Was ist Access Management?

Autoren

Jim Holdsworth

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

Was ist Zugriffsverwaltung?

Access Management ist ein Fachgebiet der Cybersicherheit, das die Zugriffsrechte von Benutzern auf digitale Ressourcen verwaltet. Tools und Prozesse für die Zugriffsverwaltung tragen dazu bei, dass nur autorisierte Benutzer auf die benötigten Ressourcen zugreifen können, während der unbefugte Zugriff sowohl für interne Benutzer als auch für böswillige Dritte blockiert wird.

Zugriffsmanagement und Identitätsmanagement bilden zusammen die beiden Säulen einer umfassenderen Cybersicherheitsdisziplin –Identity und Access Management (IAM). IAM befasst sich mit der Bereitstellung und dem Schutz digitaler Identitäten und Benutzerberechtigungen in einem IT-System.

Beim Identity Management geht es darum, Identitäten für alle Benutzer in einem System zu erstellen und zu verwalten, einschließlich menschlicher Benutzer (Mitarbeiter, Kunden oder Auftragnehmer) und nichtmenschlicher Benutzer (KI-Agenten, IoT und Endpunktgeräte oder automatisierte Workloads).

Bei der Zugriffsverwaltung geht es darum, diesen Benutzern den sicheren Zugriff auf die Daten, lokalen Ressourcen und cloudbasierten Apps und Assets eines Unternehmens zu ermöglichen. Zu den Kernfunktionen des Zugriffsmanagements gehören die Verwaltung von Benutzerzugriffsrichtlinien, die Authentifizierung von Benutzeridentitäten und die Autorisierung gültiger Benutzer zur Ausführung bestimmter Aktionen in einem System.

Mit dem Aufkommen von Cloud Computing, Software-as-a-Service (SaaS)-Lösungen, Remote-Arbeit und generativer KI ist die Zugriffsverwaltung zu einer Kernkomponente der Netzwerksicherheit geworden. Unternehmen müssen mehr unterschiedlichen Benutzerrollen den Zugriff auf mehr Arten von Ressourcen an mehr Standorten ermöglichen und gleichzeitig Datenschutzverletzungen verhindern und unbefugte Benutzer fernhalten. 

Think-Newsletter

Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?

Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

https://www.ibm.com/de-de/privacy

Komponenten des Zugriffsmanagements 

Laut dem National Institute of Standards and Technology (NIST) gehören zu den wichtigsten Funktionen des Access Management:

  • Verwaltung von Richtlinien
  • Authentifizierung
  • Autorisierung

Richtlinienverwaltung

Differenzierte Zugriffsrichtlinien regeln die Zugriffsberechtigungen der Benutzer in den meisten Zugriffsmanagementsystemen. Unternehmen können verschiedene Ansätze zur Festlegung ihrer Zugriffsrichtlinien verfolgen.

Ein gängiges Framework für die Zugriffskontrolle ist die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC), bei der die Berechtigungen der Benutzer auf ihren Aufgabenbereichen basieren. Mit RBAC lässt sich der Prozess der Berechtigungsvergabe für Benutzer vereinfachen und das Risiko verringern, dass Benutzern höhere Privilegien als nötig eingeräumt werden.

Angenommen, Systemadministratoren legen Berechtigungen für eine Netzwerk-Firewall fest.

  • Ein Vertriebsmitarbeiter hätte höchstwahrscheinlich überhaupt keinen Zugriff, da die Rolle des Nutzers dies nicht erfordert.

  • Eine Sicherheitsanalystin der unteren Ebene kann möglicherweise Firewall-Konfigurationen anzeigen, aber nicht ändern.

  • Der Chief Information Security Officer (CISO) hätte vollen administrativen Zugriff.

  • Eine Programmierschnittstelle (API) für ein integriertes Sicherheitsinformations- und Ereignisverwaltungssystem (SIEM) kann möglicherweise die Aktivitätsprotokolle der Firewall lesen.

Unternehmen können andere Zugriffskontroll-Frameworks als Alternativen zu oder in Verbindung mit RBAC verwenden. Zu diesen Frameworks gehören:

  • Mandatory Access Control (MAC) erzwingt zentral definierte Richtlinien für alle Benutzer, basierend auf Berechtigungsstufen oder Vertrauensbewertungen.

