Definition des Identity and Access Managements

Dank Identity and Access Management (IAM) erhalten die richtigen Mitarbeiter, Software und Hardware entsprechend ihren Aufgaben und Funktionen Zugriff auf die Tools, die sie für die Erfüllung ihrer Aufgaben benötigen, ohne dass ihnen gleichzeitig Zugriff auf Tools gewährt wird, die sie nicht benötigen und/oder ein Sicherheitsrisiko für das Unternehmen darstellen. Unternehmen, die IAM nutzen, können ihre Abläufe rationalisieren, indem sie Identitäten verwalten, ohne dass sich einzelne Personen als Administratoren bei Anwendungen anmelden müssen.

Identity and Access Management ist für Unternehmen von entscheidender Bedeutung, da es die Notwendigkeit unterstützt, angemessenen Zugriff auf Tools und Ressourcen in immer vielfältigeren technologischen Ökosystemen zu gewähren und die sich stetig ändernden Datenschutz- und Sicherheitsvorschriften einzuhalten. IAM betrifft viele Unternehmensbereiche, nicht nur die IT, und erfordert neben speziellen technischen Fähigkeiten auch eine strategische Geschäftsplanung.

Konzepte des IAM

Der Kern des Identity and Access Management liegt natürlich in der Identität. Mit IAM soll einer Person oder einer anderen Entität eine digitale Identität zugewiesen werden, die dann während ihres gesamten Lebenszyklus kontrolliert, verwaltet und unterstützt werden muss.

Ein weiteres wichtiges Konzept ist die digitale Ressource, die als eine beliebige Kombination von Daten und Anwendungen, wie Software, Datenbanken, Programmierschnittstellen (APIs), Geräte und mehr, innerhalb eines Computersystems definiert ist.

Wenn ein Teammitglied, ein Kunde, ein Gerät, eine Maschine oder eine andere Einheit mit einer Identität Zugriff auf die Ressourcen eines Unternehmens benötigt, überprüft das Identity and Access Management die Identität und kontrolliert den Zugriff auf die digitale Ressource.

Terminologie des IAM

Bevor wir uns eingehend mit dem Thema Identity and Access Management befassen, empfiehlt es sich, einige Begriffe kurz zu definieren, z. B:

