Was ist IAM? Leitfaden für die Identitäts- und Zugangsverwaltung

Identitäts- und Zugriffsverwaltung ist laut Gartner die IT-Disziplin, die den richtigen Benutzern oder Geräten den Zugriff auf die richtigen Ressourcen zur richtigen Zeit und aus den richtigen Gründen ermöglicht. Der Begriff „Ressourcen“ umfasst Anwendungen, Netzwerke, Infrastruktur und Daten.

Darüber hinaus ist IAM ein Rahmenwerk von Richtlinien und Technologien, die Ihr Unternehmen vor internen und externen Bedrohungen schützen. Mit anderen Worten: IAM vereinfacht den Benutzerzugang und verhindert gleichzeitig Vorfälle im Bereich der Cybersicherheit, wie z. B. Datenschutzverletzungen oder Insider-Angriffe.

Das IAM-Framework zielt darauf ab, „digitale Identitäten“ zu erstellen und zu pflegen. Eine digitale Identität repräsentiert eine Person, eine Organisation, ein Gerät, eine Anwendung oder eine andere Entität im Internet. Sie enthält Attribute, die eindeutig mit dieser Entität verknüpft sind, sodass Computersysteme und -dienste ihre Authentizität überprüfen können.

Das vielleicht einfachste Beispiel für eine digitale Identität ist eine Kombination aus Benutzernamen und Passwort. Wenn Sie beispielsweise ein Konto auf einer Website oder Plattform erstellen, wählen Sie in der Regel einen Benutzernamen (der als eindeutige Kennung dient) und ein Kennwort (das als Authentifizierungsmittel dient). Durch diese Kombination wird Ihre Benutzeridentität auf der jeweiligen Plattform hergestellt.

Die Organisation, die die digitale Identität ausstellt, muss sie jedoch auch verwalten, d. h. sie muss sicherstellen, dass sie vor unbefugtem Zugriff geschützt ist. Böswillige Akteure, die Benutzerkonten knacken, können deren Zugriffsrechte missbrauchen, vertrauliche Informationen stehlen und die Infrastruktur mit Malware, Viren und anderem infizieren.

IAM-Lösungen vereinfachen die Identitätsverwaltung mit soliden Überwachungskontrollen und anderen Sicherheitsvorkehrungen, sodass sie potenzielle Bedrohungen selbst nach einer anfänglichen Authentifizierung abwehren können.

Anwendungsfall: IAM für Verbraucher

Viele Unternehmen verwenden ein IAM-Framework, um Verbraucher während des digitalen Onboardings zu verifizieren. Zum Beispiel, wenn ein Bankkunde ein neues Girokonto online oder über eine mobile App beantragt.

Mit einem IAM-System, das jederzeit und überall zur Verfügung steht, kann die Bank die Identität des Antragstellers sicher bestätigen und gleichzeitig einen sicheren Zugang zu den eigenen Dienstleistungen bieten – und das alles, ohne dass ein persönlicher Besuch erforderlich ist. Wenn der Kunde auf die App oder sein Konto zugreifen möchte, verifiziert das System den Nutzer und die Vertrauenswürdigkeit seines Geräts. Dies dauert nur wenige Sekunden.

Anwendungsfall: IAM für den Arbeitsplatz

Auch wenn viele Mitarbeiter gerne ins Büro kommen, anstatt im Homeoffice zu bleiben, hat sich Hybridarbeit mittlerweile etabliert. Einer Gallup-Umfrage zufolge werden nur 21 % der remote-fähigen Jobs in den USA vollständig vor Ort, also im Büro, ausgeführt. Demgegenüber stehen 52 %, die hybrid arbeiten, und 27 %, die ausschließlich remote arbeiten.

Der springende Punkt dabei? Die Unternehmen stellen mehr digitale Identitäten aus als je zuvor. Und bei so vielen Mitarbeitern, Auftragnehmern und Verbrauchern ist die Verwaltung nicht gerade ein Kinderspiel. IAM-Lösungen können dabei eine große Hilfe sein.

