Was ist Identity Governance and Administration (IGA)?

Da Unternehmen Tausende von Benutzerkonten über lokale Systeme, Cloud-Services und Software-as-a-Service-Anwendungen (SaaS) verwalten, wird es immer komplexer, nachzuverfolgen, wer Zugriff auf welche Daten hat.

Jede digitale Identität – egal, ob sie einen Benutzer, ein Gerät oder eine Anwendung repräsentiert – ist ein potenzieller Zugriffspunkt auf kritische Systeme und sensible Daten. Ohne eine ordnungsgemäße Governance bringt dieses weitläufige Ökosystem erhebliche Sicherheitsrisiken und Compliance-Herausforderungen mit sich.

Laut dem IBM® Cost of a Data Breach Report sind gestohlene oder kompromittierte Zugangsdaten der häufigste anfängliche Angriffsvektor, der für 16 % der Datenschutzverletzungen verantwortlich ist. Wenn Hacker an legitimierte Zugangsdaten gelangen, können sie sich frei in Netzwerken bewegen und auf sensible Daten und Systeme zugreifen.

Identitätsmanagement- und -verwaltungslösungen schützen vor identitätsbasierten Angriffen und verhindern potenzielle Datenverletzungen.

IGA-Tools können die Benutzerbereitstellung automatisieren, Zugriffsrichtlinien implementieren und regelmäßige Zugriffsüberprüfungen während des gesamten Identitätslebenszyklus durchführen, vom Onboarding bis zum Entzug der Berechtigungen beim Offboarding. Diese Funktionen bieten Unternehmen mehr Kontrolle über Benutzerberechtigungen und -aktivitäten, wodurch der Missbrauch von Berechtigungen leichter erkannt und unterbunden werden kann.

IGA-Lösungen tragen auch dazu bei, die kontinuierliche Einhaltung gesetzlicher Vorschriften wie der Datenschutz-Grundverordnung (DSGVO), dem Health Insurance Portability and Accountability Act (HIPAA) und dem Sarbanes-Oxley (SOX) Act zu gewährleisten. IGA hilft sicherzustellen, dass der Zugriff auf sensible Systeme und Daten korrekt zugewiesen und regelmäßig reviews wird, und generiert gleichzeitig Prüfprotokolle zur Unterstützung interner und externer Audits.

IGA und Identity und Access Management (IAM) sind verwandte, aber unterschiedliche Frameworks innerhalb der Identitätssicherheit. IAM befasst sich damit, wie Nutzer auf digitale Ressourcen zugreifen, während IGA dazu beiträgt, dass die Menschen ihren Zugang angemessen nutzen. 

IAM kümmert sich um die operativen Aspekte der Identitätssicherheit, wie z. B. Passwortverwaltung, Authentifizierung, Autorisierung des täglichen Zugriffs und Verwaltung von Konten. IGA erweitert IAM um Governance-Funktionen, einschließlich Aufsicht, Richtliniendurchsetzung und Compliance-Funktionen.

Man kann Denken von IAM und IGA als die Beantwortung einer Reihe ergänzender Fragen vorstellen:

• IAM: Wie greifen Benutzer auf Ressourcen zu und was können sie mit diesen Ressourcen tun?

• IGA: Sollten Benutzer diesen Zugriff haben, und können wir nachweisen, dass unsere Kontrollen die Complianceanforderungen erfüllen?

In der Praxis implementieren Unternehmen IAM- und IGA-Tools gemeinsam. Wenn beispielsweise ein Finanzanalyst ins Marketing wechselt, kümmert sich IAM um die technischen Aspekte der Änderung der Zugriffsberechtigungen, während IGA dazu beiträgt, dass diese Änderungen mit den Unternehmensrichtlinien übereinstimmen.

IGA-Lösungen wurden entwickelt, um Unternehmen dabei zu helfen, die zunehmende Komplexität ihrer IT-Umgebungen, die sich verändernde Geschäftswelt und die sich entwickelnden Compliance-Anforderungen zu bewältigen.