  • Zugriffsmanagement: Darunter versteht man die Praktiken und Tools, mit denen der Zugriff auf das Netzwerk überwacht und verwaltet wird. Identity Management-Lösungen, ob vor Ort oder in der Cloud, umfassen in der Regel Funktionen wie die Authentifizierung, die Autorisierung, sowie Vertrauens- und Sicherheitsüberprüfungen.
  • Active Directory (AD): Ein Verzeichnisdienst für Benutzer-Identitäten und ein Microsoft-Produkt, das über das Windows Server-Betriebssystem weithin verfügbar ist. Durch Integrationen kann der Zugriff nahtlos bereitgestellt und aufgehoben werden, wodurch das IT-Team entlastet wird.
  • Biometrische Authentifizierung: Diese Sicherheitsmethode nutzt einzigartige Merkmale wie Fingerabdrücke, Retinas und Gesichtsmerkmale zur Authentifizierung von Benutzern.
  • Cloud Infrastructure Entitlement Management (CIEM): Beim CIEM werden Identitäten und Zugriffe in zunehmend komplexen Cloud-Infrastrukturumgebungen verwaltet. Dabei wird ein Least Privilege-Ansatz verfolgt, um zu gewährleisten, dass Benutzer nur Zugriff auf die Ressourcen haben, die sie benötigen, und auch nur so lange, wie sie diese benötigen.
  • Deprovisionierung: Das Aufheben des Zugriffs eines Benutzers auf Anwendungen, Systeme und Daten innerhalb eines Netzwerks.
  • Digitale Identität: Diese setzt sich aus Benutzerattributen (z. B. Name, Personalausweisnummer, E-Mail-Adresse, biometrische Daten und andere personenbezogene Daten) sowie aus digitalen Aktivitäts- und Verhaltensmustern (z. B. Browserverlauf, Downloads und Betriebssystem) zusammen.
  • Identity and Access Management (IAM): IAM ist eine Spezialdisziplin innerhalb des Bereichs Cybersecurity, die sicherstellt, dass nur die richtigen Personen zum richtigen Zeitpunkt und aus den richtigen Gründen auf die richtigen Daten und Ressourcen zugreifen können.
  • Identity as a Service (IDaaS): Ein Bereitstellungsmodell für Anwendungen, mit dem sich Benutzer über die Cloud mit Identity Management Services verknüpfen und diese nutzen können.
  • Identity Governance: Die Verwaltung des Benutzerzugriffs und der Compliance mit Hilfe von IT-Software und -Systemen.
  • Identity Provisioning: Als Schlüsselkomponente des Identity Governance Frameworks verwaltet die Identity Provisioning Benutzerkonten und stellt sicher, dass die Benutzer Zugriff auf die richtigen Ressourcen haben und diese angemessen nutzen.
  • Multi-Faktor-Authentifizierung (MFA): Ein Tool für die Zugriffsverwaltung, das zwei oder mehr Sicherheitsmechanismen für den Zugriff auf IT-Ressourcen, einschließlich Anwendungen und Geräte, kombiniert.
  • Least Privilege-Prinzip (Prinzip des geringsten Privilegs): Zum Schutz von Daten und Anwendungen wird der Zugriff auf eine Identität nur für die minimal erforderliche Dauer und nur auf die für die Ausführung der Aufgabe erforderlichen Ressourcen gewährt.
  • Privileged Access Management (PAM): Privilegierter Zugriff ist auf Benutzer wie Administratoren beschränkt, die für die Implementierung, Wartung und Aktualisierung Zugriff auf Anwendungen, Systeme oder Server haben müssen. Da eine Kompromittierung dieser Zugangsdaten katastrophale Folgen für das Unternehmen haben könnte, grenzen PAM-Tools diese Benutzer-Konten von anderen ab und verfolgen die mit ihnen verbundenen Aktivitäten genau.
  • Rollenbasierte Zugriffsverwaltung (RBAC): Mit RBAC kann durch die Zuweisung einer Reihe von Berechtigungen erweiterter Zugriff geschaffen und durchgesetzt werden. Die Berechtigungen basieren auf dem erforderlichen Zugriff, den bestimmte Benutzerkategorien zur Erfüllung ihrer Aufgaben benötigen. Verschiedene Personen im Unternehmen können also völlig unterschiedliche Ebenen und Arten von Zugriffsrechten haben, die ausschließlich auf Faktoren wie ihren Aufgaben und Verantwortlichkeiten basieren.
  • Aufgabentrennung (SoD): Ein Sicherheitsprinzip, das Unternehmen zur Vermeidung von Fehlern und Betrug einsetzen. Diese interne Kontrollmethode stützt sich auf RBAC, um Fehler zu verhindern.
  • Single Sign-On (SSO): SSO ist ein Authentifizierungsservice, mit dem Benutzer unter Verwendung eines einzigen Zugangsdatensatzes auf mehrere Anwendungen und Websites zugreifen können.
  • Benutzer-Authentifizierung: Eine grundlegende Aufgabe von IAM-Systemen ist die Überprüfung, ob es sich bei einer Identität um die Person bzw. das System handelt, das sie bei der Anmeldung bei und der Nutzung von Anwendungen und Daten vorgibt zu sein. Die meisten Menschen kennen die herkömmliche Authentifizierung, bei der ein Benutzer einen Benutzernamen und ein Passwort in einen Anmeldebildschirm eingibt. Moderne und zukünftige Lösungen zur Benutzerauthentifizierung setzen künstliche Intelligenz und andere technische Erweiterungen ein, um die Assets eines Unternehmens besser zu schützen.

Authentifizierung vs. Autorisierung

Authentifizierung und Autorisierung werden oft synonym verwendet, dabei handelt es sich um getrennte Prozesse, die das Unternehmen vor Cyberangriffen schützen sollen.

Bei der Authentifizierung wird die Identität eines Benutzers überprüft, während die Autorisierung die spezifischen Anwendungen, Dateien und Daten, auf die der Benutzer zugreifen kann, validiert.

Die Authentifizierung erfolgt über Passwörter, einmalige personenbezogene Identifikationsnummern, biometrische Daten und andere vom Benutzer bereitgestellte Informationen, während die Autorisierung über Einstellungen erfolgt, die vom Unternehmen implementiert und verwaltet werden.

Warum Unternehmen Identity and Access Management benötigen

Warum ist IAM wichtig?

IAM ist für die Unterstützung der Sicherheit und Compliance sowie für die Verbesserung der unternehmerischen Produktivität unerlässlich. Dies gilt nicht nur für Mitarbeiterressourcen, sondern für jede Entität, der eine Identität zugewiesen wird (z. B. Geräte des Internet der Dinge (IoT), Programmierschnittstellen für Anwendungen (APIs)). Die zunehmende Anzahl von Gerätetypen und Standorten, von denen aus auf Anwendungen und Daten zugegriffen wird, unterstreicht ebenfalls die Bedeutung von Identity and Access Management.

