5 Gründe für eine Identity and Access Management-Lösung

 

Immer mehr Unternehmen suchen nach einer Identity and Access Management-Lösung (IAM), um den Prozess der Erstellung, Unterstützung, Aktualisierung, Bereitstellung und Löschung von Benutzerkonten in verschiedenen IT-Systemen und -Landschaften zu automatisieren. Unternehmen, welche sich für eine IAM-Lösung interessieren, suchen nach einer Möglichkeit, die Identitäten der Benutzer auf eine rationalisierte Weise zu verwalten, eine einmalige Authentifizierung einzuführen und Sicherheitsstandards einzuhalten. Die Chancen stehen gut, dass ihr diesen Artikel angeklickt habt, weil ihr zu genau dieser Gruppe gehört. 

Wenn das der Fall ist, habt ihr vielleicht schon einen groben Überblick darüber, was ein Identity and Access Management-System ist. Dennoch möchte ich euch auf diesen Artikel verweisen, den wir zu diesem Thema geschrieben haben – er ist ein guter Einstieg in das Thema. Sobald ihr bereit seid, Gründe für Identity und Access Management-Lösungen in eurer IT-Landschaft kennen zu lernen, freue ich mich darauf, euch auf diese Reise mitzunehmen. 

 

Warum benötigt ihr eine Identity and Access Management-Lösung?

Wenn ihr aktiv versucht, die Frage zu beantworten, ob ihr eine Identity und Access Management-Integration benötigt, wart ihr wahrscheinlich schon einmal in einer der folgenden Situationen. 

Stellt euch einmal folgendes Szenario vor: Ein/e KollegIn hat jahrelang in eurem Unternehmen gearbeitet und mit sehr wichtigen Daten zu tun gehabt, z. B. mit Rechnungen oder Mitarbeitergehältern. Diese/r KollegIn hat nun das Unternehmen verlassen – vielleicht wurde er/sie von einem anderen Arbeitgeber eingestellt oder genießt einfach den wohlverdienten Ruhestand. Das Problem ist, dass der Mitarbeitende viele kritische Zugriffsrechte hatte und die IT-Experten in eurem Unternehmen werden eine Menge Zeit benötigen, um diese alle manuell zu entfernen, um den Datenschutzanforderungen gerecht zu werden. Der Mitarbeitende muss noch nicht einmal das Unternehmen verlassen – bereits ein Teamwechsel ist ausreichend, um eine Neuverteilung der Zugriffsrechte zu rechtfertigen. Ihr ahnt vielleicht schon, was in diesem Fall helfen könnte: Eine gut integrierte Identity and Access Management-Lösung, die solche Prozesse automatisch abwickeln kann. 

Sehen wir uns ein anderes Szenario an: Ein/e KollegIn, welche/r im Controlling arbeitet, hat die Möglichkeit, Geldtransfers zu erstellen und auszuführen. Aber was passiert, wenn diese/r KollegIn durch Social Engineering betrogen und davon überzeugt wird, eine große Geldsumme an einen externen Posten zu überweisen? In einem solchen Fall brauchen wir ein Vier-Augen-Prinzip und eine Aufgabentrennung. Das bedeutet, dass ein/e KollegIn einen solchen Geldtransfer erstellen kann, während ein anderer Mitarbeitende diesen lediglich ausführen kann. Auch das ist kein hypothetischer Fall: Wenn ihr etwas über einen massiven Betrug lesen möchtet, welcher dem deutschen Autozulieferer Leoni passiert ist, könnt ihr das hier tun. Natürlich ist das nur eines von vielen Beispielen für solch einen Fall. 

Dass Identity and Access Management-Systeme die Betreuung von Benutzerkonten vereinfachen können, ist unbestreitbar. Aber es ist nicht nur die Vereinfachung, die eine Rolle spielt. Manche mögen sogar sagen, dass die Integration eines Identity and Access Management-Systems heutzutage strikt notwendig ist. Die Meinungen gehen auseinander, aber es gibt gute Argumente für diese Behauptung. 

 

Die Vorteile einer gut integrierten IAM-Lösung

Sicherlich gibt es viele Vorteile, die sich aus der Konfiguration einer Identity and Access Management-Lösung ergeben. 

Die Vorteile einer Identity and Access Management-Lösung

Es gibt einige große Vorteile der Einbindung eines Identity and Access Management-Systems.

