Was ist eine Identity Fabric?

Im Zeitalter der digitalen Transformation verwalten die meisten Unternehmen hybride und Multicloud-Umgebungen, die lokale Ressourcen, Altlast-Anwendungen und verschiedene cloudbasierte Services umfassen. Normalerweise hat jedes dieser Systeme seine eigene IAM-Lösung, was bedeutet, dass Unternehmen mit mehreren Benutzerverzeichnissen und Identitätssystemen jonglieren müssen.

Die Verbreitung von nicht miteinander verbundenen Identitätssystemen kann die Benutzererfahrung beeinträchtigen und Sichtbarkeits- und Sicherheitslücken schaffen, die böswillige Akteure ausnutzen können. Laut dem IBM® X-Force Threat Intelligence Index sind identitätsbasierte Angriffe einer der häufigsten Angriffsvektoren und machen 30 % der Angriffe aus.  

Eine Identitätsstruktur hilft dabei, getrennte Identitätssysteme im digitalen Ökosystem eines Unternehmens zu vereinheitlichen. Diese Vereinheitlichung erleichtert die Überwachung der Aktivitäten und die Anwendung einheitlicher Maßnahmen zur Identitätsverwaltung, Authentifizierung und Autorisierung für alle Benutzer über alle Anwendungen und Plattformen hinweg.

Dieser zentralisierte Ansatz verbessert die Sichtbarkeit der Benutzeraktivitäten, stärkt den Sicherheitsstatus und die betriebliche Effizienz des Unternehmens und unterstützt eine optimierte Benutzererfahrung.

Identity Fabrics ermöglichen es Unternehmen, die unterschiedlichen Identitätssysteme verschiedener Apps, Assets und Services zu integrieren. Das Unternehmen kann einheitliche Zugriffsrichtlinien durchsetzen, Benutzeraktivitäten überwachen, Sicherheitslücken beheben und konsistente Sicherheitskontrollen in allen Systemen implementieren. 

Identity und Access Management (IAM)-Systeme sind wichtige Tools zur Identitätssicherheit. Sie tragen zum Schutz digitaler Identitäten bei, unterbinden unbefugte Aktivitäten und stellen sicher, dass die richtigen Personen aus den richtigen Gründen auf die richtigen Ressourcen zugreifen können.

Die meisten Unternehmen müssen jedoch mehrere IAM-Lösungen verwalten, die mit mehreren Benutzerverzeichnissen verbunden sind. Die meisten Unternehmen verwenden mindestens eine IAM-Lösung für interne Benutzer und eine separate CIAM (Customer Identity and Access Management)-Lösung für Kunden und andere externe Benutzer.

Aber viele Unternehmen arbeiten mit mehr als nur zwei Identitätssystemen. Jede Altlast-App, jeder Cloud-Provider und jedes lokale System verfügte möglicherweise über eine eigene IAM-Lösung und einen eigenen Verzeichnisdienst.

Diese Identitätssilos sorgen für eine uneinheitliche Benutzererfahrung, da jedes System möglicherweise separate Anmeldedaten, Berechtigungsstufen und Sicherheitsmaßnahmen erfordert.

Darüber hinaus bergen getrennte Identitätssysteme erhebliche Sicherheitsrisiken. Benutzeridentitäten sind ein Hauptziel für Cyberangriffe. Der X-Force Threat Intelligence Index berichtet, dass der Diebstahl von Anmeldedaten die häufigste Auswirkung ist, mit der Opfer von Sicherheitsverletzungen konfrontiert sind.

Ohne einen zentralisierten Ansatz kann es schwierig sein, strenge Cybersicherheitsmaßnahmen wie die passwortlose Authentifizierung mit FIDO-Passkeys, risikobasierte Authentifizierung (RBA) und Identitäts-Bedrohungsmanagement in Echtzeit umzusetzen. Einige IAM-Systeme unterstützen möglicherweise nicht einmal alle diese Maßnahmen.  

Eine Identity-Fabric-Lösung bietet eine einheitliche Ebene für die Verwaltung und Sicherung digitaler Identitäten über Anwendungen, Assets und Cloud-Anbieter hinweg. Sie verschafft Unternehmen mehr Transparenz über Benutzerkonten und -aktivitäten und ermöglicht eine konsistentere Kontrolle über die Richtlinien und Prozesse, die Benutzer in allen Systemen, Anwendungen und Plattformen schützen.

Überlegen Sie, wie ein Gesundheitsdienstleister eine Identitätsstrukturarchitektur nutzen könnte, um ein sichereres und effizienteres System für medizinisches Fachpersonal zu schaffen.

Ein typischer Gesundheitsdienstleister ist auf eine Reihe von Technologie-Tools angewiesen – zum Beispiel ein Terminplanungssystem, ein Patientenakten-System, eine Telemedizin-Plattform und ein System zum Austausch von Daten mit anderen Gesundheitsdienstleistern.  

