Was ist Identity und Access Management?

Die Aufgabe von IAM ist es, einerseits Hacker aufzuhalten und andererseits autorisierten Benutzern die Möglichkeit zu geben, alles Erforderliche, aber nicht mehr als das Erlaubte zu tun. IAM-Implementierungen arbeiten mit einer Vielzahl von Tools und Strategien, um dieses Ziel zu erreichen, aber sie folgen in der Regel alle der gleichen Grundstruktur.

Ein typisches IAM-System besitzt eine Datenbank oder ein Verzeichnis von Benutzern. Diese Datenbank enthält Angaben darüber, wer die jeweiligen Benutzer sind und was sie in einem Computersystem tun dürfen. Während der Interaktion eines Benutzers mit dem System greift das IAM auf die Datenbank zurück, um seine Identität zu überprüfen, seine Aktivitäten zu überwachen und sicherzustellen, dass er nur das tut, was laut Datenbank erlaubt ist.

Um die Funktionsweise des IAM besser zu verstehen, kann man sich die vier Kernkomponenten von IAM-Initiativen ansehen: Identity Lifecycle Management, Zugriffskontrolle, Authentifizierung und Autorisierung sowie Identitätsgovernance.

Das Identity Lifecycle Management umfasst die Erstellung und Pflege digitaler Benutzeridentitäten für jeden menschlichen und nicht menschlichen Benutzer in einem System.

Um die Benutzeraktivität zu überwachen und maßgeschneiderte Berechtigungen zu erteilen, muss zwischen den einzelnen Benutzern unterschieden werden. Beim IAM wird dazu jedem Benutzer eine digitale Identität zugewiesen. Eine digitale Identität ist eine Sammlung von Unterscheidungsmerkmalen, die dem System mitteilen, wer oder was der jeweilige Benutzer ist. Identitäten umfassen häufig Merkmale wie den Namen eines Benutzers, Anmeldedaten, ID-Nummer, Berufsbezeichnung und Zugriffsrechte.

Digitale Identitäten werden in der Regel in zentralen Datenbanken oder Verzeichnissen gespeichert, die als zuverlässige Informationsquelle dienen. Mit den Informationen in dieser Datenbank kann das IAM-System Benutzer validieren und festlegen, was sie tun dürfen und was nicht.

Bei manchen IAM-Initiativen kümmern sich IT- oder Cybersicherheitsteams manuell um das Onboarding von Benutzern, die Aktualisierung von Identitäten im Laufe der Zeit und das Offboarding oder die Aufhebung der Zugriffsrechte von Benutzern, die das System verlassen. Einige IAM-Tools ermöglichen einen Self-Service-Ansatz. Benutzer stellen ihre Informationen bereit, woraufhin das System automatisch ihre Identität erstellt und die entsprechenden Zugriffsebenen festlegt.

Mit eindeutigen digitalen Identitäten können nicht nur Benutzer nachverfolgt, sondern auch detailliertere Zugriffsrichtlinien festgelegt und durchgesetzt werden. IAM ermöglicht die Erteilung unterschiedlicher Systemberechtigungen an verschiedene Benutzer, anstatt jedem dieselben Privilegien zu gewähren.

Heutzutage verwenden viele IAM-Systeme eine rollenbasierte Zugriffskontrolle (RBAC). Dabei basieren die Berechtigungen jedes Benutzers auf seiner Funktion und seinem Zuständigkeitsniveau. Mit RBAC lässt sich das Festlegen von Benutzerberechtigungen optimieren und das Risiko minimieren, dass Benutzer mehr Berechtigungen als nötig erhalten.

Angenommen, ein Unternehmen legt Berechtigungen für eine Netzwerk-Firewall fest. Ein Vertriebsmitarbeiter hätte wahrscheinlich überhaupt keinen Zugriff auf die Einstellungen, da die Firewall für seine Arbeit nicht erforderlich ist. Eine Junior-Sicherheitsanalystin kann möglicherweise Firewall-Konfigurationen anzeigen, aber nicht ändern. Der Sicherheitsvorstand (CISO) hätte uneingeschränkten administrativen Zugriff. Eine API, die das SIEM des Unternehmens in die Firewall integriert, kann möglicherweise die Aktivitätsprotokolle der Firewall lesen, aber sonst nichts sehen.