Unternehmensnetzwerke umfassen heute lokale Systeme, private und Cloud-Provider, Remote-Workstations und zahlreiche SaaS-Anwendungen. Diese Komplexität macht eine manuelle Identitätsverwaltung nahezu unmöglich und erhöht die Sicherheitsrisiken.

IGA-Lösungen helfen bei der Adresse komplexer IT-Umgebungen durch zentrale Transparenz, Konnektoren, die verteilte Systeme verbinden, und Automatisierung von Kern-Workflows.

Viele Identitäts-Governance-Lösungen bieten einheitliche Dashboards und Verwaltungskonsolen, die einen zentralen Einblick und Kontrolle in verschiedenen Umgebungen ermöglichen.

Beispielsweise verwenden Unternehmen häufig IGA-Tools, um alle Benutzerberechtigungen für Cloud-Services, lokale Systeme und Anwendungen von Drittanbietern über eine einzige Schnittstelle anzuzeigen. Dies trägt dazu bei, dass Unternehmen konsistente Zugriffsrichtlinien beibehalten können, unabhängig davon, wo Anwendungen gehostet werden.

IGA-Lösungen umfassen Konnektoren, vorgefertigte Schnittstellen, die Anwendungen und Plattformen innerhalb des Technologie-Stacks eines Unternehmens verbinden, um eine einheitliche Identitätsverwaltung zu ermöglichen. Konnektoren helfen bei der Synchronisierung von Benutzerdaten, der Konvertierung von Zugriffsrichtlinien zwischen Systemen und der Aufrechterhaltung konsistenter Kontrollen für zuvor isolierte Anwendungen.

Beispielsweise kann ein Finanzdienstleistungsunternehmen Konnektoren verwenden, um sein Kernbankensystem, seine Kundenbeziehungsmanagement (CRM)-Plattform und seine HR-Datenbank mit einem zentralen IGA-Tool zu integrieren. Diese Integration erleichtert die systemübergreifende Anpassung der Zugriffsrechte, wenn sich die Rolle eines Mitarbeiters ändert.

IGA-Lösungen nutzen Automatisierung, um die Identitätsverwaltung Workflows zu optimieren, zeitaufwändige manuelle Prozesse zu eliminieren und die Anzahl der Helpdesk-Tickets zu reduzieren, die IT-Teams bearbeiten müssen. IGA-Tools unterstützen üblicherweise:

• Self-Service-Zugriffsanfragen, mit denen Benutzer über intuitive Portale den Zugriff auf vertrauliche Daten und Systeme anfordern können.
  
  
• Automatisierte Provisionierungs-Workflows, wodurch manuelle Prozesse für Routine-Workflows wie die Erstellung von Konten, die Zuweisung von Berechtigungen und Zugriffs-Reviews entfallen.
  
  
• Rollenoptimierung, Vorschläge zur Verbesserung von Rollendefinitionen und Standardzugriffsrechten auf Grundlage der tatsächlichen Nutzung der Berechtigungen durch die Benutzer.

Ohne eine IGA-Lösung müssen IT-Mitarbeiter beim Onboarding neuer Mitarbeiter manuell Benutzerkonten in mehreren Systemen erstellen. IGA-Tools können diesen Prozess optimieren, indem sie automatisch Konten auf allen erforderlichen Systemen in Echtzeit bereitstellen, basierend auf der Rolle des Benutzers.

Cyberangriffe haben sich weiterentwickelt, wobei Bedrohungsakteure zunehmend auf Identitäten statt auf die Netzwerkinfrastruktur abzielen. Traditionelle perimeterbasierte Sicherheit reicht nicht mehr aus, wenn Benutzer von überall und mit jedem Gerät auf Unternehmensressourcen zugreifen können.

Laut dem IBM X-Force® Threat Intelligence Index ist der Missbrauch gültiger Konten eine der häufigsten Methoden, mit denen Hacker in Unternehmensnetzwerke eindringen. 30 % der Cyberangriffe sind darauf zurückzuführen.

IGA-Lösungen können dazu beitragen, die Angriffsfläche zu verringern und Schäden zu begrenzen, indem sie das Prinzip der minimalen Rechtevergabe durchsetzen. Das heißt, Benutzer haben nur den Zugriff, der für ihre Arbeit notwendig ist – nicht mehr und nicht weniger.

