IAM – Was ist Identity and Access Management?

Die Flut an Daten wächst täglich, und das hat Folgen für Unternehmen, Behörden und andere Organisationen: Sie müssen heute schon die Daten von abertausenden Usern mit verschiedensten Zugriffsrechten auf unterschiedlichsten Plattformen und Systemen verwalten. Kunden, Geschäftspartner, Mitarbeiter, Cloud-Provider – sie alle greifen auf Netzwerke zurück. Das Identitätsmanagement hat dabei ein Ausmaß erreicht, das häufig weit über die eigene Infrastruktur hinausgeht.

Aber das ist nicht der einzige Grund, der Unternehmen und Behörden dazu zwingt, sich intensiv mit der Verwaltung und Pflege von Daten zu beschäftigen. Aus Compliance-Gründen sind sie dazu verpflichtet, Zugriffsrechte dauerhaft zu verwalten. Das Identity and Access Management, kurz IAM, ist für die Verwaltung von Benutzeridentitäten sowie deren Zugriffsrechte zuständig.

IAM wird durch die Dezentralisierung der Systeme, den weltweiten Zugriff auf Clouds und den erhöhten Einsatz von mobilen Endgeräten zur wichtigsten Datenverwaltungslösung. Ohne ein Identity- und Access-Management-System ist es kaum noch nachvollziehbar, welcher User wann welche Rechte für was benötigt und wie er überhaupt die Zugriffsrechte auf einem Gerät nutzt. Mit IAM wird man souverän durch dieses Labyrinth an Daten geführt.

Je größer ein Unternehmen, eine Organisation oder eine Behörde ist, desto mehr Identitäten, Zugriffe und Berechtigungen müssen verwaltet werden. Hier kommt das Identity and Access Management zum Einsatz. IAM vereinfacht und automatisiert die Erfassung, Kontrolle und das Management von Nutzeridentitäten und ihre verbundenen Zugriffsrechte. Das alleine ist schon eine enorme Hilfe, aber das Managementsystem stellt darüber hinaus noch sicher, dass Compliance-Regeln gewahrt bleiben: Alle Personen und Services werden korrekt authentifiziert, autorisiert und geprüft; alle Zugriffsrechte entsprechen den Richtlinien sowie der Rolle des Users im Unternehmen.

IAM ermöglicht den Nutzern schnelle und sichere Zugänge bzw. Berechtigungen zu unterschiedlichen Systemen, Applikationen, Cloud-Strukturen etc. Diese Eigenschaft wird auch Provisioning, also Verfügbarmachen, genannt. Auf der anderen Seite entzieht IAM den Usern diese Verfügbarkeit, wobei man vom De-Provisioning spricht. Das ist auch schon die ganze Idee hinter dem Identity and Access Management: ein rollen- und regelbasiertes System.

Zugänge und Zugriffsberechtigungen können in vielen Fällen von den Usern selbst entschieden werden. Bei einem Self-Service-Portal oder komplett automatisierten Antrags- und Freigabeprozessen sind trotzdem alle Verantwortlichen miteingebunden, sodass Kontrolle und Sicherheit nie aus der Hand geraten.

Das kleine ABC zum IAM:

• Access Management dient zur Überwachung und Kontrolle des Netzwerkzugriffs.
• Context-aware Network Access Control ist eine richtlinienbasierte Methode zum Zugriff auf Netzwerkressourcen, die den Kontext des Nutzers berücksichtigt.
• Identity Lifecycle Management umfasst alle Prozesse und Technologien, die zum Vorhalten, Löschen und zur Wartung digitaler Identitäten zum Einsatz kommen.
• Identity Synchronisation stellt sicher, dass verschiedene Systeme konsistente Informationen über eine bestimmte digitale Identität bekommen.
• Multi-Faktor-Authentifizierung (MFA) liegt vor, wenn mehr als ein einziger Faktor (Passwort und Username) für die Authentifizierung nötig ist, z. B. bei einer Zwei-Faktor-Authentifizierung.
• Risikobasierte Authentifizierung (RBA) ist eine flexible Variante der Authentifizierung, mit der sich ein User beispielsweise von einem neuen Ort aus in das Netzwerk einloggen kann.
• Security Information and Event Management (SIEM) ermöglicht einen ganzheitlichen Blick auf die IT-Sicherheit, u. a. auf verdächtige Ereignisse und aktuelle Angriffstrends.
• User Behavior Analytics (UBA) analysieren das Nutzerverhalten, um Sicherheitsrisiken aufzuspüren.

