Was ist eine Identität in der Cybersicherheit?

Eine Identität in der Cybersicherheit ist eine einzigartige Menge von Attributen, die verwendet wird, um eine Entität zur Identifizierung und Authentifizierung zu repräsentieren. Obwohl Identität typischerweise mit Benutzerkonten verknüpft ist, kann eine Entität auch ein Gerät, eine Anwendung, ein Dienst oder ein KI-Agent sein. Sie alle benötigen ihre eigene Identität, damit Systeme sie erkennen und verifizieren können und bestimmen, was sie tun dürfen, auf welche Ressourcen sie zugreifen und welche Aktionen sie ausführen können. Die Identität bildet in der Cybersicherheit die Grundlage für zwei zentrale Sicherheitsfunktionen: Authentifizierung und Autorisierung. Ohne eine Möglichkeit zur Feststellung der Identität sind weder Authentifizierung noch Autorisierung möglich, wodurch das Identitätsmanagement zu einem entscheidenden Bestandteil einer Sicherheitsstrategie wird.

Warum Identitäten in der Cybersicherheit eine wichtige Rolle spielen

Jede Zugriffsanfrage ist an eine Identität gebunden. Unabhängig davon, ob sich ein Benutzer bei einem Dienst anmeldet, eine Anwendung eine Datenbank abfragt oder ein Skript einen Prozess ausführt, wird anhand jeder Identität festgestellt, ob eine Anfrage authentifiziert werden kann und welcher Zugriff gewährt werden soll. Da bereits eine einzige kompromittierte Identität den Zugriff auf vertrauliche Informationen und kritische Systeme ermöglichen kann, sind Identitäten für Cyberkriminelle äußerst lohnende Ziele.

Die Hauptherausforderung ist die Identitätsausbreitung, also die Vermehrung unkontrollierter Identitäten in lokalen, hybriden und Cloud-Umgebungen. Da Organisationen zunehmend mehr Cloud-Dienste und Integrationen von Drittanbietern einsetzen, wächst die Anzahl der Identitäten rapide, was ihre Überwachung und Steuerung zunehmend erschwert. KI beschleunigt zudem das Wachstum von Identitäten in Organisationen, wobei IT- und Sicherheitsteams oft keine Transparenz über die Anzahl der Identitäten oder deren Schadensradius haben.

Verwaiste Konten, überprovisionierte Berechtigungen und nicht überwachte Dienstkonten erweitern die Angriffsoberfläche. Da identitätsbasierte Angriffe wie Zugangsdatendiebstahl und Phishing durchweg zu den häufigsten Angriffsvektoren im Bereich Cybersicherheit gehören, müssen Anmeldeinformationen geschützt werden, um sicherzustellen, dass Identitäten sicher bleiben.

Welche Attribute konstituieren eine Identität in der Cybersicherheit?

Eine Identität wird durch eine einzigartige Reihe von Merkmalen definiert, die es Systemen ermöglichen, eine Entität von einer anderen zu erkennen, zu verifizieren und zu unterscheiden. Diese Attribute variieren je nach Art der Entität, zu den häufigsten gehören jedoch:

  • Benutzername
  • E-Mail-Adresse
  • IP-Adresse
  • Zertifikate
  • Kryptografische Schlüssel
  • Verhaltenssignale
  • Rollen und Berechtigungen
  • Gruppenmitgliedschaften
  • Metadaten
  • Sitzungsinformationen

Kein einzelnes Merkmal definiert eine Identität vollständig. In ihrer Gesamtheit ermöglichen diese Merkmale es Sicherheitssystemen, kontextbezogene Entscheidungen zu treffen, indem sie Verhaltensabweichungen erkennen, dynamische Zugriffskontrollen durchsetzen und die Abhängigkeit von einzelnen Faktoren verringern, die manipuliert oder kompromittiert werden könnten.