Eine Identitätsstruktur würde es Fachleuten ermöglichen, über eine einzige Identität auf alle diese Systeme zuzugreifen. Dies ist nicht nur bequemer als mehrere Anmeldungen, sondern ermöglicht es dem Unternehmen auch, auf allen Plattformen dieselben Zugriffsebenen und Sicherheitskontrollen durchzusetzen. Beispielsweise könnte ein Arzt auf alle Daten seiner Patienten in jedem System zugreifen – jedoch nicht auf die Daten von Patienten, die nicht zu ihm gehören.  

Die zentralisierte Durchsetzung von Richtlinien trägt dazu bei, die Einhaltung der Datenschutzgesetze sicherzustellen und unbefugten Zugriff zu verhindern, einschließlich Situationen, in denen berechtigte Benutzer über mehr Berechtigungen verfügen, als sie tatsächlich benötigen.

Eine Identitätsstruktur (Identify Fabric) integriert und synchronisiert die vielen unterschiedlichen Identitätsdienste, die im Netzwerk eines Unternehmens vorhanden sind, zu einer einheitlichen IAM-Infrastruktur.

Viele Identitätsstrukturen hängen stark von Anwendungsprogrammierschnittstellen (APIs) ab. APIs ermöglichen es getrennten Systemen, sicher zu kommunizieren, Identitätsdaten auszutauschen und einheitliche Richtlinien zum Identity und Access Management (IAM) durchzusetzen. Einige Stoffe verwenden auch standardisierte Kommunikationsprotokolle wie OAuth oder Security Assertion Markup Language (SAML), um IAM-Systeme zu verbinden.

Es gibt verschiedene Möglichkeiten zur Implementierung einer Identitätsstruktur. Einige Anbieter bieten Identity-Fabric-Plattformen an, die Unternehmen umfassende Funktionen zur Anbindung von Identitätssystemen bieten. Andere Unternehmen verfolgen einen Best-in-Class-Ansatz, indem sie verschiedene Punktlösungen integrieren. Unternehmen mit speziellen Anforderungen können ihre eigenen Identitätsstrukturen mit benutzerdefiniertem Code und APIs aufbauen.

Obwohl die Art und Struktur von Identitätsstrukturen variieren kann, verwenden die meisten Unternehmen eine Kombination dieser Elemente, um ihre Strukturen zu erstellen:

Identity-Orchestration-Software koordiniert unterschiedliche IAM-Systeme, um einheitliche, reibungslose Identitäts-Workflows zu schaffen, die sich über mehrere Systeme erstrecken, wie beispielsweise Benutzeranmeldungen, Onboarding und Kontobereitstellung.

Identity-Orchestration-Plattformen können als zentrale Steuerungsebene für alle Identitätssysteme in einem Netzwerk agieren. Jedes Identitäts-Tool lässt sich in die Orchestrierungsplattform integrieren, wodurch eine einheitliche Struktur entsteht.

Identity-Orchestration-Tools werden häufig verwendet, um Single-Sign-On-Systeme (SSO) zu erstellen, mit denen Benutzer mit einem einzigen Satz von Anmeldedaten auf mehrere Anwendungen zugreifen können.

Lösungen zur Erkennung und Reaktion auf Identitätsbedrohungen (Identity Threat Detection and Response, ITDR) überwachen Systeme, um identitätsbasierte Bedrohungen wie Privilegieneskalation und Kontoübernahme zu erkennen und zu beheben, die zu Datenverletzungen und anderen Problemen führen können. 

Wenn eine ITDR-Lösung potenziell bösartiges Verhalten erkennt, wird dadurch das Sicherheitsteam alarmiert und eine automatisierte Reaktion ausgelöst, beispielsweise die sofortige Sperrung des Kontozugriffs auf sensible Daten.

Veraltete Anwendungen unterstützen nicht immer moderne Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) oder Zero-Trust-Architekturen. Viele Identity-Orchestration-Plattformen und Identity Fabric-Lösungen bieten Low-Code- und No-Code-Tools, um diese Anwendungen auf den neuesten Stand zu bringen. Diese Tools bieten visuelle Drag-and-Drop-Oberflächen für die Konfiguration von Identitäts-Workflows über veraltete Apps. Wenn beispielsweise eine App keine MFA unterstützt, kann ein Identity-Orchestration-Tool diese App mit einer separaten MFA-Lösung verbinden und so einen optimierten Workflow zwischen den beiden Systemen schaffen. 

Die risikobasierte Authentifizierung (RBA), auch als adaptive Authentifizierung bekannt, bewertet in Echtzeit das Risikoniveau jedes Benutzers, der versucht, auf Unternehmensressourcen zuzugreifen. RBA passt die Authentifizierungsanforderungen dynamisch auf der Grundlage dieser Bewertungen an.

RBA bewertet Benutzerverhalten wie Tippraten, Gerätenutzung und physischen Standort, um das Risikoniveau eines Benutzers zu ermitteln. Ein Benutzer, der typisches Verhalten zeigt – Verwendung eines bekannten Geräts, Anmeldung vom selben Standort aus – wird als geringeres Risiko eingestuft. Möglicherweise muss er nur ein Passwort eingeben, um seine Identität zu bestätigen.