Führende Systeme bieten physischen/logischen Zugang zu Gebäuden und erhöhen damit die Sicherheit für Mitarbeiter, die im Unternehmen anwesend sind. Natürlich bieten diese Systeme auch einen sicheren Zugang zu virtuellen privaten Netzwerken (VPNs) und zu Software-as-a-Service (SaaS)-Anwendungen und schützen damit die von verschiedenen Standorten aus arbeitenden Mitarbeiter. Außerdem werden die Zugriffsrechte von Auftragnehmern in Echtzeit kontrolliert und das Nutzerverhalten ständig auf verdächtige Aktivitäten hin überwacht.

Anwendungsfall: IAM für Bürger

Der öffentliche Sektor nutzt IAM häufig für die digitale Authentifizierung von Bürgern. Ein IAM-Tool kann Regierungsbehörden beispielsweise bei der Ausstellung, Verwaltung und Überprüfung von Pässen, Personalausweisen und Führerscheinen unterstützen. Darüber hinaus bietet es den Bürgern einen sicheren Zugang zu wichtigen Behördendiensten und -plattformen, z. B. zu Bildungs-, Gesundheits- und Sozialleistungsprogrammen.

Ebenso erleichtert IAM mit mobilen Identitätsnachweisen und Self-Service-Schaltern an Flughäfen das grenzüberschreitende Reisen. Eine digitale Bürgeridentität ermöglicht auch die Durchführung sicherer Transaktionen, indem eine bestimmte Person mittels Public Key Infrastructure (PKI)-Zertifikaten mit einer digitalen Identität verknüpft wird.

Unternehmen wissen schon lange, dass Zugriffskontrollen für die Cybersicherheit eine entscheidende Rolle spielen. Und nun, angesichts der Komplexität, der Vernetzung und der rasanten Entwicklungen in der IT-Landschaft, erkennen immer mehr Unternehmen, dass auch die digitale Identität eine unverzichtbare Komponente ist.

Die COVID-19-Pandemie hat die digitale Transformation weltweit beschleunigt. In manchen Unternehmen hat sie mehrere Jahre übersprungen. Mit dem Aufkommen von Multi-Cloud-Umgebungen, künstlicher Intelligenz (KI), Automatisierung und Remote-Arbeit bieten Unternehmen Zugriff auf eine wachsende Anzahl von Entitäten in einer zunehmend verteilten Umgebung. Mit anderen Worten: Sie haben mehr Identitäten, als sie verwalten können.

Unterdessen entwickelt sich die Cyberkriminalität in rasantem Tempo weiter. Auf der Grundlage ausgeklügelter und KI-gesteuerter Angriffsstrategien attackieren die Angreifer mit Phishing-Betrügereien, Malware und Ransomware ihre Opfer. Ohne IAM ist es deutlich schwieriger, Bedrohungen einzudämmen, da IT-Abteilungen keinen Überblick darüber haben, wer auf welche Ressourcen Zugriff hat. Schlimmer noch, sie können einem kompromittierten Benutzer den privilegierten Zugriff nicht entziehen.

Mit der IAM-Technologie gelingt es hingegen, das richtige Gleichgewicht aus Sicherheit und Zugänglichkeit herzustellen. Unternehmen können Benutzern und Geräten passgenaue Zugriffsrechte erteilen, ohne dass die Produktivität oder die Kundenzufriedenheit beeinträchtigt wird. Anstatt Berechtigungen pauschal einzuschränken, kann ein IAM-Tool Schutzmaßnahmen auf individueller Basis implementieren.

IAM-Sicherheit und Zero Trust

IAM ist eine wichtige Grundlage für den Aufbau einer Zero Trust Architektur. Zero Trust ist ein Sicherheitsmodell, das ein strenges Identitätsmanagement einführt und davon ausgeht, dass jede Verbindung, jedes Gerät und jeder Benutzer eine potenzielle Bedrohung darstellt. Dies steht im Gegensatz zu herkömmlichen Sicherheitsmodellen, die auf implizitem Vertrauen beruhen.