Mit Identity and Access Management können Unternehmen den Zugriff auf Basis von Gruppen oder Rollen verwalten, anstatt ihn individuell zu vergeben. Dies vereinfacht die IT-Abläufe erheblich, sodass IT-Experten ihre Expertise und Aufmerksamkeit auf nicht automatisierte Projekte richten können. Auch die Mitarbeiter im Team wissen IAM zu schätzen, weil es ihnen Zugriff auf die Tools bietet, die sie benötigen, und gleichzeitig frustrierende Passwortprobleme minimiert.

Identity and Access Management wird jedoch nicht nur für Mitarbeiter eingesetzt, sondern auch für Auftragnehmer, Partner, Kunden, Roboter und sogar für Codesegmente wie APIs oder Micro-Services. Durch Effizienzsteigerung, Kostensenkung, höhere Produktivität im Unternehmen und die Optimierung der Funktionalität technischer Systeme wird die IAM-Lösung nicht nur zu einem wichtigen, sondern zu einem unternehmenskritischen Tool.

Die Rolle von IAM bei der Sicherheit

Das Identity and Access Management reduziert die Anzahl der klassischen Sicherheitslücken im Zusammenhang mit Passwörtern. Das Unternehmen ist nicht nur anfällig für Datenverstöße im Zusammenhang mit Passwörtern und deren Wiederherstellung, sondern auch für menschliche Fehler bei der Erstellung von Passwörtern. So werden Passwörter erstellt, die leicht zu merken (und leicht zu knacken) sind, dieselben Passwörter für mehrere Anwendungen und Systeme verwendet und Passwörter mit einer geringfügigen Änderung aktualisiert, anstatt völlig neue, zufällig generierte Passwörter zu verwenden.

Bei hybriden Multi-Cloud-Umgebungen und Software-as-a-Service (SaaS)-Lösungen ist das IAM-Ökosystem noch komplexer und die Sicherheitsanforderungen sind noch höher. Ohne eine Struktur für die Verwaltung von Identitäten und Zugriffen ist echte Datensicherheit für Unternehmen heute nicht mehr möglich.

Für ein robustes Identity and Access Management muss das Unternehmen über die Sicherung eines Netzwerks hinausgehen. Es muss Zugriffsrichtlinien überarbeiten, die oft veraltet sind und alte Regeln und Rollendefinitionen umfassen, die nicht mit dem Wachstum des Unternehmens Schritt gehalten haben. Das IAM-System muss außerdem über die IT hinaus auf alle Bereiche des Unternehmens ausgedehnt werden mithilfe von Integrationen, die mehr Transparenz und Kontrolle erlauben.

IAM und regulatorische Compliance

Regulatorische Compliance unterliegt einem raschen Wandel. Neben bekannten Gesetzen wie der Datenschutzgrundverordnung (DSGVO) der Europäischen Union, dem Health Insurance Portability and Accountability Act (HIPAA) und dem Sarbanes-Oxley Act (SOX) erlassen auch viele andere Regionen, Länder und Staaten ihre eigenen Datenschutzbestimmungen. Identity and Access Management unterstützt die strengen Anforderungen an die Datensicherheit und liefert die nötige Transparenz und Dokumentation, die für die Compliance erforderlich sind.

Bei unvollständigen oder ineffektiven IAM-Prozessen kann es vorkommen, dass Unternehmen die gesetzlichen Vorschriften oder Branchenstandards nicht mehr erfüllen. Selbst wenn das IAM-Programm ordnungsgemäß funktioniert, können falsche oder unzureichende Informationen über das Programm oder die Art und Weise, wie die Daten geschützt werden, ein Audit gefährden.

IAM und Bring Your Own Device (BYOD)

Lösungen für das Identity and Access Management können die Produktivität der Mitarbeiter verbessern, indem sie nicht nur den Zugriff auf große Datenmengen und zahlreiche Anwendungen ermöglichen, sondern diesen Zugriff auch über zahlreiche Geräte und Standorte hinweg erteilen. Darüber hinaus erleichtert IAM die Zusammenarbeit mit Partnern, Anbietern und anderen Drittparteien, die das Unternehmen unterstützen.

IAM und das Internet der Dinge (IoT)

Die Zunahme von IoT-Geräten bietet viele Vorteile, wirft aber auch zahlreiche Fragen zur Cybersicherheit auf. IAM-Lösungen betrachten IoT-Geräte als Identitäten, die authentifiziert und autorisiert werden müssen, bevor ihnen Zugriff auf die digitalen Ressourcen des Unternehmens gewährt wird.