Hauptaufgabe von IAM ist es, einem User eine digitale Identität zuzuweisen. Wenn diese erstellt wurde, wird sie gewartet, aktualisiert und überwacht. Administratoren haben durch das Identity and Access Management die Tools, um die Rollen von Usern in ihrem Netzwerk zu ändern, alle Aktivitäten zu überwachen, Reports zu erstellen oder einfach die Security Policies durchzusetzen.

Ein Identity- und Access-Management ist so aufgebaut, dass es die Zugriffsberechtigungen eines gesamten Netzwerks abbilden kann, mitsamt allen internen und externen Compliance-Regeln. Damit das gewährleistet wird, beinhaltet das IAM-System eine große Bandbreite an Technologien, Tools, Software und Apps: Passwort-Manager, Provisioning-Software, Apps für die Security Policies sowie zum Reporting und Monitoring.

Die Features sind nötig, damit die IAM-Systeme flexibel, leistungsfähig und sicher genug sind, um den heutigen Anforderungen zu genügen. Es reicht eben nicht mehr, User in einem System nur zu authentifizieren bzw. zu überwachen.

Deshalb geht das Identity and Access Management mittlerweile wesentlich weiter: Es bietet ein einfaches Management der Zugangsberechtigungen für User, und zwar orts- und netzwerkunabhängig, von Kunden aus aller Welt bis zu Mitarbeitern im Home Office. Der Support gilt auch bei einer hybriden IT-Umgebung, mit SaaS-Computing bis zum modernen BYOD-Managing. Die Funktionen von IAM machen das System so flexibel, dass es auf allen gängigen IT-Architekturen wie Windows, Mac, Android, iOS, UNIX und auch auf IoT-Geräten läuft.

So viele Möglichkeiten erhöhen auch das Sicherheitsrisiko. In einer immer komplexeren IT-Umgebung gibt es auch eine immer komplexere Gefahrenlage. IAM reguliert Zugriffe zunächst durch klassische Authentifizierungsmethoden wie Passwörter, Hardware-Tokens, digitale Zertifikate oder Kartensysteme. Darauf folgen bei modernen Identity- und Access-Management-Systemen noch biometrische Authentifizierungen wie Fingerabdruck oder Gesichtserkennung bei Smartphones.

Inzwischen werden sogar Machine Learning und künstliche Intelligenz eingesetzt, um einen optimalen Schutz der Nutzerdaten zu ermöglichen. Ein Beispiel: Unternehmen setzen mittlerweile auf ein IAM mit einer Multi-Faktor-Authentifizierung. Die Faktoren sind das vom User gewählte Passwort, sein Smartphone und die damit verbundene Authentifizierung per Fingerabdruck, Gesichts- oder Iris-Scan. Das alleine sind schon drei Faktoren, die sicherstellen, dass es sich um den richtigen User im System handelt.

Die Funktionen von IAM sind nicht nur sicher, sondern auch praktisch. Das Identity and Access Management bietet einen Mechanismus, mit dem User einen Login für mehr als ein Netzwerk nutzen können. Das ist vor allem im Smartphone-Gebrauch heutzutage weit verbreitet. Dabei kann bereits der Login in anmeldepflichtige Apps komplett über einen Account (z. B. via Google oder Facebook) erfolgen. Private Nutzer wissen dies sehr zu schätzen, da man so nicht jedes Mal neue Zugangsdaten erstellen muss.

Hier spricht man von einem föderierten Identity and Access Management. Dieses Modell basiert auf der Kooperation und dem Vertrauen der Parteien. Anbieter wie Google und Facebook bürgen für ihre User, wodurch sie sich mit ihren jeweiligen Accounts bei den Partnern anmelden können. Die technische Funktion dahinter heißt Single-Sign-On (SSO); sie erlaubt Usern ihre bereits verifizierte Identität von einem Netzwerk in ein anderes mitzunehmen. Die Authentifizierung zwischen den Partnern verläuft vom User unbemerkt über ein Identitätsprotokoll wie die Security Assertion Markup Language im Hintergrund.

