Bedingter Zugriff (Conditional Access) – Der digitale Türsteher

Artikel von Henning Heicke·28. Juli 2023

Wie das berüchtigte Damoklesschwert schwebt heute über Unternehmen die Gefahr, nächstes Opfer eines Angriffs auf die eigene digitale Infrastruktur zu werden. Um sich gegen solche Angriffe zu schützen, gibt es verschiedenste Möglichkeiten, darunter die Methode „Bedingter Zugriff“, im Englischen als „Conditional Access“ bezeichnet. Dieser soll in diesem Beitrag näher beleuchtet werden, um die Frage zu beantworten, warum nicht jeder Zugriff auf Unternehmensnetzwerke immer und von überall möglich sein sollte.

Der Inhalt im Überblick

„Jeder darf immer alles von überall, warum auch nicht?“
- Uneingeschränkter Zugriff, ist doch praktisch
- Notwendige Veränderung in Zeiten von Cloud und Cyberkriminalität
Das Konzept „Bedingter Zugriff“
Keine Chance also mehr für Angreifer?

„Jeder darf immer alles von überall, warum auch nicht?“

So oder ähnlich sieht die Ausgangslage oftmals aus. Ob der Mitarbeiter, der sich im Urlaub in Schottland an seinem Mailpostfach über das private Smartphone anmeldet, oder der IT-Dienstleister, der kurz vor Mitternacht noch schnell eine dringende Aktualisierung aus der Ferne durchführt.

Diese beiden Beispiele sind typische Szenarien für Zugriffe auf Unternehmensnetzwerke aus der längeren Vergangenheit und möglicherweise sind sie heute noch aktueller denn je. Spätestens seit der Corona-Pandemie in Verbindung mit dem Ausbau von mobilen Arbeitsplätzen kommt es immer häufiger zu Situationen, in denen von außerhalb der Unternehmensinfrastrukturen flexibel mit internen Ressourcen gearbeitet werden soll.

Teilweise durch Sorglosigkeit aber teilweise auch aus Überforderung finden sich immer wieder standardmäßig (und leider oft schlecht) konfigurierte Remotezugänge, bei denen Zugriffe von beliebigen Benutzerkonten oder Geräten möglich sind. Dies teilweise auch mit erhöhten Rechten, zu jeder beliebigen Uhrzeit auf diverse interne Ressourcen und von jedem Punkt des Internets aus.

Uneingeschränkter Zugriff, ist doch praktisch

Vielfach ist es auf der einen Seite der in allen Lebensbereichen lieb gewonnene Komfort, alles zu jeder Zeit und an jedem Ort haben zu können. Daher mag es sich als „praktisch“ anfühlen, diesen Luxus auch im beruflichen Umfeld genießen zu dürfen.

Auf der anderen Seite sollte die Frage nach der Notwendigkeit ebenfalls erlaubt sein, aus dem Urlaub auf einem privaten Gerät Mails lesen zu müssen. So birgt die Nutzung von Privatgeräten im Unternehmenskontext einige Risiken. Definitiv gibt es hier unterschiedliche Aspekte zu berücksichtigen und dem entsprechend zahlreiche Standpunkte.

Um beim aktuellen Beispiel zu bleiben, wie leicht passiert es, dass bei mehreren dienstlichen und/oder privaten Mailpostfächern und oftmals auch verbunden verschiedenen Adressbüchern in einer App versehentlich eine Mail an eine falsche Person durch die Zusammenführung verschiedener Kontaktlisten verschickt wird.

Notwendige Veränderung in Zeiten von Cloud und Cyberkriminalität

Nicht nur der ungeschickte Umgang mit IT-Systemen, sondern auch die wachsende Bedeutung von virtuellen und Cloud-basierten Systemen und die bereits angesprochene steigende Zahlen von Cyberkriminalitätsfällen sollte dafür sorgen, dass Verantwortlichen die Ohren spitzen, wenn es um die Notwendigkeit für Sicherungsmaßnahmen für Unternehmensnetzwerke zu Regelung von erwünschten und unerwünschten Zugriffen auf (Cloud-)Infrastrukturen geht. Gerade solche Webdienste, die für einen größeren Nutzerkreis zur Verfügung stehen, oder öffentlich bekannt oder standardmäßig verwendet werden, so zum Beispiel die Unternehmenswebseite, aber auch (Cloud-)Anwendungen und VPN-Zugänge, sind deutlich häufiger Angriffen ausgesetzt, da sie leichter auffindbar sind.