IGA-Lösungen können auch auf andere Weise zur Verbesserung des Sicherheitsstatus eines Unternehmens beitragen:

• Automatisierte Deprovisionierung und Richtliniendurchsetzung: Sofortiges Entfernen des Zugriffs, wenn Benutzer das Unternehmen verlassen oder gegen Sicherheitsrichtlinien verstoßen.
  
  
• Regelmäßige Zugriffsüberprüfungen: Identifizieren und Widerrufen übermäßiger Berechtigungen, z. B. wenn festgestellt wird, dass Entwickler nach Projektabschluss weiterhin Administratorzugriff auf Produktionssysteme haben.
  
  
• Zero-Trust-Implementierung: Unterstützung von Zero-Trust-Architekturen, indem sichergestellt wird, dass Benutzer nur den Zugriff haben, den sie für ihre Rollen benötigen.
  
  
• Zugriffsrisiko-Dashboards: Visualisierung potenzieller Sicherheitslücken zur Verbesserung der Entscheidungsfindung, z. B. durch Highlighting, wenn ein Benutzer außerhalb der normalen Geschäftszeiten auf sensible Finanzdaten zugreift.

Um privilegierte Konten mit erhöhten Zugriffsrechten, die einem hohen Risiko ausgesetzt sind, zusätzlich zu schützen, integrieren Unternehmen häufig IGA in Tools für die Verwaltung privilegierter Zugriffe (Privileged Access Management, PAM), die speziell auf die Sicherung privilegierter Konten wie Administratorkonten ausgerichtet sind.

Einige IGA-Lösungen bieten auch Funktionen zur Erkennung und Sanierung von Bedrohungen in Echtzeit, um Compliance-Verstöße und Datenschutzverletzungen zu verhindern.

Compliance-Anforderungen wie DSGVO, HIPAA, SOX und andere Vorschriften legen Regeln dafür fest, wie Unternehmen mit Daten umgehen. Bei Nichteinhaltung können hohe Strafen verhängt werden. So können beispielsweise Verstöße gegen die DSGVO zu Bußgeldern von bis zu 22 Millionen USD oder 4 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist.

IGA-Lösungen bieten Kontrollen und Dokumentationen, mit denen Unternehmen die Compliance optimieren können:

• Automatisierte Durchsetzung von Richtlinien: Sicherstellen, dass Zugriffsberechtigungen und Autorisierungen den gesetzlichen Anforderungen entsprechen.
  
  
• Umfassende Prüfpfade: Aufzeichnung aller zugriffsbezogenen Aktivitäten als Compliance-Nachweis für Audits.
  
  
• Regelmäßige Zugriffszertifizierungen: Überprüfung der Benutzerzugriffsrechte, um sicherzustellen, dass diese weiterhin für die Rolle und Aufgaben jedes Benutzers angemessen festgelegt sind.
  
  
• Compliance-Dashboards: Bietet Echtzeit-Einblick in den Compliance-Status von Benutzerkonten.

Ein Gesundheitsdienstleister kann beispielsweise IGA-Tools einsetzen, um die Einhaltung der HIPAA-Vorschriften durchzusetzen, indem er den Zugriff auf Patientenakten auf der Grundlage der beruflichen Zuständigkeiten einschränkt und detaillierte Protokolle darüber führt, wer auf die Akten zugreift.

IGA-Tools und -Verfahren konzentrieren sich auf die Verwaltung digitaler Identitäten und Zugriffsberechtigungen während des gesamten Benutzerlebenszyklus, vom Onboarding bis zum Offboarding.

Die beiden Hauptkomponenten von IGA umfassen Identitätslebenszyklusmanagement und Zugriffsverwaltung.

Identity Lifecycle Management umfasst die Erstellung, Änderung und Deaktivierung von Benutzeridentitäten, wenn Mitarbeiter in ein Unternehmen eintreten, innerhalb des Unternehmens wechseln oder das Unternehmen verlassen. Es kann sichergestellt werden, dass neue Benutzer vom ersten Tag an über die entsprechenden Zugriffsrechte verfügen und dass diese bei ihrem Ausscheiden umgehend entzogen werden.

