Foto: ktsdesign - shutterstock.com
Identity- und Access-Management (IAM) -Systeme ermöglichen - ganz allgemein gesprochen - die Verwaltung verschiedener Identitäten innerhalb eines Systems. Dabei kann es sich um ein Unternehmen, ein Netzwerk oder ein ganzes Land handeln.
Was ist Identity & Access Management?
Im Enterprise-IT-Umfeld geht es bei IAM darum, die Rollen, Zugriffsberechtigungen und -voraussetzungen einzelner Nutzer zu managen. Die Kernaufgabe besteht dabei darin, einem Individuum eine digitale Identität zuzuweisen. Wurde diese einmal erstellt, muss sie - über den gesamten Access Lifecycle eines Users hinweg - gewartet, aktualisiert und überwacht werden.
IAM-Systeme geben Administratoren die nötigen Tools und Technologien an die Hand, um die Rollen von Nutzern bei Bedarf zu ändern, deren Aktivitäten zu überwachen und Reports darüber zu erstellen - oder auch um Security Policies auf regelmäßiger Basis durchzusetzen. Die Systeme sind so konzipiert, dass sie die Zugriffsberechtigungen eines ganzen Unternehmens abbilden können und dabei die Erfüllung von unternehmenseigenen und externen Compliance-Richtlinien sichergestellt ist.
Zu den Technologien des Identity und Access Managements gehören unter anderem:
Provisioning Software
Apps zur Durchsetzung von Security Policies
IAM-Systeme sind sowohl für On-Premise-Systeme wie Microsoft Sharepoint, als auch für cloud-basierte Systeme wie Microsoft 365 verfügbar.
Die Systeme zum Identitätsmanagement müssen flexibel und robust genug sein, um den komplexen IT-Umgebungen der heutigen Zeit gerecht zu werden. Früher war ein Unternehmensnetzwerk on premise und die IAM-Systeme haben die User in diesen Systemen authentifiziert und überwacht. "Es gab quasi einen Sicherheitszaun, der um das Werksgelände gespannt war", sagt Jackson Shaw, vom IAM-Provider One Identity. "Dieser existiert heutzutage nicht mehr."
In der Konsequenz ergeben sich einige Kern-Features, die heutige IAM-Systeme leisten sollten:
Einfaches Management von Zugangsberechtigungen für eine Vielzahl von Nutzern - inklusive Mitarbeitern im Home Office und Partnern aus aller Welt;
Support für hybride IT-Umgebungen, die On-Premise-Systeme, SaaS-Applikationen, Schatten-IT und BYOD-User umfassen;
das Management von IT-Architekturen, auf denen UNIX-, Windows-, Mac-, iOS-, Android- und IoT-Geräte gleichermaßen laufen;
In den letzten Jahren haben sich zudem Identity-as-a-Service (IDaaS)-Angebote entwickelt. Diese setzen meist auf ein Cloud-Abo-Modell und bieten den Kunden IAM-Dienste für On-Premise- und Cloud-Systeme.
Wozu brauche ich IAM?
Identity- und Access-Management ist ein kritischer Part der IT-Security-Strategie aller Unternehmen. Schließlich ist dieser in der heutigen, digitalen Weltwirtschaft untrennbar mit der Sicherheit und Produktivität des gesamten Unternehmens verbunden.
Kompromittierte Login-Daten und Zugangsberechtigungen dienen oft als Einfallstor ins Unternehmensnetzwerk. Um die Firmendaten und -Assets gegen Bedrohungen wie Ransomware, Phishing, Malware und ganz generell gegen kriminelle Hacker zu schützen, gibt es IAM.
In vielen Unternehmen ist es Usus, dass User mehr Zugangsberechtigungen haben als sie eigentlich brauchen. Ein robustes Identity- und Access-Management-System kann für die Etablierung eines zusätzlichen Sicherheits-Layers sorgen, indem es für das gesamte Unternehmen eine durchgängige Anwendung von Zugangsregeln und -richtlinien sicherstellt.
