Identitätsbasierte Angriffe entwickeln sich zur größten Herausforderung moderner IT-Sicherheit. Dean Watson, Lead Solutions Expert, Secure Networking, Infinigate (UK&I) zeigt, wie Managed Service Provider resiliente IAM-Services aufbauen und welche Technologien dabei entscheidend sind.
Die Angriffsfläche von Unternehmen hat sich zuletzt signifikant verschoben: Cyberkriminelle nutzen zunehmend Schwachstellen in der menschlichen Identität als zentralen Hebel, um sich Zugang zu sensiblen Daten zu verschaffen. Dabei geht es längst nicht mehr nur um den schnellen Datendiebstahl, sondern vielmehr darum, über kompromittierte Identitäten tief in die Infrastruktur einzudringen und sich dort dauerhaft festzusetzen. Managed Service Provider müssen ihren Kunden daher heute weitaus mehr bieten als lediglich Lizenzen für die Multi-Faktor-Authentifizierung.
Wie jüngste Vorfälle, wie der bei Figure Technology Solutions, zeigen, ist das Profiling von Mitarbeitern eine erfolgversprechende Taktik. Durch die Kombination öffentlich verfügbarer Informationen mit leicht zu erratenden geschäftlichen E-Mail-Adressen bauen Angreifer in großem Stil valide Zugangsdaten nach, die klassische Sicherheitsmechanismen umgehen. Doch nach dem ersten Login kommt das eigentliche Risiko erst richtig zum Tragen: Gruppen wie Scattered Spider exfiltrieren komplette Identitätsdatenbanken, um sich mittels „Masquerading“ als legitime Nutzer zu tarnen. Mit diesem digitalen Generalschlüssel ausgestattet, bewegen sie sich unsichtbar im Netzwerk, ohne Alarme auszulösen. Für IT-Dienstleister bedeutet das, dass der reine Verkauf von Multi-Faktor-Authentifizierungs (MFA)-Lizenzen nicht mehr ausreicht, um Unternehmen ausreichend vor den aktuellen Bedrohungen zu schützen. Ein effektiver Managed Identity Service muss stattdessen direkt bei der Überwachung des Nutzerverhaltens ansetzen und auf drei operativen Säulen fußen.
Die Architektur resilienter Identitätsservices
Ein effektives Identity Access Management (IAM) ist jedoch keine Lösung von der Stange. Die individuellen Bedürfnisse, Ziele und Umgebungen der Kunden entscheiden darüber, welche Identitätskontrollen am effektivsten sind. Anstatt den Fokus auf spezifische Tools zu legen, ist es sinnvoller, drei zentrale Funktionen zu definieren, die ein Managed Service abbilden sollte:
- Coverage: Die Eliminierung blinder Flecken
Ohne vollständige Sichtbarkeit ist keine effektive Überwachung möglich. Coverage bedeutet in diesem Zusammenhang, dass die IAM-Lösung als „Single Source of Truth“, also als einzige Quelle der Wahrheit, fungieren und das gesamte Ökosystem des Unternehmens abdecken sollte. In gewachsenen Infrastrukturen stellen Legacy-Systeme ein hohes Risiko dar, da sie in vielen Fällen aktuelle Authentifizierungsprotokolle nicht nativ unterstützen. Ein Managed Service löst dies im besten Fall durch Proxy-Lösungen oder Containerisierung, um auch Altsysteme in die zentrale Identitätssteuerung einzubinden.
- Correlation: Vom Log-File zur Verhaltensanalyse
Angesichts der Komplexität zukunftsfähiger Netzwerke ist eine manuelle Sichtung von Login-Daten unrealistisch. Ein Managed Service kann hier insbesondere mit Korrelation punkten. Das bedeutet, dass das System in der Lage sein muss, Login-Informationen automatisiert zu analysieren und Muster zu erkennen. Ein Beispiel hierfür ist das „Impossible Travel“-Szenario, bei dem zwei Logins derselben Identität in geografisch unmöglichem Zeitabstand erfolgen. Ziel ist es, dass Automatismen potenzielle Anomalien anzeigen, sodass IT-Experten erst bei der validen Verdachtslage zur Untersuchung hinzugezogen werden.
- Reporting: Gegen die Alert Fatigue
Die Qualität einer IAM-Lösung bemisst sich nicht an der Anzahl der generierten Warnmeldungen, sondern an deren Relevanz. Effektives Reporting muss klare, präzise Informationen liefern („Actionable Intelligence), die schnelle Entscheidungen ermöglichen. Hier sollten unbedingt Eskalationspfade definiert werden, die sicherstellen, dass IT-Sicherheitsverantwortliche und Administratoren ausschließlich bei echten Bedrohungen alarmiert werden, während das Hintergrundrauschen (Noise) durch automatisierte Prozesse gefiltert wird. Ziel ist es, die Reaktionszeit (Mean Time to Respond) durch verwertbare Daten zu reduzieren und Alarmfluten entgegenzuwirken.
