Was ist Identity und Access Management (IAM)?

Mit dem Aufkommen von Cloud Computing, Remote-Arbeit und generativer KI ist IAM zu einer Kernkomponente der Netzwerksicherheit geworden.

Das durchschnittliche Unternehmensnetzwerk beherbergt heute eine wachsende Anzahl menschlicher Nutzer (Mitarbeiter, Kunden, Auftragnehmer) und nichtmenschlicher Nutzer (KI-Agenten, IoT und Endgeräte, automatisierte Workloads). Diese Benutzer sind an verschiedenen Standorten verteilt und benötigen sicheren Zugriff auf lokale und cloudbasierte Apps und Ressourcen.

Hacker sind auf diese wachsende Identitätsangriffsfläche aufmerksam geworden. Laut dem IBM® X-Force Threat Intelligence Index betreffen 30 % der Cyberangriffe den Diebstahl und Missbrauch gültiger Konten.

Identitäts- und Zugriffsmanagement kann dazu beitragen, autorisierten Benutzern einen sicheren Zugriff zu ermöglichen und gleichzeitig unbefugten Zugriff durch externe Angreifer, böswillige Insider und sogar gutgläubige Benutzer, die ihre Zugriffsrechte missbrauchen, zu verhindern. Mit IAM-Tools können Unternehmen digitale Identitäten erstellen und sicher löschen, Zugriffskontrollrichtlinien festlegen und durchsetzen, Benutzer überprüfen und Benutzeraktivitäten überwachen. 

Das Ziel von IAM ist es, einerseits Hacker aufzuhalten und andererseits autorisierten Benutzern die Möglichkeit zu geben, alles Erforderliche, aber nicht mehr als das Erlaubte zu tun.

Zu diesem Zweck basieren IAM-Implementierungen auf vier Säulen:

• Verwaltung
• Authentifizierung
• Autorisierung
• Prüfung

Identitätsverwaltung – auch als „Identitätsmanagement“ oder „Identitätslebenszyklus-Management“ bezeichnet – ist der Prozess der Erstellung, Verwaltung und sicheren Entsorgung von Benutzeridentitäten in einem System.

Um einen sicheren Benutzerzugriff zu ermöglichen, müssen Unternehmen zunächst wissen, wer und was sich in ihrem System befindet. Dabei wird in der Regel jedem menschlichen und nichtmenschlichen Benutzer eine eindeutige digitale Identität zugewiesen.

Eine digitale Identität ist eine Sammlung von Unterscheidungsmerkmalen, die an eine bestimmte Entität gebunden sind. Digitale Identitäten erfassen Eigenschaften wie den Namen, die Zugangsdaten, die Position und die Zugriffsrechte eines Benutzers.

Digitale Identitäten werden in der Regel in zentralen Datenbanken oder Verzeichnissen gespeichert, die als Single-Source-of-Truth (SSOT) dienen. Das IAM-System nutzt die Informationen in dieser Datenbank, um Benutzer zu validieren und festzulegen, was sie dürfen und was nicht.

Neben der Einbindung neuer Benutzer können IAM-Tools Identitäten und Berechtigungen aktualisieren, wenn sich die Rollen der Benutzer ändern, und Benutzer, die das System verlassen, deaktivieren.

IT- und Cybersicherheitsteams können die Bereitstellung und Entziehung von Benutzerrechten manuell durchführen, aber viele IAM-Systeme unterstützen auch einen Self-Service-Ansatz. Die Benutzer geben ihre Daten ein, und das System erstellt automatisch ihre Identität und legt anhand von organisationsinternen Regeln die entsprechenden Zugriffsrechte fest. 

Authentifizierung ist der Prozess, der überprüft, ob ein Benutzer der ist, für den er sich ausgibt.

Wenn sich ein Benutzer bei einem System anmeldet oder Zugriff auf eine Ressource anfordert, übermittelt er Anmeldedaten – sogenannte „Authentifizierungsfaktoren“ –, um seine Identität zu bestätigen. Beispielsweise könnte ein menschlicher Benutzer ein Passwort oder einen biometrischen Fingerabdruckscan verwenden, während ein nichtmenschlicher Benutzer ein digitales Zertifikat teilen könnte. Das IAM-System gleicht diese Zugangsdaten mit der zentralen Datenbank ab. Wenn sie übereinstimmen, wird Zugriff gewährt.

