Access Management

Access Management

Archiv - Übersicht
Internet-Kennzahlen-System
- Übersicht -Internet-Kennzahlen-System
- Ziel und Nutzen
- Einteilung der Zielgruppen
- Vorgehensweise
- Technische Umsetzung
- Partizipation
- Weiterführende Informationen
Internet-Frühwarnsysteme
- Internet-Analyse-System
- Logdaten-Analyse-System
- Internet-Verfügbarkeits-System
- Visualisierung vom Zustand des Internets
- Globale Sichtweise
- iAID
- FIDeS
- FISHA
- Ergebnisse - IFws
Botnetze
- Moderne Botnetzerkennung
- Botnetz-Analyse
- Sandnet
- Spam-Analyse
- IPMapViewer
- Blacklisting
- E-Mail-Adress-Harvesting
- Umfragen
- Mozi
Mobile Security
Vertrauenswürdige IT-Systeme
- Idee
- iTES
- Turaya
- tNAC
- STIT
- TCN
- F&E Vorhaben: Bundeswehr
- Medien
Identity Management
- Definitionen und Abgrenzung
- Mehrwerte bei IdM
- IdM-Referenzmodell
- IdM-Lebenszyklus
- Standards und Schnittstellen
- Anbieter und Produkte
Elektronischer Personalausweis
- Berechtigungszertifikat
- Bürgerclient
Security for smart objects
- Übersicht - Smart Home
- Secure eMobility(SecMobil)
Cloud Computing
Soziale Netze
Zahlungssysteme und Banktransaktionen
- Abschlussarbeit: Übersicht und Bewertung von Zahlungssystemen
- Symposium: Betrugsschutz beim Online-Banking
- Virtuelle Währungen
- Forschungsprojekt: Betrugsschutz beim Online-Banking
- Ein Alert-System im Online-Banking
- Ist-Analyse: Angriffe auf das Online-Banking
- Nutzeraspekte und Mensch-Maschine-Interaktion
Digitales Krankenhaus
- Übersicht - Digitales Krankenhaus
- Aufbau eines digitalen Krankenhauses
- Hintergrund
Sicheres Chatten
- Übersicht - Sicheres Chatten
- SecureChat
- MediationChat
- Zusammenarbeit
- Technologie
- Links - Sicheres Chatten
Software-Patente
Voice over IP
- Voice over IP-test
Web-Service-Security
Strukturelle Analyse des Internet
- Idee und Zielsetzung
- Ergebnisse - SAdI
- Links - SAdI
- Informationen
Verifi-eID
IT-Sicherheitskonzept Westfälische Hochschule
Gesundheitswesen
- Zelia (Zuhause eigenständig leben im Alter)
- MITASSIST
- Dexter
Blockchain Technologie
- Wie ist die Blockchain aufgebaut?
- Blockchain Technologie als Kollaborations-Tool
- Wie kann Blockchain helfen die IT-Sicherheit zu erhöhen?
- Veröffentlichungen
Homographischer Angriff auf Neon Wallet
Cybersicherheit und Künstliche Intelligenz
- Service-Meister
- Maschinelles Lernen in der Cybersicherheit
- Model Extraction Attack
- Evasion Attack
- Poisoning Attack

Das Access Management beinhaltet die Entscheidung über Zugriffsberechtigungen auf der Basis von Benutzeridentitäten, -rollen und Zugriffsrechten (englisch: Policy Decision). Es beschreibt die notwendigen Mechanismen für den Zugriff auf ein IdMS sowie die Kontrolle (englisch: Access Control) und das Durchsetzen (englisch: enforcement) des Zugriffs. Mögliche Zugangslösungen werden über Sicherheitsprotokolle, firmenspezifische Netzkonfigurationen, durch Virtual Private Networks (VPNs) und die vorhandenen Authentifizierungstechniken realisiert. Standardisierte Verfahren sind Authentisierungs- und Authentifizierungs-Management, Autorisierung, Single Sign-On/Single Logout, Access Control und Policy Enforcement.

Authentisierungs- und Authentifizierungs-Management

Die Authentifizierung beschreibt die Verifizierung der Echtheit der Identität einer Entität, z.B. eines Benutzers oder eines Gerätes. Sie erfolgt üblicherweise durch ein Passwort, ein biometrisches Merkmal wie den Fingerabdruck, durch Zertifikate oder Token. Der Begriff Authentifizierung wird oft synonym zum Begriff Authentisierung verwendet. Sie unterscheiden sich in der „Richtung der Aktion“: Eine Entität (z.B. ein Benutzer) authentisiert sich an einer Instanz, indem sie den Nachweis der eigenen Identität erbringt. Die Instanz authentifiziert die Entität in der Folge. Das Authentifizierungs-Management definiert und kontrolliert den Vorgang der Verifizierung sowie die zu verwendenden Authentisierungstechniken. Mit diesem Prozess wird die Datenintegrität und Vertraulichkeit gewahrt und es wird zum Schutz von Informationen beigetragen. Der Authentifizierung folgt im Normalfall die Autorisierung für definierte und an Rechte gebundene Zugriffe.

