Anwendungssicherheit oder Application Security: So geht’s!

Ihre unternehmensinternen Laufwerke sind gegen Datendiebstahl geschützt? Hervorragend! Aber wie steht es um jene Kundendaten, Umsatzzahlen, Personaldaten und andere sensible Informationen, die über Applikationen wie CRM- oder ERP-Systeme zugänglich sind? Wir schauen uns an, warum Anwendungssicherheit oder Application Security ein wichtiger Baustein eines effektiven IT-Sicherheitskonzepts ist, und wie eine Software für Berechtigungsmanagement Ihnen dabei helfen kann, Ihre Anwendungen vor unbefugten Zugriffen zu schützen.

Anwendungssicherheit – was ist das?

Anwendungssicherheit bezeichnet die Gesamtheit aller Prozesse, Tools und Praktiken, die dazu geeignet sind, Ihre Applikationen sowohl vor Datendiebstahl durch Cyberkriminelle als auch vor unbefugten internen Zugriffen zu schützen. Wichtig ist, dass die gesetzten Maßnahmen Ihre Anwendungen über den gesamten Lebenszyklus hinweg vor internen und externen Gefahren schützen. Die von IT-Sicherheitsexperten empfohlenen Maßnahmen umfassen sowohl Software– als auch auch Hardware-Lösungen.

Warum ist Anwendungssicherheit wichtig?

Brave New World! Können Sie sich noch daran erinnern, als IT-Sicherheit darin bestand, statische Websites und Desktopanwendungen zu schützen? Heute arbeiten die meisten Unternehmen mit einer bunten Mischung aus Drittanbieter-, Open-Source- und Standardsoftwarekomponenten sowie vielen verschiedenen Anwendungstypen (z. B. Desktop-, Web-, mobile und Microservices). Diese werden in der Regel über Netzwerke angesprochen, wodurch sie zwangsläufig einer großen Zahl von Bedrohungen ausgesetzt sind.

In vielen Unternehmen müssen außerdem nicht nur die Mitarbeiter auf die in Anwendungen verwalteten Daten zugreifen können, sondern der Zugang wird auch Geschäftspartnern, Zulieferern oder anderen externen Beteiligten gestattet.

Ein unzureichender Schutz von wichtigen Systemen wie SAP, Microsoft® Dynamics NAV usw. entwickelt sich vor diesem Hintergrund schnell zu einer Schwachstelle, die nicht nur von externen Angreifern, sondern auch von Mitarbeitern ausgenutzt werden kann.

Die Konsequenzen sind Vandalismus, Diebstahl von geistigem Eigentum und/oder hohe Geldstrafen wegen Verstoßes gegen Compliance-Richtlinien.

Was muss Anwendungssicherheit leisten?

Zunächst einmal ist Anwendungssicherheit ein Konzept, das im Rahmen eines ISMS (Information Security Management System) erörtert und definiert werden sollte. Die Verantwortlichen (in der Regel ist dies das Management) sollten für jede Anwendung, die im Unternehmen verwendet wird, ein Sicherheitsprofil erstellen und genau definieren, was die Aufgabe dieser Anwendung in Bezug auf die Unternehmensressourcen ist: Was darf die Anwendung, was darf sie nicht?

Eine weitere Gegenmaßnahme ist das Erstellen eines Bedrohungsmodells. Diese Maßnahme beinhaltet, dass mögliche Bedrohungen für die Ressourcen eines Unternehmens (vom Versagen eines Speichermediums bis hin zur groß angelegten Hacker-Attacke) erkannt und priorisiert werden. Sämtliche Zwischenfälle sowie die jeweils unternommenen Aktionen gehören zuverlässig dokumentiert.

Whitepaper

ISO 27001: Anforderungen an das Access Management

In unserem Whitepaper erfahren Sie alles über die ISO Vorbereitung, wichtige Dokumente und die Vorgaben an das Identity und Access Management.

Anwendungssicherheit gewährleisten

Die gängigste Software, die im Rahmen der Anwendungssicherheit eingesetzt wird, ist eine Application-Firewall. Diese verhindert, dass bestimmte Anwendungen Dateien ausführen bzw. Daten verarbeiten können. Weitere sinnvolle Maßnahmen im Rahmen einer verbesserten Anwendungssicherheit sind:

  • konventionelle Firewalls u. Antiviren-Programme

  • Verschlüsselungs-/Entschlüsselungsprogramme

  • Tools zum Erkennen u. Entfernen von Spyware

  • biometrische Authentifizierungssysteme

Anwendungssicherheit verbessern durch Berechtigungsmanagement

Ein Problem, das im Zuge von Datenvorfällen immer wieder deutlich wird, ist die Fehleinschätzung vieler Unternehmen, dass die größte Gefahr für ihre sensiblen Daten von Cyberkriminellen ausgeht. Tatsächlich schlummert die größere Gefahr in vielen Fällen im Inneren: Datendiebstahl oder -missbrauch durch Mitarbeiter ist in vielen Unternehmen eine massive, aber häufig ignorierte Sicherheitslücke. Diese Gefahr können Sie erheblich reduzieren, indem Sie in eine professionelle Benutzerverwaltung investieren.

Manuelle Benutzerverwaltung gefährdet Anwendungssicherheit

Die manuelle Benutzerverwaltung stellt eine Gefahr für die Anwendungssicherheit dar, weil die Benutzer und ihre Zugriffsrechte auf die unterschiedlichen Systeme, Programme und Applikationen nirgends zentral verwaltet und gesteuert werden. Das bedeutet in vielen Fällen, dass der Admin Berechtigungen zwar zuteilt, aber diese nicht wieder entzieht.