  • Die Discretionary Access Control (DAC) ermöglicht es den Eigentümern von Ressourcen, ihre eigenen Zugriffskontrollregeln für diese Ressourcen festzulegen. 

  • Die attributbasierte Zugriffskontrolle (ABAC) analysiert die Attribute von Benutzern, Objekten und Aktionen, um zu bestimmen, ob der Zugriff gewährt werden soll. Zu diesen Attributen gehören der Name des Benutzers, der Typ einer Ressource und die Uhrzeit.

Die Zugriffskontroll-Frameworks der meisten Unternehmen folgen dem Prinzip der geringsten Rechte. Das Prinzip der geringsten Rechte, das oft mit Zero-Trust-Sicherheitsstrategien in Verbindung gebracht wird, besagt, dass Benutzer nur die geringsten Berechtigungen haben sollten, die zur Erledigung einer Aufgabe erforderlich sind. Die Berechtigungen sollten entzogen werden, wenn die Aufgabe erledigt ist, um zukünftige Sicherheitsrisiken zu vermeiden.

Authentifizierung

Authentifizierung ist der Prozess, der überprüft, ob ein Benutzer der ist, für den er sich ausgibt.

Wenn sich ein Benutzer bei einem System anmeldet oder Zugriff auf eine Ressource anfordert, übermittelt er Anmeldedaten – sogenannte „Authentifizierungsfaktoren“ –, um seine Identität zu bestätigen. Beispielsweise könnte ein menschlicher Benutzer ein Passwort oder einen biometrischen Fingerabdruckscan verwenden, während ein nichtmenschlicher Benutzer ein digitales Zertifikat teilen könnte.

Zugriffsverwaltungstools gleichen die übermittelten Faktoren mit den Zugangsdaten ab, die sie für den Benutzer gespeichert haben. Wenn sie übereinstimmen, wird dem Benutzer der Zugriff gewährt.

Ein Passwort ist zwar die grundlegendste Form der Authentifizierung, aber auch eine der schwächsten. Die meisten Access Management Tools verwenden heutzutage fortschrittlichere Authentifizierungsmethoden. Zu diesen Methoden gehören:

  • Zwei-Faktor-Authentifizierung (2FA) und Multi-Faktor-Authentifizierung (MFA), bei der Benutzer mindestens zwei Nachweise erbringen müssen, um ihre Identität zu belegen.

  • Authentifizierung ohne Kennwort, bei der andere Anmeldedaten als ein Kennwort verwendet werden, z. B. ein biometrischer Faktor oder ein FIDO-Passkey.

  • Single Sign-on (SSO), wodurch Benutzer mit einem einzigen Satz von Anmeldeinformationen auf mehrere Apps und Dienste zugreifen können. SSO-Systeme verwenden häufig offene Protokolle wie Security Assertion Markup Language (SAML) und OpenID Connect (OIDC), um Authentifizierungsdaten zwischen Diensten auszutauschen.

  • Adaptive Authentifizierung, die KI und ML einsetzt, um das Risikoniveau eines Benutzers anhand von Faktoren wie Verhalten, Sicherheitsstatus und Zeitpunkt zu analysieren. Die Authentifizierungsanforderungen ändern sich in Echtzeit entsprechend dem Risikograd, wobei risikoreichere Anmeldungen eine strengere Authentifizierung erfordern.

Autorisierung

Autorisierung ist der Prozess, bei dem verifizierten Benutzern die entsprechenden Zugriffsrechte für eine Ressource gewährt werden.

Authentifizierung und Autorisierung sind eng miteinander verbunden, wobei die Authentifizierung in der Regel eine Voraussetzung für die Autorisierung ist. Nachdem die Identität des Benutzers nachgewiesen wurde, überprüft das Zugriffsverwaltungssystem die Berechtigungen des Benutzers anhand vordefinierter Zugriffsrichtlinien, die in einer zentralen Datenbank oder Richtlinien-Engine aufgezeichnet sind. Das System autorisiert den Benutzer dann, während seiner Sitzung über diese spezifischen Privilegien zu verfügen.

Indem sie die Benutzerberechtigungen auf der Grundlage von Zugriffsrichtlinien einschränken, können Zugriffsverwaltungstools dazu beitragen, sowohl Insider-Bedrohungen zu verhindern, die ihre Rechte böswillig missbrauchen, als auch wohlmeinende Benutzer, die versehentlich ihre Rechte missbrauchen.

