IAM aus Distributor-Sicht

Starke Authentifizierung wird zur Pflicht

Ronald Wiltscheck widmet sich bei ChannelPartner schwerpunktmäßig den Themen Software, Security und E-Commerce. Außerdem ist er im Event-Geschäft tätig.
Stefan Bichler, Vertriebsleiter beim Security-VAD Infinigate erläutert seine Sicht auf den IAM-Markt.

Herr Bichler, was verstehen Sie unter dem Begriff IAM (Identity and Access Management)?

Stefan Bichler, Vertriebsleiter bei Infinigate: "Identitäts-Datenbanken aufbauen!"
Stefan Bichler, Vertriebsleiter bei Infinigate: "Identitäts-Datenbanken aufbauen!"
Foto: xyz xyz

Stefan Bichler: Da geht es zum einen darum, alle IT-Entitys, also alle User und Endgeräte im Unternehmen, zu verwalten. Ein ausgereiftes IAM-System bestimmt eindeutig, welche User und Devices mit vorgegebenen Rechten auf ausgewählte Applikationen im Firmennetz zugreifen dürfen.

Damit sind die Rechte der User, was die Nutzung der gesamten IT-Infrastruktur im Unternehmen betrifft, klar geregelt. Das erfolgt meist über die Definition einer Rolle, die jedem Mitarbeiter im Unternehmen zugeordnet wird. Hinzu kommen die Identity-Funktionen, also wie ich mich als User ausweise - hier geht es also um die Authentifizierung. Das alles fasst ein ausgereiftes IAM-System zusammen.

In IAM-Systemen werden als User-Identitäten mit Rollen und Rechten verknüpft, warum?

Bichler: Weil es Sinn macht. Jeder User hat eine Rolle, die mit bestimmten Zugriffsrechten ausgestattet ist.

Was sind für Sie die wichtigsten IAM-Anbieter?

Bichler: Es gibt die großen IAM-Player IBM, Dell und Oracle, daneben viele Spezialanbieter, die Teilaspekte von IAM abdecken. Deren Lösungen helfen entweder nur die Endgeräte und den Zugriff auf dieser zu managen oder aber nur die Identitiäten, was aber den Vollständigkeitsanspruch von IAM-Systemen nicht erfüllt. Ein IAM-System ist aber nicht nur ein Produkt eines Herstellers, sondern eine gezielte Auswahl an Applikationen, welche den Bedürfnissen einer Unternehmung am ehesten entspricht. Ob diese von einem oder mehreren Herstellern kommen, ist im ersten Schritt nicht entscheidend.

Was zeichnet eine gute IAM-Lösung aus?

Bichler: Sie sollte in der Lage sein, einen User mit all seinen Endgeräten und den benötigten Applikationen zu verknüpfen, Denn heutzutage sind es nur noch die Sachbearbeiter, der Tag für Tag an dem gleichen PC arbeiten. Mobile Worker und flexibel einsetzbare Außendienstmitarbeiter nutzen meist zwei, drei oder noch mehr Endgeräte. Deswegen wird es in Zukunft immer wichtiger festzulegen, welche Rolle ein Mitarbeiter einnimmt und auf welche Ressourcen er zugreifen darf. Hier geht es um die korrekte Authentifizierung des Users am Endgerät und da befinden wir uns heute ganz am Anfang einer spannenden Entwicklung. Erst seit kurzem werden Endgeräte mit dem so genannten TPM-Chip (Trusted Platform Module, Anm. d. Red,) ausgestattet, über den die eindeutige Identifizierung des Devices möglich ist. Momentan sind aber noch viele Kunden mit der Verwaltung ihrer User-Daten allein schon überfordert.

Wie funktionieren denn die heute verfügbaren IAM-Systeme?

Bichler: Sie greifen auf ein Master-Verzeichnis, meist das Microsoft Active Directory. zu. Dort holen sie sich die dort hinterlegten User-Daten ab. Danach werden noch andere Quellen (ERP-Systeme, Mail-Server, etc.) angezapft und die daraus extrahierten Daten miteinander verglichen, um festzustellen, ob zum Beispiel der User Stefan Bichler, überall die gleiche Identität hat. Anschließend bekommt jeder Anwender eine feste Rolle zugewiesen.

