Cloud IAM

Neun Gründe für sichere Identitäten in der Cloud

Matthias Reinwarth ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.
Identity Management wurde von vielen Unternehmen lange eher als Stiefkind ihrer Security-Strategie gesehen. Derzeit vollzieht sich aber ein Wandel in dieser Wahrnehmung. Warum ist das so?

Wer man ist und was man darf, sind die zentralen Informationen bei der Nutzung von IT-Systemen - sei es als Bürger, als Mitarbeiter, als Kunde, als Administrator oder in beliebigen anderen Rollen. Das Identitätsmanagement stellt Unternehmen gerade in der Cloud vor neue und große Herausforderungen. Die Verwaltung von Identitäten und deren Zugriffsrechten war bislang ein eher ungeliebtes Kind zwischen IT-Sicherheit und Betriebsaufgaben. Dieses Bild verändert sich aktuell und das geschieht durch die steigende Nutzung der Cloud. Die folgenden Gründe sind zentrale Ursachen dafür:

Sichere Identitäten für Kunden und Interessenten

Praktisch jeder IT-Nutzer ist auch Kunde und Interessent - etwa als Nutzer von Online-Diensten, die traditionelle, modifizierte und völlig neuartige Dienstleistungen im Internet anbieten. Hier erwartet jeder zu Recht ein Höchstmaß an Sicherheit, wenn es um ihre Identitäten, die damit verknüpften Profile oder vertrauliche Informationen wie hinterlegte Zahlungsdaten geht. Eine vertrauenswürdige, sichere und gesetzeskonforme Handhabung von Benutzer-Identitäten ist zwingende Voraussetzung, um das Vertrauen von Kunden und Interessenten langfristig zu rechtfertigen.

Der Schaden, der bei einer unsachgemäßen Handhabung dieser Daten entstehen kann - etwa durch ein Datenleck - ist so substantiell, dass er die Existenz von Unternehmen gefährden kann. Das haben nicht zuletzt die großen, dokumentierten Data Breaches in den USA nachdrücklich bewiesen. Die Bereitstellung und Verwaltung von sicheren Identitäten liegt also im Interesse aller Beteiligten. Dies zeigt sich insbesondere bei der langsam sich durchsetzenden Einführung von Mehrfaktorauthentifizierung mit Fingerabdruck, SMS oder mobiler Authenticator-Applikationen.

Cloud als neue Standardinfrastruktur

Für viele Unternehmen ist das eigene Rechenzentrum nur noch eine Möglichkeit von vielen, wenn es um die Implementation von Infrastrukturen für interne und externe Dienste geht. Mit Blick auf Kosten und Geschwindigkeit gehen viele Unternehmen dazu über, einen großen Anteil von existierenden und neuen Infrastrukturen auf der Basis kostengünstiger Cloud-Anbieter zu implementieren. Dies erfordert natürlich, dass auch Mitarbeiter auf Ressourcen in der Wolke zugreifen können. Damit werden entweder ihre vorhandenen Identitäten logisch zu Cloud-Identitäten oder sie erhalten zusätzliche Identitäten zur Nutzung von Diensten in der Cloud. In beiden Fällen handelt es sich um hochgradig schützenswerte Identitäten in der Cloud. Dies gilt in besonderem Maße für die Administratoren dieser Systeme.

Vertrauenswürde Identitäten für die Zusammenarbeit

Viele aktuelle Entwicklungen erfordern die Notwendigkeit zusätzlicher Identitäten: Neue Kommunikationswege und Kooperations-Modelle zwischen Unternehmen erfordern den Austausch von Partner-Identitäten. Unter dem Stichwort "Extended enterprise" sind diese Identitäten zum Zugriff auf gemeinsam genutzte Dienste notwendig - unabhängig davon, ob diese in der Cloud oder im Unternehmensnetz implementiert sind.

