28: Identity and Access Management

Diese Folge ist unser Beitrag zum European Cyber Security Month (ECSM) des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie dreht sich um Identity and Access Management (IAM) mit dem Schwerpunkt Benutzerrechte. Gäste diesmal:

• Dr. André Kudra, Vorstand der esatus AG, Experte für Informationsicherheitsberatung und Zugpferd hinter der Self-Sovereign Identity-Lösung ("SSI") "SeLF"
  Mit André hat Frank schon die Legal Bits-Folgen 5 ("Blockchains und Smart Contracts") und 20 ("CRM + DSGVO = Chance für ehrlichen Dialog?") gemacht.
  esatus AG ist sog. „Founding Steward“ (der erste in Deutschland) des Identitätsnetzwerkes Sovrin, das inzwischen mehr als 60 Stewards umfasst.
• Christian Schülke, Inhaber von schuelke.net - internet.security.consulting, Informationssicherheitspraktiker der ersten Stunde

Themen dieser Folge:

• Wie können Hacks geschehen bzw. wie können falsch gesetzte Benutzerrechte ein Risiko darstellen?
• Warum ist Benutzerrechteverwaltung in praktisch allen Unternehmen gleichzeitig kritisch und entweder unmöglich oder extrem aufwändig sauber zu verwalten?
• Wie kann man Benutzerrechteverwaltung aufsetzen/verbessern?

01:45: Vorstellung André und Christian

07:50: Ausgangsproblem: Unternehmen wird gehackt. Wie konnte es dazu kommen?

Christian erläutert verschiedene Szenarien von Hacking und fokussiert diejenigen, in denen (falsche) Benutzerrechte eine Rolle beim Hacking spielen.

11:20: Spannender Aspekt zum Return on Security Investment (ROSI): IT-Sicherheit wird oft niedrig priorisiert, weil die Effektivität von IT-Sicherheitsmaßnahmen schwer oder gar nicht messbar ist.

13:10: Christian spricht über die Rolle und das Risiko statischer Passwörter, das Problem, dass unbekannt verloren gegangene Passwörter nicht geändert werden, und verschiedene Wege, an Passwörter zu kommen. Wir beleuchten danach, welche Konsequenzen es haben kann, wenn Passwörter in die falschen Hände geraten, welche Rolle 2FA (Zwei-Faktor-Authentisierung) hat.

20:15: Was ist das Risiko, wenn ein Passwort in die falschen Hände gerät? Wir sprechen außerdem über Priviledged Access, personenscharfe Root-Accounts und den "normalen Administrator-Account" als Monitoring-Kriterium für Sicherheitslücken.

24:37: Nächstes Problem: über Gruppen vererbte Benutzerrechte und warum Vererbungsschemata mit zunehmender Komplexität exponentiell schwerer prüfbar werden. Besonderes Schmankerl: warum oft die Azubis in Unternehmen die (benutzerrechtetechnisch gesehen) mächtigsten Personen sind.

30:25: Wir beleuchten den in vielen Unternehmen etablierten Rezertifizierungsprozess, der regelmäßig immensen Personaufwand bedeutet, auch und besonders weil dafür viele Personen aktiv werden müssen, da anderenfalls die Korrektheit der Zugriffsrechte nicht verlässlich prüfbar ist (und selbst dann nur begrenzt verlässlich). Ab 34:00 min. machen wir einen Miniexkurs zur Serie "Mr. Robot".

35:30: Wie man Benutzerrechte besser aufsetzen kann

Christian schildert zunächst verschiedene Maßnahmen zur Handhabung von Delivery Chain Attacks.

André schildert den Ansatz der esatus AG zur Self-Sovereign Identity (SSI), wie er funktioniert und warum eine Reihe der geschilderten Probleme lösen kann.

Zum Thema und für tiefere Einblicke in die Funktionsweise von SSI:

Paper der esatus AG zum Einstieg ins Thema Self-Sovereign Identity:
"Identity & Access Management (IAM) – Realisiert mit Self-Sovereign Identity (SSI)"

Paper: "Sovrin: A Protocol and Token for Self-Sovereign Identity and Decentralized Trust"

Überblick zum Sovrin-Ansatz (Video): https://vimeo.com/322821283 (deutsch), https://vimeo.com/305420834 (englisch)

Einblicke in SSI und SeLF: „Use case spotlight: Enterprise Identity & Access with esatus SeLF“

Artikel von Dr. André Kudra in "Informatik Aktuell" vom 12.06.2018: "Blockchain trifft Digital Identity"

Gesamtüberblick über die SSI-Aktivitäten der esatus AG mit Publikationen und Konferenzbeiträgen bis heute im esatus Blockchain Actionlog

Der vorrangig unterscheidende Faktor von SSI ist, dass so genannte Credentials ausgestellt und von jedem Nutzer eigenbestimmt in Netzwerken herumgetragen und vorgezeigt und deren Gültigkeiten verifiziert werden können.

55:00: Frank fragt André, ob die Tatsache, dass SSI technisch gesehen auf Blockchain-Technologie basiert, derzeit ein verkaufsförderlicher oder -hinderlicher Faktor ist.

56:03: Wir besprechen Möglichkeiten für Unternehmen, Benutzerrechteverwaltung zu verbessern, ohne mit massivem Personalaufwand aufzuwarten oder SSI einzusetzen. Keine echte Überraschung: Die Möglichkeiten umfassen alle eine vernünftige Dokumentation der Rechtesituation, vernünftigerweise in Verbindung mit Erinnerungen zu bestimmten Zeitpunkten. Aber auch hier ist turnusmäßige Befassung mit der Thematik kritisch, da das Thema ansonsten schnell von der Prioritätenliste verschwindet und neu aufgebaut werden muss.

61:20: Wir diskutieren die Möglichkeit, einen harten Rechteverfall nach Ablauf bestimmter Fristen als "Aufräummechanismus" zu verwenden, und warum das in aller Regel keine gute Idee ist.

64:20: Christian spricht darüber, wie viele Unternehmen die zuvor besprochenen Konzepte zur Benutzerrechteverwaltungen einsetzen und durchhalten.

65:50: Fazit

Feedback wie immer an @legal_bits, @ra_stiegler, @esatus_self! Feedback an Christian gern per E-Mail unter info@schuelke.net.