Die Vorteile von IAM

  • Automatisierung: Durch die Automatisierung von risikoarmen Funktionen können sich die IT-Experten auf größere Probleme und die Beschleunigung des Geschäfts konzentrieren. So kann das Unternehmen nicht nur die Effektivität des IT-Teams steigern, sondern auch die IT-Kosten senken. Auch das Onboarding und Offboarding können automatisiert werden, damit Zugriff nahtlos gewährt, angepasst oder entzogen werden kann, wenn Benutzer dem Unternehmen beitreten, ihre Funktion ändern oder das Unternehmen verlassen.
  • Erweiterte Anomalie-Erkennung: IAM setzt künstliche Intelligenz ein, um Unternehmen dabei zu helfen, Trends und Anomalien bei den Zugriffsdaten zu erkennen. So können sie Risiken identifizieren und die Wirksamkeit ihrer Identity-Programme verfolgen.
  • Umsetzung von Zero Trust: Unternehmen, die Identity and Access Management implementieren, können ein Zero Trust-Modell realisieren, das über die bloße Authentifizierung hinausgeht und für jeden Benutzer einen vollständigen, aktuellen Identitätsdatensatz anlegt. Dadurch wird sichergestellt, dass Benutzer nur auf die Ressourcen zugreifen können, die sie tatsächlich benötigen, und dass der Zugriff bei Änderungen und der Entdeckung neuer Bedrohungen angepasst werden kann.
  • Eliminierung schwacher Passwörter: Viele Datenverstöße werden durch vorgegebene, vielfach verwendete und schlecht strukturierte Passwörter verursacht. Die Verwaltung von Passwörtern stellt jedoch eine große Belastung für die IT-Abteilung dar – 40 % aller Helpdesk-Anfragen betreffen Passwortfragen, und die durchschnittlichen Kosten eines Helpdesk-Anrufs für eine Passwortrücksetzung belaufen sich auf 17 USD. Durch die Passwortverwaltung kann das Unternehmen Passwortrichtlinien effizient dazu nutzen, strenge Passwortanforderungen durchzusetzen und für mehr Kontrolle Synchronisierungsgruppen und ein Passwortverzeichnis verwenden.
  • Eindämmung von Insider-Bedrohungen: Datenverstöße können auch durch nachlässige oder böswillige Insider verursacht werden. Ohne die richtige Technologie reicht es jedoch nicht aus, sich ausschließlich auf das Bewusstsein der Mitarbeiter zu verlassen. Das Identity and Access Management schließt diese Sicherheitslücke. Es berücksichtigt, dass neben Mitarbeitern auch viele andere Identitäten als Insider betrachtet werden sollten (z. B. Auftragnehmer, Kunden, Partner, Smartphones, Server) und dass die Kopplung der Identitätsverwaltung für Systeme, Anwendungen und Datendateien mit der Überwachung und Analyse des Benutzerverhaltens Bedrohungen durch Insider entgegenwirken kann.
  • Vereinfachung der Compliance: Mit Identity and Access Management können Unternehmen den Zugriff regeln, die Nutzung verfolgen und Richtlinien für alle Benutzer, Anwendungen und Daten durchsetzen, um die Einhaltung von Vorschriften zu automatisieren und Compliance nachzuweisen.

Wie das Identity and Access Management funktioniert

Zwei wichtige Aufgaben, die IAM-Lösungen erfüllen, sind die Bestätigung der Identität und die Gewährleistung, dass nur der passende Zugriff gewährt wird.

Was IAM leistet

Das Identity and Access Management überprüft, ob es sich bei den Benutzern, der Software oder der Hardware um die Personen handelt, für die sie sich ausgeben. Dabei werden ihre Zugangsdaten mit einer Datenbank abgeglichen. Um sicherzustellen, dass der Zugriff nur auf das Notwendige beschränkt ist, können mit IAM eng gefasste Berechtigungen auf Basis von Identitäten zugewiesen werden, statt den Zugriff auf breiter Basis über einen Benutzernamen und ein Passwort zu erlauben.

Funktionen des IAM

Identity and Access Management-Lösungen bieten die folgenden Funktionen: 

