Der Zugang zu Informationen einer Institution wird weniger durch die dahinter liegende Infrastruktur und deren Topologie definiert sondern primär durch Richtlinien die eine Identität ermittelt, authentisieren, authorisieren und ein Accounting durchführen. Aus diesem Grund erfordern Identitäts-Perimeter genauso viel Aufmerksamkeit wie die klassischen DMZ-Perimeter aus der Vergangenheit. Diese Einschätzung impliziert, dass der Schutz versagen kann und immer durch Erkennungs- und andere Mechanismen abgesichert werden muss.

Im Bereich der Netzwerksicherheit wurde im Laufe der Jahre eine Vielzahl von Detektionssystemen entwickelt, um böswillige Handlungen an den Netzwerk-Perimetern zu erkennen, aber wo ist das Äquivalent für identitätsbezogene Systeme? Vieles davon ist potenziell vorhanden, aber in Audit- und Anwendungsprotokollen und dergleichen vergraben. Doch wo sind die zeitnahen und detaillierten Informationen hinsichtlich der bösartigen Nutzung von Identity Services zu finden?

Protokolle wie SAML, OAuth, OIDC und andere haben die Verknüpfung unterschiedlicher Systeme erheblich vereinfacht, und sie werden so gut wie überall eingesetzt. Die Identitätsprotokolle lösen jedoch (bestenfalls) den Anwendungsfall des Schutzes, wie die Autorisierung. Sie sind nicht in der Lage, mit bösartigen Handlungen umzugehen, was bedeutet, dass Angreifer innerhalb der Identitätsprotokolle umherstreifen können. Für OAuth 2.0 wurde im Rahmen der Entwicklung ein Bedrohungsmodell entwickelt und im RFC 6819 (1) veröffentlicht. Jedoch mit welchem Tool kann eine Institution die vielen aufgezeigten Bedrohungen erkennen und diesen entsprechend begegnen?

Das Design von Identitätsprotokollen sollte sich nicht nur auf den Schutz beschränken. Denn in der heutigen Zeit sind der potentielle Missbrauch leider unvermeidlich. Jedoch sollte diese Tatsache durch die Verantwortlichen bei der Etablierung der Überwachung auf nachfolgend aufgezeigte und bekannte Bedrohungen grundsätzlich mit berücksichtigt werden:

• Brute Force
• Token-Wiederholung
• Token-Veränderung
• Umleitung (zahlreiche Optionen innerhalb des Protokolls tanzen)
• Umgehung der Authentisierung oder Autorisierung
• Spoofing (Client und Server)

Im Rahmen der verstärkten Nutzung von Cloud-Services ist eine implizite Trennung der Rollen und Zuständigkeiten immer schwieriger. Hieraus ableitend ist es umso bedeutender die frühzeitige Erkennung des Missbrauches von Identitäten zu identifizieren und zu begegnen. Hier können spezielle Teams geschult in den Methodiken des Angriffes und der Verteidigung bei der Hinterlegung von hierauf ausgerichtetetn Analyseparamtern unterstützen.

Literaturverzeichnis