Identity & Access Management FAQ

Was Sie über IAM wissen müssen

11.08.2024
Von  und
James A. Martin ist Autor des Blogs "Living the Tech Life" unserer US-Schwesterpublikation CIO.com.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.

Wie bereichert Identity Management mein Geschäft?

Die Implementierung eines IAM-Systems und der dazugehörigen Best Practices kann Ihnen in mehrerlei Hinsicht einen Wettbewerbsvorteil bescheren. Heutzutage kommen die meisten Unternehmen nicht umhin, Nutzern von extern Zugang auf das Firmennetz zu gewähren. Die Öffnung Ihres Netzwerks für Kunden, Partner, Lieferanten und natürlich die Mitarbeiter, kann die Effizienz steigern und Betriebskosten senken.

Identity- und Access-Management-Systeme erlauben einem Unternehmen die Ausweitung der Zugriffsrechte auf sein Netzwerk über eine Vielzahl von On-Premise-Applikationen, Mobile Apps und SaaS Tools - ohne dabei die IT-Sicherheit aufs Spiel zu setzen. Wenn es Unternehmen gelingt, Außenstehende besser einzubinden, können sie die Kollaboration im ganzen Unternehmen vorantreiben, die Produktivität anschieben, die Zufriedenheit der Mitarbeiter optimieren, Forschung und Entwicklung pushen - und so letztlich auch die Betriebseinnahmen nach oben treiben.

Auch die Zahl der eingehenden Anrufe beim IT Help Desk kann durch die Implementierung von IAM reduziert werden. Zum Beispiel, wenn es bei diesen um das Zurücksetzen von Passwörtern geht. Diese und andere zeitraubende - und somit kostenintensive - Aufgaben können von den Administratoren automatisiert werden.

Nebenbei ist Identity- und Access-Management auch ein Eckpfeiler eines jeden sicheren Unternehmensnetzwerks. Schließlich ist die Identität eines Benutzers ein wesentlicher Bestandteil des Zugangs-Kontroll-Prozesses. Und ein IAM-System zwingt Unternehmen praktisch dazu, ihre Zugangsrichtlinien zu definieren und dabei auszuweisen, wer auf welche Daten-Ressourcen unter welchen Konditionen Zugriff hat.

Gute gemanagte Identitäten bedeuten eine optimierte Kontrolle über den User-Zugriff, was sich wiederum in ein reduziertes Risiko für interne oder externe Angriffe übersetzen lässt.

Wie funktionieren IAM-Systeme?

In der Vergangenheit bestand ein typisches Identitätsmanagement-System aus vier Grundkomponenten:

  • ein Pool mit persönlichen Daten, über die das System die individuellen Nutzer definiert;

  • ein Toolset, um Daten hinzuzufügen, zu modifizieren oder zu löschen (Access Lifecycle Management);

  • ein System, das den Zugriff der Nutzer reguliert (Durchsetzung von Security Policies und Zugriffsprivilegien);

  • ein Auditing- und Reporting-System (um die Vorgänge im System zu verifizieren);

Um den Nutzerzugriff zu regulieren, kommen traditionell verschiedene Authentifizierungs-Methoden zur Anwendung, zum Beispiel Passwörter, digitale Zertifikate, Tokens oder Smart Cards. Hardware Tokens und Smart Cards in Kreditkartengröße dienen dabei als eine Komponente der Zwei-Faktor-Authentifizierung. Diese kombiniert etwas das Sie wissen (das Passwort) mit etwas das Sie in Besitz haben (den Token oder die Smart Card), um Ihre Identität zu verifizieren.

Angesichts der sich stets verschärfenden Bedrohungslage und den immer komplexeren IT-Umgebungen, reichen gute Kombinationen aus Nutzernamen und Passwort längst nicht mehr aus. Heutige Identity- und Access-Management-Systeme haben oft bereits Elemente von Biometrie, Machine Learning und Künstlicher Intelligenz sowie risikobasierter Authentifizierung an Bord.

Auf User-Level helfen inzwischen auch einige Technologien dabei, digitale Identitäten besser zu schützen. Die durch das iPhone getriebene Popularität der Touch-ID-Fingerabdruckscanner hat dafür gesorgt, dass sich die Konsumenten daran gewohnt haben, ihren Fingerabdruck zur Authentifizierung zu verwenden. Neuere Windows-10-Geräte nutzen ebenfalls biometrische Authentifizierungsmethoden wie Fingerabdruck- und Iris-Scanner. Und beim iPhone X hat die Gesichtserkennung Face ID inzwischen Touch ID ersetzt.

Wie Okta-CSO Abousselham weiß, setzen mehr und mehr Unternehmen inzwischen auf Drei- beziehungsweise Multi-, statt Zwei-Faktor-Authentifizierung. Diese stellt auf etwas ab, was die Nutzer kennen (Passwort), etwas das sie bei sich haben (Smartphone) und etwas, das sie "sind" (Gesicht, Fingerabdrücke oder Iris). "Drei Faktoren bieten mehr Sicherheit darüber, dass es sich tatsächlich um den korrekten Benutzer handelt", erklärt der Experte.

