POV: Ihr merkt, dass bei euch die Zugriffsrechte auf Systeme teils nicht sehr effektiv geregelt sind und allgemein die Softwarelandschaft in eurem Unternehmen eher einem undurchsichtigen Dschungel gleicht. Also ran mit der Machete und ein bisschen aufräumen? Naja. So oder so ähnlich. Ein IAM einzuführen, kommt dem ziemlich gleich, aber mit weniger Stechmücken 😉.
Und was sind eigentlich die wichtigsten Features eines IAM? Dass es viele gute hat, steht ja außer Frage. Denn ein IAM ermöglicht es den richtigen Personen, auf die richtigen Ressourcen zur richtigen Zeit und aus den richtigen Gründen zuzugreifen.
In diesem Artikel erkläre ich euch, welche Features mit IAM geboten werden und wie ihr sie am gewinnbringendsten und effektivsten nutzen könnt. Also lest weiter, wenn ihr euer Accessmanagement optimieren wollt, oder mehr Infos zu IAM-Möglichkeiten sucht.
Access Governance
Access Governance befasst sich mit Rollenkonzepten und der Abbildung von IT-Berechtigungen. Bestimmten Rollen können Berechtigungen zugewiesen werden und diese überwacht werden. So wird die unbeabsichtigte Vergabe unnötiger Berechtigungen unwahrscheinlicher. Und falls es doch dazu kommen sollte, fällt es schneller auf.
Access Governance lässt sich in drei Teilbereiche aufteilen:
Klassifizierungen: Daten werden nach Risikoklassen klassifiziert. Danach wird festgelegt, welche Tätigkeiten und Bereiche Funktionstrennungen unterliegen müssen (segregation of duties oder separation of duties (SoD)). Eine Überweisung über 10 Mio. Euro beispielsweise, sollte immer die Autorisierung von mehr als einer Person erfordern. Es wird also hinterlegt, dass Person eins einen Auftrag gibt, Person zwei diesen kontrolliert und den Auftrag gegenzeichnet und Person drei den Auftrag ausführt. Keine dieser Personen darf dieselbe sein.
Attestation (Zugriffsumfrage): Hierunter wird die Überprüfung der derzeitigen Zugänge und Berechtigungen verstanden. Access Attestation ist ein nie endender Prozess, der sicherstellt, dass jeder Nutzer den Zugriff auf Daten, Systeme und Anwendungen hat, die er braucht. Aber keinen auf die, die er nicht braucht. In Großunternehmen sind stetige Änderungen und Ausweitungen der Rollen normal. Deshalb ist es gerade dort wichtig, eine gute Übersicht zu bewahren und eine Ansammlung an Rechten zu verhindern. Denn wer will schon, dass der Azubi nach 4 Abteilungswechseln mehr Rechte besitzt als der Chef?
Bei der Einführung eines IAM-Systems sollten deshalb Abteilungsleiter, Manger und Teamleiter befragt werden, wer noch Zugriff braucht und ob die Zugriffsrechte noch stimmen. Regelmäßiges Reporting der Rechte ist ein wichtiger Aspekt für die Übersichtlichkeit.
Reconsolidation (Soll & Ist-Abgleich): Bei der Reconsolidation wird in Systeme und Bereiche reingeschaut und abgeglichen, wer noch Zugriff hat und wer ihn noch haben sollte. Es ist also ein Soll/Ist-Abgleich der Zugriffsrechte.
Dazu zieht sich das IAM-System den Ist-Zustand der Zugriffsrechte und gleicht diesen mit einer Soll-Zustandsliste ab. Probleme bzw. Ungereimtheiten werden aufgezeigt. Im nächsten Prozess werden diese Probleme aufgelöst. Dies kann automatisch oder manuell erfolgen, wobei das Ziel natürlich die Automation ist.
Audit Reporting
Das Audit beginnt nicht erst im IAM, sondern viel früher. Das Audit Reporting hilft Risiken aufzudecken und nachvollziehbar zu machen, indem Systemzustände und Handlungen dokumentiert werden. Denn nur wenn die Risiken bekannt sind, lassen sie sich bewerten, überprüfen und Kontrollen einführen. Und mal ganz ehrlich: wer hat schon einen perfekt fehlerfreien Prozessablauf? Also lieber genau hinschauen statt wegschauen.