Die Vorteile von IAM erklären sich am besten durch die Nachteile, wenn man kein oder nur ein sehr einfaches Identitätsmanagement einsetzt. Wenn eine Plattform ihre User nicht eindeutig identifizieren und ihnen nicht ihre jeweiligen Rechte zuweisen kann, kommt es ganz schnell zu Problemen – je größer die Plattform, desto mehr Probleme werden es. Ein intelligentes Identity- und Access-Management vereinfacht und automatisiert die Prozesse der Erfassung und Kontrolle von Nutzerdaten. Es gewährleistet die Einhaltung von Richtlinien und überwacht sämtliches Userverhalten und die Serviceleistungen der Plattform.

Das größte Plus ist die allumfassende Funktion von IAM, egal ob mit mobilem Endgerät, dezentral von einem IT-System oder global über die Cloud – Identity and Access Management kommt überall zum Einsatz.

Das kleine Minus ist dabei, dass man erst das richtige IAM für die eigenen Bedürfnisse finden muss. Die Anforderungen an IAM sind eigentlich systemübergreifend gleich, sodass es auch eine einheitliche Lösung bieten kann. Aber jedes Unternehmen hat eine eigene Herangehensweise mit unterschiedlichen Systemen, Tools, Prioritäten bis hin zur hauseigenen Philosophie. Tatsächlich scheitert IAM in Unternehmen und Behörden oftmals an diesem Punkt: Das Identitätsmanagement muss konsequent von allen Abteilungen mitgetragen werden und kann nicht nur im Aufgabenbereich der IT liegen. Denn dafür müssen grundlegende Fragen wie „Wer hat Zugriff auf was?“ im Vorfeld beantwortet und definiert werden. Danach folgen die Fragen „Wer überwacht die Zugriffe?“ und „Was passiert, wenn etwas nicht seine Richtigkeit hat?“. Zugriffs- und Rollenkonzepte lassen sich nur ganzheitlich etablieren.

Im nächsten Schritt muss ein Architekturkonzept erstellt werden. Denn neben den Usern gibt es vielleicht noch weitere Systeme, Partner, Schwesterunternehmen, Lieferanten, Kunden, Mitarbeiter usw. Je nach Branche müssen dann noch Regulatoren und Auditoren, etwa für die Skalierung von Userzahlen, festgelegt werden.

Ein so zentralisiertes System ist natürlich ein attraktives Ziel für Hackerangriffe. Dagegen setzen neuere IAM bereits eine fälschungssichere Blockchain ein, die verhindert, dass Cyberkriminelle Login-Daten nachverfolgen oder einsammeln können.

Identity- und Access-Management kommt überall zum Einsatz, wo sich User authentifizieren und autorisieren müssen. Die Verwaltung von Benutzeridentitäten und deren Zugriffsrechten auf Netzwerke, Applikationen und andere digitale Systeme findet heutzutage nahezu überall statt.

Wenn ein User ein System oder eine App verwenden möchte, muss er in der Regel nachweisen, dass er dazu berechtigt ist. In den meisten Fällen erfolgt das über eine Anmeldung mit Benutzernamen, E-Mail-Adresse und einem Passwort. Moderner sind Kombinationen aus Keycard, biometrischer Authentifizierung oder einem Smartphone.

Ein Unternehmen kann es sich aber auch aus ganz pragmatischen Gründen heutzutage nicht mehr erlauben, ohne IAM zu arbeiten. Die vielen Prozesse, die das Identitätsmanagement automatisiert, entlasten die gesamte IT. Der Helpdesk muss sich nicht mehr händisch mit aufwendigen Prozessen wie dem Zurücksetzen von User-Passwörtern befassen.

Noch grundlegender zwingt das Identity and Access Management Unternehmen, Behörden und andere Organisationen dazu, ihre eigenen Datenrichtlinien ganzheitlich zu definieren. Das ist am Ende nicht nur gut für jedes Netzwerk, sondern führt auch zu einer erhöhten Sicherheit für alle Daten.