Im Identitätsmanagement sollen Nutzer selbst Berechtigungen und Daten freigeben können. Ohne aktuelle Risikoinformationen geht dies aber nicht.
User-Managed IAM hilft dem Datenschutz, steigert das Vertrauen der Nutzer und gibt dadurch dem Online-Geschäft Rückenwind. Gleichzeitig hilft die aktive Teilnahme des Nutzers mittels Self-Service-Funktionen bei der Reduzierung der Helpdesk-Aufwände.
Bei einem Risk-based IAM werden grundsätzlich die Risiken betrachtet, die von einer Identität, einem Zugang oder einer Berechtigung ausgehen.
Das Modell der Zukunft ist eine Mischung aus beidem: Das Identity and Access Management muss sowohl Nutzer als auch Risiken im Blick haben.
Identity and Access Management (IAM) führte lange Zeit ein Schattendasein und wurde in Unternehmen eher notgedrungen angegangen. Inzwischen gibt es ein neues Bewusstsein: IAM ist eine zentrale Grundlage des digitalen Geschäfts. Cloud-Services, mobiles Business und Internet of Things (IoT) ist ohne ein umfassendes und zuverlässiges Identitätsmanagement nicht realisierbar.
Tatsächlich gibt es einen deutlichen Bedarf für eine Fortentwicklung im IAM: Die digitalen Identitäten, die es zu verwalten gilt, befinden sich nicht mehr alleine innerhalb der Firewall-Grenzen der Unternehmen. Digitale Identitäten sind nicht mehr nur verbunden mit internen Nutzern, sondern mit externen Partnern, Kunden, Anwendungen, Schnittstellen, Endgeräten und Maschinen.
Unternehmen fürchten die Risiken, die von schlecht organisierten Berechtigungssystemen ausgehen. Neben den besonders hohen Privilegien sind es insbesondere die unnötigen Berechtigungen und die veralteten, inaktiven Zugänge, die als riskant betrachtet werden. Foto: Courion
Diese vielfältigen Identitäten können und sollen alle miteinander in Beziehung treten können, definiert und sicher, versteht sich. IAM-Lösungen müssen sich durch Skalierbarkeit, Sicherheit, Schnelligkeit und Flexibilität auszeichnen.
Auf Komplexität antworten
Die zunehmende Komplexität bei der Definition und Steuerung der Identitäten und Zugriffe erzeugt ohne geeignete Lösungen hohe Aufwände bei den Unternehmen, aber auch mögliche Risiken, die übersehen werden könnten.
Deshalb sind zwei wichtige Entwicklungen im Identity and Access Management zu verzeichnen: IAM wird zunehmend zu einem User-managed IAM und zu einem Risk-based IAM. Diese Entwicklungen scheinen zu einem gewissen Grad gegenläufig zu sein: Gerade der User ist es, mit dem viele Risiken verbunden sind, der unsichere Geräte einsetzt oder unerlaubte Anwendungen öffnen will. Entscheidet der User, geht dies zu Lasten der Risiken, so scheint es.
Umfragen bei IT-Entscheidern zeigen den Bedarf an einer Optimierung im Identity and Access Management. Foto: Wisegate
Umgekehrt ist es aber auch der Nutzer, der zur richtigen Zeit die jeweils richtigen Berechtigungen für seine Aufgaben braucht und dem aus Gründen des Datenschutzes die Hoheit und Kontrolle über seine Daten (zurück)gegeben werden sollen.
Im Folgenden werden deshalb die Entwicklungen User-managed IAM sowie Risk-based IAM genauer betrachtet und in Verbindung gesetzt, so dass Anwenderunternehmen die richtige Strategie in ihren IAM-Projekten wählen können und Nutzer und Risiken die notwendige Berücksichtigung finden.
Nutzer werden zu Entscheidern
User-managed IAM stellt den Nutzer in doppelter Hinsicht in den Mittelpunkt, einmal um Supportkosten zu senken und die Produktivität zu steigern, zum anderen aber auch, um den Nutzern mehr Kontrolle innerhalb des Identitäts- und Zugriffsmanagement zu geben. Beide Motive lassen sich leicht begründen.