Auf dem Administrations-Level bieten die heutigen IAM-Systeme weitergehende Funktionen beim User Auditing und Reporting. Verantwortlich dafür sind vor allem Technologien wie Context-Aware Network Access Control und Risk-Based Authentication (RBA).

Was ist "föderiertes" Identity Management?

Der "föderierte" Ansatz des Identitätsmanagements bezeichnet einen Authentifizierungs-Mechanismus, bei dem ein User denselben Login für mehr als ein Netzwerk nutzen kann. Im Alltag ist diese Methode mittelerweile weit verbreitet. Beispielsweise bieten viele Online-Plattformen und Dienste ihren Nutzern an, sich mit ihrem Google- oder Facebook-Konto anzumelden, statt neue Zugangsdaten anzulegen.

Ein wichtiger Bestandteil des föderierten Identitätsmanagements ist der Single-Sign-On (SSO). Dieser Standard erlaubt es Nutzern, die ihre Identität in einem Netzwerk bereits verifiziert haben, ihren Status "mitzunehmen", wenn sie sich in ein anderes Netzwerk einwählen. Dieses Modell funktioniert allerdings nur zwischen kooperierenden Parteien - den sogenannten "trusted partners" - die gegenseitig für ihre Nutzer bürgen.

Die Nachrichten über Authentifizierung zwischen den "trusted partners" werden oft über das SAML- (Security Assertion Markup Language) Framework verschickt, das eine Interoperabilität zwischen verschiedenen Händler-Plattformen herstellt, die Authentifizierungs- und Autorisierungs-Services anbieten.

SAML ist aber nicht das einzige Open-Source-Identitätsprotokoll. Weitere Beispiele sind OpenID, WS-Trust, WS-Federation oder OAuth.

Wie finde ich das richtige IAM?

Bei so zahlreichen Ansätzen und Komponenten stellt sich die Frage, ob die Größe oder Branche eines Unternehmens eine Rolle bei der Auswahl spielen. Für Eckhard Schaumann, DACH-Manager bei RSA Security, geht es hauptsächlich darum, dass sich IAM immer gleich anfühlt, da die Anforderungen meist einheitlich sind.

Da jedes Unternehmen eigene, dynamische Mechanismen, Herangehensweisen und individuelle Prioritäten besitzt, kann es schwierig sein, diese Einheitlichkeit zu erreichen. Als Hilfestellung bei der Konzeption des eigenen IAM rät Schaumann, sich an diesen Fragen zu orientieren:

  • Wer hat Zugriff auf was?

  • Wer hat diese Zugriffe zu überwachen?

  • Wie wird gewährleistet, dass dies alles seine Richtigkeit hat?

  • Wie sind die Mechanismen und Aktionen implementiert die entsprechende Aktion unmittelbar zu ergreifen, wenn dies verletzt wird?

Daraus ergeben sich Ansätze für Herangehensweisen an die IAM-Einführung.

Der Grund, warum IAM-Projekte oft scheitern oder nicht konsequent zu Ende geführt werden, liegt nicht immer in der Funktionalität der IAM-Softwarelösung. Für Schaumann kann etwa die Frage "Wer hat Zugriff auf was?" unternehmensintern nicht in Silos beantwortet werden. Ein IAM-Projekt ist kein "reines IT-Projekt". Unternehmen müssen Zugriffs- und Rollenkonzepte etablieren, um die notwendige Integration zwischen den zuständigen Abteilungen und Kompetenzen umzusetzen. Das setzt sie Risiken bei der Einführung neuer Technologien aus. Hier gilt es, mit einem Digital Risk Management eine übergreifende Strategie zu erarbeiten, um zu identifizieren, zu bewerten, zu überwachen und zu schützen was in einer digitalen Welt am wichtigsten ist.

Sowohl großen als auch kleinen und mittelständischen Unternehmen rät Schaumann, IAM ganzheitlich anzugehen. Größere Unternehmen müssten jedoch oft mehr und komplexere Systeme integrieren. Zudem gilt es, alle Benutzer einzubeziehen, darunter Subunternehmen, Lieferanten und Kunden. Umso wichtiger sei es in diesem Fall, Systeme einzuführen, die ein durchgängiges Architekturkonzept verfolgen.

Bei der Umsetzung gilt es, verschiedene Anforderungen durch Regulatoren und Auditoren, wie die der BaFin im Finanzsektor, je nach Branche zu beachten. Mit Blick auf die Verwaltung von Zugriffszahlen, ergeben sich allerdings durchaus Unterschiede. Beispielsweise werden im Online-Handel jedem Kunden gewisse Zugriffe gewährt. Das können schnell Hundertausende oder gar Millionen von Nutzer werden. Hier brauchen Unternehmen ein System, das skalieren kann, so Schaumann.