Darüber hinaus können IAM-Systeme auch die Produktivität erhöhen. Denn durch das zentrale Management werden Komplexität und Kosten für den Schutz von Zugangsdaten gesenkt. Gleichzeitig erhöhen die Systeme die Produktivität der Mitarbeiter in einer Vielzahl von Umgebungen ohne Einschränkung der Sicherheit.
Es gibt etliche regulatorische Anforderungen, die Unternehmen de facto dazu "zwingen", sich mit dem Thema Identity- und Access-Management zu befassen. In den USA etwa der Sarbanes-Oxley-Act, der Gramm-Leach-Bliley-Act oder der HIPAA-Act. Unternehmen die in Europa tätig sind, müssen seit dem 25. Mai 2018 den strengen Anforderungen der EU-Datenschutzgrundverordnung (DSGVO/GDPR) genügen.
Indem sie banale - aber wichtige - Aufgaben automatisieren, entlasten Identity- und Access-Management-Systeme die IT-Abteilung und helfen dabei, regulatorische Anforderungen zu erfüllen. Dies sind entscheidende Vorteile angesichts des Status Quo:
Jeder IT-Job ist inzwischen auch ein Security-Job;
auf dem Gebiet der IT Security besteht ein weltweiter Fachkräftemangel;
die Strafen bei Compliance-Verstößen können für Unternehmen sehr empfindlich und unter Umständen auch existenzbedrohend ausfallen;
Wie bereichert Identity Management mein Geschäft?
Die Implementierung eines IAM-Systems und der dazugehörigen Best Practices kann Ihnen in mehrerlei Hinsicht einen Wettbewerbsvorteil bescheren. Heutzutage kommen die meisten Unternehmen nicht umhin, Nutzern von extern Zugang auf das Firmennetz zu gewähren. Die Öffnung Ihres Netzwerks für Kunden, Partner, Lieferanten und natürlich die Mitarbeiter, kann die Effizienz steigern und Betriebskosten senken.
Identity- und Access-Management-Systeme erlauben einem Unternehmen die Ausweitung der Zugriffsrechte auf sein Netzwerk über eine Vielzahl von On-Premise-Applikationen, Mobile Apps und SaaS Tools - ohne dabei die IT-Sicherheit aufs Spiel zu setzen. Wenn es Unternehmen gelingt, Außenstehende besser einzubinden, können sie die Kollaboration im ganzen Unternehmen vorantreiben, die Produktivität anschieben, die Zufriedenheit der Mitarbeiter optimieren, Forschung und Entwicklung pushen - und so letztlich auch die Betriebseinnahmen nach oben treiben.
Auch die Zahl der eingehenden Anrufe beim IT Help Desk kann durch die Implementierung von IAM reduziert werden. Zum Beispiel, wenn es bei diesen um das Zurücksetzen von Passwörtern geht. Diese und andere zeitraubende - und somit kostenintensive - Aufgaben können von den Administratoren automatisiert werden.
Nebenbei ist Identity- und Access-Management auch ein Eckpfeiler eines jeden sicheren Unternehmensnetzwerks. Schließlich ist die Identität eines Benutzers ein wesentlicher Bestandteil des Zugangs-Kontroll-Prozesses. Und ein IAM-System zwingt Unternehmen praktisch dazu, ihre Zugangsrichtlinien zu definieren und dabei auszuweisen, wer auf welche Daten-Ressourcen unter welchen Konditionen Zugriff hat.
Gute gemanagte Identitäten bedeuten eine optimierte Kontrolle über den User-Zugriff, was sich wiederum in ein reduziertes Risiko für interne oder externe Angriffe übersetzen lässt.
Wie funktionieren IAM-Systeme?
In der Vergangenheit bestand ein typisches Identitätsmanagement-System aus vier Grundkomponenten:
ein Pool mit persönlichen Daten, über die das System die individuellen Nutzer definiert;
ein Toolset, um Daten hinzuzufügen, zu modifizieren oder zu löschen (Access Lifecycle Management);
ein System, das den Zugriff der Nutzer reguliert (Durchsetzung von Security Policies und Zugriffsprivilegien);
ein Auditing- und Reporting-System (um die Vorgänge im System zu verifizieren);
Um den Nutzerzugriff zu regulieren, kommen traditionell verschiedene Authentifizierungs-Methoden zur Anwendung, zum Beispiel Passwörter, digitale Zertifikate, Tokens oder Smart Cards. Hardware Tokens und Smart Cards in Kreditkartengröße dienen dabei als eine Komponente der Zwei-Faktor-Authentifizierung. Diese kombiniert etwas das Sie wissen (das Passwort) mit etwas das Sie in Besitz haben (den Token oder die Smart Card), um Ihre Identität zu verifizieren.