10 Schritte zum IAM-System
In zehn Schritten zum IAM Softwarelösungen für das Berechtigungs-Management, so genannte Identity-Access-Management-Systeme (IAM), haben sich von ihrem früheren reinen IT-Fokus gelöst. Zwar werden über Single-Point-of-Administration, HR-gestütztes Provisioning und rollenbasierte Zugriffskontrolle nach wie vor Kostensenkung und effizientes Benutzermanagement realisiert. Bei den heutigen IAM-Systemen handelt es sich aber vor allem um Business-Collaboration-Plattformen, die auf eine umfassendere Beteiligung der Fachabteilungen an der Zugriffsverwaltung setzen. <br /> Sie eröffnen erweiterte Möglichkeiten für die Umsetzung von Regularien, Gesetzesvorgaben und des Risikomanagements. IAM wird damit zur tragenden Säule im Rahmen der Governance-, Risk- & Compliance-Strategie (GRC) eines Unternehmens. Der folgende 10-Punkte-Plan gibt einen Überblick, worauf bei der Einführung eines IAM-Systems zu achten ist.
Gemischte Projektteams aus IT und Business IAM ist längst kein reines IT-Thema mehr. Meist können nur Personen außerhalb der IT, die über umfassende Kenntnisse der internen Geschäftsprozesse und der Organisation verfügen, die erforderlichen Informationen zu wesentlichen Aspekten beisteuern: Rollenkonzepte, Genehmigungsstrukturen, Erwartungen an die Nutzeroberflächen oder auch was Barrieren zwischen einzelnen Abteilungen angeht. <br />Projektteams zum Aufbau eines IAM-Systems sollten deshalb stets aus Kompetenzträgern sowohl aus der IT als auch aus dem Business bestehen.
Ziele definieren Klar definierte Ziele und Dienstleistungen sowie ein eng gesteckter Rahmen zu deren Planung und Überwachung sind Erfolgsfaktoren eines jeden IAM-Projektes. Dies wiederum erfordert eine enge Zusammenarbeit zwischen erfahrenen Mitarbeitern sowohl beim Anwender als auch dem implementierenden IAM-Hersteller. <br />Es ist daher sicherzustellen, dass alle Daten und Ziele miteinander vereinbart und von jedem am Projekt Beteiligten verstanden werden, bevor die Einführung beginnt. Jede spätere Anpassung verlängert das Projekt unnötig, sowohl zeitlich als auch hinsichtlich des Budgets.
Vor Start des Projektes: Aufräumen! Hohe Datenqualität ist der Schlüssel für erfolgreiches Identity Access Management. Diese Ausgangssituation ist aber keineswegs selbstverständlich, wenn ein entsprechendes Projekt aufgesetzt wird. Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind fehlende Verbindungen zwischen Konten und den Nutzern, verwaiste Konten, Rechtschreibfehler, etc. <br />Jedes IAM-Projekt beginnt daher mit einer Konsolidierung der User-IDs, bei der die Benutzerkonten ihren Besitzern zugewiesen werden. So spürt man im ersten Schritt sehr schnell verwaiste Konten auf.
Umsetzung in Phasen Eine IAM-Lösung sollte sowohl alle unternehmensweiten IT-Systeme integrieren können als auch ausreichend skalierbar hinsichtlich der Anzahl der einzubindenden Nutzer sein. Doch muss dies alles nicht auf einmal umgesetzt werden; sinnvoller ist es, das Projekt in erreichbare Zwischenziele aufzuteilen und diese Schritt für Schritt abzuarbeiten.<br /> In der ersten Phase wird dabei nur eine begrenzte Anzahl von Zielsystemen angebunden – idealerweise die wichtigsten; die Anwender nutzen zunächst nur Standardfunktionalitäten. Erste Erfolge sind dadurch schneller sichtbar, was letztlich zum schnelleren Erreichen der vollständigen Projektziele führt.