Die Sicherheit von Zero Trust beruht auf drei Grundsätzen:

1. Kontinuierliche Authentifizierung: Unternehmen müssen sicheren Zugang auf der Grundlage zahlreicher Risikofaktoren gewähren, die laufend überprüft werden, während ein Benutzer gerade eingeloggt ist. Mit anderen Worten: Sie müssen Entitäten auf der Grundlage von Identität, Standort, Gerät, Dienst usw. verifizieren.
2. Begrenzung des Explosionsradius: Die Teams sollten immer davon ausgehen, dass es jederzeit zu einer Datenschutzverletzung kommen kann, und die Transparenz der Benutzeraktivitäten und des Netzwerkverkehrs maximieren, damit Anomalien und Bedrohungen rechtzeitig erkannt werden können.
3. Zugriff nach dem Prinzip der geringsten Rechte: Jede Entität sollte nur über die jeweiligen Rechte verfügen, die für die Erfüllung ihrer Rolle oder Funktion erforderlich sind. So sollten Mitarbeiter beispielsweise keinen Zugang zu Datenbanken mit sensiblen Daten haben, wenn diese nicht zu ihrem Aufgabenbereich gehören.

Im Mittelpunkt von Zero Trust steht das Identitätsmanagement. IAM bietet eine Möglichkeit, diese drei Grundsätze in großem Umfang durchzusetzen – und damit die Sicherheit zu erhöhen.

Vorteile von IAM

Die Einführung eines geeigneten IAM-Tools kann bedeutende Vorteile haben:

• Compliance: Unternehmen müssen die Datenschutzbestimmungen und vertraglichen Anforderungen einhalten. Mit IAM-Systemen können sie formale Zugriffsrichtlinien durchsetzen und die Einhaltung der Richtlinien anhand eines Prüfprotokolls der Benutzeraktivitäten nachweisen.
• Produktivität: Komplizierte Sicherheitsmaßnahmen stören die Benutzererfahrung, was zu Frustration unter den Kunden führen und die Produktivität der Mitarbeiter beeinträchtigen kann. Mit hochwertigen IAM-Tools wird sicherer Zugriff auf mehrere Ressourcen gewährt, ohne dass sich Benutzer mehrfach anmelden müssen – eine Funktion, die als Single Sign-On (SSO) bekannt ist.
• Datenschutz: IAM-Tools unterstützen Sicherheitsteams dabei, Vorfälle rechtzeitig zu erkennen und potenzielle Risiken zu prüfen, sodass sie Bedrohungen schnell und zuverlässig eliminieren können.
• IT-Automatisierung: IAM verlässt sich nicht auf manuelle Prozesse, sondern automatisiert wichtige Aufgaben wie das Zurücksetzen von Passwörtern und die Protokollanalyse. Dies spart der IT-Abteilung Zeit und Mühe, sodass sie sich auf wichtigere Aufgaben konzentrieren kann.

Im Allgemeinen hat IAM drei Schlüsselkomponenten. Bei den ersten beiden – Identitätsmanagement und Zugangsmanagement – geht es um Authentifizierung bzw. Autorisierung. Und das ist der Unterschied:

• Authentifizierung ist der Prozess, bei dem die Identität eines Benutzers (oder einer Entität) überprüft wird. Traditionell gibt der Benutzer dabei einen Benutzernamen und ein Passwort an, aber Hacker können diese Methode mittlerweile einfach umgehen. Aus diesem Grund benötigen immer mehr Unternehmen starke und ausgefeilte Verfahren wie die Multi-Faktor-Authentifizierung (MFA).
• Authentifizierung ist der Prozess, bei dem die Identität eines Benutzers (oder einer Entität) überprüft wird. Dies geschieht durch die Festlegung von Regeln, den sogenannten „Zugriffskontrollrichtlinien“, und findet immer im Anschluss an die Authentifizierung statt.

Die dritte Komponente ist das Management. Sie umfasst die laufende Verwaltung, Überwachung und Analyse von IAM-Prozessen, -Systemen und -Aktivitäten, um die Einhaltung von Vorschriften, die Sicherheit und die betriebliche Effizienz zu gewährleisten. Einfach ausgedrückt, handelt es sich um den ganzheitlichen Prozess der Überwachung von Identitäten und Zugriffsrechten, um Bedrohungen zu erkennen und Schwachstellen zu beheben. 

