Identity and Access Management (IAM)

Zu IAM gehört auch die Governance mit all ihren Implikationen über zahlreiche unterschiedliche Systeme und Benutzertypen hinweg, sowie die Risiken und Chancen, die mit dem mächtigen Superuser-/Administratorzugang einhergehen. Identity and Access Management ist ein bewegliches Ziel, das zur absoluten Grundlage für die meisten IT-Operationen geworden ist – schließlich geht es beim Identitäts- und Zugangsmanagement schlicht und ergreifend um Benutzer und deren Rechte. Dennoch gibt es beim IAM zahlreiche Implikationen für Benutzer und deren Rechte zu beachten – somit hat Identity and Access Management “viele Gesichter“.

Die sich verändernden Rahmenbedingungen machen eine Neuordnung des IAM-Marktes und entsprechender Unternehmensstrategien notwendig. Es hilft aber nichts, den zweiten Schritt vor dem ersten zu machen: Viele Unternehmen müssen sich erst einmal darüber klar werden, was sie überhaupt benötigen. Dies ist DAS Top-Thema nicht nur für den CISO, sondern berechtigterweise auch für den CEO!

Aus unserer Erfahrung lassen sich folgende 10 Fakten für den effizienten IAM-Ansatz identifizieren:

Lückenlose Berechtigungsverwaltung

Unternehmen sollten in der Lage sein, alle bestehenden Benutzerkonten in Active Directory, Lotus Notes, SAP oder anderen geschäftskritischen Anwendungen auch einer real existierenden und im Unternehmen beschäftigten Person zuordnen zu können. Es gilt, jeden Zugriff auf Informationen von innen und außen mittels Identity Access Management (IAM)-Systemen zu schützen. Durch die sichere und zentrale Vergabe von Zugriffsberechtigungen muss sichergestellt sein, dass Mitarbeiter nur die Zugriffsrechte auf Systeme haben, die sie zum Ausüben ihrer Tätigkeit benötigen und haben dürfen.

Abgesehen vom Sicherheitsaspekt kosten nicht benötigte Anwendungs-Lizenzen viel Geld. IAM-Systeme unterstützen nicht nur die zentrale und schnelle Vergabe von Berechtigungen, sondern, viel wichtiger, auch den sicheren und schnellen Entzug aller erteilten Zugriffsberechtigungen auf Knopfdruck.

Klar definierte Zielsetzungen, straffe Projektplanung und Kontrolle

Der Projekterfolg erfordert klar definierte Zielsetzungen und Leistungen sowie eine straffe Planung und Kontrolle. Dies setzt die enge Zusammenarbeit erfahrener Mitarbeiter auf Kundenseite mit dem IAM-Anbieter voraus. Sie ist von Anfang an notwendig, um die Anforderungen und Zielsetzungen des Kunden bereits im Vorfeld genau zu verstehen. Anschließend können sie dann in der Projektplanung und über den gesamten Projektzeitraum hinweg effizient umgesetzt werden.

Jeder Kunde sollte daher diese Qualität eines Anbieters im Rahmen seiner Lösungsevaluierung prüfen, d.h. die Leistungen mit Blick auf Technologie und Beratungskompetenz in einem Proof-of-Concept im Vorfeld testen. Wichtig ist auch, dem Team geschäftsprozess- und organisationserfahrene Mitarbeiter zur Seite zu stellen. Dies schließt die Brücke zwischen IT und Business. Geschäftsanforderungen sind nur durch die Verknüpfung von IT und Organisation umsetzbar.

Investitionsschutz durch Branchenerfahrung und garantierte Preise

Entscheidungsträger scheuen häufig die Projektkomplexität und die damit verbundenen hohen und nicht überschaubaren Aufwendungen zur Einführung einer IAM-Lösung in ihre heterogenen IT-Landschaften. Das Bekanntwerden gescheiterter Projekte und hoher Fehlinvestitionen verstärkt dieses Misstrauen. Dem kann nur erfolgreich begegnet werden, wenn der IAM-Anbieter in der Lage ist, Vertrauen zu erzeugen. Dies geschieht zum einen durch langjährige Erfahrung im IAM-Markt sowie durch die Expertise in der Umsetzung konkreter und zum Teil sehr unternehmens- und branchenspezifischer Anforderungen. Ein Anbieter sollte dahingehend überprüft werden - auf seine Projekterfahrungen und Referenzen im jeweils adressierten Markt. Auch ein schrittweises Vorgehen bei Einführung und Umsetzung der Anforderungen sowie vorzeigbare und messbare Teilerfolge schaffen Vertrauen für den Projekterfolg.

Einen fairen, überschaubaren und garantierten Preis ermöglicht auch die konkrete Definition der Ziele und des Leistungspakets. Zudem sind Festpreisangebote gerade für den Mittelstand heute keine Seltenheit mehr. Es handelt sich in der Regel um ein Leistungspaket zur Einführung eines zentralen Berechtigungsmanagements, das sich aus den erforderlichen Lizenzen, deren Wartung und einem definierten Service zur Implementierung zusammensetzt.