Automatisierte Provisionierung 

Benutzerdaten sind komplexer, als es auf den ersten Blick erscheinen mag. Ein neu erstelltes Benutzerkonto muss unter Umständen aus verschiedenen Gründen, z. B. wegen bestimmter Zugriffsrechte oder Rollen, in verschiedenen Systemen bereitgestellt werden. Außerdem müssen Benutzerkonten irgendwann deprovisioniert werden, d. h. sie müssen deaktiviert oder entfernt werden. Ein Konto bleibt in der Regel so lange aktiv, bis ein Mitarbeiter des IT-Supports das Konto manuell entfernt oder deaktiviert, einschließlich des Entzugs aller Rechte, welche dieses hatte. Ein Identity and Access Management-System kann all diese Prozesse mithilfe eines Workflows automatisieren, der alle Konten automatisch bereitstellt und bei Bedarf deaktiviert.  

Verbesserte Sicherheit 

Ein übermäßig kritisches Thema ist die Frage, wie die der Branche auferlegten rechtlichen Anforderungen zu erfüllen sind. In der Informationstechnologie ist einer der wichtigsten Faktoren die GDPR (General Data Protection Regulation), das europäische Gesetz zum Datenschutz und zur Datensicherheit, das stets eingehalten werden muss. Im deutschen Raum wird das Gesetz auch als DSGVO (Datenschutz-Grundverordnung) bezeichnet.  

Die Nichteinhaltung solcher Vorschriften kann zu Geldstrafen oder, was sicherlich die schlimmste Alternative ist, zu einer Datenpanne führen. Jedes Unternehmen muss mindestens eine Sicherheitsvorschrift einhalten – ein Identity and Access Management-System kann beim Datenschutz helfen, welcher notwendig ist, um die Anforderungen der GDPR-Vorschriften zu erfüllen. Da die Technologie stets ausgereifter und komplexer wird, treten immer mehr Bedrohungen auf, welche ein Identity and Access Management-System mit Sicherheit abmildern kann.   

Verbesserte und komplexere Technologien erfordern eine Lösung, die bei der Vermeidung von Sicherheitsproblemen wie Datenverlust oder Datenschutzverletzungen helfen kann – eine Identity and Access Management-Lösung kann dabei unterstützen. 

Verbesserte Benutzerfreundlichkeit 

Mit Hilfe einer IAM-Lösung können IT-Administratoren eine eindeutige digitale Identität für jeden Benutzer einrichten, wodurch die manuelle Verwaltung all dieser Konten entfällt. Zudem können die Nutzer unabhängig von Zeit, Ort und Gerät auf die gewünschten Dienste zugreifen. Dieser Aspekt steht auch im Zusammenhang mit der Integration von Single Sign-On (SSO), zumindest teilweise. 

Optimierter Zugang mit Hilfe von Single Sign-On-Authentifizierung 

Im Idealfall möchten sich Nutzer nicht jedes Mal mit denselben Daten anmelden, die sie gerade für den Zugriff auf ein anderes Produkt desselben Unternehmens verwendet haben, wenn sie sich bei einer Webseite oder einem Produkt authentifizieren wollen. Genau dafür wurde Single Sign-On (SSO) entwickelt: Es handelt sich um einen Authentifizierungsdienst, der es einem Nutzer ermöglicht, sich nur einmal mit den Anmeldedaten anzumelden, um auf mehrere Dienste oder Anwendungen zuzugreifen. Die technischen Voraussetzungen dafür zu erläutern, würde wahrscheinlich den Rahmen dieses Artikels sprengen. Es ist jedoch wichtig zu wissen, dass ein Identity and Access Management-System auch solche Authentifizierungsanforderungen rationalisieren kann. 

Doch es gibt einen Haken: Die meisten Identity and Access Management-Lösungen bieten nicht alle oben genannten Funktionen und eine SSO-Integration. Aber ihr könnt zwei verschiedene IAM- oder IGA-Lösungen (Identity Governance and Administration) kombinieren, um all diese Anforderungen zu erfüllen. 

Geringere Kosten 

Viele, die sich für IAM-Lösungen interessieren, fragen sich vielleicht, was sie eine solche kosten wird. Die Verwendung einer einzigen IAM-Plattform für die Verwaltung des gesamten Benutzerzugangs und die Minderung von Sicherheitsrisiken bedeutet zwar zunächst mehr Arbeit für die anfängliche Einrichtung, aber letztendlich wird dies viel Zeit und Geld sparen. 

