Was ist Identitätsüberwachung?

Einführung in die Identitätsüberwachung

Die zunehmende Verbreitung von Cloud-Diensten und hybriden IT-Umgebungen hat die Angriffsfläche für Identitätsangriffe vergrößert und damit das Risiko von Datendiebstahl, dem Missbrauch von Anmeldedaten und der lateralen Bewegung von Angreifern erhöht.

Benutzer verfügen letztendlich über mehrere digitale Identitäten – in der Regel eine Unternehmens-E-Mail-Adresse mit Single Sign-On (SSO) –, die jeweils mit unterschiedlichen Rollen, Zugriffsebenen und Identitäten verbunden sind, die ein Benutzer mit unterschiedlichen Anmeldedaten annehmen kann.

Jede Identität in einem System vergrößert die Angriffsfläche eines Unternehmens und stellt einen Vektor dar, über den Angreifer Systeme kompromittieren können, um sensible Daten offenzulegen oder Ransomware zu installieren. Um identitätsbasierte Angriffe zu verhindern, müssen Unternehmen eine kontinuierliche Identitätsüberwachung implementieren, um verdächtige Zugriffsmuster zu erkennen und Sicherheitskontrollen in Echtzeit durchzusetzen.

Dieser Artikel befasst sich mit der Identitätsüberwachung, ihren Schlüsselkomponenten, ihren Vorteilen und Herausforderungen sowie den Maßnahmen, die Unternehmen ergreifen können, um ihre digitalen Identitäten zu schützen.

Was ist Identitätsüberwachung?

Identitätsüberwachung ist die kontinuierliche Analyse von Authentifizierungsaktivitäten, Zugriffsmustern und Änderungen von Berechtigungen, um identitätsbasierte Bedrohungen zu erkennen und unbefugten Zugriff zu verhindern.

Wenn Angreifer an Benutzeranmeldedaten gelangen, erweitern sie häufig ihre Zugriffsrechte, bewegen sich lateral im Netzwerk oder nutzen Konfigurationsfehler in der Cloud aus, um sich dauerhaften Zugriff zu verschaffen. Die Identitätsüberwachung erkennt diese Abweichungen in Echtzeit, um Bedrohungen zu stoppen, bevor sie sich ausbreiten. Die Identitätsüberwachung legt die Baseline normaler Benutzeraktivitäten fest, um diese Angriffsanzeichen zu erkennen, und kann automatische Reaktionen auslösen, wenn eine Abweichung von der Baseline auftritt. 

Die aktive Identitätsüberwachung spielt eine zentrale Rolle beim Schutz vor Identitätsdiebstahl, da sie:

• das mit Konten verbundene Risiko mindert, indem sie dabei hilft, Identitätsdiebstahl oder unbefugten Zugriff sofort zu erkennen statt erst Tage oder Wochen später im Rahmen einer nachträglichen Untersuchung. 
• sensible Informationen und kritische Systeme schützt, indem sie den Schaden begrenzt, den ein Angreifer mit einem kompromittierten Konto anrichten kann.

Kernfunktionen

Effektive Lösungen zur Identitätsüberwachung helfen Unternehmen dabei, normales Benutzerverhalten zu definieren, verdächtige Aktivitäten zu erkennen und Bedrohungen wie der Kompromittierung von Konten zu begegnen. Um zu verstehen, wie die Identitätsüberwachung in der Praxis funktioniert, wollen wir die drei Kernfunktionen genauer betrachten. 

Nr. 1: Festlegung einer Baseline für normales Verhalten (Erfassung eines „Pulses“) 

Lösungen zur Identitätsüberwachung ermitteln ein regelmäßiges Muster für das Benutzerverhalten. Dieses Muster, auch als „Puls“ bezeichnet, dient als Baseline, anhand derer Abweichungen erkannt werden, die auf eine Bedrohung hindeuten könnten. Eine Identitätsüberwachungslösung analysiert Authentifizierungsmuster, Zugriffsorte, Vertrauensstufen von Geräten und die Nutzung von Berechtigungen, um eine Verhaltens-Baseline zu erstellen und Abweichungen von der normalen Aktivität Risikobewertungen zuzuweisen.

Nr. 2: Überwachung von Zugriffsberechtigungen und Änderungen an Berechtigungen

Neben der Erstellung einer Baseline verfolgt die Identitätsüberwachung alle Änderungen am festgelegten Puls, wie z. B. Erweiterungen von Zugriffsberechtigungen oder Änderungen bei der Zuweisung von Berechtigungen. Dies ist auch dann nützlich, wenn kein aktiver Angriff auf das Konto stattfindet. Beispielsweise ist es wichtig zu bemerken, wenn ein Benutzer die Berechtigungen einer Identität erweitert, um auf vertrauliche Kreditkarteninformationen in einem PCI-konformen System zuzugreifen – selbst wenn ein Mitarbeiter dies rechtmäßig getan hat.

