Anforderungen an ein ideales Identity & Access Management

Die neue EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 innerhalb der EU in Kraft tritt, vereinheitlicht den Datenschutz personenbezogener Daten. Unternehmen müssen dann personenbezogene Daten konsistent speichern, sowie ständig verfügbar und verlässlich bereithalten. Dies löst bei vielen Unternehmen Handlungsbedarf aus, denn oft mangelt es schon an den Grundvoraussetzungen für Datensicherheit.

Die Zugangsberechtigungen von Mitarbeitern, die das Unternehmen verlassen, werden zum Beispiel gar nicht, oder erst sehr spät gelöscht und gestohlene oder unsichere Passwörter gefährden die Unternehmensdaten. Dabei geht es um die Daten Tausender von Nutzern mit verschiedenen Zugriffsrechten auf unterschiedlichen Systemen verschiedener Abteilungen.

Für eine zentrale Verwaltung von Identitäten und Zugriffsrechten auf unterschiedlichen Systemen und Applikationen sollte ein Identity & Access Management System (IAM) verwendet werden.  Zentrale Funktionen des IAM sind Authentifizierung und Autorisierung der Benutzer. Das Identitätsmanagement geht auch häufig über das eigene Unternehmen hinaus, da Cloud-Provider, Geschäftspartner und Kunden mitunter auch auf das Unternehmensnetz zugreifen.

Lesen Sie im folgenden Beitrag welche Anforderungen eine moderne Identity & Access-Plattform erfüllen muss.

IAM als wichtiger Teil der IT-Sicherheits-Strategie

Identity & Access Management ist ein kritischer Teil der IT-Security-Strategie von Unternehmen. Kompromittierte Login-Daten und Zugangsberechtigungen dienen oft als Einfallstor ins Unternehmensnetzwerk. Um die Firmen-Daten und -Assets gegen Bedrohungen wie Ransomware, Phishing, Malware und ganz generell gegen kriminelle Hacker zu schützen, gibt es IAM.

In vielen Unternehmen ist es Usus, dass User mehr Zugangsberechtigungen haben als sie eigentlich brauchen. Ein modernes IAM-System kann hier für die Etablierung eines zusätzlichen Sicherheits-Layers sorgen, indem es für das gesamte Unternehmen eine durchgängige Anwendung von Zugangsregeln und -richtlinien sicherstellt. Darüber hinaus können IAM-Systeme auch die Produktivität erhöhen. Denn durch das zentrale Management werden Komplexität und Kosten für den Schutz von Zugangsdaten gesenkt.

Anforderungen an ein modernes IAM-System

Die Anforderungen an ein modernes IAM-System sind zusammengefasst:

• Zentrale Zuordnungsliste (Active Directory): Ein Verzeichnis, das der realen Struktur im Unternehmen entspricht. Das bedeutet, dass Mitarbeiter gewisse Rechte dazubekommen oder verlieren wenn sie zum Beispiel die Abteilung wechseln.
• Ein- und Austritts-Prozess von Mitarbeitern: Wenn ein Mitarbeiter das Unternehmen verlässt wird der Zugriff auf die Daten gesperrt bzw. gelöscht. Das gilt auch für externe Portale wie z.B. von Lieferanten oder Partnern.  
• Dokumentation der Rechte: Betrifft die Zugriffssteuerung von berechtigten Personen. Wer hat welche Berechtigung, warum hat er diese und wer hat sie genehmigt. (DSGVO)
• Logging: Eine automatische Erstellung eines Protokolls, wer auf welche Daten zugreift und auf Ungereimtheiten überprüft. (Beispiel: Ein Mitarbeiter meldet sich in Wien an und 10 Minuten später in Südafrika). Dabei handelt es sich um ein lernendes System, um ein ungewöhnliches Verhalten immer besser identifizieren zu können.
• Multifaktor Authentifizierung: Dabei handelt es sich um ein Security-System, das mehr als eine Form der Authentifizierung benötigt, um die Rechtmäßigkeit einer Transaktion zu verifizieren (z.B. Passwort in Verbindung mit einem PIN).

Die Kernaufgaben von IAM im Enterprise IT Umfeld

Im Enterprise IT Umfeld geht es darum, die Rollen, Zugriffsberechtigungen und -voraussetzungen einzelner Nutzer zu managen. Die Kernaufgabe von IAM besteht darin, einem Mitarbeiter eine digitale Identität zuzuweisen. Wurde diese einmal erstellt, muss sie – über den gesamten Access Lifecycle eines Users hinweg – gewartet, aktualisiert und überwacht werden.

Das IAM ist in der Lage, Benutzern die Zugriffsrechte zu erteilen aber auch wieder zu entziehen. Viele Systeme arbeiten bei der Vergabe der Zugriffsrechte nahezu in Echtzeit und ermöglichen ein Realtime-Rechtemanagement ohne Wartezeiten für den User. In der Regel besitzen die IAM-Systeme Self-Service-Oberflächen, über die der User die benötigten Zugriffsrechte selbst beantragen oder Passwörter verändern kann.

Für die Erteilung der Zugriffsrechte muss das System User authentifizieren und autorisieren. Bei der Authentifizierung belegt der Benutzer gegenüber dem System, dass er derjenige ist, für den er sich ausgibt. Hierfür können einfache Usernamen- und Passwort-Abfragen oder besser auch Multifaktor-Verfahren mit Security-Token oder biometrischen Merkmalen zum Einsatz kommen.

Ist die Identität des Benutzers zweifelsfrei festgestellt, geht es im nächsten Schritt darum, ihn zu autorisieren. Die Autorisierung legt fest, auf welche Systeme oder Ressourcen der Benutzer Zugriff erhält. Die Autorisierung basiert auf mehr oder weniger komplexen Regeln und Rollenkonzepten, die meist in einer Datenbank hinterlegt sind. Diese Regeln und Rollen können frei definiert oder von der Organisationsstruktur des Unternehmens und dem Arbeitsbereich des Users abhängig sein.

Zusammengefasst sind die wichtigsten Funktionen des IAM:

• eine zentralisierte Verwaltung von Identitäten und Zugriffsberechtigungen
• die Authentifizierung und Autorisierung von Benutzern
• eine zentralisierte Zugriffskontrolle
• die Abbildung von komplexen Regelwerken für Zugriffsberechtigungen und mögliche Ausrichtung an Organisationsstrukturen
• rollenbasierte Zugriffsrechte
• eine Multifaktor-Authentifizierung
• Self-Services für Benutzer wie Passwortänderung
• Single Sign-On-Services für den Zugriff auf unterschiedliche Systeme und Ressourcen mit einer einzigen Identität

Fazit

Ein modernes Identitäts-Management oder auch Identity & Access Management (IAM) leistet weit mehr als Anwendern nur den Zugang zu einem System oder Netzwerk zu ermöglichen. Identitäts-Management ist eines der wichtigsten Elemente, mit denen Unternehmen ihre IT-Systeme schützen können. Gerade im Vorfeld der Umsetzung der DSGVO kommt IAM eine besondere Bedeutung zu.