  • Verwaltung von Benutzeridentitäten: Benutzer können entweder eigenständig oder durch die Integration mit anderen Verzeichnissen erstellt, angepasst und gelöscht werden. Für Benutzer, die einen speziellen Zugriff auf die Systeme oder Tools des Unternehmens benötigen, können auch neue Identitäten angelegt werden.
  • Provisionierung und Deprovisionierung von Benutzerrollen: Bei der Provisionierung werden die Tools und Zugriffsebenen identifiziert, die einem Benutzer gewährt werden sollen. Mit IAM kann die Provisionierung nach Rolle, Abteilung oder einer anderen Identitätskategorie erfolgen. Dieser zeitsparende Prozess beruht auf der rollenbasierten Zugriffskontrolle (RBAC), wodurch der Zugriff nicht für jede einzelne Ressource und jeden einzelnen Benutzer festgelegt werden muss. Mit RBAC werden Benutzern auf Basis ihrer beruflichen Funktion oder anderer Kriterien eine oder mehrere Rollen zugewiesen und der Zugriff wird automatisch über die Identity and Access Management-Lösung gewährt. IAM ermöglicht es außerdem, Benutzern den Zugriff bei Bedarf schnell wieder zu entziehen, um Sicherheitsrisiken zu minimieren.
  • Authentifizierung der Benutzer: IAM-Lösungen verwenden unter anderem die Multi-Faktor-Authentifizierung (MFA) und die adaptive Authentifizierung, um die Identität von Benutzern zu bestätigen. Wie der Name schon sagt, erfordert die Multi-Faktor-Authentifizierung mehr als einen Identitätsnachweis, zum Beispiel sowohl ein Passwort als auch eine Gesichtserkennung. Bei der MFA werden Benutzer beim Zugriff auf Tools oder Ressourcen nach bestimmten Zugangsdaten gefragt. Bei der adaptiven Authentifizierung erhöht sich das Sicherheitsniveau, da die angeforderten Zugangsdaten auf Basis der jeweiligen Situation variieren.
  • Single Sign-On (SSO): Mit SSO können Benutzer ihre Identität über ein einziges IAM-Portal bestätigen, das ihnen Zugriff auf alle Tools gewährt, auf die sie Zugriff haben, statt dass sie sich bei mehreren Ressourcen anmelden müssen.
  • Auditing und Berichterstellung: Durch Audits im Identity and Access Management können Unternehmen Blockaden, Fehler und verdächtiges Benutzerverhalten erkennen und überwachen sowie geeignete Maßnahmen ergreifen. Berichte von IAM-Lösungen unterstützen die Sicherheit und Compliance, indem sie Aktivitäten aufzeichnen, z. B. die An- und Abmeldezeiten von Benutzern, auf welche Systeme und Ressourcen zugegriffen wurde, und die Art der Authentifizierung.

Komponenten der Identity Security

Identity Security besteht aus drei Kernkomponenten:

  • Intelligenz: Künstliche Intelligenz und maschinelles Lernen ermöglichen Transparenz und die Fähigkeit, Risiken zu erkennen und zu beseitigen, wodurch sich Unternehmen einen Vorsprung verschaffen können.
  • Automatisierung: Unternehmen müssen Identitätsprozesse automatisieren können, um den Benutzerzugriff besser erkennen, verwalten und sichern zu können. Nur so können sich die Mitarbeiter auf die Bereiche Innovation, Zusammenarbeit und Produktivität konzentrieren.
  • Integration: Integrationen erweitern die Fähigkeit des Unternehmens, den Identity-Kontext in die gesamte Umgebung einzubetten und den Zugriff auf alle Daten, Anwendungen, Systeme und die Cloud-Infrastruktur für alle Identity-Typen zentral zu steuern.

Identity Management vs. Access Management

Identity Management und Access Management sind zwar miteinander verwandt, aber nicht gleichzusetzen. Das Identity Management bestätigt die Identität des Benutzers und speichert Informationen über ihn (z. B. Abteilung, Vorgesetzter, Titel, Unterstellte), um die Authentifizierung zu vereinfachen.

Das Access Management ermittelt anhand von Informationen über die Identität des Benutzers, auf welche Anwendungen und Daten dieser zugreifen darf und welche Aktionen er darin ausführen darf. Viele Benutzer können beispielsweise auf die Beschaffungssoftware des Unternehmens zugreifen, um Bestellanforderungen einzugeben, doch nicht alle Benutzer dürfen diese genehmigen, und es ist keinem Benutzer gestattet, seine eigenen Anforderungen zu genehmigen.

Cloud vs. On-Premises IAM

In der Vergangenheit wurde das Identity and Access Management „On-Premise“ auf einem Server am Standort des Unternehmens verwaltet. Die Verlagerung in die Cloud bietet dem Unternehmen mehr Effizienz und senkt die Kosten, da weniger Infrastruktur am Standort angeschafft und gewartet werden muss. Weitere Vorteile des Cloud-basierten Identity and Access Managements sind:

  • verbesserte Auslastung
  • verteilte und redundante Systeme für mehr Zuverlässigkeit und Sicherheit
  • kürzere Service Level Agreements (SLAs)

Identity and Access Management, die Cloud und Identity as a Service (IDaaS)

Heutzutage stehen Unternehmen vor der Herausforderung, den Benutzerzugriff auf Daten und Anwendungen zu kontrollieren, die sich sowohl On-Premise, in konventionellen Systemen und privaten Clouds als auch in einer oder mehreren öffentlichen Clouds befinden. Die Verwaltung des Benutzerzugriffs muss so reibungslos wie möglich erfolgen, wobei die IT-Teams nicht unnötig stark belastet werden dürfen.