Ein Passwort ist zwar die grundlegendste Form der Authentifizierung, aber auch eine der schwächsten. Die meisten IAM-Implementierungen verwenden heute fortschrittlichere Authentifizierungsmethoden wie die Zwei-Faktor-Authentifizierung (2FA) oder die Multi-Faktor-Authentifizierung (MFA), bei denen Benutzer mehrere Authentifizierungsfaktoren angeben müssen, um ihre Identität nachzuweisen.

Zum Beispiel fordert eine Website, dass Benutzer sowohl ein Passwort als auch einen Code eingeben, der an ihre Telefonnummer gesendet wird. Das ist ein 2FA-Schema, wie es leibt und lebt.

Autorisierung ist der Prozess, bei dem verifizierten Benutzern die entsprechenden Zugriffsrechte für eine Ressource gewährt werden.

Authentifizierung und Autorisierung sind eng miteinander verbunden, wobei die Authentifizierung in der Regel eine Voraussetzung für die Autorisierung ist. Nachdem ein Benutzer seine Identität nachgewiesen hat, überprüft das IAM-System die mit dieser Identität verbundenen Berechtigungen in der zentralen Datenbank und autorisiert den Benutzer entsprechend.

Zusammen bilden Authentifizierung und Autorisierung die Zugriffsmanagementkomponente des Identitäts- und Zugriffsmanagements.

Verschiedene Unternehmen verfolgen unterschiedliche Vorgehensweisen für die Festlegung von Benutzerzugriffsberechtigungen. Ein gängiges Framework für die Zugriffskontrolle ist die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC), bei der die Berechtigungen der Benutzer auf ihren Aufgabenbereichen basieren. Mit RBAC lässt sich der Prozess der Berechtigungsvergabe für Benutzer vereinfachen und das Risiko verringern, dass Benutzern höhere Privilegien als nötig eingeräumt werden.

Angenommen, Systemadministratoren legen Berechtigungen für eine Netzwerk-Firewall fest. Ein Vertriebsmitarbeiter hat wahrscheinlich keinen Zugriff, da die Rolle des Nutzers keine solche Berechtigung erfordert. Eine Junior-Sicherheitsanalystin kann möglicherweise Firewall-Konfigurationen anzeigen, aber nicht ändern. Der Sicherheitsvorstand (CISO) hätte uneingeschränkten administrativen Zugriff. Eine Anwendungsprogrammierschnittstelle (API) für ein integriertes Sicherheitsinformations- und Ereignismanagementsystem (SIEM) kann möglicherweise die Aktivitätsprotokolle der Firewall lesen.

Die meisten Zugriffskontroll-Frameworks sind nach dem Prinzip der geringsten Berechtigungen konzipiert. Das Prinzip der geringsten Berechtigungen, das häufig mit Cybersicherheitsstrategien nach dem Zero-Trust-Prinzip in Verbindung gebracht wird, besagt, dass Benutzer nur über die Berechtigungen verfügen sollten, die zur Erfüllung einer Aufgabe erforderlich sind. Diese Berechtigungen sollten widerrufen werden, sobald die Aufgabe erledigt ist.

Auditing bedeutet, sicherzustellen, dass das IAM-System und seine Komponenten – Verwaltung, Authentifizierung und Autorisierung – ordnungsgemäß funktionieren.

Auditing umfasst die Verfolgung und Protokollierung der Aktivitäten von Benutzern mit ihren Zugriffsrechten, um sicherzustellen, dass niemand, auch keine Hacker, Zugriff auf Daten hat, auf die er nicht zugreifen darf, und dass autorisierte Benutzer ihre Berechtigungen nicht missbrauchen.