Anschluss des HR-Systems Probleme im Bereich der Rechteverwaltung resultieren oft aus unzureichender Koordinierung zwischen Human Resources und IT-Abteilung. Meldet das HR-Team Änderungen in der Personalstruktur oder bei den Stellenbezeichnungen der IT zu spät oder sogar gar nicht, kann dies schwerwiegende Folgen haben: Personen erlangen Zugang zu Konten, obwohl sie aufgrund ihrer neuen Rolle gar kein Recht mehr dazu hätten – oder weil sie das Unternehmen sogar ganz verlassen haben. <br />Eine manuelle, nicht automatisierte Informationspolitik und dezentrales Arbeiten tragen noch dazu bei, dass sich Fehler in den Berechtigungsstrukturen schnell und unkontrolliert ausbreiten. Das HR-System sollte deshalb als erstes mit dem IAM-System verbunden werden, um hier zu einer Automatisierung zu gelangen und damit Sicherheit und Kontrolle zu gewährleisten.
Customizing auf ein Minimum reduzieren Führende IAM-Anbieter verkaufen nicht bloß ein Toolkit. Basierend auf der Erfahrung aus vielen realisierten Projekten, sind vorkonfigurierte Standardsysteme vielmehr nach dem Best-of-Breed-Ansatz konzipiert. Auf Standardszenarien verzichten, um ein System möglichst individuell an die Gegebenheiten eines Unternehmens anzupassen, sollte deshalb die Ausnahme bleiben. <br />In einem Standardprodukt spiegelt sich bereits das langjährig erworbene Wissen eines Herstellers um die verschiedensten Herausforderungen im IAM-Umfeld und die jeweils beste Lösung wider. Der Einsatz von Standardkomponenten reduziert zudem auch Implementierung und Wartungskosten auf ein Minimum. <br />Kunden sollten sorgfältig prüfen, ob es statt aufwändigem Customizing nicht sinnvoller wäre, die vorgeschlagene Vorgehensweise eines Standardproduktes zu übernehmen und die eigenen Strukturen hinsichtlich der Prozesse, Terminologie und Verantwortung anzupassen.
Rollen implementieren Das Bündeln von Zugriffsrechten in so genannten "Rollen" reduziert den Administrationsaufwand erheblich und stellt die Grundlage für eine Automatisierung im Bereich der Rechtevergabe dar. Eine Rolle ist die Sammlung einzelner Zugangsrechte, die für eine bestimmte Funktion oder Aufgabe im Unternehmen erforderlich sind.<br /> Role-Mining-Tools bieten Hilfe bei der Definition von Rollen und deren Optimierung über einen kontinuierlichen Prozess hinweg. Hier ist jedoch Vorsicht geboten: Die Einführung von Rollen erfordert mehr als eine einmalige Definition von "Zugriffsrecht-Clustern".
Rollenverantwortliche festlegen Rollen sind lebende, wandelbare Strukturen, die einem ständigen Überwachungs- und Anpassungsprozess unterliegen sollten. Deshalb benötigen sie einen zugewiesenen Besitzer, der die Verantwortung für ihre saubere Ausgestaltung übernimmt. Er muss die Rollen regelmäßig dahingehend überprüfen, ob aufgrund von Veränderungen in der Organisation oder der IT-Systeme Anpassungen notwendig sind. <br />Was für die IAM-Einführung im Großen gilt, hat deshalb auch für das Thema Rollen Relevanz: Aufteilen eines Rollenprojektes in kleine Teilziele, Einbeziehung von sowohl Business- wie IT-Verantwortlichen.
Top-down-Vorgehen Ein Risikobewertungssystem ist ein leistungsfähiges Werkzeug, um die einzelnen Objekte im Access Management – Benutzer, Rollen und Konten – in eine sinnvolle Rangfolge abhängig von ihrer Relevanz zu bringen. Ein solches System jedoch für die gesamte Struktur der Zugriffsrechte zu implementieren, kann zu einem zeitaufwändigen und ressourcenintensiven Projekt führen. <br />Es empfiehlt sich ein Top-down-Ansatz, bei dem die Aufmerksamkeit zunächst auf wichtige Aspekte in einem frühen Stadium des IAM-Betriebs gerichtet wird. Zu einer vollständigen Risikobewertung kann das Unternehmen dann im Laufe der Zeit aufschließen.