Jede Komponente basiert auf mehreren wichtigen Funktionen und Services. Im Folgenden werden einige der wichtigsten näher erläutert:

Identity Governance

IAM-Technologien können das Onboarding und die Identity Governance mithilfe der folgenden Tools optimieren: 

• Authentifikatoren: Überprüfung der digitalen Identität mit einer Reihe von Methoden, z. B. mit Hardware-Tokens, digitalen Zertifikaten, Geräteanalysen und Einmal-Zugangscodes.
• Mobile Authentifizierung: Einbettung einer vertrauenswürdigen Identität auf einem Mobilgerät, um intelligente Anmeldeinformationen zu generieren, die Zugriff auf wichtige Anwendungen gewähren.
• ID-Prüfung: Dank einer biometrischen Authentifizierung, die Selfies mit amtlichen Ausweisdokumenten vergleicht, kann das Onboarding von Benutzern in Sekundenschnelle durchgeführt werden.
• Adaptive Authentifizierung: Mit kontextbezogenen Analysen in Echtzeit wird Benutzern entweder Zugang gewährt oder sie erhalten zusätzliche risikobasierte Authentifizierungsaufforderungen.

Zugangskontrolle

IAM-Lösungen ermöglichen einen sicheren Zugang mit Hilfe zahlreicher Tools, wie z. B.:

• SSO: Der Anmeldeprozess wird optimiert, und Benutzer können mit nur einem Set von Anmeldedaten auf alle erforderlichen Anwendungen zugreifen.
• Passwortlose Anmeldung: Dank einer hochsicheren passwortlosen Anmeldung entfällt das Risiko, dass Anmeldedaten gestohlen werden. Auf dem mobilen Gerät des Benutzers wird ein digitales Zertifikat installiert, wodurch das Gerät zu einem vertrauenswürdigen Endpunkt wird. Nach der Authentifizierung kann per Bluetooth-Verbindung zu einem Mac oder PC sicher auf alle Cloud- und On-Premise-Anwendungen in der Nähe zugegriffen werden.
• VPN-Authentifizierung: Benutzern erhalten schnellen Zugriff auf wichtige Anwendungen, und ein verschlüsseltes VPN schützt vor dem Diebstahl von Zugangsdaten.
• Ausgabe von Anmeldedaten: Benutzer können mobile Smart Credentials anfordern, die unmittelbaren Zugang zu Websites, VPNs, Apps und anderen wichtigen Diensten ermöglichen.

Verwaltung und Überwachung

Mit der richtigen Lösung können Sie sich auch vor komplexen Bedrohungen schützen, Identitäten verwalten und Transaktionen sichern, und zwar mit Hilfe der folgenden Funktionen:

• Betrugserkennung: Kundendaten und die Reputation Ihrer Marke werden geschützt, indem Zahlungsbetrug automatisch eingedämmt wird.
• Passwortzurücksetzung: Kosten sparen und die Anzahl der Helpdesk-Tickets reduzieren, indem eine Self-Service-Option für Benutzer eingeführt wird, die ihre Passwörter vergessen haben. 
• Sichere Gerätebereitstellung: Der Prozess der Ausgabe und Rückgabe von Geräten für neue, bestehende und ausscheidende Mitarbeiter wird automatisiert.

Die Implementierung von IAM-Technologien ist ein bedeutender Schritt, da sie sich auf nahezu jeden Benutzer auswirkt. Eine falsche Konfiguration kann Lücken in Ihrer Sicherheitslage hinterlassen, die zu Datenschutzverletzungen führen können, wenn sie nicht behoben werden. Deshalb sollte man einige Best Practices beachten, bevor man sich für einen IAM-Anbieter entscheidet:

1. Führen Sie eine Analyse Ihrer IT-Infrastruktur durch

Beginnen Sie damit, Ihre aktuelle IT-Umgebung sowie alle zukünftigen Erweiterungen, wie beispielsweise bereits laufende Cloud-basierte Implementierungen, aufzuzeichnen. Bewerten Sie Ihre Infrastruktur, Anwendungen, Datenbestände und andere Ressourcen. So können Sie feststellen, welche Ressourcen eine sichere Zugangskontrolle benötigen. 