Nr. 3: Erkennen von Anzeichen für den Missbrauch von Anmeldedaten oder die Kompromittierung von Konten

Die letzte Kernfunktion der Identitätsüberwachung besteht darin, Anzeichen für den Missbrauch von Anmeldedaten oder die Kompromittierung von Konten zu erkennen. Dazu gehören ungewöhnliche Anmeldezeiten für den Benutzer oder ein Benutzer, der seine Rechte auf eine noch nie dagewesene Weise ändert, was ein Indikator für einen Angriff zur Erweiterung der Zugriffsrechte sein kann.

Die vier Komponenten der Identitätsüberwachung

Zwar gibt es verschiedene Tools zur Identitätsüberwachung, die Unternehmen einsetzen können, doch müssen alle wirksamen Lösungen zur Identitätsüberwachung die folgenden wesentlichen Funktionen umfassen. 

1. Echtzeiterkennung

Die Echtzeiterkennungsfunktionen lösen bei verdächtigem Verhalten sofort Warnmeldungen aus. Die Überwachung erfolgt kontinuierlich – beispielsweise durch die Verfolgung eines Audit-Streams eines Identitätsanbieters. So können Maßnahmen in Echtzeit ergriffen werden, beispielsweise das Blockieren verdächtiger Sitzungen, das Sperren kompromittierter Anmeldedaten und die Durchsetzung einer adaptiven Authentifizierung für Benutzer mit hohem Risiko.

2. Verhaltensanalyse 

Die Verhaltensanalyse ermittelt für jeden Benutzer Basisverhaltensmuster und erfasst eine Reihe von Verhaltensweisen, darunter die Tageszeit, zu der sich ein Benutzer anmeldet, die Verweildauer im System und die genutzte Zugriffsebene. Anhand dieser Basiswerte lassen sich dann Abweichungen erkennen. Tools zur Identitätsüberwachung nutzen diese Muster, um Anomalien zu erkennen – wenn sich die Identität in einer Weise verhält, die nicht den Basiswerten entspricht –, und lösen entweder eine Warnung aus oder blockieren das anomale Verhalten.

3. Zugriffskontrolle und Zugriffsrechteverwaltung

Die Identitätsüberwachung nutzt das Least-Privilege-Prinzip (Principle of Least Privilege, POLP), indem sie unbefugte Erweiterungen der Zugriffsrechte erkennt, die Angriffsfläche verringert und sicherstellt, dass Benutzer nur über die erforderlichen Zugriffsrechte verfügen. Zudem wird sichergestellt, dass Zugriffsrechte regelmäßig überprüft und angepasst werden. Mithilfe der Identitätsüberwachung verbessern IT-Abteilungen ihre Fähigkeit, die Kontrollen für Benutzeridentitäten unternehmensweit zu überwachen und zu verwalten. Darüber hinaus können Identitätsüberwachungstools strenge Richtlinien für privilegierte Konten/Root-Konten durchsetzen, um das Risiko einer Kompromittierung privilegierter Konten und damit eines schwerwiegenden Incidents zu verringern. 

4. Nahtlose Integration von Identitäts- und Zugriffsverwaltung (IAM)

Ein gutes Tool zur Identitätsüberwachung sollte sich nahtlos in ein Identitäts- und Zugriffsverwaltungssystem (IAM) integrieren lassen. So können Sicherheitsteams Maßnahmen koordinieren, wenn sie Konten sperren oder risikoreiches Verhalten kennzeichnen. IAM-Systeme sind entscheidend für die Verwaltung des Zugriffs auf IT-Systeme, und ein Konfigurationsfehler der IAM-Berechtigungen stellt eine ernsthafte Bedrohung für private Daten dar. 

Geschäftliche Vorteile der Identitätsüberwachung

Die Identitätsüberwachung ist ein wichtiger Aspekt der modernen Unternehmenssicherheit. Sie ergänzt andere zentrale Sicherheitsziele unmittelbar und mindert zahlreiche reale Risiken. Dies bringt konkrete Vorteile mit sich.

Verbesserung der Sicherheitslage 

Identitätsbasierte Angriffe sind so weit verbreitet, dass sie bei Unternehmen zu Konkursängsten führen. Die Erkennung in Echtzeit stoppt Angreifer, bevor sie eine Persistenz aufbauen können, und verhindert so den Missbrauch von Rechten, laterale Bewegungen und Datenexfiltration. Durch die Abschottung von Identitäten, die sich abweichend verhalten oder ihre Berechtigungen auf neuartige Weise ausweiten, sind Unternehmen resilienter gegen diese Art von Angriff. 