IAM-Lösungen, die über die Cloud bereitgestellt werden, sind zunehmend verbreitet. Cloud-basierte Identity and Access Management Tools bieten Unternehmen eine größere Sicherheit und Flexibilität als die konventionelle Software, die auf Benutzernamen und Passwörtern beruht. IDaaS wird als eigenständiges Produkt oder in Verbindung mit On-Premise IAM-Plattformen angeboten.

Technologien und Tools des Identity and Access Managements

IAM-Lösungen bieten Administratoren die Technologien und Tools, die sie benötigen, um Benutzerrollen zu ändern, Aktivitäten zu verfolgen, Analysen und Berichte zu erstellen und Richtlinien durchzusetzen. Dies umfasst unter anderem folgende Technologien und Tools:

  • Verwaltung von privilegiertem Zugriff: Dient der Verwaltung und Überwachung von privilegiertem Zugriff auf Konten und Anwendungen und alarmiert Systemadministratoren bei riskanten Vorfällen.
  • Automatisierte Provisionierung und Deprovisionierung: Durch die Automatisierung lässt sich der Zugriff schnell und einfach gewähren, ändern oder entziehen.
  • Aufgabentrennung: Ermöglicht die Erstellung einer Reihe von umfassenden Richtlinien für die Aufgabentrennung, die kritische Kontrollmechanismen durchsetzen, wobei die Software automatisch nach Verstößen scannt und diese aufdeckt.
  • Identity Lifecycle Management: Beugt einer Überprovisionierung vor, die das Unternehmen ernsthaften Sicherheitsrisiken aussetzen kann, und ermöglicht Teammitgliedern gleichzeitig schnellen Zugriff auf die Technologien, die sie für die Erledigung ihrer Aufgaben benötigen.
  • Workflows: Durch die Automatisierung wiederkehrender Aufgaben sind keine komplexen, maßgeschneiderten Workflows mehr nötig und die Teams werden entlastet.

Strategie für die IAM-Implementierung

Identity and Access Management bildet einen wichtigen Eckpfeiler einer Zero Trust-Architektur. Aus diesem Grund sollte die Implementierungsstrategie für IAM auch Zero Trust-Prinzipien wie „Least Privilege“-Zugriff und identitätsbasierte Sicherheitsrichtlinien umfassen. Eine „Zero Trust“-Richtlinie schreibt vor, dass jeder Benutzer kontinuierlich identifiziert und sein Zugriff verwaltet wird. Dabei wird auf die traditionelle Vorgehensweise verzichtet, bei der Zugriff, der einmal gewährt wurde, ohne erneute Identifizierung bestehen bleibt. Bei einer „Zero Trust“-Strategie werden die Identitäten und Zugriffe ständig von der Identity and Access Management-Lösung des Unternehmens überwacht und abgesichert.

Zu den weiteren wichtigen Grundsätzen zählen:

  • Zentralisiertes Identity Management: Ein entscheidendes Element des „Zero Trust“-Ansatzes ist die Verwaltung des Zugriffs auf Tools und Ressourcen auf Identitätsebene. Ein zentralisierter Ansatz ist dabei effizienter und übersichtlicher.
  • Sicherer Zugriff: Wie bereits erwähnt, wird dies in der Regel durch eine Multifaktor-Authentifizierung oder eine adaptive Authentifizierung verwaltet. Es kann aber auch ein hybrider Ansatz verfolgt werden.
  • Richtlinienbasierte Kontrolle: Benutzern sollten auf Basis ihrer Rolle, ihrer Abteilung oder anderer bestehender Zuordnungen die Berechtigungen gewährt werden, die sie zur Erfüllung ihrer Aufgaben benötigen, und zwar nur im notwendigen Ausmaß.
  • Privilegierte Konten: Dies sind jene Konten, die auf vertrauliche und sensible Daten in Systemen, Netzwerken und Datenbanken zugreifen können. Sie ermöglichen es beispielsweise den IT-Experten eines Unternehmens, dessen Anwendungen, Software und Server-Hardware zu verwalten.
  • Training und Support: Durch Schulungen für die Identity and Access Management-Lösung des Unternehmens wird sichergestellt, dass das Unternehmen den größtmöglichen Nutzen aus der Plattform zieht. Laufender Support ermöglicht es dem Unternehmen, technologische Änderungen nachzuvollziehen und Updates der Lösung intern zu verwalten.