Auditing ist eine zentrale Funktion der Identitätsverwaltung und wichtig für die Einhaltung gesetzlicher Vorschriften. Sicherheitsvorschriften wie die Datenschutz-Grundverordnung (DSGVO), der Sarbanes-Oxley (SOX) Act und der Payment Card Industry Data Security Standard (PCI DSS) verlangen von Unternehmen, dass sie die Zugriffsrechte ihrer Benutzer in bestimmter Weise einschränken. Audit-Tools und -Prozesse helfen Unternehmen dabei, sicherzustellen, dass ihre IAM-Systeme den Anforderungen entsprechen, und Audit-Trails können bei Bedarf zur Nachweisführung oder zur Ermittlung von Verstößen beitragen.

Unternehmen setzen auf Technologie-Tools, um wichtige IAM-Workflows wie die Authentifizierung von Benutzern und die Verfolgung ihrer Aktivitäten zu optimieren und zu automatisieren. Einige Unternehmen nutzen Punktlösungen, um verschiedene Aspekte des IAM abzudecken, während andere umfassende IAM-Plattformen einsetzen, die alle Aufgaben übernehmen oder mehrere Tools in einem einheitlichen Ganzen integrieren.

Zu den Kernkomponenten und Funktionen von Identity und Access Management (IAM)-Lösungen gehören:

Verzeichnisdienste sind Orte, an denen IAM-Systeme Daten über die Identitäten, Anmeldedaten und Zugriffsberechtigungen von Benutzern speichern und verwalten. IAM-Lösungen können über eigene zentralisierte Verzeichnisse verfügen oder in externe Verzeichnisdienste wie Microsoft Active Directory und Google Workspace integriert werden.

Einige IAM-Implementierungen verwenden einen Ansatz namens „Identitätsverbund“, bei dem unterschiedliche Systeme Identitätsinformationen untereinander austauschen. Ein System fungiert als Identitätsanbieter und verwendet offene Standards wie Security Assertion Markup Language (SAML) und OpenID Connect (OIDC), um Benutzer gegenüber anderen Systemen sicher zu authentifizieren.

Soziale Anmeldungen – wenn eine App es einer Person ermöglicht, sich mit ihrem Facebook-, Google- oder einem anderen Konto anzumelden – sind ein gängiges Beispiel für Identitätsverbund.

Zusätzlich zu MFA und 2FA unterstützen viele IAM-Lösungen erweiterte Authentifizierungsmethoden wie Single Sign-On (SSO), adaptive Authentifizierung und passwortlose Authentifizierung.

Single Sign-on (SSO) ermöglicht den Zugriff auf mehrere Apps und Dienste mit einem einzelnen Satz von Anmeldedaten. Das SSO-Portal authentifiziert den Benutzer und generiert ein Zertifikat oder einen Token als Sicherheitsschlüssel für andere Ressourcen. SSO-Systeme verwenden Protokolle wie SAML und OIDC, um Schlüssel zwischen Service-Anbietern auszutauschen.

Adaptive Authentifizierung, auch risikobasierte Authentifizierung genannt, passt die Authentifizierungsanforderungen in Echtzeit an veränderte Risikostufen an. Adaptive Authentifizierungsschemata nutzen künstliche Intelligenz (KI) und maschinelles Lernen (ML), um den Kontext einer Anmeldung zu analysieren, darunter Faktoren wie das Benutzerverhalten, die Sicherheitslage des Geräts und der Zeitpunkt der Anmeldung. Je riskanter eine Anmeldung ist, desto mehr Authentifizierung erfordert das System.

Beispielsweise muss ein Benutzer, der sich von seinem üblichen Gerät und Standort aus anmeldet, möglicherweise nur sein Passwort eingeben. Derselbe Benutzer, der sich von einem nicht vertrauenswürdigen Gerät aus anmeldet oder versucht, besonders sensible Informationen anzuzeigen, muss möglicherweise weitere Faktoren angeben, da die Situation nun ein höheres Risiko für das Unternehmen darstellt.

Passwortlose Authentifizierung ersetzt Passwörter, die bekanntermaßen leicht zu stehlen sind, durch sicherere Anmeldedaten. Passkeys, die beispielsweise auf dem gängigen FIDO-Standard basieren, gehören zu den häufigsten passwortlosen Formen der Authentifizierung. Sie verwenden eine Public-Key-Verschlüsselung, um die Identität eines Benutzers zu verifizieren.