Arten von Identitäten in der Cybersicherheit

Identitäten in der Cybersicherheit gehen über einzelne Benutzerkonten hinaus, da jede Entität, die mit einer digitalen Umgebung interagiert, eine Identität tragen kann. Diese Entitäten lassen sich in vier Hauptkategorien einteilen:

  1. Menschliche Identitäten
  2. Nicht-menschliche Identitäten (Non-Human identities, NHIs)
  3. Geräte- und Anwendungsidentitäten
  4. Maßnahmen und Ressourcen

Menschliche Identitäten

Menschliche Identitäten repräsentieren Personen, die sich authentifizieren und direkt mit Systemen interagieren, darunter Mitarbeiter, Kunden, Administratoren und privilegierte Benutzer. Diese Identitäten sind typischerweise mit individuellen Zugangsdaten wie Benutzernamen und Passwörtern verknüpft und werden von Identitätsanbietern (IdPs) verwaltet. Da menschliche Identitäten häufig Ziel von Cyberangriffen sind, erfordern sie starke Authentifizierungskontrollen und kontinuierliche Überwachung.

Nicht-menschliche Identitäten (Non-Human identities, NHIs)

NHIs sind digitale Identitäten, darunter Dienstkonten, Anwendungen, Workloads, APIs und KI-Agenten. Diese Identitäten stützen sich typischerweise auf Zugangsdaten wie API-Schlüssel, Geheimnisse, Token und Zertifikate zur Authentifizierung. Im Gegensatz zu menschlichen Identitäten arbeiten NHIs in der Regel kontinuierlich im Hintergrund, wodurch sie für Sicherheitsteams leicht zu übersehen sind. Genau das macht sie so gefährlich: NHIs sind oft überprivilegiert und werden über längere Zeit nicht verwaltet. Ohne eine ordnungsgemäße Steuerung werden NHIs zu Einstiegspunkten für Cyberkriminelle, um stillschweigend unbefugten Zugang zu erhalten, seitliche Bewegungen durchzuführen und Privilegien zu erhöhen.

Geräte- und Anwendungsidentitäten

Geräteidentitäten sind Teil der physischen und virtuellen Infrastruktur, die digitale Umgebungen bilden. Server, Endpunkte und IoT-Geräte (Internet of Things) müssen authentifiziert werden, bevor sie über ein Netzwerk kommunizieren können. Anwendungsidentitäten umfassen die Softwareschicht, einschließlich Datenbanken, Cloud-Dienste und SaaS-Plattformen, die sich regelmäßig gegenseitig authentifizieren, um zu funktionieren. Diese Service-to-Service-Kommunikation ist ein wichtiger Bestandteil der modernen Cloud-Infrastruktur, und die Identität sorgt für Sicherheit. Ohne authentifizierte Geräte- und Anwendungsidentitäten haben Organisationen keine zuverlässige Möglichkeit sicherzustellen, dass nur vertrauenswürdige Systeme Daten austauschen.

Aktionen und Ressourcen als Identitätskontext

Aktionen und Ressourcen haben keine Identitäten wie Benutzer und Geräte, aber sie sind mit Identitäten und Zugriffsrichtlinien verknüpft. Aktionen wie Abfragen, Ausführungen und Netzwerkverbindungen werden immer im Kontext einer Identität durchgeführt, wodurch Verhaltenskontext und Datensätze entstehen, die für die Bedrohungserkennung und Compliance unerlässlich sind. Ressourcen wie Dateien, Datenbankeinträge und gemeinsam genutzte Drives werden in der Regel durch Zugriffsrichtlinien gesteuert, die definieren, welche Identitäten mit ihnen interagieren können und was diese Identitäten tun können. Zusammen bieten Aktionen und Ressourcen die notwendigen kontextuellen und verhaltensbezogenen Ebenen, die es Systemen ermöglichen, Risiken zu bewerten, verdächtige Aktivitäten zu erkennen und strengere Kontrollen durchzusetzen, wenn Aktivitäten von der Norm abweichen.

Identität vs. Authentifizierung vs. Autorisierung

Obwohl sie eng miteinander verbunden sind, handelt es sich bei Identität, Authentifizierung und Autorisierung um drei eigenständige Konzepte, die nacheinander zum Einsatz kommen, um den Zugriff in sicheren Systemen zu regeln. Unter Identität versteht man, wer oder was eine Entität ist, einschließlich der Gesamtheit der Attribute, die sie definieren. Bei der Authentifizierung wird die Identität überprüft, wobei durch ein Passwort, ein Zertifikat oder biometrische Daten bestätigt wird, dass die Entität tatsächlich diejenige ist, die sie vorgibt zu sein.