Wenn die Identitätsprüfung eines Benutzers fehlschlägt, autorisiert das Zugriffsverwaltungssystem ihn nicht und blockiert ihn daran, die mit seinem Konto verknüpften Berechtigungen zu verwenden. Dies verhindert, dass externe Angreifer die Berechtigungen legitimer Benutzer entführen und missbrauchen.

Lösungsarten für die Zugriffsverwaltung

Zugriffsmanagementlösungen können größenteils in zwei Kategorien eingeteilt werden: Tools, die den Zugriff für interne Benutzer wie Mitarbeiter steuern, und Tools, die den Zugriff für externe Benutzer wie Kunden steuern. 

Tools für die interne Zugriffsverwaltung

Die internen Benutzer eines Unternehmens – Mitarbeiter, Manager, Administratoren – benötigen oft Zugriff auf mehrere Systeme, darunter Apps, Messaging-Apps, Unternehmensdatenbanken, HR-Systeme und mehr.

Fast alle internen Ressourcen eines Unternehmens gelten als sensibel und müssen vor böswilligen Hackern geschützt werden. Aber nicht jeder interne Benutzer benötigt so viel Zugriff auf jede interne Ressource. Unternehmen benötigen ausgefeilte Tools für die Zugriffsverwaltung, mit denen sie die Zugriffsberechtigungen der Benutzer auf einer detaillierten Ebene steuern können.

Zu den gängigen Tools für die interne Zugriffsverwaltung gehören:

IAM-Plattformen

IAM-Plattformen sind umfassende Lösungen, die wichtigsten Funktionen des Identity und Access Management (IAM) in einem einzigen System integrieren. Zu den allgemeinen Funktionen von IAM-Plattformen gehören Benutzerverzeichnisse, Authentifizierungstools, Verwaltung von Zugriffsrichtlinien und Funktionen zur Erkennung und Reaktion auf Identitätsbedrohungen (ITDR).

Tools zur Steuerung privilegierter Zugriffsrechte (PAM)

Privileged Access Management (PAM) ist eine Untergruppe des Access Managements, die hochprivilegierte Benutzerkonten (z. B. Administratorkonten) und privilegierte Aktivitäten (z. B. Arbeit mit sensiblen Daten) regelt und schützt.

In vielen IT-Systemen werden Konten mit besonderen Berechtigungen speziell geschützt, da es sich um hochwertige Ziele handelt, mit denen böswillige Akteure schweren Schaden anrichten können.

PAM-Tools isolieren privilegierte Identitäten, indem sie Vaults für Zugangsdaten und Just-in-Time-Zugriffsprotokolle (JIT) verwenden. JIT gewährt autorisierten Benutzern auf Anfrage für eine begrenzte Zeit privilegierten Zugriff auf eine bestimmte Ressource, anstatt Benutzern ständig höhere Berechtigungen zu erteilen.

Tools für Identitätsgovernance und -verwaltung (IGA)

Tools zur Identitätsverwaltung und -verwaltung (IGA) tragen dazu bei, dass die Zugriffsrichtlinien und Zugriffskontrollen eines Unternehmens den Sicherheitsanforderungen und behördlichen Auflagen entsprechen.

IGA-Lösungen bieten Tools zum Definieren und Implementieren konformer Zugriffsrichtlinien während des gesamten Lebenszyklus jedes Benutzers. Einige IGA-Tools können auch bei der Automatisierung wichtiger Compliance-Workflows helfen, beispielsweise bei der Benutzereinführung und -bereitstellung, Zugriffsreviews, neuen Zugriffsanforderungen und der Aufhebung der Bereitstellung für ausgeschiedene Benutzer. Diese Funktionen bieten Unternehmen mehr Kontrolle über Benutzerberechtigungen und -aktivitäten, wodurch der Missbrauch von Berechtigungen leichter erkannt und unterbunden werden kann.

Zero-Trust-Network-Access-Lösungen (ZTNA)

ZTNA-Lösungen sind Remote-Zugriffstools, die dem Zero-Trust-Prinzip „Nie einfach vertrauen, immer verifizieren“ folgen.

Herkömmliche Tools für den Remote-Zugriff, wie virtuelle private Netzwerke (VPNs), verbinden Remote-Benutzer mit dem gesamten Unternehmensnetzwerk. Im Gegensatz dazu verbindet ZTNA die Benutzer nur mit den spezifischen Apps und Ressourcen, für die sie eine Zugriffsberechtigung haben.