Mithilfe von Zugriffskontrolltools können Unternehmen detaillierte Zugriffsrichtlinien für menschliche und nicht-menschliche Benutzer definieren und durchsetzen. Neben RBAC gehören zu den gängigen Zugriffskontroll-Frameworks:

• Mandatory Access Control (MAC) erzwingt zentral definierte Richtlinien für alle Benutzer auf der Grundlage von Berechtigungsstufen oder Vertrauensbewertungen.
  
  
• Diskretionäre Zugriffskontrolle (DAC), die es den Eigentümern von Ressourcen ermöglicht, ihre eigenen Zugriffskontrollregeln für diese Ressourcen festzulegen. 
  
  
• Attributbasierte Zugriffskontrolle (ABAC), die die Attribute von Benutzern, Objekten und Aktionen – wie den Namen eines Benutzers, den Typ einer Ressource und die Tageszeit – analysiert, um zu bestimmen, ob der Zugriff gewährt wird.

Tools für die Verwaltung privilegierter Zugriffe (PAM) überwachen die Kontosicherheit und Zugriffskontrolle für Benutzerkonten mit hohen Berechtigungen, beispielsweise Systemadministratoren. Privilegierte Konten werden besonders geschützt, da sie wertvolle Ziele für böswillige Akteure darstellen, die damit erheblichen Schaden anrichten können. PAM-Tools isolieren privilegierte Identitäten von den anderen und sorgen mit Vaults für Zugangsdaten und Just-in-Time-Zugriffsprotokollen für zusätzliche Sicherheit.

Mit Tools zur Berechtigungsverwaltung können Benutzer Passwörter, Passkeys und andere Anmeldedaten sicher an einem zentralen Ort speichern. Tools zur Verwaltung von Anmeldedaten können das Risiko verringern, dass Mitarbeiter ihre Anmeldedaten vergessen. Sie können auch zu einer besseren Sicherheitshygiene beitragen, indem sie es den Benutzern erleichtern, für jeden von ihnen genutzten Dienst unterschiedliche Passwörter festzulegen.

Tools zum Secrets Management schützen Anmeldedaten – darunter Zertifikate, Schlüssel, Passwörter und Tokens – für nicht-menschliche Benutzer wie Apps, Server und Workloads. Secrets-Management-Lösungen speichern Geheimnisse häufig in einem sicheren zentralen Vault. Wenn ein autorisierter Benutzer Zugriff auf ein sensibles System benötigt, kann er das entsprechende Geheimnis aus dem Vault abrufen. 

Tools für Identity Governance helfen Unternehmen dabei, Benutzeraktivitäten zu überprüfen und die Einhaltung gesetzlicher Vorschriften sicherzustellen.

Zu den Kernfunktionen von Identity-Governance-Tools gehören die Überprüfung von Benutzerberechtigungen zur Behebung unangemessener Zugriffsebenen, die Protokollierung von Benutzeraktivitäten, die Durchsetzung von Sicherheitsrichtlinien und die Kennzeichnung von Verstößen.

Tools zur Erkennung und Reaktion auf Identitäten (Identity Threat Detection and Response, ITDR) erkennen und beheben automatisch identitätsbasierte Bedrohungen und Sicherheitsrisiken wie die Eskalation von Berechtigungen und Fehlkonfigurationen von Konten. ITDR-Tools sind relativ neu und noch nicht in allen IAM-Implementierungen Standard, aber sie sind ein zunehmend verbreiteter Bestandteil von Identitäts-Sicherheitsstrategien in Unternehmen.

Das Customer Identity und Access Management (CIAM) regelt die digitalen Identitäten von Kunden und anderen Benutzern, die außerhalb eines Unternehmens sitzen. Zu den Kernfunktionen von CIAM gehören die Erfassung von Kundenprofildaten, die Authentifizierung von Benutzern und die Erleichterung des sicheren Zugriffs auf digitale Dienste wie E-Commerce-Websites.

Cloud-basierte Identity und Access Management (IAM)-Lösungen, auch „Identity-as-a-Service“ (IDaaS)-Tools genannt, verfolgen einen Software-as-a-Service (SaaS)-Ansatz für IAM.