Als zusätzliche Sicherheit können IAM-Systeme auch das Prinzip der minimalen Rechtevergabe auf die Zugriffsberechtigungen der Benutzer anwenden. Dieses Prinzip ist oft Teil einer Zero-Trust-Cybersicherheitsstrategie und besagt, dass Benutzer nur die minimal nötigen Berechtigungen zum Ausführen einer Aufgabe erhalten und ihnen die Berechtigungen nach Erledigung der Aufgabe entzogen werden.

Im Einklang mit dem Prinzip der minimalen Rechtevergabe verfügen viele IAM-Systeme über unterschiedliche Methoden und Technologien für das Privileged Access Management (PAM). Dies ist ein Bereich der Cybersicherheit, der die Sicherheit und Zugriffskontrolle für hoch privilegierte Benutzerkonten wie Systemadministratoren überwacht.

Privilegierte Konten werden gewissenhafter als andere IAM-Rollen behandelt, da Hacker mit diesen Zugangsdaten tun können, was sie wollen. PAM-Tools isolieren privilegierte Identitäten von den anderen und sorgen mit Vaults für Zugangsdaten und Just-in-Time-Zugriffsprotokollen für zusätzliche Sicherheit.

Informationen über die Zugriffsrechte jedes Benutzers werden in der Regel in der zentralen Datenbank des IAM-Systems als Teil der digitalen Identität des Benutzers gespeichert. Mit diesen Informationen setzt das IAM-System die unterschiedlichen Berechtigungsstufen der jeweiligen Benutzer durch.

Sobald ein Benutzer authentifiziert wurde, prüft das IAM-System die Berechtigungen bezüglich seiner digitalen Identität in der Datenbank. Das IAM-System autorisiert den Benutzer, nur auf die Ressourcen zuzugreifen und die Aufgaben auszuführen, die seine Berechtigungen zulassen.

Identitätsgovernance ist der Prozess, der den Umgang des Benutzers mit Zugriffsrechten mitverfolgt. IAM-Systeme überwachen Benutzer, damit sie ihre Privilegien nicht missbrauchen. Außerdem können sie Hacker ausfindig machen, die sich möglicherweise in das Netzwerk eingeschlichen haben.

Identitätsgovernance ist zur Einhaltung gesetzlicher Vorschriften wichtig. Unternehmen gestalten ihre Zugriffsrichtlinien in der Regel so, dass sie Sicherheitsvorschriften wie die Datenschutz-Grundverordnung (DSGVO) oder den Datensicherheitsstandard der Zahlungskartenindustrie (Payment Card Industry Data Security Standard, PCI-DSS) erfüllen. Durch die Nachverfolgung der Benutzeraktivitäten können Unternehmen mit IAM-Systemen sicherstellen, dass Richtlinien wie vorgesehen funktionieren. IAM-Systeme können auch Prüfprotokolle erstellen, um bei Bedarf die Einhaltung von Vorschriften nachzuweisen oder Verstöße zu ermitteln.

Viele wichtige IAM-Workflows, wie die Authentifizierung von Benutzern und die Nachverfolgung ihrer Aktivitäten, sind manuell nur schwer oder gar nicht durchführbar. Stattdessen sind Unternehmen auf technische Hilfsmittel zur Automatisierung von IAM-Prozessen angewiesen.

Früher wurden für die verschiedenen Bereiche des IAM Einzellösungen verwendet, z. B. eine für die Benutzerauthentifizierung, eine andere für die Durchsetzung von Zugriffsrichtlinien und eine dritte für die Prüfung der Benutzeraktivitäten.

