Identity and Access Ma­nage­ment – Was ist IAM?

Die Flut an Daten wächst täglich, und das hat Folgen für Un­ter­neh­men, Behörden und andere Or­ga­ni­sa­tio­nen: Sie müssen heute schon die Daten von aber­tau­sen­den Usern mit ver­schie­dens­ten Zu­griffs­rech­ten auf un­ter­schied­lichs­ten Platt­for­men und Systemen verwalten. Kunden, Ge­schäfts­part­ner, Mit­ar­bei­ter, Cloud-Provider – sie alle greifen auf Netzwerke zurück. Das Iden­ti­täts­ma­nage­ment hat dabei ein Ausmaß erreicht, das häufig weit über die eigene In­fra­struk­tur hin­aus­geht.

Aber das ist nicht der einzige Grund, der Un­ter­neh­men und Behörden dazu zwingt, sich intensiv mit der Ver­wal­tung und Pflege von Daten zu be­schäf­ti­gen. Aus Com­pli­ance-Gründen sind sie dazu ver­pflich­tet, Zu­griffs­rech­te dauerhaft zu verwalten. Das Identity and Access Ma­nage­ment, kurz IAM, ist für die Ver­wal­tung von Be­nut­zer­iden­ti­tä­ten sowie deren Zu­griffs­rech­te zuständig.

IAM wird durch die De­zen­tra­li­sie­rung der Systeme, den welt­wei­ten Zugriff auf Clouds und den erhöhten Einsatz von mobilen End­ge­rä­ten zur wich­tigs­ten Da­ten­ver­wal­tungs­lö­sung. Ohne ein Identity- und Access-Ma­nage­ment-System ist es kaum noch nach­voll­zieh­bar, welcher User wann welche Rechte für was benötigt und wie er überhaupt die Zu­griffs­rech­te auf einem Gerät nutzt. Mit IAM wird man souverän durch dieses Labyrinth an Daten geführt.

Je größer ein Un­ter­neh­men, eine Or­ga­ni­sa­ti­on oder eine Behörde ist, desto mehr Iden­ti­tä­ten, Zugriffe und Be­rech­ti­gun­gen müssen verwaltet werden. Hier kommt das Identity and Access Ma­nage­ment zum Einsatz. IAM ver­ein­facht und au­to­ma­ti­siert die Erfassung, Kontrolle und das Ma­nage­ment von Nut­zer­iden­ti­tä­ten und ihre ver­bun­de­nen Zu­griffs­rech­te. Das alleine ist schon eine enorme Hilfe, aber das Ma­nage­ment­sys­tem stellt darüber hinaus noch sicher, dass Com­pli­ance-Regeln gewahrt bleiben: Alle Personen und Services werden korrekt au­then­ti­fi­ziert, au­to­ri­siert und geprüft; alle Zu­griffs­rech­te ent­spre­chen den Richt­li­ni­en sowie der Rolle des Users im Un­ter­neh­men.

IAM er­mög­licht den Nutzern schnelle und sichere Zugänge bzw. Be­rech­ti­gun­gen zu un­ter­schied­li­chen Systemen, Ap­pli­ka­tio­nen, Cloud-Struk­tu­ren etc. Diese Ei­gen­schaft wird auch Pro­vi­sio­ning, also Ver­füg­bar­ma­chen, genannt. Auf der anderen Seite entzieht IAM den Usern diese Ver­füg­bar­keit, wobei man vom De-Pro­vi­sio­ning spricht. Das ist auch schon die ganze Idee hinter dem Identity and Access Ma­nage­ment: ein rollen- und re­gel­ba­sier­tes System.

Zugänge und Zu­griffs­be­rech­ti­gun­gen können in vielen Fällen von den Usern selbst ent­schie­den werden. Bei einem Self-Service-Portal oder komplett au­to­ma­ti­sier­ten Antrags- und Frei­ga­be­pro­zes­sen sind trotzdem alle Ver­ant­wort­li­chen mit­ein­ge­bun­den, sodass Kontrolle und Si­cher­heit nie aus der Hand geraten.

