Identitätsmanagement: Mehr Sicherheit für Non-Human Identities
Das Open Web Application Security Project (OWASP), eine internationale Non-Profit-Organisation für die Verbesserung der Cybersicherheit von Webanwendungen, hat eine Top-10-Liste der größten Schwachstellen bei der Maschinenauthentifizierung in Softwareanwendungen zusammengestellt. Dazu bietet OWASP hilfreiche Leitlinien, um die Risiken zu minimieren oder zu vermeiden. Die zehn Leitlinien beschreiben eine breite Palette von Sicherheitsrisiken und Angriffsvektoren, die typischerweise im Umgang mit der Authentifizierung nicht-menschlicher Identitäten (Non-Human Identities; NHIs) in Web- und Cloud-Anwendungen auftreten.
Angriffe auf Authentifizierungsmethoden und das Identitätsmanagement nehmen zu und erweisen sich für Entwickler immer mehr als Herausforderung bei der Absicherung webbasierter Softwareapplikationen. Spektakuläre Beispiele sind hier der Angriff auf OKTA, einen US-Anbieter für Identitätsmanagement, der Angriff auf die Verwaltung von Zugriffstoken bei GitHub und bei Microsoft der Leak der Shared Access Signature (SAS) Token. Allen gemeinsam ist eine signifikante Schwächung der Non-Human Identities mit der Folge, dass diese für zahlreiche und spektakuläre Angriffe, beispielsweise auf die IT-Systeme der US-Regierung, ausgenutzt wurden. Laut Microsofts Darstellung des Vorfalls verwendeten die Angreifer manipulierte Authentifizierungstoken, um auf Informationen von US-Regierungsbehörden und zugehörige Kundenkonten in der öffentlichen Cloud zuzugreifen.
- OWASP-Projekt: Mehr Sicherheit für NHIs
- Marktübersicht: Plattformen für Application Security Posture Management
- IT-Security: Verdeckt angreifen mit Beacon Object Files
- Ransomware: Nach Hackerangriff Schadensersatz vom IT-Dienstleister
- Wenn Crowdstrike die Klinik lahmlegt: Interview mit Rudolf Dück
- Kali-Alternativen für Pentesting und Co. in der Übersicht
- Anomalieerkennung in der OT – eine Übersicht von Systemen
- Cyber Threat Intelligence im eigenen Unternehmen nutzen
- Eine Analyse der xz-Hintertür, Teil 1
- Security: Wie man nach einem Angriff am besten vorgeht
- Marktübersicht: Sicherheitsscanner für Container-Images
- Sicherheitsexperte im Interview: Wie Insider ihr Wissen im Darknet verkaufen
- Angriffe auf die Authentifizierung und das Identitätsmanagement haben in den letzten Jahren stark zugenommen. Für Entwickler ist die sichere Einbindung von Identitäten (nicht nur) in Webanwendungen eine Herausforderung.
- Insbesondere nicht-menschliche Identitäten für automatisierte Prozesse und Systeminteraktionen sind attraktive Ziele für Cyberkriminelle.
- Der laxe Umgang mit NHIs (Non-Human Identities) kann zu enormen Schäden durch Identitäts- und Datenleaks führen. Entwickler sind gut beraten, die hilfreichen Empfehlungen der neuen OWASP Top 10 NHI in die Praxis umzusetzen.
Der sichere Umgang mit solchen NHIs ist damit eine Notwendigkeit für die nachhaltige Absicherung von webbasierten Applikationen und Cloud-Anwendungen. Insbesondere die Cloud spielt eine wichtige Rolle beim zunehmenden Bedarf an NHIs, bedingt durch die steigende Abhängigkeit von Drittanbieter-APIs und die Nutzung von LLMs und KI-Agenten. Doch viele Tools für das Identitäts- und Zugriffsmanagement (Identity and Access Managment, IAM) sind vorwiegend auf menschliche Benutzer ausgerichtet. Unternehmen tun sich schwer damit, die IAM-Regeln und -Prozesse auf NHIs anzuwenden und durchzusetzen.
Das war die Leseprobe unseres heise-Plus-Artikels "Identitätsmanagement: Mehr Sicherheit für Non-Human Identities". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.- Alle exklusiven Tests, Ratgeber & Hintergründe
- Ein Abo für alle Magazine: c't, iX, Mac & i, Make, c't Fotografie im Browser lesen und als PDF speichern
- Wöchentlich schon ab 2,99 €. Rabatt für Magazin-Abonnenten und junge Leute