Wenn ein Mitarbeiter die Position wechselt, können IGA-Tools automatisch veraltete Berechtigungen widerrufen und neue Berechtigungen entsprechend den aktualisierten Aufgaben zuweisen. 

Zu den wichtigsten Prozessen des Identitätslebenszyklusmanagements gehören:

• Onboarding: Bereitstellung von Benutzerkonten und Erstzugang.
  
  
• Attributänderungen: Aktualisierung der Zugriffsrechte bei Änderung von Benutzerattributen wie Sicherheitsfreigabe, Abteilung oder Projektzuweisung.
  
  
• Offboarding: Zugriffsrechte entziehen, wenn Benutzer das Unternehmen verlassen.

Die Zugriffsverwaltung überwacht, wer Zugriff auf welche Ressourcen hat, und trägt dazu bei, dass dieser Zugriff auch langfristig angemessen bleibt. Es bietet die Überwachungsebene für die Identitätsverwaltung und konzentriert sich dabei auf die Durchsetzung von Richtlinien, Zugriffsüberprüfungen und Compliance.

Zu den wichtigsten Funktionen für die Zugriffssteuerung gehören:

• Rollenbasierte Zugriffskontrolle (RBAC)
• Durchsetzung der Aufgabentrennung (SoD)
• Zugriff auf Zertifizierungen und Überprüfungen
• Verwaltung von Berechtigungen

Rollenbasierte Zugriffskontrolle (RBAC) weist Benutzern Berechtigungen auf der Grundlage ihrer Rollen in der Organisation zu, anstatt jedem Benutzer einzelne Berechtigungen zuzuweisen. Beispielsweise könnte eine Rolle im Finanzwesen einen Benutzer autorisieren, Einkäufe zu tätigen, während eine Rolle in der Personalabteilung einen Benutzer berechtigt, Personaldateien einzusehen.

Die Rollenverwaltungsfunktionen in IGA-Lösungen helfen Unternehmen dabei, Rollen zu definieren, zu verwalten und langfristig aufrechtzuerhalten.

Mit RBAC können IGA-Lösungen den Zugriff für Tausende von Benutzern verwalten, ohne dass einzelne Berechtigungen einzeln zugewiesen werden müssen. Wenn ein Mitarbeiter neu eingestellt wird, die Abteilung wechselt oder das Unternehmen verlässt, können Administratoren einfach standardisierte Rollen zuweisen oder entfernen, anstatt Dutzende von separaten Systemberechtigungen neu konfigurieren zu müssen.

Die Aufgabentrennung (Separation of Duties, SoD), auch als Funktionstrennung bezeichnet, ist ein Sicherheitsprinzip, das Interessenkonflikte verhindert, indem es sicherstellt, dass keine einzelne Person über übermäßige Zugriffsrechte verfügt.

IGA-Lösungen helfen bei der Durchsetzung der SoD, indem sie Kombinationen von Berechtigungen identifizieren und verhindern, die zu Betrug oder Missbrauch führen können.

In einem Beschaffungsprozess sollte beispielsweise dieselbe Person nicht sowohl einen neuen Lieferanten zum System hinzufügen als auch Zahlungen an diesen Lieferanten genehmigen können. Eine IGA-Lösung kann diese Vereinbarung als SoD-Verstoß kennzeichnen und entweder vollständig blockieren oder zusätzliche Genehmigungen verlangen.

Die Zugriffszertifizierung umfasst die regelmäßige Überprüfung der Zugriffsrechte von Benutzern, um sicherzustellen, dass diese im Laufe der Zeit angemessen bleiben. Bei diesen Überprüfungen bestätigen in der Regel Manager oder Ressourcenverantwortliche, dass Teammitglieder ihre aktuellen Zugriffsrechte weiterhin benötigen.

IGA-Lösungen können dabei helfen, Zugriffsüberprüfungen zu optimieren, indem sie regelmäßig automatisch Überprüfungen initiieren. Zugriffsrechte mit hohem Risiko – wie der Zugriff auf Finanzsysteme – werden möglicherweise häufiger überprüft als Berechtigungen mit einem geringeren Risiko.