Als nächstes sollten Sie sich Gedanken über Ihre Benutzer machen – Mitarbeiter, Auftragnehmer, Partner und Kunden. Wer braucht Zugang zu welchen Systemen? Mit dieser Methode stellen Sie sicher, dass die IAM-Lösung, die Sie ins Auge gefasst haben, zu Ihren Geschäftsanforderungen passt. Außerdem hilft es Ihnen, das Prinzip der geringstmöglichen Berechtigungen anzuwenden.

2. Überprüfen Sie die Compliance-Anforderungen

Je nach Unternehmensgröße, Branche und Tätigkeitsbereich können für Ihr Unternehmen unterschiedlichen Datenschutzgesetze gelten. Wenn Sie beispielsweise Dienstleistungen für Endbenutzer in Europa anbieten, unterliegen Sie möglicherweise der Allgemeinen Datenschutz-Grundverordnung. Vergewissern Sie sich, dass der von Ihnen gewählte IAM-Anbieter die Mindeststandards erfüllt, die in den für Sie geltenden Vorschriften festgelegt sind.

3. Entscheiden Sie sich für ein Bereitstellungsmodell

Es gibt drei Möglichkeiten, ein IAM-System bereitzustellen:

• Lokal: Diese Option erfordert erhebliche Investitionen, sowohl in Bezug auf die Anschaffungskosten als auch auf die laufende Wartung. Obwohl Sie mehr Kontrolle über Ihre IAM-Infrastruktur haben, ist es oft schwierig, im Laufe der Zeit Upgrades durchzuführen.
• Cloud: Im Gegensatz dazu sind Cloud-basierte Identity-as-a-Service (IDaaS)-Implementierungen deutlich kosteneffizienter und skalierbarer. Sie sind oft schneller zu implementieren und erfordern nur eine minimale Vorkonfiguration, da der IAM-Anbieter die zugrunde liegende Infrastruktur verwaltet.
• Hybrid: Wenn Sie das Beste aus beiden Welten haben wollen, können Sie sowohl Cloud- als auch On-Premise-Funktionen nutzen. Mit diesem Ansatz können Sie auf der Grundlage Ihrer Geschäftsanforderungen ein geeignetes Modell für verschiedene Anwendungsfälle auswählen.

4. Gehen Sie schrittweise vor

Warum etwas einführen, was man gar nicht nutzt? Anstatt das Ganze zu überstürzen, sollten Sie beim Aufbau Ihres IAM-Systems einen Schritt nach dem anderem machen. Mit einem schrittweisen Ansatz können Sie verschiedene Komponenten nach und nach einführen, sodass Sie und Ihre Benutzer sich leichter an neue Prozesse gewöhnen können.

5. Überwachen Sie den Prozess und nehmen Sie gegebenenfalls Anpassungen vor

Eine IAM-Strategie kann man nicht einfach einführen und dann vergessen. Achten Sie nach der Implementierung genau darauf, wie erfolgreich Ihre Lösung ist. Sprechen Sie gegebenenfalls mit Ihrem IAM-Anbieter, um Verbesserungsmöglichkeiten zu finden – so sind Sie stets vor potenziellen Bedrohungen geschützt.

Der Schutz der Identität von Arbeitnehmern, Verbrauchern und Bürgern ist der Schlüssel zur Verhinderung von unkontrolliertem Zugang, Datenverstößen und betrügerischen Transaktionen. Entrust Identity ist das IAM-Portfolio, das eine feste Grundlage für die Realisierung eines Zero Trust-Frameworks bietet. Als einheitliche IAM-Suite unterstützt Entrust Identity eine große Anzahl von Anwendungsfällen und Bereitstellungsoptionen.

Nehmen wir zum Beispiel unsere cloudbasierte IDaaS-Plattform. Mit nur einer Lösung haben Sie folgende Möglichkeiten:

• Beseitigung schwacher Passwörter
• Entschärfung von Insider-Bedrohungen
• Erkennung von Anomalien bei der Authentifizierung
• Reduzierte IT-Kosten
• Verbesserung von Berichterstattung und Compliance
• Optimierung der Produktivität