Außerdem wird den Benutzern im ZTNA-Modell nie implizit vertraut. Jede Zugriffsanfrage für jede Ressource muss unabhängig von der Identität oder dem Standort des Benutzers bestätigt und validiert werden. 

Tools für externes Zugriffsmanagement

Unternehmen müssen häufig externen Benutzern den sicheren Zugriff auf Ressourcen ermöglichen. Kunden benötigen möglicherweise Zugriff auf ihre Konten auf E-Commerce-Plattformen. Kreditoren benötigen möglicherweise Zugriff auf Rechnungssysteme. Geschäftspartner benötigen möglicherweise Zugriff auf gemeinsam genutzte Daten. Tools für die externe Zugriffsverwaltung sind speziell auf diese externen Benutzer ausgerichtet.

Einige Unternehmen verwenden dieselben Tools für die interne und externe Zugriffsverwaltung, aber diese Strategie ist nicht immer realisierbar. Die Bedürfnisse von internen und externen Anwendern können unterschiedlich sein. Beispielsweise priorisieren externe Benutzer oft den Komfort vor der Sicherheit, während interne Benutzer über höhere Privilegien verfügen, die einen stärkeren Schutz erfordern.

Identity und Access Management für Kunden (CIAM)

Customer Identity und Access Management (CIAM)-Tools regeln digitale Identitäten und die Zugriffssicherheit für Kunden und andere Benutzer, die sich außerhalb einer Organisation befinden.

Wie andere Zugriffsverwaltungstools helfen CIAM-Systeme bei der Authentifizierung von Benutzern und beim sicheren Zugriff auf digitale Dienste. Der Hauptunterschied besteht darin, dass CIAM-Tools die Benutzererfahrung durch ein progressives Profiling (das es Benutzern ermöglicht, ihre Profile im Laufe der Zeit zu vervollständigen), Social-Media-Logins und andere benutzerfreundliche Funktionen in den Vordergrund stellen. 

Warum Zugriffsmanagement wichtig ist

Zugriffsmanagement-Tools helfen Unternehmen dabei, autorisierten Benutzern den sicheren Zugriff auf sensible Ressourcen zu ermöglichen, unabhängig davon, wo sie sich befinden.

Das Ergebnis ist ein sichereres und effizienteres Netzwerk. Die Benutzer haben den ununterbrochenen Zugriff, den sie für ihre Arbeit benötigen, während Bedrohungsakteure und nicht autorisierte Benutzer ferngehalten werden. 

Verbesserte Sicherheit

Mit der Einführung von Hybrid- und Multicloud-Umgebungen in Unternehmen gehören zentralisierte lokale IT-Netzwerke der Vergangenheit an. Perimeterorientierte Sicherheitslösungen und -strategien können Netzwerke, die sich über Geräte, Benutzer-Apps und globale Datenbanken, nicht wirksam schützen.

Und Hacker konzentrieren sich zunehmend auf die Identitätsangriffsfläche und stehlen Anmeldedaten, um in Netzwerke einzudringen. Laut dem IBM® X-Force® Threat Intelligence Index betreffen 30 % der Cyberangriffe den Diebstahl und Missbrauch gültiger Konten.

Zugriffsmanagement-Tools verlagern die Schutzmaßnahmen des Unternehmens weg vom Perimeter und konzentrieren sich auf einzelne Benutzer, Ressourcen und sensible Daten, indem sie den Zugriff selbst sichern. Authentifizierungstools tragen dazu bei, Benutzerkonten vor Hijackern zu schützen, während Autorisierungstools sicherstellen, dass Benutzer ihre Berechtigungen nur aus legitimen Gründen nutzen.