Identity and Access Management Rollen
Verschiedene Rollen geben unterschiedliche Zugriffe und Berechtigungen.

Wie man ein Identity and Access Management-System einführt 

Da ihr nun wisst, warum ein Identity and Access Management-System heutzutage unerlässlich ist, bleibt nur noch eine Frage offen: Wie würdet ihr eine solche Lösung implementieren? Mit diesen drei einfachen Schritten werdet ihr schon bald eure eigene IAM-Implementierung nutzen können: 

Einschätzung des Ist-Zustandes 

Der erste Schritt zur Implementierung eurer eigenen IAM-Lösung besteht darin, den aktuellen Zustand der Umgebung zu untersuchen, welche ihr gerade nutzt. Stellt euch am besten die folgenden Fragen: 

  • Welche Anwendungen nutzen eure Nutzer derzeit?  
  • Welche Nutzer und Gruppen müssen sich für welche Software und Ressourcen authentifizieren? 
  • Wie gewährt ihr Nutzern und Gruppen derzeit Zugang und entzieht ihnen diesen bei Bedarf wieder?  
  • Wie werden derzeit bestimmte Benutzerdaten zwischen verschiedenen Systemen bereitgestellt? 
  • Wie hoch sind eure laufenden Kosten für die Unterstützung und Verwaltung aller Benutzer- und Gruppenidentitäten in eurer Umgebung? 

Sobald ihr all diese Fragen beantworten könnt, seid ihr bereit, mit Schritt zwei fortzufahren und darüber nachzudenken, welcher IAM-Ansatz für euch der richtige ist. 

Bewertung des Soll-Zustandes 

Da ihr die Ist-Situation kennt, seid ihr in der Lage herausfinden, was genau die gewünschte IAM-Lösung für euch tun soll. Die folgenden Fragen können euch helfen, eine erste Einschätzung vorzunehmen: 

  • Welche Compliance-Standards und Sicherheitsanforderungen müsst ihr beachten?  
  • Möchtet ihr eure Dienste vor Ort oder in der Cloud bereitstellen?  
  • Seid ihr mit einer Standardlösung zufrieden, oder bevorzugt ihr einen individuellen Ansatz?  
  • Werdet ihr Reporting und Re-Zertifizierung benötigen? 
  • Braucht ihr eine Kombination aus verschiedenen Systemen, damit auch SSO unterstützt werden kann? 
  • Unterstützen eure Anwendungsanbieter die Authentifizierungsstandards SAML, OAuth und OpenID Connect?  
  • Unterstützen eure Anwendungsanbieter die Benutzerverwaltungsstandards LDAP, SOAP, SCIM und REST (neben anderen)? 
  • Was seid ihr bereit auszugeben und wie verhält sich dies zu den Kosten der von euch bevorzugten IAM-Lösung? 

Wenn ihr all diese Bedenken ausgeräumt habt, seid ihr bereit für den entscheidenden Schritt: Die Implementierung der IAM-Lösung. 

Implementierung der Identity and Access Management-Lösung 

Die Implementierung eurer IAM-Lösung ist der wichtigste und komplizierteste Schritt. Zu den Faktoren, die ihr dabei beachten müsst, gehören die Sensibilisierung der Stakeholder, die Implementierung des Single Sign On, die Multifaktor-Authentifizierung, eine strikte Passwortrichtlinie und die schrittweise Einführung des Systems. Möglicherweise benötigt ihr sogar zwei miteinander verbundene Systeme, um alle eure Bedürfnisse zu erfüllen. Natürlich gibt es noch einige andere Faktoren, welche ihr beachten müsst, und hier ist ein IAM-Experte der beste Ansprechpartner für euch. 

 

Wenn ihr diesen Artikel immer noch lest, seid ihr womöglich an einer tatsächlichen Implementierung einer IAM-Lösung interessiert. Ohne einen Ansprechpartner ist das Vorhaben nicht allzu leicht umzusetzen, aber zum Glück seid ihr in dieser Hinsicht bei uns an der richtigen Adresse: Wir haben Experten, die euch durch alle notwendigen Schritte einer IAM-Implementierung führen können. Nehmt doch einfach Kontakt mit uns auf. Wir helfen euch gerne bei allen Fragen, die ihr zur perfekten IAM-Lösung für euer Unternehmen habt!

Author

David Johnson

Related Articles

Privileged Identity Management in the wild
Wie du dein Projekt mit amiconsult realisieren kannst