Das Audit Reporting wird ebenfalls nach verschiedenen Funktionen aufgeteilt:
Audit-Trail: Der Audit Trail zeigt Änderungen auf, die in Prozessen vorgenommen werden. So lassen diese sich besser kontrollieren. Die Funktion zeigt dem Auditor, warum Zugriff besteht, wer genau ihn gewährt hat und wie dieser Zugriff entstand. So lassen sich Prozesse kontinuierlich überwachen und bei Verfehlungen oder Regelverstößen direkt Alarm senden.
Audit Policy: Die Audit Policy enthält die Regeln der Organisation. Was soll/muss erfasst werden? Welche schützenswerten Daten gilt es zu berücksichtigen? Wie lange müssen Daten erfasst werden? Wer darf die Daten sehen?
Audit Response: Wenn dir die Liste mit den kritischen Prozessen und anderen Findings vorliegt, musst du darauf reagieren. Welche Action Points werden daraus abgeleitet? Wer muss handeln? Wie reagiert man auf Verfehlungen?
Role & Access Management
Hier wird festgelegt, welche Rollen es im Unternehmen gibt und somit im System vorhanden sein müssen. Ziel ist meistens eine automatische Accounterstellung und automatische Rechtevergabe je nach Funktion der Mitarbeiter:innen im Unternehmen. Hier hat man dann auch einen Mehrwert für das Unternehmen abseits der Einhaltung rechtlicher Anforderungen.
So wird bei der Neueinstellung eines:r Redakteurs:in zum Beispiel die automatische Erstellung eines Active-Directory-Account vorgenommen und eine Microsoft Office Lizenz vergeben. Zugriffe werden anhand der Rolle automatisch vergeben. Zusätzlich notwendige Rollen müssen dann noch beantragt werden und durch eine weitere Partei autorisiert werden.
Rechte können aber auch von der Genehmigung ausgeschlossen werden. Wenn zum Beispiel ein:e Praktikant:in Zugriff auf das Bankkonto des Unternehmens beantragt und eine weitere Person das aus Versehen genehmigt, verweigert das IAM-System dennoch den Zugriff. Das passiert, weil im IAM für bestimmte Rollen Restriktionen hinterlegt werden können. Schließlich gibt es ja adäquateres Personal zur Bankkontobetreuung als eine:n Praktikat:in.
Approval Workflows
Wer darf was bestätigen und wie viele Instanzen müssen bestätigen?
Die Kritikalität von Zugriffen wird bestimmt und es wird hinterlegt, wie viele Instanzen die Genehmigung eines Zugriffsantrags benötigt, je nach Einstufung der Kritikalität. Dazu erfolgt eine Risikobewertung des Vorgangs. Es wird dann abgewogen zwischen den Kosten der Zugriffskontrolle und den Kosten bei einem möglichen Vergehen durch einen nicht autorisierten Zugriff. Beispielsweise ist das Risiko durch einen entstandenen Schaden im System mit 1,5 Mio. Euro berechnet. Die Zugriffkontrolle von jedem Mitarbeitenden wird mit 10 Mio. Euro berechnet. Aus wirtschaftlicher Sicht eigentlich klar, was getan werden sollte.
Es muss immer eine Abwägung zwischen Sicherheit/Risiko und Produktivität/Benutzbarkeit geben.
Lifecycle Management
Das Lifecycle Management umfasst alle berechtigungsrelevanten Prozesse um eine Person während ihrer Tätigkeitsdauer im Unternehmen. Beginnend bei der Einstellung im Unternehmen. Hier wird sichergestellt, dass der/die neue Angestellte Zugriff auf alle benötigten Anwendungen, Systeme und Dateien bekommt, die er/sie zum Arbeiten benötigt. Sind schon an Tag eins alle benötigten Zugriffe gewährt, hinterlässt das gleich mal einen guten Eindruck beim Neueinsteigenden und die neuen Mitarbeitenden können von Tag eins an produktiv sein.
Auch bei einem Abteilungswechsel oder einem Aufstieg innerhalb des Unternehmens werden neue oder andere Rechte benötigt. Zugriffe aus der alten Position sollten dann beendet werden, um ein Anhäufen von Zugriffsrechten zu verhindern. Oder wenn ein:e Mitarbeiter:in in den Elternschaftsurlaub geht oder ein Sabbatical. Hier ist es auch empfehlenswert die Zugriffe auf kritische Systeme zu entziehen. Werden Zugriffsrechte nicht systematisch entfernt, kann es zu Verletzungen der Sicherheitsbestimmungen kommen.