Und diese Rollen helfen dem Systemadministrator?

Bichler: Ja, denn dadurch kann er allen Mitarbeitern einer Abteilung, etwa Vertrieb, Marketing oder Finanzen, vordefinierte Zugriffsrechte auf Applikationen und Endgeräte gewähren. Und es ist fraglich, ob in Zukunft der Systemadministrator noch die Hoheit über die Userdaten inne hat - es erscheint oft viel sinnvoller, das auf die administrativen Bereiche auszulagern - mit entsprechenden Softwaresystemen ist das schon heute problemlos möglich. Die IT ist dann nur noch für die technische Umsetzung zuständig.

Und man loggt sich als User nur noch mit dem eigenen Rollen-Passwort via SSO (Single-Sign-On) ein?

Bichler: Im Prinzip ja, aber hier kommt oft noch die "starke" Authentifizierung hinzu, etwa mit einer Smartcard oder mit Hilfe eines Einmal-Passswort-Generators.

Hier stellt sich die Frage ist ja, wie viele User zum Beispiel ihr Facebook-Passwort auch als Zugangskennung für die Finanzbuchhaltung in ihrem Unternehmen einsetzen - was natürlich zum Missbrauch einlädt. Mit einem starken Authentifizierungsverfahren wird dagegen jedes Mal ein komplexes Passwort erzeugt.

Können dafür auch biometrische Verfahren eingesetzt werden?

Bichler: Eher nein, die sind entweder zu teuer oder unzuverlässig, man denke da nur an die Fingerprint-Sensoren an iPhones, die extrem leicht manipulierbar sind.

Und was erwartet uns dann 2014 im IAM-Umfeld?

Bichler: Auf jeden Fall der zunehmende Einsatz der starken Authentifizierungsverfahren. Dies wird auch notwendig sein, weil immer mehr Applikationen in die Cloud ausgelagert wurden, man denke da nur an die Erfolgsgeschichte von salesforce.com. Mit starker Authentifizierung in Verbindung mit Cloud-SSO-Systemen könnten Unternehmen von zentraler Stelle dafür sorgen, dass Mitarbeiter bestimmte Cloud-Dienste nutzen können, der Zugang aber von zentraler Stelle kontrolliert wird. So können die Firmen-User-Accounts so eingerichtet werden, dass für sie der Zugang zu unsicheren Cloud-Services versperrt bleibt.

Ein weiterer Trend ist es, das gesamte SSO-System in die Cloud zu portieren, um sich die Kosten für die Infrastruktur zu sparen, aber das werden im ersten Schritt wahrscheinlich nur die wenigsten Unternehmen tun.

Worauf sollten Unternehmen im IAM-Umfeld jetzt also besonders achten?

Bichler: Sie müssen fürs sich über die folgenden zwei Fragen beantworten: Wie wollen sie künftig mit der Multi-Device-Infrastruktur in ihren Netzwerken umgehen und welche Firmenapplikationen, die als Cloud-Service nutzen, können sie in ein IAM-System einbinden)

Was müssen die Unternehmen dafür konkret tun?

Bichler: Als erstes sollten sid Identitäts-Datenbanken aufbauen und sie fortlaufend pflegen. Im zweiten Schritt gilt es, feste Rollen zu definieren und diese Rollen mit Zugriffsrechten auf Applikationen ausstatten.

Das neue an diesem Modell ist die Tatsache, dass ich einem User eine Rolle zuweise, und diese Rolle mit bestimmten Rechten verknüpft ist. Heute werden Rechte Usern oft willkürlich zugewiesen, ohne dass sie weiter kontrolliert werden. Oft verfügen Praktikanten über die meisten Rechte, da sie in verschiedenen Stellen im Unternehmen eingesetzt werden.

Ab welcher Firmengröße ist dieses Rollenmodell zu empfehlen?

Bichler: Das ist natürlich abhängig von der Branche, in der das Unternehmen tätig ist. Grob geschätzt lohnt das Rollenmodell bereits ab 100 Mitarbeiter. (rw)