Angesichts der sich stets verschärfenden Bedrohungslage und den immer komplexeren IT-Umgebungen, reichen gute Kombinationen aus Nutzernamen und Passwort längst nicht mehr aus. Heutige Identity- und Access-Management-Systeme haben oft bereits Elemente von Biometrie, Machine Learning und Künstlicher Intelligenz sowie risikobasierter Authentifizierung an Bord.
Auf User-Level helfen inzwischen auch einige Technologien dabei, digitale Identitäten besser zu schützen. Die durch das iPhone getriebene Popularität der Touch-ID-Fingerabdruckscanner hat dafür gesorgt, dass sich die Konsumenten daran gewohnt haben, ihren Fingerabdruck zur Authentifizierung zu verwenden. Neuere Windows-10-Geräte nutzen ebenfalls biometrische Authentifizierungsmethoden wie Fingerabdruck- und Iris-Scanner. Und beim iPhone X hat die Gesichtserkennung Face ID inzwischen Touch ID ersetzt.
Wie Okta-CSO Abousselham weiß, setzen mehr und mehr Unternehmen inzwischen auf Drei- beziehungsweise Multi-, statt Zwei-Faktor-Authentifizierung. Diese stellt auf etwas ab, was die Nutzer kennen (Passwort), etwas das sie bei sich haben (Smartphone) und etwas, das sie "sind" (Gesicht, Fingerabdrücke oder Iris). "Drei Faktoren bieten mehr Sicherheit darüber, dass es sich tatsächlich um den korrekten Benutzer handelt", erklärt der Experte.
Auf dem Administrations-Level bieten die heutigen IAM-Systeme weitergehende Funktionen beim User Auditing und Reporting. Verantwortlich dafür sind vor allem Technologien wie Context-Aware Network Access Control und Risk-Based Authentication (RBA).
Was ist "föderiertes" Identity Management?
Der "föderierte" Ansatz des Identitätsmanagements bezeichnet einen Authentifizierungs-Mechanismus, bei dem ein User denselben Login für mehr als ein Netzwerk nutzen kann. Im Alltag ist diese Methode mittelerweile weit verbreitet. Beispielsweise bieten viele Online-Plattformen und Dienste ihren Nutzern an, sich mit ihrem Google- oder Facebook-Konto anzumelden, statt neue Zugangsdaten anzulegen.
Ein wichtiger Bestandteil des föderierten Identitätsmanagements ist der Single-Sign-On (SSO). Dieser Standard erlaubt es Nutzern, die ihre Identität in einem Netzwerk bereits verifiziert haben, ihren Status "mitzunehmen", wenn sie sich in ein anderes Netzwerk einwählen. Dieses Modell funktioniert allerdings nur zwischen kooperierenden Parteien - den sogenannten "trusted partners" - die gegenseitig für ihre Nutzer bürgen.
Die Nachrichten über Authentifizierung zwischen den "trusted partners" werden oft über das SAML- (Security Assertion Markup Language) Framework verschickt, das eine Interoperabilität zwischen verschiedenen Händler-Plattformen herstellt, die Authentifizierungs- und Autorisierungs-Services anbieten.
SAML ist aber nicht das einzige Open-Source-Identitätsprotokoll. Weitere Beispiele sind OpenID, WS-Trust, WS-Federation oder OAuth.
Wie finde ich das richtige IAM?
Bei so zahlreichen Ansätzen und Komponenten stellt sich die Frage, ob die Größe oder Branche eines Unternehmens eine Rolle bei der Auswahl spielen. Für Eckhard Schaumann, DACH-Manager bei RSA Security, geht es hauptsächlich darum, dass sich IAM immer gleich anfühlt, da die Anforderungen meist einheitlich sind.