IDaaS-Tools können in komplexen Netzwerken nützlich sein, in denen verteilte Benutzer sich von Windows-, Mac-, Linux- und Mobilgeräten aus anmelden, um auf Ressourcen vor Ort sowie in Private und Public Clouds zuzugreifen. Diese Netzwerke können anfällig für Fragmentierung und Sichtbarkeitslücken sein, aber Cloud-IAM-Lösungen lassen sich skalieren, um verschiedene Benutzer, Anwendungen und Assets in einem zentralen Identitätssystem zu verwalten.

Mit IDaaS-Tools können Unternehmen auch einige der zeit- und ressourcenintensiveren Aspekte der Implementierung von IAM-Systemen auslagern, beispielsweise die Einrichtung von Verzeichnissen und die Protokollierung von Benutzeraktivitäten. 

Da Unternehmen Multicloud-Umgebungen, KI, Automatisierung und Remote-Arbeit nutzen, müssen sie den sicheren Zugriff für mehr Benutzertypen auf mehr Arten von Ressourcen an mehr Standorten ermöglichen. IAM-Lösungen können sowohl die Benutzererfahrung als auch die Cybersicherheit in dezentralen Netzwerken verbessern, indem sie die Zugriffsverwaltung optimieren und gleichzeitig vor gängigen Cyberbedrohungen schützen.

Die digitale Transformation ist für moderne Unternehmen heute die Norm, was bedeutet, dass zentralisierte, vollständig lokale IT-Netzwerke weitgehend der Vergangenheit angehören. Perimeterorientierte Sicherheitslösungen und -strategien können Netzwerke, die sich über lokale und externe Geräte, cloudbasierte Services, Webanwendungen und Teams aus menschlichen und nicht-menschlichen Benutzern auf der ganzen Welt erstrecken, nicht wirksam schützen.

Im Ergebnis machen Unternehmen die Identitätssicherheit zu einem zentralen Pfeiler ihrer Cybersicherheitsstrategien. Anstatt sich auf den Netzwerkrand zu konzentrieren, kann es effektiver sein, einzelne Benutzer und ihre Aktivitäten zu sichern, unabhängig davon, wo diese stattfinden.

Gleichzeitig müssen Unternehmen sicherstellen, dass die Benutzer über den On-Demand-Zugriff verfügen, den sie für Gleichzeitig müssen Unternehmen sicherstellen, dass Benutzer den für ihre Arbeit erforderlichen On-Demand-Zugriff haben und nicht durch übermäßig strenge Sicherheitsmaßnahmen behindert werden.

IAM-Systeme bieten IT- und Sicherheitsteams eine zentrale Möglichkeit, maßgeschneiderte, konforme Zugriffsrichtlinien für einzelne Benutzer im gesamten Unternehmen zu definieren und durchzusetzen.

IAM-Tools können auch Benutzer sicher authentifizieren und dabei helfen, die Nutzung von Berechtigungen durch Entitäten zu verfolgen – wichtige Funktionen zum Schutz vor identitätsbasierten Cyberangriffen, die heute von vielen Cyberkriminellen bevorzugt eingesetzt werden.  

Laut dem Bericht Cost of a Data Breach Report von IBM ist der Diebstahl von Anmeldedaten mit einem Anteil von 10 % eine der häufigsten Ursachen für Datenverstöße. Diese Angriffe auf Zugangsdaten, bei denen Hacker die Konten legitimer Benutzer nutzen, um auf sensible Daten zuzugreifen, verursachen Kosten in Höhe von 4,67 Millionen USD und benötigen durchschnittlich 246 Tage, bis sie entdeckt und eingedämmt werden können.

IAM-Tools können Hackern die Durchführung solcher Angriffe erschweren. MFA sorgt beispielsweise dafür, dass Cyberkriminelle mehr als nur ein Passwort benötigen, um sich Zugang zu verschaffen. Selbst wenn sie ein Konto übernehmen, ist die Lateralbewegung eingeschränkt, da Benutzer nur die Berechtigungen haben, die sie für ihre Arbeit benötigen, und nicht mehr. ITDR-Tools können dabei helfen, verdächtige Aktivitäten auf Konten autorisierter Benutzer leichter zu erkennen und zu stoppen. 