Anbindung von HR-Systemen

Es ist wichtig, bereits in einem ersten Schritt das HR-System automatisiert anzubinden. Grund dafür ist, dass die Probleme oftmals in der mangelnden oder lückenhaften Abstimmung der Personalabteilung mit der IT beginnen. Sie greifen dann auf das gesamte Unternehmen über. Personalveränderungen werden gar nicht, zu spät oder lückenhaft an die IT gemeldet. Die Fehlerquote steigt zusätzlich durch die manuelle und bereichsspezifische dezentrale Bearbeitung. Unklare Zuständigkeiten durch schlecht kommunizierte Veränderungen bei Reorganisationen und ein fehlendes Monitoring lassen erahnen, wie wenig sicher und transparent sowie schwierig nachvollziehbar Berechtigungsvergaben in der IT administriert werden können.

Projektstart mit einem Cleanup

Cleanup bedeutet ’aufräumen’ und schafft die Voraussetzung für eine saubere Berechtigungsmanagement-Basis. Um die Frage zu beantworten, welche Berechtigungen ein Benutzer im Unternehmensnetzwerk hat, müssen zuerst die einzelnen Accounts des Benutzers den physischen Usern zugeordnet werden. Dieser Prozess der sogenannten User-ID-Konsolidierung ist der erste wichtige Schritt. Verwaiste Accounts, Benutzer ohne Berechtigungen oder umgekehrt können in einem weiteren Schritt schnell entdeckt werden. Dazu gibt es spezielle Werkzeuge, welche ’Berechtigungsleichen’ aufzeigen.

Einführung von Berechtigungsrollen

Berechtigungsbündel, d.h. Rollen, reduzieren signifikant den Administrationsaufwand und unterstützen den Automationsprozess. Hier werden Einzelberechtigungen von Benutzern mit identischen Aufgaben im Unternehmen zu einer Rolle zusammengefasst. Sogenannte Role-Mining-Werkzeuge unterstützen die Definition und fortlaufende Optimierung von Berechtigungsrollen. Die bereinigten Berechtigungsdaten werden in Abhängigkeit zu der bestehenden Aufbau- und Prozessorganisation transparent dargestellt. Die gute Visualisierung der Analyseszenarien im Rollenfindungsprozess schafft dann die notwendige Transparenz und Nachvollziehbarkeit.

Die Automatisierung des Berechtigungsmanagements durch Einführung und Verwendung von Rollen erzielt sehr hohe Einsparpotenziale. Die Erfahrung zeigt, dass durch das rollenbasierte Administrieren von Berechtigungen ein Automatisierungsgrad von mehr als 90 Prozent erreicht werden kann.

Self-Service-Funktionen für geringeren Aufwand und mehr Benutzerkomfort

Benutzerzufriedenheit und -komfort rücken zunehmend in den Projektmittelpunkt. User-orientierte, intuitive und webbasierte Anwendungen für Password Reset Self-Services sind daher von Vorteil. Sie steigern die Performance der Mitarbeiter, da diese nicht lange auf ihr neues Passwort warten müssen. Zudem reduzieren sie die Kosten und den Administrationsaufwand im Helpdesk. Statistische Erhebungen in Unternehmen zeigen, dass jeder dritte Anruf beim Helpdesk dem Zurücksetzen von Passwörtern zuzuordnen ist. Die Benutzer-Self-Services gehen heute bereits soweit, dass die Funktionen einfach über Unternehmensportale genutzt werden können. Per Knopfdruck kann ein Mitarbeiter dann vom Büromaterial über den PC, bis hin zum Berechtigungszugriff auf erforderliche Systeme und Anwendungen, einfach eine Bestellung auslösen.

Re-Zertifizierung für dauerhaften Projekterfolg

Personelle oder strukturelle Änderungen im Unternehmen beeinflussen ständig die Zugriffsberechtigungen der Mitarbeiter auf Informationen. Dies erfordert die kontinuierliche Prüfung und Aktualisierung bestehender Berechtigungsstrukturen. Diesen Prozess - regelmäßig eine derartige Attestierung vorzunehmen - bezeichnet man als Re-Zertifizierung. Dabei werden in festgelegten Zeitabständen bereits einmal attestierte bzw. genehmigte Berechtigungen neu bestätigt. Dies erfolgt auf Bereichsleiter- bzw. Management-Ebene und wird idealerweise nicht mehr von der IT umgesetzt, sondern direkt von den verantwortlichen Fachvorgesetzten.

Notwendige Funktionstrennung

Funktionstrennung oder auch bekannt als ’Segregation-of-Duties’ ist ein weiterer Garant für erfolgreiche IAM-Projekte. Es gilt, sich auszuschließende Berechtigungsvergaben für Mitarbeiter auf Rollenebene zu beseitigen. Im Bankenbereich beispielsweise bedeutet dies, dass Mitarbeiter keine Berechtigungen besitzen dürfen, die sowohl in Markt als auch in der Marktfolge Zugriffe erlauben. Ein Beispiel wäre die Annahme und Freigabe eines Kreditantrages durch ein und dieselbe Person.