Das kleine ABC zum IAM:

• Access Ma­nage­ment dient zur Über­wa­chung und Kontrolle des Netz­werk­zu­griffs.
• Context-aware Network Access Control ist eine richt­li­ni­en­ba­sier­te Methode zum Zugriff auf Netz­werk­res­sour­cen, die den Kontext des Nutzers be­rück­sich­tigt.
• Identity Lifecycle Ma­nage­ment umfasst alle Prozesse und Tech­no­lo­gien, die zum Vorhalten, Löschen und zur Wartung digitaler Iden­ti­tä­ten zum Einsatz kommen.
• Identity Syn­chro­ni­sa­ti­on stellt sicher, dass ver­schie­de­ne Systeme kon­sis­ten­te In­for­ma­tio­nen über eine bestimmte digitale Identität bekommen.
• Multi-Faktor-Au­then­ti­fi­zie­rung (MFA) liegt vor, wenn mehr als ein einziger Faktor (Passwort und Username) für die Au­then­ti­fi­zie­rung nötig ist, z. B. bei einer Zwei-Faktor-Au­then­ti­fi­zie­rung.
• Ri­si­ko­ba­sier­te Au­then­ti­fi­zie­rung (RBA) ist eine flexible Variante der Au­then­ti­fi­zie­rung, mit der sich ein User bei­spiels­wei­se von einem neuen Ort aus in das Netzwerk einloggen kann.
• Security In­for­ma­ti­on and Event Ma­nage­ment (SIEM) er­mög­licht einen ganz­heit­li­chen Blick auf die IT-Si­cher­heit, u. a. auf ver­däch­ti­ge Er­eig­nis­se und aktuelle An­griffs­trends.
• User Behavior Analytics (UBA) ana­ly­sie­ren das Nut­zer­ver­hal­ten, um Si­cher­heits­ri­si­ken auf­zu­spü­ren.

Haupt­auf­ga­be von IAM ist es, einem User eine digitale Identität zu­zu­wei­sen. Wenn diese erstellt wurde, wird sie gewartet, ak­tua­li­siert und überwacht. Ad­mi­nis­tra­to­ren haben durch das Identity and Access Ma­nage­ment die Tools, um die Rollen von Usern in ihrem Netzwerk zu ändern, alle Ak­ti­vi­tä­ten zu über­wa­chen, Reports zu erstellen oder einfach die Security Policies durch­zu­set­zen.

Ein Identity- und Access-Ma­nage­ment ist so aufgebaut, dass es die Zu­griffs­be­rech­ti­gun­gen eines gesamten Netzwerks abbilden kann, mitsamt allen internen und externen Com­pli­ance-Regeln. Damit das ge­währ­leis­tet wird, be­inhal­tet das IAM-System eine große Band­brei­te an Tech­no­lo­gien, Tools, Software und Apps: Passwort-Manager, Pro­vi­sio­ning-Software, Apps für die Security Policies sowie zum Reporting und Mo­ni­to­ring.

Die Features sind nötig, damit die IAM-Systeme flexibel, leis­tungs­fä­hig und sicher genug sind, um den heutigen An­for­de­run­gen zu genügen. Es reicht eben nicht mehr, User in einem System nur zu au­then­ti­fi­zie­ren bzw. zu über­wa­chen.

Deshalb geht das Identity and Access Ma­nage­ment mitt­ler­wei­le we­sent­lich weiter: Es bietet ein einfaches Ma­nage­ment der Zu­gangs­be­rech­ti­gun­gen für User, und zwar orts- und netz­werk­un­ab­hän­gig, von Kunden aus aller Welt bis zu Mit­ar­bei­tern im Home Office. Der Support gilt auch bei einer hybriden IT-Umgebung, mit SaaS-Computing bis zum modernen BYOD-Managing. Die Funk­tio­nen von IAM machen das System so flexibel, dass es auf allen gängigen IT-Ar­chi­tek­tu­ren wie Windows, Mac, Android, iOS, UNIX und auch auf IoT-Geräten läuft.

