Identity- und Access-Management (IAM)

IAM wird zum Business-Enabler

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Unternehmen kämpfen sich heute meist noch grobschlächtig mit der Machete durch den Dschungel der Identitäten: Unzählige Zugriffsberechtigungen wollen verwaltet und immer dynamischer gestaltet werden. Die anstehende Modernisierung des IAM ist eine wahre Herkulesaufgabe.

Herkules selbst aber hätte diese Aufgabe seinerzeit nicht lösen können: die zentrale Verwaltung von Hunderten, Tausenden oder gar Millionen verschiedenen Identitäten, Benutzerkonten und mobilen Geräten mittels IT. Unternehmen der heutigen Zeit müssen sich der Aufgabe jedoch trotzdem stellen, die durch weltweite, teils öffentliche Cloud-Infrastrukturen, zig verschiedene Plattformen und diverse Formfaktoren erst richtig zu einer solchen geworden ist.

Unternehmen müssen darauf achten, sich nicht im Dschungel der Identitäten zu verirren.
Unternehmen müssen darauf achten, sich nicht im Dschungel der Identitäten zu verirren.
Foto: Slavomir Valigursky - Fotolia.com

Das Thema Identity- und Access-Management (IAM) begleitet das Tagesgeschäft der Sicherheitsverantwortlichen so stark wie selten zuvor. Das beweist das "2013 IBM Chief Information Security Officer (CISO) Assessment": Für mehr als die Hälfte der befragten Top-CISOs aus großen Unternehmen weltweit hat es derzeit höchste Priorität - kein Thema wurde häufiger genannt. IAM schwebt schließlich immerzu wie ein Damoklesschwert über allen, deren sensible Daten in den Systemen und Netzen des Unternehmens schlummern - und damit in erster Linie über dem Vorstand. Es ist eine zentrale Komponente der GRC-Strategie (Governance, Risk, Compliance) und weit mehr als nur die Abwehr unbefugter Zugriffe auf Netze und Applikationen. Durch die Dezentralisierung der Systeme, die moderne Gerätevielfalt und die Möglichkeiten, global Zugang zu Cloud-Infrastrukturen herzustellen, ist IAM von einer systembezogenen zu einer nutzer- und datenbezogenen Frage geworden.

Es geht nicht mehr nur darum, Netze zentral abzusichern - die neue Herausforderung besteht darin, Nutzer mit unterschiedlichsten Zugriffsrechten auf unterschiedlichste Systeme unterschiedlichster Abteilungen zu verwalten. Häufig betrifft das weit mehr als das eigene Unternehmen, weil Private- und Public-Cloud-Provider, Geschäftspartner und Beratungsfirmen, die jeweils wieder komplett verschiedene Lösungen einsetzen, gleich mit betroffen sind. Bedenkt man, dass ein Anwender allein zudem noch einen bunten Strauß privater Online- und Offline-Persönlichkeiten mitbringt, entsteht so der schier unüberschaubare Identitätendschungel.

Viele offene Fragen

Martin Kuppinger sieht die IAM-Schwächen in den Geschäftsprozessen.
Martin Kuppinger sieht die IAM-Schwächen in den Geschäftsprozessen.
Foto: KuppingerCole

Wer nicht genau nachvollziehen kann, wann welche Nutzer welche Rechte für Systeme und Anwendungen benötigen, was sie dann mit diesen Rechten genau tun und mit welchen Geräten diese Rechte wahrgenommen werden, bekommt über kurz oder lang ein Problem. Es entstehen gleich mehrere neue Fragen, die Anwender an ihre aktuelle Infrastruktur stellen müssen: Wie qualitativ hochwertig sind die Identitätsdaten? Wie dynamisch und risiko-basiert sind die IAM-Systeme? Und nicht zuletzt: Wie sorgfältig sind die Geschäftsprozesse aufgesetzt, auf die die IAM-Systeme fußen? Martin Kuppinger, Principal Analyst bei KuppingerCole, stellt den Zusammenhang zwischen den Fragen her: "Die Qualität von Identitätsdaten ist heute oft schwach, weil die Prozesse zwischen Business, HR und IAM nicht ausreichend definiert sind." Diese fehlende Datenqualität sei besonders dann eine Hürde, wenn Geschäftsprozesse mit Partnerunternehmen aufgebaut werden sollen (Stichwort "Connected Enterprise"). Schließlich müsse man sich darauf verlassen können, dass die Authentifizierung von Nutzern zuverlässig sei und einwandfrei funktioniere.