Alternativ kann ein Benutzer, der sich von einem unbekannten Gerät oder einem neuen Standort aus anmeldet, ein höheres Risiko darstellen. Das RBA-System kann den Benutzer zusätzlichen Zugriffskontrollmaßnahmen unterziehen, beispielsweise einem Fingerabdruck-Scan.

Verzeichnisdienste sind Repositorys, in denen Informationen über die Benutzer von Systemen und Anwendungen gespeichert und verwaltet werden. Durch die Synchronisierung von Verzeichnisdiensten in der gesamten IT-Umgebung eines Unternehmens erhält das Unternehmen eine einheitliche, verbindliche Übersicht über alle Benutzer. Dadurch kann das Unternehmen einheitliche Identitätssicherheitsrichtlinien für alle Benutzer in allen Systemen anwenden, anstatt separate Richtlinien für jedes Verzeichnis zu benötigen. 

Tools für Identity Governance und -Administration (IGA) helfen bei der Verwaltung von Benutzeridentitäten während ihres gesamten Lebenszyklus, vom Onboarding bis hin zur Deprovisionierung und zum Offboarding. Ziel des IGA ist es, sicherzustellen, dass Zugriffsrichtlinien und Benutzeraktivitäten Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) und dem Health Insurance Portability and Accountability Act (HIPAA) entsprechen.

IGA-Tools helfen bei der Automatisierung und Rationalisierung von Aktivitäten wie der Benutzerbereitstellung, der Implementierung von Zugriffsrichtlinien und der Überprüfung von Zugriffsrechten. 

Tools zum Privileged Access Management (PAM) regeln und schützen privilegierte Konten (z. B. Administratorkonten) und privilegierte Aktivitäten (z. B. die Arbeit mit sensiblen Daten).

Privilegierte Konten erfordern einen stärkeren Schutz als Standardkonten, da sie für Hacker besonders wertvoll sind und von ihnen für schwerwiegende Schäden genutzt werden können. PAM setzt fortschrittliche Sicherheitsmaßnahmen – wie Credential Vaulting und Just-in-Time-Zugriff – durch, um streng zu kontrollieren, wie Benutzer erweiterte Berechtigungen erhalten und was sie damit tun.

Fragmentierte IAM-Systeme und Benutzerverzeichnisse können Identitätssilos schaffen, sodass Unternehmen unterschiedliche Identitäten und Zugriffskontrollen für jedes einzelne System verwalten müssen. Die Implementierung einer Identitätsstruktur kann dazu beitragen, diese Silos abzubauen und das Identity und Access Management (IAM) zu optimieren. 

Eine Identity-Fabric-Architektur vereint getrennte Identitätsdienste und schafft eine einzige digitale Identität für jeden Benutzer. Dadurch kann das Unternehmen einheitliche Berechtigungen und Richtlinien festlegen und anwenden, die für jeden Benutzerzugriff auf Cloud-Umgebungen, Altsysteme und Anwendungen gelten. Dies trägt zu einer konsistenten Benutzererfahrung bei, unabhängig von der Anwendung oder dem System, auf das der Benutzer zugreift.

Identitätsstrukturen unterstützen auch die Skalierbarkeit des Systems. Unternehmen müssen sich keine Sorgen darüber machen, ob die Einführung neuer Tools oder Assets in ein Netzwerk ihre Identitätssysteme stören könnte. Jede neue Ressource wird in dieselbe Struktur integriert.

Unternehmen nutzen häufig eine Identitätsstruktur als zentralen Kontrollpunkt für die Implementierung der neuesten Cybersicherheitstechnologien und -praktiken. Beispielsweise könnte ein Unternehmen eine Multi-Faktor-Authentifizierung (MFA) oder einen Zero-Trust-Ansatz einführen, bei dem keinem Benutzer von vornherein Vertrauen entgegengebracht wird.

Angesichts eines fragmentierten Systems aus mehreren IAM-Lösungen und Benutzerverzeichnissen wäre es für das Unternehmen schwierig, diese Cybersicherheitsmaßnahmen konsistent umzusetzen. Mit einer Identity Fabric erhält das Unternehmen jedoch eine einheitliche Übersicht und Kontrolle über die Identitätssicherheitsrichtlinien. Es kann den sicheren Zugriff auf Ressourcen zentral durchsetzen und das Benutzerverhalten systemübergreifend verfolgen und analysieren, um potenzielle Bedrohungen zu erkennen. 

Unternehmen nutzen häufig eine zentralisierte Identitätsstruktur, um Datenschutz und Compliance-Initiativen zu vereinfachen. Sie können Zugriffsrichtlinien für sensible Daten basierend auf Benutzerrollen anwenden, verfolgen, was Benutzer mit diesen Daten tun, und sicherstellen, dass das Prinzip der geringsten Berechtigungen eingehalten wird.

Durch die Verwaltung digitaler Identitäten mit einem einheitlichen System können Unternehmen Compliance-Standards durchsetzen und Benutzeraktivitäten über alle Systeme und Anwendungen hinweg gleichzeitig protokollieren. Diese Funktion erleichtert die Bereitstellung von Prüfpfaden und Compliance-Berichten für Aufsichtsbehörden.