Da jedes Unternehmen eigene, dynamische Mechanismen, Herangehensweisen und individuelle Prioritäten besitzt, kann es schwierig sein, diese Einheitlichkeit zu erreichen. Als Hilfestellung bei der Konzeption des eigenen IAM rät Schaumann, sich an diesen Fragen zu orientieren:
Wer hat Zugriff auf was?
Wer hat diese Zugriffe zu überwachen?
Wie wird gewährleistet, dass dies alles seine Richtigkeit hat?
Wie sind die Mechanismen und Aktionen implementiert die entsprechende Aktion unmittelbar zu ergreifen, wenn dies verletzt wird?
Daraus ergeben sich Ansätze für Herangehensweisen an die IAM-Einführung.
Der Grund, warum IAM-Projekte oft scheitern oder nicht konsequent zu Ende geführt werden, liegt nicht immer in der Funktionalität der IAM-Softwarelösung. Für Schaumann kann etwa die Frage "Wer hat Zugriff auf was?" unternehmensintern nicht in Silos beantwortet werden. Ein IAM-Projekt ist kein "reines IT-Projekt". Unternehmen müssen Zugriffs- und Rollenkonzepte etablieren, um die notwendige Integration zwischen den zuständigen Abteilungen und Kompetenzen umzusetzen. Das setzt sie Risiken bei der Einführung neuer Technologien aus. Hier gilt es, mit einem Digital Risk Management eine übergreifende Strategie zu erarbeiten, um zu identifizieren, zu bewerten, zu überwachen und zu schützen was in einer digitalen Welt am wichtigsten ist.
Sowohl großen als auch kleinen und mittelständischen Unternehmen rät Schaumann, IAM ganzheitlich anzugehen. Größere Unternehmen müssten jedoch oft mehr und komplexere Systeme integrieren. Zudem gilt es, alle Benutzer einzubeziehen, darunter Subunternehmen, Lieferanten und Kunden. Umso wichtiger sei es in diesem Fall, Systeme einzuführen, die ein durchgängiges Architekturkonzept verfolgen.
Bei der Umsetzung gilt es, verschiedene Anforderungen durch Regulatoren und Auditoren, wie die der BaFin im Finanzsektor, je nach Branche zu beachten. Mit Blick auf die Verwaltung von Zugriffszahlen, ergeben sich allerdings durchaus Unterschiede. Beispielsweise werden im Online-Handel jedem Kunden gewisse Zugriffe gewährt. Das können schnell Hundertausende oder gar Millionen von Nutzer werden. Hier brauchen Unternehmen ein System, das skalieren kann, so Schaumann.
Wo liegen die Risiken beim Identity & Access Management?
Die erfolgreiche Implementierung von Identity- und Access-Management-Systemen erfordert vorausschauendes Denken und abteilungsübergreifende Zusammenarbeit. Unternehmen die vor Projektbeginn eine schlüssige IAM-Strategie erarbeiten, sind dabei in der Regel am erfolgreichsten.
Gerade Informationen über die Identität eins Nutzers können oft mehreren Datenquellen entstammen - etwa Microsofts Active Directory oder einer HR-Datenbank. Ein IAM-System muss dazu in der Lage sein, die Informationen zur Nutzeridentität über all diese Systeme zu synchronisieren. Darüber hinaus muss ein solches System das Unternehmen in die Lage versetzen, eine Vielzahl von Benutzern in unterschiedlichen Situationen und Umgebungen zu managen - und zwar automatisiert und in Echtzeit. Eine manuelle Anpassung der Zugangsberechtigungen ist bei hunderten oder gar tausenden von Usern nicht zu stemmen.
Die Authentifizierung muss für die Nutzer einfach zu bewerkstelligen und für die IT einfach auszurollen sein, dabei aber ganz allgemein höchsten Sicherheitsstandards genügen. "Deshalb werden mobile Devices gerade zum Centerpiece der Benutzer-Authentifizierung", weiß Abousselham. "Denn Smartphones können den Aufenthaltsort, die IP-Adresse und andere Informationen über den Nutzer bereitstellen, die für Authentifizierungszwecke verwendet werden können."
