter aus einem einzigen Datenbestand. Jede Berechtigung braucht nur einmal angelegt zu werden – und lässt sich mit einem Mausklick wieder aufheben.

Für den Mitarbeiter bedeutet dieses System in jedem Fall mehr Komfort: Er kann mit seinem Sicherheitsausweis alle für ihn vorgesehenen Räume betreten, seinen Office- oder Home-Office-Rechner einloggen, seinen Spind aufschließen, in der Kantine bezahlen oder in die Tiefgarage einer anderen Filiale einfahren. Für das Unternehmen gewährleistet die zentrale digitale Identität maximale Sicherheit – aber auch die Vermeidung redundanter Datenpflege.

Bei evolutionID haben wir das Sicherheits- und Rationalisierungskonzept PIAM bereits verwirklicht – mit unserer webbasierten Enterprise-Lösung IDfunction. Sie ermöglicht die dezentrale Verwaltung einer zentralisierten Datenbasis, die alle relevanten Sicherheitssysteme in Echtzeit mit den erforderlichen Zugangsdaten versorgt. Das intern sehr sichere, aber in der Administration sehr offene Konzept ermöglicht dabei eine Vielzahl praktischer und kostensparender Features, zum Beispiel die automatische Akquise von Ausweisbildern, die sogar mit Consumer-Endgeräten aufgenommen werden können.

Ein stringenter Schutz von Gebäuden und Rechnern muss also keineswegs mit hohem Aufwand und entsprechend hohen Kosten verbunden sein. Werden die Sicherheitswelten elegant miteinander kombiniert, können sowohl die Security als auch das Controlling der Zukunft gelassen entgegensehen.

—

[1] Quelle: Statista
[2] Quelle: Bitkom
[3] Quelle: Handelsblatt
[4] Quelle: Spiegel
[5] Quelle: Zeit Online