Technologische Enabler für den Managed Service
Um diese drei Säulen in der Praxis zu verankern, braucht es Technologien, die über die klassische, statische Rechtevergabe hinausgehen. Im Fokus stehen Lösungen, die Identitätsrisiken in Echtzeit bewerten, ohne die Betriebsabläufe zu beeinträchtigen: Die risikobasierte Authentifizierung (RBA) fungiert als dynamische Steuerungsebene, die Sicherheitsabfragen erst beim Überschreiten festgelegter Risikoschwellen auslöst. Anstatt starre Authentifizierungshürden für alle Nutzer einzurichten, bewertet das System jede Zugriffssitzung individuell anhand kontextueller Daten. Die hierfür notwendige Datenbasis liefert die User and Entity Behaviour Analytics (UEBA). Durch maschinelles Lernen werden Profile des regulären Nutzerverhaltens erstellt, wie beispielsweise typische Arbeitszeiten, genutzte Geräte oder IP-Standorte. Weicht eine Aktivität deutlich von diesen Mustern ab, fordert das System automatisch eine zusätzliche Bestätigung an oder blockiert den Zugriff präventiv.
Da trotz fortschrittlicher Analyse das Passwort der kritische Schwachpunkt jeder Sicherheitsarchitektur bleibt, gehört die Integration von FIDO2-Passkeys für Managed Services zum Standard. Hardware-Tokens oder softwarebasierte Passkeys eliminieren die Vektoren Phishing und Password-Guessing nahezu vollständig: Unternehmen, die FIDO2 konsequent einsetzen, sind in der Lage, rund 90 Prozent der anomalen Anmeldeversuche zu neutralisieren, da keine übertragbaren Zugangsdaten mehr existieren, die sich durch Social Engineering abgreifen ließen.
Implementierung: Ein operativer Fahrplan für Channel-Partner
Der Aufbau eines Managed Identity Services erfordert eine systematische Umstellung des eigenen Betriebsmodells. Um Skalierbarkeit und Sicherheit zu gewährleisten, hat sich ein vierstufiger Fahrplan bewährt:
- Interne Resilienz aufbauen (Self-Audit)
Bevor Managed Service Provider ihre Identity-Lösungen Kunden anbieten können, müssen sie ihre eigene Infrastruktur ausreichend absichern. Angesichts steigender Angriffe auf die Lieferketten ist es zwingend erforderlich, die administrativen Zugänge durch MFA und FIDO2 zu schützen. Dies dient nicht nur dem Risikomanagement, sondern fungiert gleichzeitig als validierte Blaupause für potenzielle Kundenprojekte.
- Den Lösungsstack standardisieren
Im Bereich Managed Services entsteht Wirtschaftlichkeit durch Standardisierung. Anbieter müssen nicht eine Vielzahl von IAM-Lösungen unterstützen – es genügt, sich auf maximal zwei Kern-Plattformen zu konzentrieren, wobei Microsoft Entra ID aufgrund der Marktverbreitung in vielen Fällen als Basis gesetzt ist. Dieser Fokus ermöglicht es den Technikern, tiefgreifende Expertise aufzubauen und automatisierte Workflows effizient über mehrere Kundenumgebungen hinweg auszurollen.
- Ein Onboarding-Konzept entwickeln
Die größte operative Herausforderung beim Service-Start ist die Migration bestehender Nutzerverzeichnisse. Ein fehlerhafter Prozess kann hier zu geschäftskritischen Ausfällen führen, wenn Berechtigungsstrukturen falsch übernommen oder rechtmäßige Nutzer ausgeschlossen werden. Umso mehr an Bedeutung gewinnt daher ein standardisiertes Onboarding-Handbuch, das die schrittweise Migration von Identitäten, die Anbindung von Legacy-Systemen und die initiale Erstellung von Nutzerprofilen ohne Betriebsunterbrechung regelt.
- Kontinuierliche Review-Zyklen
Da sich sowohl die Bedrohungslage als auch die Anforderungen an die Compliance fortlaufend ändern, daf Identitätsschutz nicht als statischer Zustand betrachtet werden. Eine gute Lösung beinhaltet daher quartalsweise Reviews, um die konfigurierten Richtlinien und Risikoschwellen an neue Angriffsmuster anzupassen. Ziel ist eine permanente Optimierung der Erkennungsraten bei gleichzeitiger Minimierung von Fehlalarmen.
Fazit: Identität als Fundament der Cyberresilienz
Die Verlagerung der Angriffsvektoren auf die Identitätsebene zwingt Unternehmen und IT-Dienstleister zum Umdenken. Da klassische Sicherheitsbarrieren durch Methoden wie das Masquerading umgangen werden, rückt die kontinuierliche Überwachung und Korrelation von Zugriffsmustern in das Zentrum der Verteidigungsstrategie.
Für Channel-Partner verschiebt sich die Wertschöpfung damit vom reinen Lizenzverkauf hin zur dauerhaften Absicherung der Identitätsinfrastruktur. Ein resilienter Managed Identity Service erfordert nicht nur die Bereitstellung von Tools, sondern vielmehr die operative Verzahnung von technischer Überwachung und schnellen Reaktionsprozessen. Werden die drei Säulen Coverage, Correlation und Reporting konsequent umgesetzt und durch Standards wie FIDO2 untermauert, können Identitätsrisiken nicht nur identifiziert, sondern auch proaktiv neutralisiert werden.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de