Ein Mitarbeiter, der z.B. die Abteilung gewechselt oder Sonderrechte für ein Projekt eingeräumt bekommen hat, behält seine Rechte also, obwohl er sie gar nicht mehr benötigt. Kombiniert mit anderen Praktiken wie jener des sog. Referenzuser führen diese manuellen Prozesse zu einem sog. Privilege Creep.

Das Problem: Niemand weiß davon, weil es kein zentrales Reporting gibt. Ohne professionelles Access Management kann der Admin nicht sehen, wer zu welchem Zeitpunkt Zugriff auf welche Anwendungen hat.

Manuelle Benutzerverwaltung begünstigt Malware-Verbreitung

Unternehmen, die ihre Zugriffsberechtigungen manuell zuteilen und verwalten, besteht häufig ein Problem mit der sog. Endpunktsicherheit. Diese sorgt normalerweise dafür, dass Schadsoftware wie Trojaner oder Keylogger sich nicht unbegrenzt im System ausbreiten können.

Die Schadsoftware dringt in der Regel durch Phishing-Mails, Zero Day Exploits oder Schwachstellen in Anwendungen, die Remote-Code-Ausführung erlauben, ins System ein. Über je mehr Zugriffsberechtigungen die kompromittierten Benutzerkonten verfügen, desto schneller und weiter kann die Schadsoftware sich ausbreiten.

Webinar

Die TOP 5 Gründe für Identity & Access Management

Anwendungssicherheit verbessern mit tenfold

Eine Software für Berechtigungsmanagement bzw. Identity und Access Management baut die Berechtigungsstrukturen in Ihrem Unternehmen automatisch nach Best Practices und dem Least Privilege Prinzip auf. Dadurch erhält jedes Benutzerkonto exakt auf den Tätigkeitsbereich des Users zugeschnittene Zugriffsrechte und Berechtigungen.

Mit tenfold können Sie außerdem mehr als 60 Drittanbieter-Systeme integrieren, darunter u.a. SAP ERP, Microsoft® Dynamics NAV und Exchange. Über den Generic Connector ist es außerdem möglich, Systeme zu integrieren, für die kein Standard-Plugin zur Verfügung steht.

Wenn Sie tenfold in Ihr IT-System integrieren, können Sie bereits bestehende Strukturen einfach importieren. Eine zusätzliche Schnittstelle zur Personaldatenbank sorgt dafür, dass HR-Daten automatisch übertragen und neue Benutzerkonten mit den korrekten Berechtigungen angelegt werden.

Was leistet tenfold für die Anwendungssicherheit?

Data-Owner-Konzept

Nur Data Owner dürfen entscheiden, welcher User Zugriff auf bestimmte Anwendungen erhalten soll. Legen Sie daher in einem ersten Schritt Verantwortliche aus den Fachbereichen fest, die Berechtigungen zu Applikationen genehmigen oder ablehnen. So stellen Sie sicher, dass nur jene Mitarbeiter auf Daten zugreifen können, die sie für die Erfüllung ihrer Aufgaben auch wirklich benötigen (Least Privilege Prinzip).

Berechtigungsprofile

Personen aus den gleichen Benutzergruppen brauchen in der Regel die gleichen Berechtigungen für Applikationen. Um den Prozess der Vergabe von Berechtigungen zu vereinfachen und transparent zu gestalten, definieren Sie sog. „Berechtigungsprofile“. Dabei werden alle Berechtigungen, die eine Benutzergruppe benötigt, zu einem Profil zusammengefasst. User können anschließend einem oder mehreren Profilen zugeordnet werden, z.B. „Abteilung IT“ und „Teamleiter“.

Rezertifizierung

Natürlich müssen Berechtigungen für Anwendungen laufend aktuell gehalten werden. Anderenfalls sammeln Mitarbeiter ständig neue Rechte, während veraltete Berechtigungen nicht entfernt werden (Privilege Creep). Leider gibt es für das Löschen von überflüssigen Berechtigungen in vielen Unternehmen keinen strukturierten Prozesstenfold löst dieses Problem mit der sog. Rezertifizierung.

Revisionssicheres Reporting

Wissen Sie, wer in Ihrem Unternehmen Zugriff auf bestimmte Anwendungen hat? Versinkt Ihre Berechtigungslandschaft im Chaos, ist das nicht nur aus Sicherheitsgründen riskant: Sie befinden sich damit auch auf Kollisionskurs mit gesetzlichen Bestimmungen wie der DSGVOtenfold dokumentiert sämtliche Vorgänge  und gibt diese in übersichtlichen Berichten aus.

Lückenlose Dokumentation

Ist ein Datenvorfall erstmal passiert, beginnt die Suche nach den Ursachen. Um zurückverfolgen zu können, warum ein Benutzer Zugriff auf eine bestimmte Applikation besitzt, müssen alle Anträge, Genehmigungen und Änderungen genauestens dokumentiert sein. tenfold erledigt diese Dokumentation vollautomatisch und versetzt Sie in die Lage, zu jedem Zeitpunkt nachvollziehen zu können, warum und wann ein User von wem berechtigt wurde.

Nur Data Owner dürfen entscheiden, welcher User Zugriff auf bestimmte Anwendungen erhalten soll. Legen Sie daher in einem ersten Schritt Verantwortliche aus den Fachbereichen fest, die Berechtigungen zu Applikationen genehmigen oder ablehnen. So stellen Sie sicher, dass nur jene Mitarbeiter auf Daten zugreifen können, die sie für die Erfüllung ihrer Aufgaben auch wirklich benötigen (Least Privilege Prinzip).

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.