Taktische IAM-Implementierung

Eine Prüfung der bestehenden Systeme und der Altsysteme ist oft der beste erste Schritt zur taktischen Implementierung einer Identity and Access Management-Lösung.

  • Identifizieren Sie die wichtigsten Stakeholder und arbeiten Sie schon zu Beginn der Implementierung eng mit ihnen zusammen.
  • Erstellen Sie eine Liste der Zielsetzungen für die IAM-Lösung und der dafür erforderlichen Funktionen.
  • Identifizieren Sie Chancen und Herausforderungen, kategorisieren Sie Benutzertypen und erstellen Sie Anwendungsfälle.

Dies sind einige der Tools, mit denen das Identity and Access Management in einem Unternehmen umgesetzt wird:

  • Tools für die Passwortverwaltung
  • Provisionierungssoftware
  • Anwendungen zur Durchsetzung von Sicherheitsrichtlinien
  • Anwendungen für die Überwachung und Berichterstellung
  • Identity-Repositories

Herausforderungen bei der Implementierung von Identity and Access Management

Typische Herausforderungen bei der IAM-Implementierung:

  • Verständnis für und Umgang mit den Erwartungen der Benutzer
  • Erfüllung der Anforderungen der Stakeholder
  • Integration von Compliance-Standards
  • Erforderliche Kenntnisse und Fähigkeiten bei der Berücksichtigung mehrerer Benutzerquellen, Authentifizierungsfaktoren und offener Industriestandards
  • Fachwissen zur Implementierung von Identity and Access Management in großem Umfang

Standards für Identity and Access Management

Eine IAM-Lösung muss sich mit vielen anderen Systemen integrieren lassen, damit der Zugriff auf alle Systeme, Benutzer und Rollen des Unternehmens vollständig ersichtlich ist. Dies sind einige der Standards, die Identity and Access Management-Plattformen zur leichteren Integration unterstützen:

  • OAuth 2.0: OAuth ist ein Open-Standard-Protokoll für das Identity Management, das sicheren Zugriff für Websites, Smartphone-Apps, das Internet der Dinge und andere Geräte bietet. Es nutzt Token, die bei der Übertragung verschlüsselt werden und die Notwendigkeit von Zugangsdaten überflüssig machen. OAuth 2.0, die neueste Version von OAuth, ist ein beliebtes Framework, das von großen Social-Media-Plattformen und Consumer Services verwendet wird, zum Beispiel Facebook, LinkedIn, Google, PayPal und Netflix.
  • OpenID Connect (OIDC): Mit dem Erscheinen von OpenID Connect (das mit öffentlichen Schlüsseln verschlüsselt) hat sich OpenID als Authentifizierungsschicht für OAuth durchgesetzt. Wie SAML wird auch OpenID Connect (OIDC) häufig für SSO eingesetzt, wobei OIDC jedoch REST/JSON statt XML verwendet. Durch den Einsatz von REST/JSON-Protokollen kann OIDC sowohl mit nativen als auch mit mobilen Apps arbeiten, während SAML in erster Linie für webbasierte Apps verwendet wird.
  • Lightweight Directory Access Protocol (LDAP): LDAP ist eines der ältesten Identity Management-Protokolle der Branche. Es speichert und sortiert Daten, wie Benutzer- oder Geräteinformationen, damit diese leicht durchsucht werden können. LDAP läuft über den TCP/IP-Stack, durchsucht die Verzeichnisinhalte und leitet die Informationen für die Authentifizierung und Autorisierung weiter. Das alte LDAP ist an sich kein sicheres Protokoll, weil es auf Klartext basiert, und Unternehmen sind inzwischen zu LDAPS oder LDAP over SSL übergegangen. Mit LDAPS können LDAP-Daten bei der Übertragung zwischen Server und Client verschlüsselt werden, um den Diebstahl von Zugangsdaten zu verhindern.
  • Security Assertion Markup Language (SAML): SAML ist ein offener Standard, der für den Austausch von Authentifizierungs- und Autorisierungsinformationen eingesetzt wird, in diesem Fall zwischen einer IAM-Lösung und einer anderen Anwendung. Bei dieser Methode wird XML zur Datenübertragung verwendet. Sie wird in der Regel von Identity and Access Management-Plattformen eingesetzt, um Benutzern die Anmeldung bei Anwendungen zu ermöglichen, die mit IAM-Lösungen integriert wurden.
  • System for Cross-Domain Identity Management (SCIM): SCIM wurde entwickelt, um die Verwaltung von Identitäten zu vereinfachen. Durch die Provisionierung von SCIM können Unternehmen effizient in der Cloud arbeiten und Benutzer ganz einfach hinzufügen oder entfernen, was sich positiv auf die Budgets auswirkt, das Risiko reduziert und die Workflows strafft. SCIM erleichtert außerdem die Kommunikation zwischen Cloud-basierten Anwendungen.