Für Andrew Hindle wird die 'Identität' zum Mittelpunkt des Managements.
Für Andrew Hindle wird die 'Identität' zum Mittelpunkt des Managements.
Foto: David Adamson (www.davidadamsonphotography.com)

"IAM wird immer mehr zum Business-Enabler", sagt Kuppinger. "Ein gutes IAM ist eine Voraussetzung für die Einbindung von Geschäftspartnern und Kunden. Der Zugang zu Systemen und Informationen muss gesichert erfolgen - Zugriff kann man aber nur steuern, wenn man auch die Identitäten im Griff hat." Das wird auch vom Analystenhaus Ovum bestätigt: So kommt der "2013 Enterprise Insights Survey", eine Umfrage unter 6700 IT-Managern, zu dem Ergebnis, dass IAM heute fachbereichsübergreifend eine wichtige Rolle spielt. Auch auf der Nürnberger IT-Security-Messe it-sa waren sich die meisten IAM-Experten einig, dass sich der Bereich aus der Nische der IT-Sicherheit gelöst und das "große Ganze" erreicht hat. Andrew Hindle, technischer Marketingchef beim Cloud-IAM-Anbieter Ping Identity, prognostiziert: "Richtig eingesetzt, geht es bei der nächsten Generation des IAM um viel mehr als IT- und Sicherheitsaspekte. Je mobiler Nutzer werden und je dezentraler die geschäftlichen Prozesse, desto wichtiger wird die 'Identität' als Dreh- und Angelpunkt eines effizienten Managements."

Der Nutzer bestimmt die Authentifizierung

Steve Watts legt die Entscheidungsgewalt über die Authentifizierungswege in die Hände der Nutzer.
Steve Watts legt die Entscheidungsgewalt über die Authentifizierungswege in die Hände der Nutzer.
Foto: SecurEnvoy

Aus der Theorie in die Praxis: Eine IAM-Infrastruktur ist immer nur so modern wie ihre Benutzerschnittstellen. Deshalb ist es wichtig, auch bei der Wahl der Authentifizierungssysteme eine gewisse Flexibilität zu erreichen. Abgesehen davon, dass es von der Wichtigkeit der zu schützenden Daten und Systeme abhängt, wie stark abgesichert etwas sein muss, schlägt der Fokus auf den einzelnen Nutzer spätestens hier voll durch: "Der Trend geht in Richtung Komfort - dahin, dem Nutzer die Wahl zu überlassen", erklärt Steve Watts, CEO von SecurEnvoy, das tokenlose Authentifizierungslösungen anbietet. Er glaubt, dass Unternehmen deshalb mittelfristig alle möglichen Authentifizierungswege gleichzeitig anbieten - tokenlose via SMS, QR-Code-Scans oder NFC genauso wie klassische Kombinationen aus Smartcard und Einmalpasswort und andere Mehrfaktor-Systeme, die mit biometrischen Erkennungsmerkmalen arbeiteten. Im Idealfall sind Single-Sign-On-Lösungen vorhanden, die die Identifikationsdaten über mehrere, gleich kritische Systeme und Applikationen, verwalten und so eine mehrmalige Identifikation ersparen.

Dass Unternehmen bisher zwar Authentifizierungslösungen betreiben, dahinter aber meist keine großartig durchdachte IAM-Strategie steckt, verwundert ob der Komplexität das Themas nicht. Branchenweit üblich ist den Ergebnissen der Ovum-Studie zufolge eine solche nur in stark regulierten Bereichen, also dort, wo es gesetzliche Vorgaben erfordern - wie dem Banken- und Versicherungswesen. Und selbst dort sind die implementierten Systeme überholungsbedürftig: Fast 60 Prozent der von Ovum Befragten aus der Bankenbranche wollen im Laufe der kommenden 18 Monate auf neuere IAM-Lösungen umsteigen. Hier schließt sich der Kreis zu den CISOs, die sich verstärkt mit IAM-Implementierungen und entsprechenden Migrationsprojekten herumschlagen.

Fazit

Die sich verändernden Rahmenbedingungen machen eine Neuordnung des IAM-Marktes und entsprechender Unternehmensstrategien notwendig. Es hilft aber nichts, den zweiten Schritt vor dem ersten zu machen: Viele Unternehmen müssen sich erst einmal darüber klar werden, was sie überhaupt benötigen. Eine Hilfe könnten die Cloud-Provider sein, die zunehmend IAM-Lösungen anbieten, die keine komplexe Integration in die Unternehmenssysteme erfordern. Mit dem Eintritt von Salesforce.com in das bisherige Hoheitsgebiet der IAM-Anbieter kommt nun zudem die Möglichkeit hinzu, Cloud- und On-Premise-Systeme miteinander zu verbinden. Salesforce bietet Identitätsverwaltung für Fachabteilungen aus der Cloud und alternativ on Premise an - der richtige Schritt auf dem Weg zu mehr Nutzerakzeptanz. Ziehen weitere Player nach, könnte das Thema IAM nicht nur zum Top-Thema für den CISO, sondern berechtigterweise auch für den CEO werden. Hindle resümiert: "Der Wettbewerb ist besonders positiv für die Kunden, aber auch für die Branche als Ganzes, denn das verbessert die Sicherheit und erhöht schneller den Komfort für die Nutzer."