Komplexe IT-Infrastrukturen sind mit vielfältigen Bedrohungen konfrontiert. Die Abstände von Schlagzeilen über Einbrüche in Unternehmen unterschiedlicher Branchen werden kürzer. Stärkere Kontrollen sind daher nicht länger nur eine Frage der Compliance.

Unternehmen, die meinen, sie könnten ohne automatisierte Kontrollsysteme, wie etwa professionelle Identity- und Access-Management-Lösungen (IAM), ihre Risiken einschätzen, Kosten vermeiden und Audits ohne schmerzhafte Folgen überstehen, haben etwas versäumt. Sie haben es entweder verpasst, den notwendigen Weitblick in ihrer Unternehmenskultur zu etablieren, oder sie haben ihre IT-Strategie unzureichend mit ihrem Risikomanagement abgeglichen. Ausserdem mangelt es so mancher Unternehmensleitung an den richtigen Managementmethoden. Bei einigen Unternehmen fehlt auch Klarheit darüber, welche regulatorischen und gesetzlichen Fallstricke lauern. So kann eine Bagatelle zum Desaster werden.

Multi Faktor Authentifizierung (MFA)

Beispiel Password Policy

Eine durch IT-Governance erlassene und im besten Fall mit durchgängig technischen Massnahmen durchgesetzte Passwort-Regelung sollte in jedem Unternehmen eingesetzt werden. Allerdings zeigt sich bei einer genaueren Betrachtung, dass eine unternehmensweit geltende Password Policy keineswegs eine Universallösung sein kann.

Dies gilt insbesondere für unternehmenskritische Bereiche. Denn während in einigen nicht kritischen Teilen eines Unternehmens statische Policies ausreichen, müssen kritische Bereiche mit einem unterschiedlichen Schutzniveau klassifiziert werden. Letztlich sollte ein gelebtes Risikomanagement die Sicherheits-Policies eines Unternehmens gestalten und nicht umgekehrt.

Neue Regeln fordern die IT-Abteilungen

Regulierende Instanzen wie etwa Branchenverbände und Zulassungsbehörden haben die Sicherheitsrisiken bei Unternehmen und den damit erforderlichen, zusätzlichen Schutzbedarf erkannt. Einige von ihnen passten ihre Standards entsprechend an.

Zu diesen Sicherheitsstandards zählt der Data Security Standard (DSS) der Payment Card Industry. Der PCI-DSS-Standard muss von Unternehmen umgesetzt werden, die Kreditkartendaten speichern, verarbeiten oder übertragen. Dies können unter anderem Handelsketten, verarbeitende Betriebe oder Serviceprovider sein. Ab 2018 verpflichtet der PCI-DSS-Standard in seiner aktuellen Fassung (Version 3.2, April 2016) Unternehmen dazu, den administrativen Zugriff auf die sogenannte «Cardholder Data Environment» (CDE) nur mit einer Multi-Faktor-Authentifizierung zu erlauben. Der Standard schreibt für Anwender mit administrativen Rechten neben der ­Authentifizierung mittels Passwort­eingabe einen zusätz­lichen Authentifizierungsfaktor vor. Dieser muss sich in seiner Art von der Natur eines Passworts klar unter­scheiden. Dieser zusätzliche Authentifizierungsfaktor kann zum Beispiel ein sogenannter Soft-Token oder eine Smartcard sein. Auch biometrische Systeme für die ­Authentifizierung können genutzt werden. Hierzu zählen etwa individuelle biometrische Merkmale von Anwendern, wie der Fingerabdruck, das Stimmmuster oder der Iris-Scan.

Die CoreOne Suite bietet sichere MFA Verfahren

Die CoreOne Suite von ITSENSE bietet verschiedene Multi-Faktor-Authentifizierungsverfahren an um höchsten Sicherheitsstandards gerecht zu werden. Nehmen Sie heute noch Kontakt mit uns auf – unsere IAM Experten stehen Ihnen gerne zur Verfügung.

Netzwoche
Newsletter