Die Brücke zwischen Business und IT

Heute ist es wichtig, die Mitarbeiter über ihre Aufgabe und Rolle im Unternehmen in einem ganzheitlichen Lebenszyklus zu betrachten und zu administrieren. Vom Managen reiner technischer Berechtigungen haben sich IAM-Lösungen weit entfernt. Sie müssen viel stärker geschäftsprozessorientiert und über businessorientierte Rollen in die komplexen Unternehmensstrukturen eingebunden werden. Sie müssen kurz gesagt die Brücke zwischen Business und IT schlagen.

Unternehmen müssen sehr flexibel mit Veränderungen umgehen können. Merger und Akquisitionen fordern ihnen und ihrer IT ein hohes Maß an Agilität ab. Jene Anwender, die heute schon gut gerüstet sind, haben den besten Wettbewerbsvorteil in der Zukunft. Nur ein guter Name oder ein guter Preis sind hier definitiv keine wirklichen Entscheidungskriterien - hier steht die Zukunft des Unternehmens mit zur Debatte!

Was sind also die essentiellsten Bausteine für ein gutes IAM?

Schnittstellen

Wer das Zugriffs-Management innerhalb komplexer Strukturen managen möchte, braucht einen Anbieter, der mit möglichst vielen Lösungen kompatibel ist. Entscheidend ist daher die Anzahl an Schnittstellen – so genannte Konnektoren, die ein IAM-Dienst bietet. Denn nur wenn alle wichtigen Anwendungen bedient werden, können Nutzer Single-Sign-On verwenden.
Das senkt die Wahrscheinlichkeit mehrfach benutzter Passwörter erheblich.

Datensicherheit und Datenschutz

Mit dem 25. Mai 2018 gelten innerhalb der Europäischen Union mit Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO) deutlich strengere Vorgaben im Umgang mit personenbezogenen Daten. Das betrifft auch IAM-Services aus der Cloud. Nur wer diese aus deutschen Rechenzentren bezieht, ist auf der sicheren Seite.

Skalierbarkeit

IAM-Dienste können On-Premise auf den Unternehmens-eigenen Rechnern betrieben werden. Aus der Cloud lassen sie sich ebenso verwalten. Nur werden Cloud-Dienste bestenfalls zähneknirschend von der deutschen Industrie akzeptiert (zumindest in den kritischen Bereichen!). Also bedarf es einer On-Prem IAM-Lösung, welche alle großen Cloud-Dienste beherrscht.

Zwei-Faktor-Authentifizierung

Über IAM nutzen Mitarbeiter bequem alle Ressourcen, die sie benötigen. Was komfortabel ist, steigert auch die Produktivität. Und möchten Firmen ihre Kunden und Geschäftspartner auf bestimmte Bereiche zugreifen lassen, sind entsprechende Rechte schnell vergeben.
Damit auch Dritte so sicher wie möglich mit dem IAM-Dienst arbeiten, sollte er eine Zwei-Faktor-Authentifizierung bieten. Idealerweise sollte der Token natürlich so "unknackbar" wie möglich sein! Aus heutiger Sicht also besipielsweise Unterstützung zu YubiHSM 2 bieten!

Plausibilitätsprüfung

Hochwertige IAM-Dienste führen zusätzlich automatisch Sicherheitschecks im Hintergrund durch, so genannte Plausibilitätsprüfungen. So bemerken "gute" Systeme, wenn jemand versucht, von einem Standort aus auf seinen Account zuzugreifen, obschon dieser User-Acount von einem ganz anderen Standort aus auf seine Daten zugreift. Auf diese Weise ist sichergestellt, dass nur derjenige den Account nutzt, der dazu auch wirklich befugt ist.

IAM – gestern und heute

Das Konzept, Nutzeridentitäten und Zugänge zu verwalten, ist in der IT ein alter Hut. Bereits Anfang der 1990er Jahre bereitete der X.500-Standard für den Aufbau von Verzeichnisdiensten den Weg – entwickelt von der Internationalen Fernmeldeunion ITU. Dafür gedacht, Verzeichnisdaten zu verwalten, legte er den Grundstein für moderne Verzeichnisdienstlösungen, wie etwa das häufig verwendete Netzwerkprotokoll LDAP (Lightweight Directory Access Protocol). 1993 an der Universität von Michigan entwickelt, ist es die vereinfachte Alternative des X.500-Standards. Und dient zahlreichen modernen IAM-Plattformen als Basis.

Interessiert an mehr Information? Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Anmeldung Newsletter


Verfügbare Mailinglisten:

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

Ich akzeptiere den Disclaimer

() Pflichtfelder

Information

×
Partner | Referenzen
  • netcologne.gif
  • dlr.png
  • vodafone.gif
  • DEUTSCHE_BANK.png
  • hvb.jpg
  • TDT-AG.JPG
  • 1_LOGO_FARSITE.png
  • LMK.png
  • VOESTALPINE.png
  • idRoboTica.png
  • dekabank.gif
  • commerzbank.gif
  • CLAAS.png
  • 1_LOGO_SSH.png
  • gieseckedevrient.gif
  • deutschepost.gif
  • Exponet Infrakon 4c.png
  • BAYER.png
  • AIRBUS.png
  • sbb.gif