Branchenspezifische Clouds, etwa in der Automobilindustrie, gehen hier den logisch nächsten Schritt, indem sie eine einheitliche Plattform zur Nutzung durch viele kommunizierende Unternehmen ermöglichen. Diese erfordern nicht zuletzt die Bereitstellung einer sicheren einheitlichen Identität für die Teilnehmer (Federation). Das ermöglicht auch den Zugriff auf Identitäten, die sicher durch vertrauenswürdige Dritte, etwa Partnerunternehmen, zur Verfügung gestellt werden.

Die Verwaltung von Identitäten ist durch die steigende Cloud-Nutzung wichtiger als je zuvor.
Die Verwaltung von Identitäten ist durch die steigende Cloud-Nutzung wichtiger als je zuvor.
Foto: ArtFamily - www.shutterstock.com

SaaS als neuer Vertriebsweg für innovative Software

Immer mehr Softwareanbieter gehen dazu über, Ihre Lösungen hauptsächlich oder ausschließlich als Dienstleistung in der Cloud anzubieten. Mit dem Wechsel vom Softwarekauf hin zu einem Miet-Modell geht damit auch der Wechsel hin zu Cloud-Identitäten für die Nutzer solcher Software einher. Mit steigende Kritikalität der in diesen Lösungen implementierten Unternehmensfunktionalitäten (von Customer Relationship Management bis hin zur Auslagerung von unternehmenskritischen Kernprozessen) steigt zwangsläufig die Notwendigkeit, ein Höchstmaß an Sicherheit für diese neuen Identitäten in der Cloud zu Grunde zu legen. Mit Blick auf Audit und Nachvollziehbarkeit der Handlungen müssen Identitäten eindeutig den Nutzern zuzuordnen sein.

Rechtliche und regulatorische Herausforderungen

Die Speicherung von personenbezogenen Daten - und darum handelt es sich bei Identitäten in der Cloud - unterliegt steigenden Anforderungen, wenn es um Sicherheit und Gesetzeskonformität geht. Die hieraus resultierenden Herausforderungen an die Systeme und Prozesse sind erheblich. Ein Nachweis der Erfüllung dieser Anforderungen ist eine stetige und existenzielle Aufgabe für jedes Unternehmen, das diese Aufgaben wahrnimmt. Die Definition und Umsetzung eines Identitäts- und Zugriffsmanagements zur Schaffung und Wahrung von sicheren Identitäten für die Cloud sind ein essentieller Bestandteil, um dies zu erreichen.

Neue Geschäftsmodelle

Sichere Identitäten können damit aber im Umkehrschluss auch als Erfolgsfaktor für das Business betrachtet werden: Ein großer Anteil der neuen Geschäftsmodelle, die sich im Rahmen der digitalen Transformation ergeben, erfordern verlässliche und belastbare Identitäten von Kunden und Interessenten. Hier wird von Seiten des Fachbereichs ein hohes Maß an Flexibilität und Agilität gefordert, während IT-Sicherheit und Compliance mit Recht ein ebenso hohes Maß an Sicherheit erwarten. Werden diese auf den ersten Blick gegenläufigen Anforderungen sinnvoll in Einklang gebracht, kann das Identitätsmanagement seine Rolle als Enabler und Katalysator neuer Geschäftsmodelle wahrnehmen.

Ein gutes, sicheres und agiles IAM für die Cloud ist somit Sicherheitsinfrastruktur und Wettbewerbsvorteil zugleich. Die Einbindung und Verknüpfung existierender Accounts (von Social Logins bei Facebook oder Twitter bis hin zum Google-, Apple- oder Microsoft-Konto) ist hierbei ein zentraler Aspekt. Dass traditionelle IAM-Systeme und deren Prozesse schon mit der schieren Menge potentieller Daten in der Cloud überfordert sein können, liegt auf der Hand.

Identität als neuer Perimeter

Mit dem Weg neuer und klassischer Infrastrukturen in die Cloud und der Ergänzung neuer Arten von Identitäten (Kunden, Partner, Interessenten) treten klassische Sicherheitsinfrastrukturen in den Hintergrund. Gleichzeitig steigen die Häufigkeit der Angriffe und die Anzahl der möglichen Angriffswege um ein Vielfaches. Firewalls und Intrusion-Detection-Systeme zum Schutz der Außengrenzen (Perimeter) des Unternehmens-Netzwerks werden damit nicht zwangsläufig überflüssig.