Heutzutage sind viele IAM-Lösungen umfassende Plattformen, die entweder alles können oder mehrere Tools zu einer Einheit integrieren. Obwohl es bei IAM-Plattformen viele Unterschiede gibt, weisen sie in der Regel gemeinsame Kernfunktionen auf, wie:

• zentralisierte Verzeichnisse oder Integration in externe Verzeichnisdienste wie Microsoft Active Directory und Google Workspace
  
• automatisierte Workflows zum Erstellen, Aktualisieren und Entfernen von digitalen Identitäten
  
• die Fähigkeit, ein netzwerkweites, produktunabhängiges Identitätsgefüge zu schaffen, um Identität und Zugriff für alle Anwendungen und Ressourcen – einschließlich älterer Anwendungen – über ein einziges, autorisierendes Verzeichnis zu verwalten
  
  
• integrierte Authentifizierungsoptionen wie MFA, SSO und adaptive Authentifizierung
  
  
• Zugriffskontrollfunktionen, um detaillierte Zugriffsrichtlinien zu definieren und auf Benutzer auf allen Ebenen, einschließlich privilegierter Konten, anzuwenden
  
  
• Tracking-Funktionen zur Überwachung von Benutzern, zur Meldung verdächtiger Aktivitäten und zur Gewährleistung der Compliance
  
  
• Funktionen zum Identity und Access Management für Kunden (CIAM), die das Identity Lifecycle Management, Authentifizierungs- und Autorisierungsmaßnahmen auf digitale Portale für Kunden, Partner und andere Benutzer außerhalb des Unternehmens ausweiten

Manche IAM-Lösungen sind für bestimmte Ökosysteme konzipiert. Zum Beispiel kontrollieren die IAM-Plattformen von Amazon Web Services (AWS) und Google Cloud den Zugriff auf Ressourcen, die in den jeweiligen Clouds gehostet werden.

Andere IAM-Lösungen – wie die von Microsoft, IBM, Oracle und anderen – sind für alle Ressourcen in einem Unternehmensnetzwerk gedacht, unabhängig davon, wo sie gehostet werden. Diese IAM-Lösungen können als Identitätsanbieter für alle Arten von Diensten fungieren und mit offenen Standards wie SAML und OpenID Connect (OIDC) verschiedene Authentifizierungsinformationen zu Benutzern zwischen Anwendungen austauschen.

Immer häufiger wird das Identity und Access Management nicht mehr lokal installiert, sondern als Software-as-a-Service (SaaS) ausgeführt. Diese cloudbasierten IAM-Lösungen nennt man auch „Identity-as-a-Service“ (IDaaS) oder „Authentication-as-a-Service“ (AaaS). Sie bieten einige Funktionen, die bei lokalen Tools möglicherweise fehlen.

IDaaS-Tools können in komplexen Unternehmensnetzwerken nützlich sein, in denen sich geografisch verteilte Benutzer von verschiedenen Geräten (Windows, Mac, Linux und Mobilgeräte) aus anmelden, um auf lokal oder in Private bzw. Public Clouds installierte Ressourcen zuzugreifen. Ein lokales IAM-Tool kann möglicherweise nicht ohne Weiteres so viele verschiedene Benutzer und Ressourcen an unterschiedlichen Standorten unterstützen, wohingegen die meisten IDaaS-Lösungen dazu in der Lage sind.

IDaaS kann auch dabei helfen, IAM-Services auf Auftragnehmer, Kunden und andere Nicht-Mitarbeiter auszuweiten. Das vereinfacht IAM-Implementierungen, da nicht für verschiedene Benutzer unterschiedliche Systeme verwendet werden müssen.

Mithilfe von IDaaS-Tools können auch einige der zeit- und ressourcenintensiveren Aspekte des IAM ausgelagert werden, etwa das Erstellen neuer Benutzerkonten sowie die Authentifizierung von Zugriffsanforderungen und die Identitätsverwaltung.

IAM-Initiativen können bei der Erfüllung zahlreicher Anwendungsfälle in den Bereichen Cybersicherheit, Geschäftsbetrieb und mehr hilfreich sein.