Schnellere Erfolge auf Fachabteilungsebene Treiber eines IAM-Projektes sind in der Praxis oft Wirtschaftsprüfer oder IT-Manager. Um eine Akzeptanz über alle Unternehmensbereiche hinweg zu erreichen, sollte ein Anwenderunternehmen im frühen Projektstadium bereits solche Funktionen evaluieren, die sich an den Wünschen und Bedürfnissen des einzelnen Anwenders orientieren. <br />Warum nicht die verfügbaren vorkonfigurierten Workflows für Anfrage oder Passwort-Reset schon einmal anbieten, anstatt damit zu warten, bis die Lösung bei Projektende zu 100 Prozent implementiert ist? Mit diesem Ansatz wird der Nutzen eines IAM-Systems schnell im praktischen Arbeitsalltag für alle – vom Anwender bis zum Management – spürbar, was ein wichtiger Baustein für den Gesamterfolg des IAM-Projektes ist.
Realistisch bleiben Der 10-Punkte-Plan verdeutlicht es: Moderne IAM-Systeme binden Fachabteilungen ein und verschaffen eine am Geschäftsprozess ausgerichtete und verständliche Sicht auf Identitäten und deren Rechte.<br /> Die Bäume wachsen auch beim Thema Identity Access Management nicht in den Himmel. Erfolgreich sind solche Projekte, bei denen sich die Beteiligten realistische Zwischenziele setzen und Stück für Stück zu einem unternehmensweiten IAM-System vorarbeiten. <br />Dieses erfüllt dann seinen eigentlichen Zweck: die Umsetzung der GRC-Strategie des Unternehmens.
Helpdesks in Unternehmen stehen vor deutlich wachsenden Aufgaben, da die Zahl der Endgeräte, Anwendungen, Services und damit der gewünschten Zugänge und Berechtigungen stark ansteigt. Wie eine IDC-Umfrage ergab, wollen 45 Prozent der Unternehmen in Deutschland die Kosten für ihre IT-Services senken. Einen Weg dorthin bilden die Self-Service-Funktionen bei IAM-Lösungen.
Die Nutzer können die nach ihrer Meinung benötigten Zugänge und Zugriffe beantragen. Innerhalb festgelegter Richtlinien lassen sich solche Anträge automatisch prüfen und freigeben. Nur mögliche Abweichungen von den internen Vorgaben müssen noch durch die IT-Administration oder die Fachvorgesetzten kontrolliert und ggf. freigegeben werden. Betrachtet man, wie hoch der Anteil der Helpdesk-Anfragen zu vergessenen Passwörtern und zu gewünschten Berechtigungen ist, wird schnell deutlich, dass sich dadurch Kosten senken und Abläufe straffen lassen.
Ein Trend im IAM ist das User Empowerment. Sogenannte Life Management Platforms wie Meeco sollen dem Nutzer die Kontrolle geben, welcher Anbieter auf welche Daten des Nutzers zugreifen darf. Foto: Meeco
Das zweite Argument für den neuen Nutzerfokus im IAM ist die hohe Bedeutung, die dem Datenschutz gerade im deutschsprachigen Raum zugemessen wird. Kunden als externe Nutzer von Online-Diensten zum Beispiel sind besorgt, was mit ihren personenbezogenen Daten geschieht. Transparenz bei der Datenverarbeitung gehört zum Datenschutz unbedingt dazu und erhöht das Vertrauen der Kunden.
Kontrolle über die Daten
Zudem wollen die Kunden die Kontrolle über ihre Daten behalten können, aus Sicht des Datenschutzes müssen sie es sogar. Wie eine NIFIS-Umfrage ergab, sehen 73 Prozent der Unternehmen in Deutschland den Kontrollverlust über ihre Daten als eine der Hauptgefahren für die deutsche Wirtschaft beim Cloud Computing. Das ist für den einzelnen Nutzer nicht anders.
Initiativen wie Kantara arbeiten daran, dass Nutzer die Zugriffe auf ihre Daten selbst verwalten können. Anwender können dann nicht nur Berechtigungen an den Daten Dritter beantragen, sondern auch die Rechte an den eigenen Daten vergeben oder verwehren. Die Spezifikationen für User-Managed Access (UMA) haben kürzlich den Status 1.0 erreicht und bieten Anwendern die Möglichkeit, eigene Richtlinien für Zugriffe auf ihre Nutzerdaten aufzustellen und durchzusetzen.