IAM und Künstliche Intelligenz

Künstliche Intelligenz (KI) spielt eine immer wichtigere Rolle im Identity and Access Management. Sie ermöglicht es Unternehmen, diese Aufgabe sowohl flexibler als auch detaillierter anzugehen. Die User and Entity Behaviour Analytics (UEBA) setzt KI ein, um Aktivitäten zu erkennen, die näher untersucht werden sollten, wie z. B.:

  • Viele Anmeldeversuche in kurzer Zeit
  • Anmeldungen oder Anmeldeversuche von unbekannten Orten oder Geräten oder zu für den Benutzer ungewöhnlichen Zeiten auf Basis seines typischen Verhaltens
  • Anmeldungen von Benutzern, die sich nicht im virtuellen privaten Netzwerk (VPN) des Unternehmens befinden
  • Offensichtlich böswillige Anmeldungen

Mit Hilfe von KI können Mikrointeraktionen in Bezug auf Zeit, Ort und Benutzeraktivitäten ausgewertet und mögliche Risiken ermittelt werden. Durch die kontinuierliche Authentifizierung wird diese Analyse bei jeder Benutzerinteraktion durchgeführt. Diese Analysen in Echtzeit oder nahezu in Echtzeit durchführen zu können, ist für die schnelle Verhinderung oder Abschwächung von Cyber-Bedrohungen entscheidend.

Die Zukunft des Identity and Access Managements

Der Bedarf an Identity and Access Management wird durch die zunehmende Remote-Arbeit und den Einsatz von Mobilgeräten noch verstärkt. Benutzer erwarten, unabhängig von ihrem Standort auf ihren bevorzugten Geräten arbeiten zu können. Dabei verhalten sie sich oft naiv gegenüber ungesicherten Netzwerken und anderen Risiken, selbst wenn sie immer häufiger und intensiver in Sachen Cybersicherheit am Arbeitsplatz geschult werden. Ohne die richtige IAM-Lösung stellen IT-Teams häufig Wachstumsinitiativen zurück, um Benutzeranfragen zu bewältigen und sich mit Cyber-Bedrohungen auseinanderzusetzen, die mit den größeren Angriffsflächen verbunden sind, die durch diese Flexibilität entstehen.

Die Fähigkeit, IAM-Lösungen schnell zu erweitern und zu entwickeln, indem Cyber-Risiken umfassender verstanden werden, ist entscheidend für den Schutz der Vermögenswerte des Unternehmens. Dabei profitieren Unternehmen durch die Entwicklung von Antiviren-Software der nächsten Generation, hostbasierten Firewalls und/oder Endpoint Detection and Response (EDR) von erhöhten Sicherheitsoptionen. Mit der Weiterentwicklung des digitalen Ökosystems eines Unternehmens verändert sich auch das Identity and Access Management.

Zukünftige Elemente der Identity Security

  • Integriertes Identity-Programm: Identity ist mit Maschinenidentitäten, der Cloud, APIs und dem Datenschutz integriert
  • Dynamische Vertrauensmodelle: KI-Modelle passen die Autorisierung anhand des Verhaltens und der Interaktionsgeschichte an
  • Universelle ID: Zusammengeführte Identitäten sind föderiert und universell; „bring your own identity“ ist die Norm
  • Reibungsfreier Zugriff: Universelle biometrische Daten für physische, digitale und telefonische Daten mit ausgefeilten Datenschutzprotokollen

Sichern Sie Ihr Unternehmen mit IAM

Das Identity and Access Management ist ein Schlüsselelement des Sicherheitsprogramms eines Unternehmens, da es kritische Assets und Systeme vor versehentlich oder absichtlich geschaffenen Netzwerkeintrittspunkten schützt, die andernfalls von Cyberkriminellen ausgenutzt werden könnten. Unternehmen, die robuste Fähigkeiten zur Identitäts- und Zugriffsverwaltung einkaufen und ausgereifte Programme aufbauen, profitieren nicht nur von geringeren Ausgaben für das Identity Management, sondern auch von der Fähigkeit, sich schnell und nahtlos auf neue geschäftliche Herausforderungen und Möglichkeiten einzustellen.

Übernehmen Sie die Kontrolle über Ihre Cloud-Plattform.

Erfahren Sie mehr über SailPoint Identity Security.

Demo vereinbaren