Einige IGA-Lösungen können auch Empfehlungen für Zugriffsänderungen auf der Grundlage von Nutzungsmustern geben, z. B. indem sie nicht genutzte Berechtigungen markieren, die ein Benutzer möglicherweise nicht benötigt.

Die Berechtigungsverwaltung ist die detailliertere Komponente der Zugriffsverwaltung und konzentriert sich auf die Berechtigungen, über die Benutzer innerhalb von Systemen verfügen. Anders ausgedrückt: Die Zugriffsverwaltung regelt, worauf Benutzer zugreifen können, während die Berechtigungsverwaltung regelt, was Benutzer mit diesem Zugriff tun können.

In einem Buchhaltungssystem würde die Berechtigungsverwaltung beispielsweise detaillierte Kontrollen durchführen, z. B. welche Benutzer Finanzdaten einsehen, bearbeiten oder löschen dürfen.

Weitere Funktionen zur Verwaltung von Berechtigungen umfassen:

• Katalogisierung von Berechtigungen: Pflegen eines Bestands von Benutzerberechtigungen.
  
  
• Bewertung des Zugriffsrisikos: Bewertung des Risikos, das mit bestimmten Berechtigungen verbunden ist, z. B. der Möglichkeit, die Kreditlimits der Kunden zu ändern.
  
  
• Richtlinienbasierte Kontrollen: Durchsetzung von Sicherheitsrichtlinien bei Zugriffsanfragen zur Einhaltung des Prinzips der minimalen Rechtevergabe, z. B. die Zustimmung eines Vorgesetzten für den Zugriff auf sensible Finanzdaten.
  
  
• Zugriffsanalyse: Bereitstellung von Erkenntnissen in Zugriffsmustern, um Unternehmen dabei zu helfen, potenzielle Sicherheitsrisiken proaktiv anzugehen, z. B. indem sie erkennen, wenn Benutzer übermäßige Berechtigungen für kritische Systeme haben.

Fortschritte in der künstlichen Intelligenz (KI) bringen sowohl neue Herausforderungen als auch neue Chancen für IGA mit sich.

Bedrohungsakteure nutzen neue generative KI-Tools, um IGA-Workflows und -Kontrollen gezielt einzusetzen. Durch den Einsatz von KI zur Erzeugung von Deepfakes und überzeugenden Phishing-Nachrichten können Angreifer beispielsweise legitime Benutzer dazu verleiten, ihre Anmeldedaten preiszugeben. Erfahrenere Akteure könnten sogar Tools für maschinelles Lernen (ML) verwenden, um Genehmigungsstrukturen zu analysieren und Möglichkeiten zur Umgehung von Richtlinien zu identifizieren, um die IGA-Kontrollen zu umgehen.  

Gleichzeitig nutzen Anbieter KI, um ihre IGA-Lösungen von statischen Compliance-Kontrollpunkten in adaptive Risikomanagementsysteme umzuwandeln. Einige Beispiele dafür, wie IGA-Lösungen KI nutzen, sind:

• Intelligente Zugriffsempfehlungen: Einsatz von ML-Tools zur Analyse von Benutzerrollen, Jobfunktionen und Peer-Gruppen, um automatisch geeignete Berechtigungen bei Onboarding und Versetzungen vorzuschlagen und so die traditionellen RBAC-Prozesse zu verbessern.
  
  
• KI-gestützte Erkennung: Ermittlung grundlegender Benutzerverhaltensmuster durch KI-Algorithmen, um verdächtige Aktivitäten automatisch zu kennzeichnen, die Standard-IGA-Kontrollen möglicherweise übersehen.
  
  
• KI-gestützte Überprüfungen: Bewertung und Einstufung von Berechtigungen anhand von Berechtigungsstufen, Nutzung und SoD-Auswirkungen, damit IGA-Systeme risikoreiche Zugriffe für die manuelle Überprüfung priorisieren und Entscheidungen mit geringem Risiko automatisieren können.