Tools für die Zugriffsverwaltung können auch dabei helfen, bestimmte Sicherheitsaufgaben zu automatisieren, z. B. die Durchführung regelmäßiger Prüfungen und das Deprovisionieren von Benutzern, wenn sie ein Unternehmen verlassen oder ihre Rollen wechseln. Diese Tools helfen dabei, „Privilegienausweitung“ zu bekämpfen, bei der Benutzer im Laufe der Zeit langsam und unbemerkt mehr Berechtigungen erhalten, als sie benötigen. 
Bessere Benutzererfahrung

Zugriffsverwaltungstools können Benutzern den Zugriff auf die benötigten Ressourcen erleichtern, ohne die Sicherheit zu beeinträchtigen. Ein SSO-System (Single Sign-On) ermöglicht es Benutzern beispielsweise, sich einmal zu authentifizieren, um auf mehrere Ressourcen zuzugreifen. Biometrische Authentifizierungsmaßnahmen ermöglichen es Benutzern, sich mit Fingerabdruck-Scans und anderen eindeutigen Zugangsdaten anzumelden, die schwerer zu knacken, aber einfacher einzugeben sind als ein Passwort. 
Betriebliche Effizienz 

Tools für die Zugriffsverwaltung können den Prozess der Bereitstellung und Deprovisionierung von Benutzern vereinfachen. Beispielsweise können rollenbasierte Zugriffskontroll-Frameworks Benutzern auf der Grundlage vordefinierter Richtlinien automatisch die richtigen Berechtigungen zuweisen. Systemadministratoren haben weniger Routinearbeiten zu erledigen, und neue Mitarbeiter können sofort loslegen, anstatt auf manuelle Zugriffsgenehmigungen zu warten. 
Einhaltung von Vorschriften  

Gemäß bestimmter Datenschutz- und Sicherheitsstandards und -vorschriften (wie der Payment Card Industry Data Security Standard (PCI DSS) und die General Data Protection Regulation (GDPR)) müssen Unternehmen strenge Zugriffskontrollen für bestimmte Arten vertraulicher Informationen einhalten. 

Der Preis für die Nichteinhaltung kann hoch sein. So können beispielsweise schwerwiegende Verstöße gegen die DSGVO zu Geldbußen von bis zu 20.000.000 Euro oder 4 % des weltweiten Umsatzes des Unternehmens im Vorjahr führen.

Zugriffsmanagementlösungen können Unternehmen dabei helfen, Compliance-Anforderungen zu erfüllen, indem sie zentral definierte Zugriffsrechte durchsetzen, die sicherstellen, dass nur die erforderlichen Benutzer und nur aus autorisierten Gründen Zugriff auf Daten haben. 

Einige Zugriffsmanagement-Tools können auch Aufzeichnungen über Benutzeraktivitäten und Zugriffsanfragen führen und so Prüfpfade erstellen, mit denen Unternehmen die Einhaltung von Vorschriften nachweisen und Verstöße genau lokalisieren können. 
Reduzierte Kosten

Zugriffsverwaltungstools können Unternehmen dabei helfen, Geld zu sparen, indem sie Effizienz, Sicherheit und Compliance verbessern.

So können starke Authentifizierungstools beispielsweise viele identitätsbasierte Angriffe vereiteln und Ausfallzeit aufgrund von Sicherheitsbedrohungen reduzieren. IT-Teams müssen möglicherweise weniger Helpdesk-Anrufe bewältigen, wenn Benutzerberechtigungen automatisch bereitgestellt werden. Und Unternehmen müssen seltener mit Geldstrafen oder Anwaltskosten rechnen, wenn ihre Zugriffsrichtlinien den Vorschriften entsprechen. 
Weitere Lösungen
IBM Verify

Entwickeln Sie ein sicheres, herstellerunabhängiges Identitätsframework, das IAM modernisiert, sich in bestehende Tools integriert und nahtlosen hybriden Zugriff ohne zusätzliche Komplexität ermöglicht.

 IBM Verify erkunden
Sicherheitslösungen

Sichern Sie Ihre Hybrid-Cloud- und KI-Umgebungen mit intelligentem, automatisiertem Schutz für Daten und Identitäten und gegen Bedrohungen.

 Sicherheitslösungen entdecken
Services für Identitäts- und Zugriffsmanagement

Schützen und verwalten Sie den Benutzerzugriff mit automatisierten Identitätskontrollen und risikobasierter Governance in Hybrid-Cloud-Umgebungen.

         IAM-Services erkunden
    Machen Sie den nächsten Schritt

    Erweitern Sie IAM mit Verify für nahtlosen Hybridzugriff und stärken Sie den Identitätsschutz, indem Sie versteckte identitätsbasierte Risiken mit Hilfe von KI aufdecken.

         IBM® Verify entdecken Identitätsschutz IBM Verify erkunden