Ein Risikofaktor, den Unternehmen dabei im Auge behalten sollten: Zentralisierte Systeme stellen ein attraktives Ziel für Hacker und Cracker dar. Wenn Sie ein Dashboard über die gesamten IAM-Aktivitäten ihres Unternehmens legen, wird die Komplexität nicht nur für die Administratoren reduziert. Einmal kompromittiert, könnten kriminelle Hacker neue Identitäten anlegen, die ihnen weitreichende Zugriffsrechte einräumen.
Um diesen Risiken zu begegnen, werden aktuell Ansätze auf Basis neuer Technologien entwickelt. Die dezentrale, als fälschungssicher geltende Blockchain könnte verhindern, dass Angreifer Zugangsdaten nachverfolgen oder aggregieren werden. Zudem könnte diese Methode das Identitätsmanagement und Authorisierungsprozesse vereinfachen. Als Beispiel wäre hier der Dienst Blockstack zu nennen, der eine dezentrale, Blockchain-basierte Datenbank für alle Anwendungen im Bereich Identität, Namensgebung und Authentifizierung implementiert. Separate Nutzerkonten bei einzelnen Applikationen oder auch Unternehmensanwendungen würden entfallen.
Identity & Access Management Glossar
Buzzwords kommen und gehen. Dennoch sollten Sie einige Schlüsselbegriffe des Identity und Access Managements kennen.
Access Management: bezeichnet die Prozesse und Technologien, die zur Überwachung und Kontrolle des Netzwerkzugriffs zum Einsatz kommen.
Active Directory (AD): Microsoft entwickelte die AD als User Identity Directory Service für Windows-Netzwerke.
Biometrische Authentifizierung: Diese Form der Authentifizierung basiert auf einzigartigen Merkmalen des Users und nutzt dazu Technologien wie Fingerabdruck- und Iris-Scanner oder auch Gesichtserkennung.
Context-aware Network Access Control: Dabei handelt es sich um eine Richtlinien-basierte Methode zum Zugriff auf Netzwerkressourcen, die den Kontext des Nutzers berücksichtigt. Der Zugriff von einer IP-Adresse, die nicht auf der Whitelist steht, ist so nicht möglich.
Identity Lifecycle Management: Ähnlich wie Access Lifecycle Management beschreibt der Begriff alle Prozesse und Technologien, die zur Vorhaltung, Wartung und Löschung digitaler Identitäten zum Einsatz kommen.
Identity synchronisation: Der Prozess, der sicherstellt, dass verschiedene Systeme (etwa nach einer Übernahme) konsistente Informationen über eine bestimmte digitale Identität zur Verfügung stellen.
Lightweight Directory Access Protocol (LDAP): LDAP ist ein offenes Protokoll, um auf distributed directory services (wie Microsofts Actice Directory) zugreifen und diese managen zu können.
Multi-Faktor-Authentifizierung (MFA): Sobald mehr als ein einziger Faktor (Passwort und Username) für die Authentifizierung nötig ist, spricht man von MFA.
Password Reset: In diesem Zusammenhang meint dieser Begriff die Möglichkeit, dass User selbst ein neues Passwort erstellen können und keine Unterstützung durch den Administrator nötig ist.
Risk-based Authentication (RBA): Bezeichnet eine dynamische Variante der Authentifizierung, bei der die jeweiligen Umstände des Zugriffs für zusätzliche Sicherheitsmaßnahmen sorgen können. Etwa wenn sich ein User von einem bisher nicht mit ihm in Verbindung stehenden Ort in das Unternehmensnetzwerk einloggen will.
User Behavior Analytics (UBA): UBA-Technologien identifizieren Muster im User-Verhalten und wenden automatisiert Algorithmen und Analysen an, um Anomalien aufzuspüren, die auf mögliche Sicherheitsrisiken hindeuten. Zu den überprüften Faktoren zählen beispielsweise der aktuelle Standort des Nutzers, die Uhrzeit des Zugriffs und ob der Nutzer auf Ressourcen zugreift, die normalerweise in seinen Zuständigkeitsbereich fallen.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.