Mit der steigenden Dezentralisierung und Cloud-Nutzung liefern aber immer häufiger vertrauenswürdige Information über Identitäten die Basis für Authentisierung (starke Passwörter, Mehr-Faktor-Authentifizierung) und Autorisierung (Rechte, Rollen, Eigenschaften). Eine sichere Identität verlagert damit die Grundlage für Sicherheit dorthin, wo sie benötigt wird. Basierend auf den Eigenschaften einer Identität werden kritische Zugänge ermöglicht und sensible Berechtigungen zur Laufzeit erteilt, und dies kann nur sinnvoll auf der Bereitstellung in höchstem Maße sicherer Informationen sinnvoll erfolgen. Entsprechend zwangsläufig ist der Trend hin zu Malware und Hackerangriffen, die genau auf die Erschleichung von Identitäten und deren Zugriffsrechten abziehen.

Sicher durch Kontext

Identitätsdiebstahl ist in der Cloud ein sehr konkretes Risiko. Um dieser Gefahr entgegen zu wirken, können Systeme für sichere Cloud-Identitäten leistungsfähige zusätzliche Funktionalitäten bieten: Neben statischen Eigenschaften einer Identität, wie ihrem Benutzernamen und dem zugehörigen Passwort, werden zunehmend zusätzliche, dynamische Eigenschaften bei der Beurteilung von Sicherheit immer wichtiger: Diese als "Kontext" bezeichneten Daten dienen der Verwertung zusätzlicher, laufzeitbezogener Informationen, also beispielsweise die aktuelle Position des Anwenders, das verwendete Gerät, aber auch historische Informationen.

Verlangt also ein eigentlich in Deutschland verorteter Benutzer morgens um drei Uhr von einem bislang unbekannten Gerät aus einer bislang nicht von ihm benutzten Region Zugriff auf kritische Daten, etwa Konto- und Zahlungsdaten, kann dies ein Signal für die bedrohte Sicherheit einer solchen Identität sein. Die Anforderung eines zusätzlichen, identifizierenden Faktors kann hier Sicherheit bringen, ob es sich um einen legitimen Zugriff handelt oder nicht.

IDaaS statt traditionellem IAM

Natürlich stellt sich auch für das Identitätsmanagement (IAM, Identity and Access Management) die Frage nach einer Verlagerung des Betriebs in die Cloud: Identitätsmanagement als Dienst, der in der Cloud (IDaaS, Identity Management as a Service) für Unternehmen angeboten wird, präsentiert sich als kostengünstige Alternative zu aufwändigen Installationen im eigenen Rechenzentrum. Damit gelten die hiermit verbundenen strengen Anforderungen für das Identitätsmanagement natürlich auch in der Cloud.

Hier entfällt zwar die Notwendigkeit des Betriebs eigener Infrastruktur, aber die Umsetzung angemessener Verwaltungsprozess bleibt hiervon unbenommen. Hierzu gehört nicht zuletzt auch die kontinuierliche Kontrolle und Überwachung von Identitäten und deren Zugriffsrechten (Stichwort: IAG, Identity und Access Governance). Die Bereitstellung sicherer Identitäten ist gerade hier, zum Zugriff auf interne wie externe Ressourcen, von hoher Wichtigkeit.

Fazit

Die oben genannten Gründe zeigen, dass ein sicheres, vertrauenswürdiges und nachvollziehbares IAM für die Cloud heute unverzichtbar ist. Dessen Bereitstellung bietet die Grundlage für eine Vielzahl an Möglichkeiten für Kommunikation, Kollaboration und neue Geschäftsprozesse für praktisch jeden Anwender, der online aktiv ist. Sichere Identitäten sind damit eine zentrale Grundlage sowohl für den notwendigen Datenschutz und den vertrauenswürdigen Zugriff auf sensible Informationen. (sh)