Autorisierungs-Management

Die Autorisierung bestimmt, wer Zugang zu Systemressourcen hat und diese nutzen darf. Für eine mögliche Autorisierung werden eine erfolgreiche Authentifizierung und die damit einhergehende Verifikation einer Identität vorausgesetzt. Im Regelfall werden über bereits vorhandene Prozesse Berechtigungen und Zugriffsrechte definiert, die festlegen, auf welche IT-Ressourcen eine digitale Identität – gemäß den Richtlinien der Organisation – Zugriff hat. Ein IdMS muss innerhalb seines Autorisierungs-Managements Richtlinien, Prozesse und Verfahren vereinen, die diese Prozesse sicher, effektiv und effizient steuern und verwalten. Hierzu sollte neben dem eigentlichen Berechtigungsmanagement auch ein Modul zum Review der Berechtigungen für Audits gehören.

Single Sign-On / Single Logout

Single Sign-On (SSO) ist einer der entscheidenden Faktoren in einem IdM-System, denn es erleichtert nicht nur die Interaktion mit mehreren heterogenen IT-Systemen bzw. Applikationen und erhöht damit die Benutzerfreundlichkeit beträchtlich, sondern bietet auch erhöhte Sicherheit. SSO benötigt nur eine einmalige Verifikation der Identität um auf mehrere Dienste in heterogenen Netzen und Systemen (möglichst Domänen-übergreifend) zugreifen zu können. Grundsätzlich lässt der Vorgang je nach Sicherheitslevel unterschiedliche Authentifizierungsmechanismen zu. SSO birgt den Nachteil, dass der Schaden bei unbemerktem Verlust der Authentifizierungsdaten an einen Angreifer sehr groß sein kann, weil der Angreifer einen globalen Zugriff im Bezug auf die Autorisierung der betroffenen Identität erlangt. Daher besteht hier die Notwendigkeit effektiver Maßnahmen und Authentifizierungsmechanismen. Zu einem SSO gehört aus Sicherheits- und Komfortgründen ein Single Logout (SLO) als Dienst zur zentralen, einmaligen Abmeldung von allen Diensten und Anwendungen im definierten IdM-Kontext.

Access Control

Access Control bezeichnet den netzwerkweiten Zugriffsschutz auf unternehmensspezifische Ressourcen und Services durch Entitäten. Um einen Zugriff auf solch einen Dienst zu gewährleisten, werden vorab technische und organisatorische Vorbereitungen getroffen. Dazu werden Enitäten authentisiert, authentifiziert und autorisiert. Die Kontrolle erfolgt meist durch Passwörter, Gewährung von Privilegien und Bereitstellung von Attributen. Diese Einschränkungen fördern mehr Sicherheit in einem Unternehmen, denn nur zugangsberechtigte Entitäten können auf ihre Dienste zugreifen.
Unterschiedliche Ressourcen erfordern unterschiedliche Zugriffskontrollen. Abhängig von deren Zuständigkeit sind einige wichtige Grundmodelle definiert. Die folgenden Erklärungen beschreiben den Grundsatz, die Funktionalität und den Schutzmechanismus der notwendigsten Grundmodelle in einem IdMS.

Role Based Access Control

Mittels eines Role Based Access Control (RBAC; deutsch: Rollenbasierte Zugriffskontrolle)-Modells kann das IdMS die Rechte von Benutzern auf der Basis von Rollen und Gruppen durchsetzen. Für den Prozess der Autorisierung sollte das IdMS auf solch ein Rollensystem zurückgreifen. Eine erweiterte Form von RBAC ist Rule-Based RBAC (RB RBAC).

Remote Access Control

Remote Access beschreibt den Vorgang, aus der Distanz einen Zugang zu einem IT-System oder von außen in ein Netzwerk/ein Intranet zu erlangen. Es wird unterschieden zwischen direkter Punkt-zu-Punkt-Verbindung und Verbindungen über ein öffentliches Netz als Transportmedium, bspw. über das Internet.

Network Access Control

Unter Network Access Control (NAC) versteht man eine Technologie, mit der der Zugang zu einem Rechnernetzwerk – abhängig vom Benutzer und der Vertrauenswürdigkeit des zum Zugriff eingesetzten Rechnersystems – gesteuert wird. Dabei wird die Entscheidung nicht nur von den Login-Daten des Benutzers, sondern auch vom vertrauenswürdigen Zustand des zum Zugriff genutzten Rechnersystems abhängig gemacht. Die Überprüfung basiert auf Messungen der Konfiguration des Rechnersystems und einem Vergleich dieser Messung mit Sicherheitsrichtlinien (Policies) des Netzwerkbetreibers. Rechnersysteme mit einer aus Sicht des Netzbetreibers fehlerhaften, also nicht vertrauenswürdigen Konfiguration können entdeckt und präventiv vom Netzwerk fern gehalten werden.

Policy Enforcement

Das Policy Enforcement ist dafür verantwortlich, Anfragen an einen Dienst entgegen zu nehmen und basierend auf einem Regelwerk die angefragten Aktionen durchzusetzen oder effektiv zu verhindern. Die technische Umsetzung wird meist als Policy Enforcement Point (PEP) beschrieben. Policy Enforcement ist keine zentrale Funktion, sondern muss in allen IT-Systemen und Anwendungen umgesetzt werden.

Institut für Internet-Sicherheit – if(is)