So viele Mög­lich­kei­ten erhöhen auch das Si­cher­heits­ri­si­ko. In einer immer kom­ple­xe­ren IT-Umgebung gibt es auch eine immer kom­ple­xe­re Ge­fah­ren­la­ge. IAM reguliert Zugriffe zunächst durch klas­si­sche Au­then­ti­fi­zie­rungs­me­tho­den wie Pass­wör­ter, Hardware-Tokens, digitale Zer­ti­fi­ka­te oder Kar­ten­sys­te­me. Darauf folgen bei modernen Identity- und Access-Ma­nage­ment-Systemen noch bio­me­tri­sche Au­then­ti­fi­zie­run­gen wie Fin­ger­ab­druck oder Ge­sichts­er­ken­nung bei Smart­phones.

In­zwi­schen werden sogar Machine Learning und künst­li­che In­tel­li­genz ein­ge­setzt, um einen optimalen Schutz der Nut­zer­da­ten zu er­mög­li­chen. Ein Beispiel: Un­ter­neh­men setzen mitt­ler­wei­le auf ein IAM mit einer Multi-Faktor-Au­then­ti­fi­zie­rung. Die Faktoren sind das vom User gewählte Passwort, sein Smart­phone und die damit ver­bun­de­ne Au­then­ti­fi­zie­rung per Fin­ger­ab­druck, Gesichts- oder Iris-Scan. Das alleine sind schon drei Faktoren, die si­cher­stel­len, dass es sich um den richtigen User im System handelt.

Die Funk­tio­nen von IAM sind nicht nur sicher, sondern auch praktisch. Das Identity and Access Ma­nage­ment bietet einen Me­cha­nis­mus, mit dem User einen Login für mehr als ein Netzwerk nutzen können. Das ist vor allem im Smart­phone-Gebrauch heut­zu­ta­ge weit ver­brei­tet. Dabei kann bereits der Login in an­mel­de­pflich­ti­ge Apps komplett über einen Account (z. B. via Google oder Facebook) erfolgen. Private Nutzer wissen dies sehr zu schätzen, da man so nicht jedes Mal neue Zu­gangs­da­ten erstellen muss.

Hier spricht man von einem fö­de­rier­ten Identity and Access Ma­nage­ment. Dieses Modell basiert auf der Ko­ope­ra­ti­on und dem Vertrauen der Parteien. Anbieter wie Google und Facebook bürgen für ihre User, wodurch sie sich mit ihren je­wei­li­gen Accounts bei den Partnern anmelden können. Die tech­ni­sche Funktion dahinter heißt Single-Sign-On (SSO); sie erlaubt Usern ihre bereits ve­ri­fi­zier­te Identität von einem Netzwerk in ein anderes mit­zu­neh­men. Die Au­then­ti­fi­zie­rung zwischen den Partnern verläuft vom User unbemerkt über ein Iden­ti­täts­pro­to­koll wie die Security Assertion Markup Language im Hin­ter­grund.

Die Vorteile von IAM erklären sich am besten durch die Nachteile, wenn man kein oder nur ein sehr einfaches Iden­ti­täts­ma­nage­ment einsetzt. Wenn eine Plattform ihre User nicht eindeutig iden­ti­fi­zie­ren und ihnen nicht ihre je­wei­li­gen Rechte zuweisen kann, kommt es ganz schnell zu Problemen – je größer die Plattform, desto mehr Probleme werden es. Ein in­tel­li­gen­tes Identity- und Access-Ma­nage­ment ver­ein­facht und au­to­ma­ti­siert die Prozesse der Erfassung und Kontrolle von Nut­zer­da­ten. Es ge­währ­leis­tet die Ein­hal­tung von Richt­li­ni­en und überwacht sämt­li­ches User­ver­hal­ten und die Ser­vice­leis­tun­gen der Plattform.

Das größte Plus ist die all­um­fas­sen­de Funktion von IAM, egal ob mit mobilem Endgerät, dezentral von einem IT-System oder global über die Cloud – Identity and Access Ma­nage­ment kommt überall zum Einsatz.