Laut dem Bericht Cost of a Data Breach Report ist die IAM-Technologie ein entscheidender Faktor für die Senkung der Kosten von Datenschutzverletzungen und reduziert die Kosten eines Angriffs um durchschnittlich 189.838 USD.

Eine Identitätsstruktur ist eine umfassende Identitätsarchitektur, die alle Identitätssysteme in einem Netzwerk zu einem integrierten Ganzen vereint. Ganzheitliche IAM-Lösungen, die unterschiedliche Anwendungen miteinander verbinden und alle zentralen IAM-Funktionen abdecken, sind wichtige Werkzeuge für die Schaffung dieser Strukturen.

Identitätsstrukturen werden immer beliebter, da Unternehmen sich den Herausforderungen stellen müssen, die sich aus der Verwendung vieler verschiedener Anwendungen mit unterschiedlichen Identitätssystemen ergeben. Laut einem Bericht verwendet ein durchschnittliches Team 73 verschiedene SaaS-Apps. Wenn diese Apps über eigene Identitätssysteme verfügen, führt die Fragmentierung sowohl zu logistischen Problemen als auch zu Sicherheitslücken.

Um diese Probleme zu bekämpfen, investieren Unternehmen in Tools zur Identity Orchestration, die verteilten Identitätssystemen helfen, miteinander zu kommunizieren.

Umfassende IAM-Lösungen, die alle wichtigen Aspekte von IAM abdecken – Identitätsverwaltung, Zugriffsmanagement, Governance, Auditing, PAM und CIAM – erleichtern diese Koordination. Das Ziel besteht darin, eine netzwerkweite Identitätsstruktur zu schaffen, mit der das Unternehmen Identitätsinformationen und den Zugriff für alle Anwendungen, Benutzer und Ressourcen auf einer zentralen Plattform verwalten kann.

Neben der Vereinfachung von IAM kann der integrierte Ansatz auch die Sicherheit erhöhen. Laut dem X-Force Threat Intelligence Index ist die Konsolidierung von Identitätslösungen eine der effektivsten Methoden, um die Identitätsflut einzudämmen und sich vor identitätsbasierten Angriffen zu schützen.

Traditionelle, regelbasierte KI ist seit langem Teil der Funktionsweise von IAM und automatisiert Arbeitsabläufe wie Authentifizierungs- und Prüfpfade. Die Einführung generativer KI bringt jedoch sowohl neue Herausforderungen als auch neue Chancen mit sich.

Zwischen neuen Apps, die auf großen Sprachmodellen (Large Language Models, LLMs) basieren, und autonomen KI-Agenten wird generative KI zu einem deutlichen Anstieg der Anzahl nicht-menschlicher Identitäten im Unternehmensnetzwerk führen. Diese Identitäten übertreffen die Anzahl der Menschen in einem typischen Unternehmen bereits um das Zehnfache.¹ Dieses Verhältnis könnte bald viel größer sein.  

Diese nicht-menschlichen Identitäten sind häufig Ziele von Angreifern, da sie oft über relativ hohe Zugriffsrechte und schlecht geschützte Zugangsdaten verfügen.

Allerdings können IAM-Tools das Risiko der Übernahme von KI-Konten durch Cyberkriminelle mindern. Gängige Techniken und Tools für die Verwaltung privilegierter Zugriffe, wie die automatische Rotation von Anmeldedaten und sichere Tresore für Anmeldedaten, können Hackern das Stehlen von Anmeldedaten erschweren.

KI hat auch positive Anwendungsfälle für IAM. Laut dem IBM Institute for Business Value setzen viele Unternehmen bereits KI ein, um die Benutzerüberprüfung und -autorisierung zu verwalten (62 %) sowie Risiken, Compliance und Sicherheit zu kontrollieren (57 %). Generative KI-Tools können diese Anwendungsmöglichkeiten erweitern.

Beispielsweise führen einige IAM-Tools LLM-gestützte Chatbots ein, mit denen Sicherheitsteams natürliche Sprache verwenden können, um Sicherheitsdatensätze zu analysieren, neue Richtlinien zu erstellen und maßgeschneiderte Zugriffsebenen für Benutzer vorzuschlagen.