Das Konzept „Bedingter Zugriff“

Frei nach dem Komiker Kaya Yanar lautet daher die Devise des digitalen Türstehers

„Du kommst hier so net einfach rein.“

Zugriffe werden also nicht mehr unkontrolliert ermöglicht, sondern es werden gewisse Schranken implementiert, die überwunden werden müssen, um einen Zugriff zu bekommen. Daher auch der Name „Bedingter Zugriff“. Grob zusammen gefasst umfasst der Prozess drei Schritte, welche im Folgenden anhand von Beispielen nun schrittweise erläutert werden:

Voraussetzungen für einen Zugriff
Entscheidung über den Zugriff
- Erweiterung der Zugriffsmöglichkeit durch Erfüllung zusätzlicher Anforderungen

Voraussetzungen für einen Zugriff

Alles beginnt mit einer Anfrage für einen Zugriff. Dabei werden in den meisten Fällen direkt einige Informationen über den „Absender“, genauer gesagt das die Anfrage stellende Benutzerkonto und das Gerät, auf dem die Anfrage gestartet wird, mitgeschickt, die sogenannten Metadaten. Beispielsweise werden häufig bei mobilen webbasierten Applikationen in den Metadaten Informationen über das Betriebssystem und die Anwendung, bzw. den Browser bei Webdiensten, mitübertragen.
Aber nicht nur diese explizit in der Anfrage enthaltenen Kriterien, im Englischen als „Signals“ bezeichnet, sondern auch die durch die Anfrage selbst am Server entstehenden Metadaten, wie z.B. der IP-Adresse des Clients, dem Namen der aufgerufenen Ressource und einem Zeitstempel mit dem Zeitpunkt der Anfrage.

In der folgenden Übersicht werden die gängigen Kriterien jeweils mit einem kurzen Beispiel dargestellt:

Standort

Standorte unterscheidet man prinzipiell nach den Kriterien „bekannter Standort“ und „vertrauenswürdiger Standort“ und ihrer jeweiligen Negierung:

Als bekannt und vertrauenswürdigen Standort definiert man oftmals den internen Bereich der Infrastruktur, also eigene Büro- und Produktionsgebäude mit einer Zutrittsbeschränkung.
Zu den bekannten, aber nicht vertrauenswürdigen Standorten zählen oftmals Regionen und Länder, in denen Zugriffe von Mitarbeitenden zu erwarten sind, beispielsweise aus dem Homeoffice oder Mobile Office, z.B. in Coworking Spaces oder von unterwegs.
In der dritten Kategorie, den nicht bekannten und nicht vertrauenswürdigen Standorten, finden sich alle weiteren Zugriffspunkte wieder.

Zeit

Auf Basis des Zeitpunktes der Anfragen können Zugriffe ebenfalls eingeschränkt werden. Wenn Dienstleister beispielsweise grundsätzlich nur innerhalb bestimmter Zeiten auf dem Unternehmensinfrastrukturen Zugriff haben sollen oder Kunden ein Dienst nur während der Servicezeit zur Verfügung steht, so kann es die Sicherheit und den Schutz erhöhen, diese Ressourcen außerhalb dieser Zeiten abzuschalten und somit gar nicht erst Angriffsflächen zu bieten.

Benutzerkonto

Unterschiedliche Benutzergruppen können abweichende Berechtigungen besitzen. Exemplarisch seien hier unterschiedliche Abteilungen eines Unternehmens genannt: So sollten Webentwickler selten die Erforderlichkeit zum Zugriff auf Ressourcen aus der Buchhaltung haben und umgekehrt.

Gerät

Unter dem Kriterium „Gerät“ findet die Unterscheidung zwischen mobilen und stationären Geräten und Betriebssystemen statt. So können mobile Geräte, charakteristischerweise Smartphones, Tablets oder IoT-Geräte, anderen Regelungen unterliegen als Desktop-Rechner oder Notebooks, welche auf Grund ihrer Konfigurationsfreiheit von Hard- und Software spezifischer abgesichert sind.

Anwendung

Eine weitere Einordnung von Zugriffen können auf den anfragenden Anwendungen sein. So kann wahlweise eine explizite Anwendung zum Zugriff berechtigt sein oder eine Gruppe von Anwendungen, zum Beispiel auf dem Smartphone die Standard-Mail-App des Betriebssystems oder auch weitere aus dem jeweiligen App-Store hinzufügbare Anwendungen. Ebenso können auch explizit Anwendungen für den Zugriff gesperrt werden.

Zugriffsrisiko

Zusätzlich kann auch eine automatisch im Hintergrund erstellte Einschätzung zum Risiko des Zugriffs in die Entscheidung einbezogen werden. Dabei können sowohl die Einhaltung von Unternehmenssicherheitsrichtlinien als auch etwaige sicherheitskritische Zwischenfälle mit einbezogen werden. Beispielhaft könnten dies fehlende Updates für das Betriebssystem oder auch ein Malwarebefall sein.

Entscheidung über den Zugriff

Nachdem die Anforderungen (optimalerweise, aber nicht zwingend, sind immer alle genannten Punkte in jeder Richtlinie enthalten) an einen möglichen Zugriff abgefragt wurden, gibt es drei mögliche Ergebnisse:

„Zugelassen“

Uneingeschränkte Genehmigung des Zugriffs, wenn der Kontext als sicher klassifiziert wird, zum Beispiel Öffnen eines Dokuments vom Firmengerät lokal aus dem Büro heraus.

