Man könnte sagen, dass die Zugangskontrollen das Herzstück eines Informationssicherheitsprogramms sind. In den vorangegangenen Abschnitten dieses Kurses haben wir uns mit den Grundlagen der Sicherheit durch Risikomanagement und Richtlinien sowie mit der Führung der Informationssicherheit durch die Einbindung des Managements und die strategische Planung befasst, aber letztendlich geht es bei der Sicherheit immer um die Frage: "Wer hat Zugang zu unseren Vermögenswerten (Gebäude, Daten, Systeme usw.) und was können sie tun, wenn sie Zugang haben?"bei der Zugangskontrolle geht es nicht nur darum, den Zugang zu beschränken, sondern auch darum, ihn zu ermöglichen. Es geht darum, autorisierten Mitarbeitern und Prozessen das richtige Maß an Zugriff zu gewähren, nicht autorisierten Funktionen oder Personen jedoch den Zugriff zu verweigern

Dieser Teil des Kurses befasst sich mit dem Prozess der Identitätsverwaltung. Die Identitätsverwaltung (IM) wird oft mit dem IAAA-Modell (manchmal auch AAA-Modell genannt) beschrieben. Dieses Modell besteht aus den Schritten Identifizierung, Authentifizierung, Autorisierung und Abrechnung (manchmal fälschlicherweise als Audit bezeichnet; wir werden im weiteren Verlauf sehen, warum).die Identitätsverwaltung umfasst das Einrichten, Verwalten und Entfernen von Identitäten in unseren Systemen.die Zugriffskontrolle konzentriert sich auf die Echtzeitaufgaben, die notwendig sind, um zu überprüfen, ob ein Zugriffsversuch auf eine Ressource von einer anerkannten, akzeptierten Entität mit einer dem System bekannten Identität erfolgt und ob der Versuch, Privilegien zu nutzen, für diese Entität, diese Ressource und die aktuellen Umstände angemessen und gültig ist.vor der weit verbreiteten Nutzung von Webseiten, die es Website-Besuchern ermöglichen, ein Konto (eine Identität) auf dem Hostsystem zu erstellen, waren die meisten Sicherheitsexperten und Unternehmensmanager der Ansicht, dass IM und AAA auf zwei sehr unterschiedlichen Zeitskalen stattfinden oder von zwei sehr unterschiedlichen Arten von Ereignissen angetrieben werden:iM-Aktivitäten wurden als von groß angelegten Ereignissen ausgelöst angesehen, wie z.B. dem Eintritt in das Unternehmen, einer größeren Veränderung der Rolle oder der beruflichen Verantwortung und dem Verlassen des Unternehmens.aAA-Aktivitäten finden dann in Echtzeit statt, und zwar bei jedem Verbindungsversuch (Anmeldung) und jeder Zugriffsanfrage auf Ressourcen, die von einem der für diese Person erstellten Konten und Benutzer-IDs gestellt werden.da das Konzept der Identitätsverwaltung auf nicht-menschliche Benutzer und Entitäten ausgedehnt werden musste, hat sich diese Sichtweise der IM- und AAA-Zeithorizonte in ähnlicher Weise geändert. Ein Unternehmen stellt menschliche Benutzer ein und erwirbt Endpunkte oder Servergeräte. Es unterzeichnet Partnerschaftsvereinbarungen mit anderen Organisationen, um föderierte Zugriffskontrollmechanismen einzurichten, so dass beide auf kontrollierte, sichere Art und Weise Informationsbestände gemeinsam nutzen können. Jede dieser IM-Aktivitäten findet einmal (oder einige Male) im Lebenszyklus der Beziehung zwischen der betreffenden Einheit und der Organisation statt.und so wie ein menschlicher Benutzer während eines einzigen Arbeitstages (oder sogar während einer kurzen Sitzung) vielleicht tausend Versuche unternimmt, auf Ressourcen zuzugreifen, so könnte auch eine nicht-menschliche Entität ihre zugewiesenen oder erlaubten Aufgaben ausführen

die Implementierung der Zugriffsverwaltung birgt ihre eigenen Herausforderungen. Bei Audits in vielen Unternehmen wird häufig festgestellt, dass die verwendeten Identitätsverwaltungsprozesse fehlerhaft sind. Das führt dazu, dass viele Benutzer über Zugriffsberechtigungen verfügen, die sie im Laufe der Jahre angesammelt haben und die nicht mit den aktuellen Geschäftsanforderungen übereinstimmen. Dies ist ein Problem, wenn Datenschutzbestimmungen die Rechenschaftspflicht und die Nachverfolgung von Zugriffsberechtigungen verlangen, und es kann zu finanziellen Strafen, Sicherheitsverletzungen und Peinlichkeiten für das Unternehmen führen.die Idee eines Identitäts- und Zugriffsmanagementsystems (IAM) besteht darin, den Prozess zu automatisieren und den Verwaltungsaufwand zu reduzieren, während gleichzeitig die Berichterstattung und die Möglichkeit zur Überwachung der den Benutzern gewährten Zugriffsebenen verbessert werden. Zu den Funktionen von IAM-Systemen gehören ein automatisiertes Verfahren, mit dem Benutzer den Zugang zu Systemen beantragen und erhalten, sowie ein rationalisiertes Verfahren für neue Benutzer und für die Rücksetzung von Passwörtern

Es ist keine Übertreibung zu sagen, dass die Zugangskontrolle das Herzstück der Sicherheitsprobleme von Informationssystemen ist.alles, was wir als Sicherheitsexperten tun, hat mit diesem Problem zu tun. Das Risikomanagement legt die Anforderungen an die Zugriffskontrolle fest, und das Design, die Konfiguration und der Betrieb der Informationsinfrastrukturen, die das Unternehmen nutzt, müssen die getroffenen Entscheidungen zur Zugriffskontrolle widerspiegeln.zugangskontrolltechnologien sind möglicherweise die am härtesten umkämpften "Immobilien" im Kampf zwischen Cyber-Verteidigern und Cyber-Angreifern.dieses Kapitel hat Ihnen eine umfassende, detaillierte und tiefgreifende Orientierung und Einführung in viele Aspekte der Notwendigkeit und des Problems der Zugangskontrolle gegeben und Ihnen gleichzeitig Wege aufgezeigt, wie Sie dieses Problem lösen und diese Notwendigkeit angehen können.