Beim Ausscheiden aus dem Unternehmen müssen alle Rechte gewissenhaft entzogen werden. Dieser Status muss im Lifecycle abgebildet und überwacht werden.
Ein Wiedereinstig in das Unternehmen ist als Szenario ebenfalls denkbar. Verlässt eine Person das Unternehmen, um woanders berufliche Erfahrung zu sammeln oder einer Weiterbildung nachzugehen und kehrt schließlich zurück, ist das ebenfalls im Lifecycle Management abbildbar. So bleiben Personen im System vermerkt, sofern es rechtliche Gründe gibt die UserID zu vermerken (z.B. für die Betriebsrente).
Das Lifecycle Management gibt also einen Überblick über den internen Lebenslauf von Angestellten vom Onboarding über Change bis zum Offboarding.
Bereit für Dein neues IAM System?
Du hast Fragen rund um Identity und Access Management oder möchtest ein neues IAM System implementieren? Schreib uns einfach ganz unverbindlich eine Nachricht und lass Dich beraten!
Single Sign-on
Das Single Sign-on ist eine Authentifizierungsmöglichkeit und kann auch mit „Einmalanmeldung“ übersetzt werden. Einmal authentifiziert hat man die Möglichkeit sich in allen Systemen anzumelden, für die man berechtigt ist. Das Single Sign-on kann über ein Zertifikat laufen, muss es aber nicht. Es kann auch über einen Token laufen. Man verifiziert sich dazu einmalig. Möglicherweise muss dann in den weiteren Systemen nochmal ein Button gedrückt werden, aber keine Anmeldedaten mehr eingegeben werden.
Das unterscheidet das Single Sign-on vom Seamless Sign-on. Beim Seamless Sign-on loggst du dich einmalig ein und deine weiteren Systeme loggen sich automatisch mit ein, ohne dass du etwas weiters tun musst. Die Luxusvariante.
Provisioning
Provisioning ist, Identitätsdaten von Angestellten an ein System zu schreiben, herauszulöschen oder upzudaten. Es ist ein Prozess, der die Nutzerdaten und Rollen in die Systeme verteilt.
Bei einer Datenänderung im IAM werden diese Daten automatisch in den angeschlossenen Systemen geändert. Zum Beispiel die Änderung des Namens nach der Hochzeit eines Angestellten und die damit verbundene Änderung der Mailadresse.
Provisioning ist Teil des Fulfillments. Fulfillment nennt man den Prozess z.B. vom Genehmigen einer Rolle, bis diese für den User im System angelegt ist.
Password Management
Bei der Änderung des Passwortes kann das System automatisch das neue Passwort via einem dedizierten Passwort-reset-flow ins Active Directory schreiben.
Je nachdem wie du dein Passwort Management ausprägen möchtest, kann daraus auch wieder eine Art Workflow entstehen. Es kann zum Beispiel hinterlegt werden, dass bei jeder Passwortänderung die Genehmigung des Managers eingeholt werden muss.
Multifactor Authentication
Multifactor Authentication sorgt dafür, dass beim Einloggen mehr als nur das Passwort zur Verifizierung eingegeben werden muss. Also Passwort plus x plus x (also mehr als zwei unabhängige Merkmale).
Eine Multifactor Authentication muss nicht immer ein Passwort plus x sein. Es ist gut möglich, dass du dich täglich mit Multifactor einloggst, ohne es zu wissen. Nutzt dein Unternehmen beispielsweise Gerätemanagement, also dein PC ist dir fest zugewiesen anhand eines Zertifikats, plus du gibst dein Passwort ein, ist das schon eine Multifactor Authentication. Denn die Gleichung geht hier:
Besitz (über Zertifikat und Gerätemanagement) + Passwort = Login
Auch über Microsoft hello mit Gesichtserkennung ist es eine Multifactor Authentication, da durch das Zertifikat und die Gesichtserkennung mehrere unabhängige Merkmale erfüllt werden müssen.
Bei einem Login in ein hochkritisches System, kann zum Login ein weiterer Faktor erfragt werden. Das kann nach Risiko gesteuert werden. Je nach Einschätzung des Risikos eines Systems, können mal mehr, mal weniger Identifikationsfaktoren abgefragt werden.
Auch Multifacor Authentication mit OOB (Out of Band) wird häufig eingesetzt. Nach der Eingabe des Nutzernamens am PC müsst Ihr mit einem anderen Gerät wie z.B. dem Handy den Login genehmigen. Bei Microsoft kommt hier die Microsoft Authenticator App zum Einsatz.
