Neben der Zwei-Faktor-Authentifizierung ist die Verschlüsselung des Datenverkehrs ein weiteres wichtiges Element von IAM. Neben dem aufwendigen PKI-Verfahren bietet sich die Verschlüsselung über kryptische Protokolle wie SSL oder IPSec an. Hierzu wird für jede Verbindung ein so genanntes Virtual Private Network (VPN) aufgebaut, so dass die Daten zwischen zwei definierten Endpunkten verschlüsselt verkehren. Sie sind dadurch für Wegelagerer unlesbar.
Schutz von innen und von außen
Die Sicherung der Identitäten und der Zugänge darf sich nicht nur auf externe Personen beziehen, sondern muss auch die Mitarbeiter innerhalb des Unternehmens sowie temporäre Gast-User einschließen. Idealerweise ist dies auf derselben Plattform durchführbar. Es sollte möglich sein, Mitarbeitern je nach Verantwortungsbereich unterschiedliche Zugriffsrechte zuzuordnen. Eine sinnvolle Rechtevergabe erfordert zudem feingranulare Differenzierungs-merkmale, wie beispielsweise die Art der erlaubten Aktivität (nur lesen oder auch schreiben) oder den Zeitpunkt der Anfrage.
Verifikation der Endpunkte
Neben der Identität des Users muss der Sicherungsgrad des "zugreifenden" Gerätes ein Entscheidungskriterium für den Netzwerkzutritt sein. Alle Geräte wie PCs, Labtops, PDAs oder Smart Phones müssen hinsichtlich der eigenen Sicherheitsregeln sowie der gesetzlichen Vorschriften konfiguriert und gewartet sein. Dazu gehört beispielsweise, dass die Besitzer ihre mobilen Begleiter regelmäßig mit Systempatches pflegen und eine Anti-Viren-Software aufspielen. Eine relevante Entlastung können Sicherheitsmanager dabei nur erreichen, wenn die zentrale IAM-Lösung den Prozess der Compliance-Überwachung von Endgeräten automatisiert: Ändert das Unternehmen eine Policy, sollte es dies ausschließlich an der zentralen IAM-Technologie tun müssen und nicht mehr an dutzenden von alternativen Zugangssystemen beziehungsweise an den entsprechenden Servern.
Integration aller Zugangstechnologien und zentrales Reporting
Interne und externe User greifen über verschiedene Wege auf das LAN zu. Oft gibt es eine ganze Reihe von Zugangstechnologien in Unternehmen. Wichtig ist, dass das IAM alle Zugangsoptionen (beispielsweise auch W-LAN) und jede Anwendung (wie Internet Explorer, Netscape, May OS X oder SUSE Linux) unterstützt. Dazu gehört auch ein System übergreifendes Reporting und Auditing, welches alle Anfragen nach Zugang, Authentifizierung oder Autorisierung aufzeichnet und in konsolidierten, übersichtlichen Berichten zusammenfasst.
Fazit des Autors
IDC geht davon aus, dass das Marktvolumen für IAM bis 2009 auf vier Milliarden US-Dollar ansteigt. Angesichts der dramatischen Komplexität beim Identitäts- und Access Management werden sich vor allen Dingen Lösungen durchsetzen, die diese elementare Sicherungsaufgabe zentral für das ganze Unternehmen und über alle Zugangsysteme hinweg leisten. Größtmögliche Flexibilität hinsichtlich heterogener Systeme und Skalierbarkeit ist dabei oberstes Gebot. (Frank Kölmel, Secure Computing // rw)