Das kleine Minus ist dabei, dass man erst das richtige IAM für die eigenen Be­dürf­nis­se finden muss. Die An­for­de­run­gen an IAM sind ei­gent­lich sys­tem­über­grei­fend gleich, sodass es auch eine ein­heit­li­che Lösung bieten kann. Aber jedes Un­ter­neh­men hat eine eigene Her­an­ge­hens­wei­se mit un­ter­schied­li­chen Systemen, Tools, Prio­ri­tä­ten bis hin zur haus­ei­ge­nen Phi­lo­so­phie. Tat­säch­lich scheitert IAM in Un­ter­neh­men und Behörden oftmals an diesem Punkt: Das Iden­ti­täts­ma­nage­ment muss kon­se­quent von allen Ab­tei­lun­gen mit­ge­tra­gen werden und kann nicht nur im Auf­ga­ben­be­reich der IT liegen. Denn dafür müssen grund­le­gen­de Fragen wie „Wer hat Zugriff auf was?“ im Vorfeld be­ant­wor­tet und definiert werden. Danach folgen die Fragen „Wer überwacht die Zugriffe?“ und „Was passiert, wenn etwas nicht seine Rich­tig­keit hat?“. Zugriffs- und Rol­len­kon­zep­te lassen sich nur ganz­heit­lich eta­blie­ren.

Im nächsten Schritt muss ein Ar­chi­tek­tur­kon­zept erstellt werden. Denn neben den Usern gibt es viel­leicht noch weitere Systeme, Partner, Schwes­ter­un­ter­neh­men, Lie­fe­ran­ten, Kunden, Mit­ar­bei­ter usw. Je nach Branche müssen dann noch Re­gu­la­to­ren und Auditoren, etwa für die Ska­lie­rung von User­zah­len, fest­ge­legt werden.

Ein so zen­tra­li­sier­tes System ist natürlich ein at­trak­ti­ves Ziel für Ha­cker­an­grif­fe. Dagegen setzen neuere IAM bereits eine fäl­schungs­si­che­re Block­chain ein, die ver­hin­dert, dass Cy­ber­kri­mi­nel­le Login-Daten nach­ver­fol­gen oder ein­sam­meln können.

Identity- und Access-Ma­nage­ment kommt überall zum Einsatz, wo sich User au­then­ti­fi­zie­ren und au­to­ri­sie­ren müssen. Die Ver­wal­tung von Be­nut­zer­iden­ti­tä­ten und deren Zu­griffs­rech­ten auf Netzwerke, Ap­pli­ka­tio­nen und andere digitale Systeme findet heut­zu­ta­ge nahezu überall statt.

Wenn ein User ein System oder eine App verwenden möchte, muss er in der Regel nach­wei­sen, dass er dazu be­rech­tigt ist. In den meisten Fällen erfolgt das über eine Anmeldung mit Be­nut­zer­na­men, E-Mail-Adresse und einem Passwort. Moderner sind Kom­bi­na­tio­nen aus Keycard, bio­me­tri­scher Au­then­ti­fi­zie­rung oder einem Smart­phone.

Ein Un­ter­neh­men kann es sich aber auch aus ganz prag­ma­ti­schen Gründen heut­zu­ta­ge nicht mehr erlauben, ohne IAM zu arbeiten. Die vielen Prozesse, die das Iden­ti­täts­ma­nage­ment au­to­ma­ti­siert, entlasten die gesamte IT. Der Helpdesk muss sich nicht mehr händisch mit auf­wen­di­gen Prozessen wie dem Zu­rück­set­zen von User-Pass­wör­tern befassen.

Noch grund­le­gen­der zwingt das Identity and Access Ma­nage­ment Un­ter­neh­men, Behörden und andere Or­ga­ni­sa­tio­nen dazu, ihre eigenen Da­ten­richt­li­ni­en ganz­heit­lich zu de­fi­nie­ren. Das ist am Ende nicht nur gut für jedes Netzwerk, sondern führt auch zu einer erhöhten Si­cher­heit für alle Daten.