Die Multi-Faktor-Authentifizierung (MFA) verstärkt dies, indem sie zwei oder mehr dieser Faktoren erfordert. Im Gegensatz dazu bezeichnet die Autorisierung, was die verifizierte Identität tun darf, beispielsweise eine Datei lesen, aber nicht verändern, oder eine bestimmte Aktion ausführen. Zusammen bilden diese drei Konzepte das Rückgrat der Zugriffskontrolle, und ein Fehler auf einer beliebigen Ebene kann die Sicherheit des gesamten Systems gefährden.

Wie Organisationen Identitäten verwalten und schützen

Identitätsmanagement ist ein zentraler Bestandteil von Zero-Trust-Sicherheitsmodellen. Anstatt einen breiten Zugriff basierend auf dem Netzwerkstandort oder einem einzelnen Login zu gewähren, geht Zero-Trust davon aus, dass keine Identität standardmäßig vertrauenswürdig sein sollte, und erfordert eine kontinuierliche Überprüfung von Identitäten und Zugriffsanfragen. Identitätsbasierte Sicherheit erfordert solide Identitätsmanagementpraktiken. Hier sind mehrere Möglichkeiten, wie Organisationen Identitäten verwalten und sichern können:

  • Least-Privilege-Zugriff durchsetzen: Jeder Identität sollte nur die minimal notwendigen Berechtigungen erteilt werden. Das Prinzip der minimalen Berechtigungen sollte auf jeder Ebene durchgesetzt und regelmäßig überprüft werden, um nicht mehr benötigte Berechtigungen zu entfernen und das Risiko der Ausnutzung zu verringern.
  • MFA überall einsetzen: MFA erfordert, dass eine Instanz ihre Identität durch zwei oder mehr Faktoren bestätigt. Sie sollte universell angewendet werden, insbesondere auf privilegierte Konten und Benutzer mit Fernzugriff auf kritische Systeme.
  • Privileged Access Management (PAM) implementieren: PAM-Lösungen ermöglichen die zentrale Kontrolle über privilegierte Konten. Sie ermöglichen es Organisationen, granulare Zugriffskontrollen durchzusetzen, zusätzliche Überprüfungen für kritische Operationen vorzuschreiben und detaillierte Audit-Protokolle zu pflegen.
  • Zugangsdaten und Geheimnisse automatisch rotieren: Zugangsdaten, die sich selten oder nie ändern, sind persistente Schwachstellen. Die automatisierte Rotation stellt sicher, dass Zugangsdaten und Geheimnisse aller Identitäten regelmäßig aktualisiert werden, wodurch das Zeitfenster für Cyberkriminelle begrenzt wird.
  • Sitzungsaktivitäten überwachen und protokollieren: Kontinuierliche Sitzungsüberwachung und -aufzeichnung erstellen ein Echtzeitprotokoll darüber, was Identitäten mit ihrem Zugriff tun. In Verbindung mit Verhaltensanalysen ermöglicht die Sitzungsüberwachung es Unternehmen, Bedrohungen zu erkennen, die die Authentifizierung umgehen, indem sie legitime, jedoch kompromittierte Anmeldedaten nutzen.
  • Sichere Geräteidentitäten und automatisierte Workflows: Geräte besitzen Identitäten, die nach den gleichen Standards verwaltet werden müssen wie menschliche Benutzer. Unternehmen sollten ein vollständiges Inventar der Geräteidentitäten führen und sicherstellen, dass automatisierte Workflows unter regelmäßig geprüften Berechtigungen funktionieren.
  • KI-Agenten steuern: KI-Agenten fragen zunehmend Systeme ab und interagieren autonom mit der Infrastruktur, daher müssen sie als eigenständige Identitäten behandelt werden, die der gleichen Governance wie andere Entitäten unterliegen. Ohne eine ordnungsgemäße Identitätsverwaltung für KI-Agenten riskieren Organisationen, dass hochleistungsfähige Identitäten unbeaufsichtigt bleiben und dadurch ihre Umgebung gefährden.

Einverständnis zur Cookie-Nutzung widerrufenWir schätzen Ihre Privatsphäre

Wir verwenden Cookies auf unserer Website, um Ihnen das beste Browser-Erlebnis zu bieten, personalisierte Anzeigen zu unseren Produkten und Inhalten zu bieten und den Website-Datenverkehr zu analysieren. Um mehr zu erfahren, lesen Sie bitte unsere Datenschutzrichtlinie.

Für die kostenlose Testversion anmelden

Jetzt kaufen