Die Bandbreite der Zugriffskanäle auf Unternehmensdaten hat sich in den letzten Jahren stark erweitert - insbesondere durch mobile Geräte und Cloud-Dienste. Diese Entwicklung birgt neue Risiken. Sie verlangt nach einer sicheren Authentifizierung und - aufgrund der großen Bandbreite - nach einem starken Identity- und Access-Management (IAM), das Vertraulichkeit, Datenintegrität sowie die Einhaltung regulatorischer Anforderungen sicherstellt.
Für das Design eines IAM stehen technische Methoden wie manuelle Pflege, Provisioning, Integration und Identity-Federation zur Verfügung. Bei Cloud-Anwendungen ist zunächst zu klären, ob es sich um eine Private oder Public Cloud handelt. Während bei einer Private-Cloud-Lösung lediglich die Integration in die bestehende IT-Landschaft zu berücksichtigen ist, sind bei Public-Cloud-Lösungen unbedingt Aspekte wie Risikomanagement, Organisation und Technik zu betrachten.
Risiko-Management
IAM schützt Informationen durch eine gesteuerte Zugriffskontrolle. Daher empfiehlt es sich, vor der Nutzung von Cloud-Services oder mobilen Diensten ein umfassendes Risiko-Assessment vorzunehmen. Als Kriterien empfehlen sich die von der European Union Agency for Network and Information Security (ENISA) aufgestellten Kategorien organisatorische, technische, juristische und allgemeine Risiken. Beim Risiko-Assessment gilt es zum einen abzuwägen, welche Chancen und Gefahren sich durch die Nutzung von Cloud-Diensten ergeben, zum anderen ist zu klären, welchen Risiken die Organisation schon vorher ausgesetzt ist. So können beispielsweise kleine und mittelständische Unternehmen von einem professionellen IT-Betrieb aus der Cloud profitieren, den sie in Eigenregie nur unter hohen Kosten bewerkstelligen könnten. Auf der anderen Seite fehlen ihnen oftmals die Ressourcen, um sich ausreichend vor IT-Sicherheitsrisiken zu schützen. Typische Risiken sind beispielsweise Insiderattacken beim Cloud-Provider oder das Abhören von Identitäts-Service-Nachrichten, die zwischen Unternehmen und Dienstleister ausgetauscht werden. Dazu kommen unerlaubte Zugriffe auf Informationen in der Cloud oder auf mobilen Geräten sowie nicht gelöschte Identitätsdaten.
Organisation
Ein integriertes IAM unterstützt den nahtlosen Ablauf von Geschäftsprozessen über mehrere Anwendungen oder Organisationseinheiten hinweg. Bei einer Auslagerung auf Cloud-Dienste muss dieser Ablauf reevaluiert und gegebenenfalls durch Reorganisation der Prozesse sichergestellt werden. Idealerweise bildet ein effektives IAM einen User-Life-Cycle ganzheitlich ab - von der erstmaligen Anlage eines Mitarbeiters bis hin zum Entzug der Zugriffsberechtigung, wenn der Mitarbeiter aus dem Unternehmen ausscheidet. Diese Prozesse müssen reibungslos funktionieren - und zwar bevor externe Dienste genutzt werden. Die Praxis zeigt jedoch leider häufig das Gegenteil: Ineffiziente Onboarding-Prozesse, Akkumulationen von Berechtigungen oder unvollständiger Berechtigungsentzug verursachen häufig Probleme.
Auch bei der Ausgestaltung der Zusammenarbeit mit einem Cloud-Provider sind die Auswirkungen auf die Prozesslandschaft, einschließlich der Schnittstellen zum Service-Management, zu berücksichtigen. Verschieben sich Zugriffspunkte zu einem externen Anbieter, müssen die damit verknüpften Prozesse nachjustiert werden. So sind beispielsweise mit dem Availability-Management Regelungen hinsichtlich der Verfügbarkeit des Cloud-Providers abzustimmen, um Störungen zu vermeiden oder zumindest die Folgen einzugrenzen. Bei der Identifizierung IAM-relevanter Schnittstellen hilft eine "Prozesslandkarte", der die neuen Prozesse gegenübergestellt werden können. Sie erleichtert auch schnelle Reaktionen im "Störungsfall".
Technik
Die technische Umsetzung eines IAM für Cloud-Anwendungen erfordert eine umfangreiche Planung. Dabei gilt es, eine sichere Datenübertragung zu gewährleisten, Schnittstellen und Protokolle festzulegen sowie die auszutauschenden Daten und deren Semantik zu definieren. Zudem ist zu klären, wie die Daten bei einer Kündigung der Cloud-Nutzung behandelt werden sollen.
Solche Überlegungen sind jedoch erst dann relevant, wenn die Themen Risikomanagement und Organisation geklärt sind, denn diese bestimmen die Auswahl der Tools und Technologien. Da Cloud-Dienste durch einen hohen Standardisierungsgrad gekennzeichnet sind, empfiehlt es sich, auch im IAM auf Standards wie Security Assertion Markup Language (SAML), Service Provisioning Markup Language (SPML) oder OAuth zu setzen. Einige Toolhersteller bieten zudem Out-of-the-Box-Konnektoren für typische Cloud-Anwendungen an, die die technische Anbindung solcher Dienste enorm vereinfachen.
IAM as a Service
Während der Einsatz von Cloud-Diensten oder mobilen Anwendungen früher aus Kostengründen einseitig positiv betrachtet wurde, haben die zahlreichen Sicherheitsvorfälle zu einer differenzierteren Bewertung geführt. Das gilt besonders in Hinblick auf IAM als wichtiges Rückgrat der Sicherheitsinfrastruktur einer Organisation. Hier sind die Möglichkeiten noch nicht ganz ausgereizt. So lässt sich IAM selbst as a Service (IAMaaS) aus der Cloud heraus beziehen - sei es durch vertrauenswürdige Anbieter wie etwa im Rahmen der Funktionalitäten des neuen Personalausweises, welcher eine Electronic-Identity- Funktion ermöglicht, oder in Form eines Public Identity Management as a Service. IAMaaS bringt zwar mehr Flexibilität und Kostenvorteile, eine umfassende Betrachtung von Risiken, organisatorischen Aspekten und technischer Gestaltung ist aber unverzichtbar. (sh)