„Blockiert“

Ablehnung des Zugriffs, wenn zum Beispiel außerhalb der gewöhnlichen Arbeitszeit oder aus einer Region, aus der keine Anmeldung zu erwarten ist, zugegriffen werden soll oder keine Berechtigung für das Benutzerkonto existiert.

„Zusätzliche Merkmale erforderlich“

Kein oder eingeschränkter Zugang, der nach Erfüllung zusätzlicher Anforderungen freigeschaltet wird.

Erweiterung der Zugriffsmöglichkeit durch Erfüllung zusätzlicher Anforderungen

Bei Zugriffen auf spezielle Ressourcen kann es wahlweise auf Basis einer Sicherheitsrichtlinie oder der Auswertung des Zugriffsrisikos erforderlich sein, dass zusätzliche Schritte unternommen werden, um die Zugriffsmöglichkeit zu erweitern und somit die Genehmigung für einen Zugriff zu erhalten.

Hierbei können verschiedene Aspekte eine Rolle spielen:

Nutzung einer Multi-Faktor-Authentifizierung mit Hard- oder Softwaretoken, wahlweise auch mit Eingabe von One-Time-Passwörtern
Erlangung von Gerätekonformität
Freischaltung der Ressourcen durch Just-In-Time-Berechtigungen, erteilt durch eine weitere automatische oder manuelle Instanz.

Keine Chance also mehr für Angreifer?

Mit einer sehr restriktiven Implementierung der Methode „Bedingter Zugriff“ kann man seine Angriffsflächen stark verringern, aber wie immer bleibt ein Restrisiko. Immer wieder finden Angreifer Möglichkeiten beispielsweise durch die feindliche Übernahme von Clients, aber auch durch das Fälschen der Gerätekonformität.

Jeder Schutz, der zwar möglicherweise eine Einschränkung des Benutzerkomforts bedeutet, aber eine Hürde für Angreifer darstellt, kann daher nur dann ein Gewinn sein, wenn er auch entsprechend von den Nutzenden angenommen und die Philosophie dahinter aktiv gelebt wird.

- Cyber-Attacke
  Kritische Linux XZ-Backdoor bedroht digitale InfrastrukturNews·19. April 2024
- Living Off The Land Binaries – Wie Angreifer unentdeckt bleibenFachbeitrag·5. April 2024
- E-Mail-Analyse als Tool zur Bekämpfung von CybercrimeFachbeitrag·2. Februar 2024
Mehr zum Thema
- IT-Forensik
  IT-forensische Informationen durch Dateiöffnungen gewinnenFachbeitrag·12. April 2024
- Living Off The Land Binaries – Wie Angreifer unentdeckt bleibenFachbeitrag·5. April 2024
- Aufbruch in die Zukunft: Digitale Forensik im WandelFachbeitrag·22. März 2024
Mehr zum Thema
- IT-Sicherheit
  DORA: Der Digital Operational Resilience Act kurz erklärtFachbeitrag·15. März 2024
- Wie funktionieren eigentlich Passwörter?Fachbeitrag·8. März 2024
- Krisenkommunikation durchführen mit Datenschutz und ITFachbeitrag·15. Februar 2024
Mehr zum Thema
- IT-Systeme
  IT-Schutzziele: Die Verfügbarkeit von Systemen & DatenFachbeitrag·17. Februar 2023
- Monitoring: So funktioniert die SystemüberwachungFachbeitrag·4. Dezember 2020
- Zero Trust – Das Sicherheitsmodell einfach erklärtFachbeitrag·9. Oktober 2020
Mehr zum Thema
- Metadaten
  IT-forensische Relevanz von Metadaten in BilddateienFachbeitrag·17. November 2023
- iMessage: Apples sichere WhatsApp Alternative?Fachbeitrag·4. November 2021
- Metadaten – Wer, wann, mit wem, wie langeFachbeitrag·27. November 2015
Mehr zum Thema
- Sicherheitsvorkehrung
  „Superschutz für Superdaten“ – das DatentransparenzverfahrenFachbeitrag·26. Oktober 2022
- Ist ein fehlendes Double-Opt-In ein DSGVO-Verstoß?Fachbeitrag·12. Februar 2020
- Geschäftsgeheimnisse: Was bedeutet das neue Gesetz für Unternehmen?Fachbeitrag·27. Juni 2019
Mehr zum Thema
- TOM
  EuGH: TOMs und Schadensersatz bei CyberangriffenUrteil·13. März 2024
- Datenschutz bei IT-Tools & Software in SchulenFachbeitrag·12. März 2024
- Amazon Web Services (AWS) datenschutzkonform nutzenFachbeitrag·5. März 2024
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.