Standards wie User-Managed Access (UMA) liefern die Grundlage dafür, dass Nutzer selbst die Kontrolle über ihre Datenfreigaben ausüben können. Foto: OpenUMA
User-Managed IAM hilft dem Datenschutz, steigert das Vertrauen der Nutzer und gibt dadurch dem Online-Geschäft Rückenwind. Gleichzeitig hilft die aktive Teilnahme des Nutzers mittels Self-Service-Funktionen bei der Reduzierung der Helpdesk-Aufwände. Trotzdem sollte das neue Identity and Access Management nicht nur nutzerzentriert sind.
Risikoanalysen unterstützen
Eine weitere, starke Strömung bei IAM-Lösungen kann mit Identity Intelligence, Access Intelligence oder auch Risk-based IAM umschrieben werden. Sicherheitsforscher und Analysten warnen seit langem, dass die Verwaltung von Identitäten, Zugängen und Zugriffen deutlich gewissenhafter betrieben werden muss. Wie es zum Beispiel Forrester Research bezeichnet, sind schlecht organisierte Zugriffsrechte zu sehen wie eine bevorstehende Datenpanne, sprich: Fehler im IAM rächen sich früher oder später durch das Auftreten von Datenpannen und IT-Sicherheitsvorfällen.
Bei einem Risk-based IAM werden grundsätzlich die Risiken betrachtet, die von einer Identität, einem Zugang oder einer Berechtigung ausgehen. Als mögliche Risikofaktoren gelten zum Beispiel der aktuelle Standort von Nutzer und Gerät, die verwendete IP-Adresse, der Sicherheitsstatus des Gerätes, der Status der Sicherheitssoftware, die Geschäftsrelevanz und Kritikalität der angefragten Anwendung und der Schutzbedarf der jeweiligen Daten.
Risikoeinschätzung
Die entsprechende Risikobewertung hilft dem Unternehmen, die Freigabe angefragter Zugänge, Anwendungen und Berechtigungen nicht nur auf Basis vorab definierter, statischer Richtlinien zu erteilen oder zu versagen. Vielmehr erhält der Administrator oder die freigebende Stelle eine aktuelle Entscheidungsgrundlage: die Risikoeinschätzung.
Sieben Tipps für den Schutz der digitalen Identität
Die eigene digitale Identität schützen Der Security-Software-Hersteller ESET hat einige Empfehlungen zusammengestellt, wie Anwender ihre Daten auch in der digitalisierten Welt schützen.
Auf Warnsignale achten Identitätsdiebe ändern regelmäßig private Adressen, sodass Briefe den Empfänger nicht mehr erreichen. Erhält man beispielsweise keine Briefe mehr von der eigenen Bank, kann dies ein erstes Anzeichen für Identitätsdiebstahl sein. Um solchem Missbrauch zu entgehen sei jedem angeraten, die eigene Bank zu kontaktieren, wenn erwartete Briefsendungen nicht zum sonst üblichen Zeitpunkt ankommen. Außerdem hilft es, auch unerwartete Post von unbekannten Finanzinstituten immerhin zu überfliegen, anstatt sie direkt als unerwünschte Werbung abzutun. Wenn von einem Darlehensgeber oder Kreditkartenunternehmen ein Umschlag im Briefkasten liegt, sollte dieser in jedem Fall durchgelesen werden, um sicherzustellen, dass keine fremde Person ein Darlehen auf fremden Namen aufgenommen hat.
Bonität regelmäßig prüfen Bei Kreditauskunfteien wie der Schufa in Deutschland oder KSV1870 in Österreich kann sich jeder über die eigene Bonität informieren und herausfinden, ob Kreditkarten oder Darlehen unter dem eigenen Namen laufen, die gänzlich unbekannt sind. Eine solche Bonitätsauskunft ist einmal im Jahr kostenfrei und sollte für jedermann ein absolutes Muss sein.