Compliance und Auditbereitschaft

DSGVO, HIPAA und SOC 2 haben alle Verfahren und Standards in Bezug auf den Datenschutz. Der Einsatz eines Identitätsüberwachungssystems belegt gegenüber Auditoren und Kunden die Einhaltung von Vorschriften zum Schutz von Benutzer- und Unternehmensdaten vor identitätsbasierten Angriffen. Identitätsüberwachungslösungen automatisieren die Compliance-Berichterstattung, indem sie Protokolle zu Identitätsaktivitäten, Änderungen der Zugriffskontrolle und die Durchsetzung von Sicherheitsrichtlinien erfassen – und vereinfachen so Audits im Rahmen von Rahmenwerken wie DSGVO, HIPAA und SOC 2.

Optimierte IT- und Sicherheitsabläufe 

Tools, die in Echtzeit arbeiten, verbessern den Überblick darüber, welche Schritte von den einzelnen Identitäten unternommen wurden, wodurch die Incident Response schneller und effektiver wird. Die Identitätsüberwachung reduziert zudem die Arbeitsbelastung des Sicherheitsteams. Ohne eine Lösung zur Identitätsüberwachung sind Sicherheitsteams gezwungen, Audit-Protokolle manuell zu überprüfen und reaktiv auf Sicherheits-Incidents zu reagieren.

Herausforderungen und Einschränkungen

Die Identitätsüberwachung ist zwar nützlich, aber kein Allheilmittel für die Sicherheit. In diesem Abschnitt werden wir die häufigsten Herausforderungen und Einschränkungen betrachten, die die Effektivität der Identitätsüberwachung beeinträchtigen können. 

Falsch positive und falsch negative Erkennungen

Unternehmen müssen bei der Auswahl der Tools aufgrund der Herausforderungen, die die Identitätsüberwachung mit sich bringt, umsichtig vorgehen. Eine große Anzahl falsch positive Erkennungen und falsch negative Erkennungen kann das Vertrauen in das Tool verringern. Unternehmen müssen ein Gleichgewicht zwischen der Sensibilität und der Genauigkeit von Warnmeldungen finden. KI-gestützte Analysen verfeinern kontinuierlich die Modelle zur Risikoerkennung, reduzieren falsch positive Erkennungen und verbessern gleichzeitig die Erkennung neuer Identitätsbedrohungen.

Skalierbarkeitsprobleme

Mit dem Wachstum der IT-Infrastruktur eines Unternehmens steigt auch die Anzahl der Identitäten, die über verschiedene Systeme hinweg (Multi-Cloud, On-Premises usw.) überwacht werden müssen. Eine Lösung zur Identitätsüberwachung muss in der Lage sein, große Datenmengen in komplexen Umgebungen zu verarbeiten, damit das Tool mit den Anforderungen des Unternehmens mitwächst. Auf diese Weise sind Unternehmen nicht gezwungen, bei ihrem Wachstum die Tools zu wechseln und sich neu einzuarbeiten.

Integrationskomplexität

Tools zur Identitätsüberwachung bringen zudem eine gewisse Komplexität bei der Integration mit sich. Moderne Identitätssicherheitslösungen lassen sich nativ in IAM-, EDR- und SIEM-Plattformen integrieren und gewährleisten so vollständige Transparenz in Hybrid- und Multi-Cloud-Umgebungen. Andernfalls bleibt es bei einem Datensilo, das letztlich weder für Sicherheitsteams nutzbar noch für ein Unternehmen von Nutzen ist.

Um diese Herausforderung zu bewältigen, benötigen Unternehmen Tools, die die Komplexität der Integration bewältigen und alle Arten von Identitäten unterstützen können, die in ihrem Unternehmen zum Einsatz kommen.

Schützen Sie Ihre digitalen Identitäten mit CrowdStrike

Identitätsbasierte Angriffe nehmen weiter zu, wobei Angreifer gestohlene Anmeldedaten und MFA-Umgehungstechniken verwenden, um Unternehmen zu infiltrieren. Eine proaktive Identitätsüberwachung erkennt und verhindert diese Bedrohungen, bevor sie eskalieren. Lösungen zur Identitätsüberwachung schützen Systeme, indem sie das Benutzerverhalten in Echtzeit analysieren und sich in IAM-Systeme und Zugriffskontrollen integrieren, um Angriffe zu erkennen und Bedrohungen abzuwehren. 

Um Ihre digitalen Identitäten in großem Umfang zu schützen, bietet CrowdStrike Falcon® Next-Gen Identity Security Echtzeiterkennung von Identitätsbedrohungen, proaktive Risikominderung und automatisierte Reaktionsfunktionen, um Angreifer abzuwehren, bevor sie kompromittierte Anmeldedaten ausnutzen können. Die Lösung sorgt für verbesserte Transparenz über alle IT-Systeme hinweg, um Anomalien im Zusammenhang mit Identitäten und Berechtigungsstufen zu erkennen und die von digitalen Identitäten verwendeten Anmeldedaten zu schützen. CrowdStrike Falcon® Next-Gen Identity Security lässt sich auch nahtlos in Ihre bestehende Sicherheitsinfrastruktur integrieren, sodass Sie mit minimaler Unterbrechung betriebsbereit sind und Ihre Abwehr- und Sicherheitslage stärken können.