Wichtige Briefe immer persönlich versenden Kreditkarten-Anträge oder Steuererklärungen enthalten wertvolle Informationen, die auch ein Cyberkrimineller wertschätzt. Denn diese Daten genügen ihm, die Identität des Opfers zu kopieren und für seine eigenen Zwecke zu missbrauchen. Briefe, die solche sensiblen Informationen enthalten, dürfen folglich niemals unbedacht an andere Personen weitergegeben werden.
Onlinebanking: regelmäßig Passwort ändern Das Passwort zum Onlinebanking-Account gehört zu den wichtigsten Sicherheiten, die jeder Bankkunde hat. Wahrscheinlich ist das vielen Nutzern bewusst und dennoch gibt es mit Sicherheit einige, die dasselbe Passwort benutzen wie schon vor ein paar Jahren. Für all jene, auf die dies zutrifft: Passwort umgehend ändern. Manche Seiten fordern regelmäßig dazu auf, das Passwort zu ändern. Nutzer reagieren darauf häufig, indem sie einfach ein Sonderzeichen oder eine Ziffer an das bestehende Passwort anhängen. Das ist jedoch keine zu empfehlende Vorgehensweise. Denn sollte ein Passwort irgendwann einmal kompromittiert werden, ist das das erste, was ein Passwort-Knacker ausprobieren wird.
Bei Anrufen gilt keine Auskunftspflicht Identitätsbetrüger verlassen sich häufig darauf, dass Leute Informationen aus eigenem Antrieb preisgeben – zum Beispiel bei Anrufen oder indem sie auf gefälschte E-Mails von ihrer Bank oder einem anderen Institut antworten. So arbeiten Banken aber nicht. Wenn ein Telefonat merkwürdig erscheint, ist es jedermanns gutes Recht, einfach aufzulegen.
Auch zuhause persönliche Informationen schützen Wer fremde Leute wie Vertreter oder Reinigungskräfte in die eigenen vier Wände lässt, sollte in jedem Fall sicherstellen, dass Dokumente wie Steuererklärungen, Kreditkarteninformationen und Ausweise nicht offen herumliegen. Im Falle eines Einbruchs ist es von höchster Wichtigkeit zu prüfen, ob sich jemand der Identität bemächtigt hat.
Vorsicht bei Facebook-Tests Links in sozialen Netzwerken sind generell mit Vorsicht zu genießen. Insbesondere die beliebten Facebook-Tests sollte man niemals unreflektiert anklicken. Denn manche dieser Tests sind nicht nur langweilig, sondern auch gefährlich.
Ein Risk-based IAM kann aber noch mehr: Berechtigungen werden nicht dauerhaft vergeben, sondern dynamisch und zeitlich begrenzt. Ändert sich die Risikobewertung für eine bestehende Berechtigung, kann diese auch nachträglich entzogen werden. Die sogenannte Rezertifizierung der Berechtigungen, also die regelmäßige Kontrolle der erteilten Privilegien, wird dadurch deutlich unterstützt.
Identitäten und Berechtigungen müssen immer in ihrem aktuellen Kontext gesehen werden, also jeweils in Verbindung mit der bestehenden Sicherheits- und Risikolage überprüft werden. Dabei ist der Kontext zum einen nutzerabhängig, zum anderen transaktionsabhängig. Eine IAM-Lösung sollte also berücksichtigen, welcher Nutzer was genau womit wann und wo machen möchte.
IAM wird zur Echtzeitlösung
Die hohe Dynamik im IAM bedingt es, dass die Freigabe von Zugängen und Berechtigungen sehr schnell erfolgen muss. Kein Nutzer will und kann längere Zeit warten, bis die gewünschten Zugangs- und Zugriffsrechte erteilt oder die entsprechende Anfrage zumindest beantwortet ist. Dabei können je nach Anwendungsszenario schon zehn Sekunden eine längere Zeit sein.
Möglich werden so schnelle Reaktionen durch die automatische Freigabe und Überprüfung durch das IAM-System. Die Rechtevergabe erfolgt dadurch in kurzer Zeit, aber auch nur für kurze Zeit. Entscheidend ist, dass insbesondere solche Zugänge und Privilegien nur für kurze Dauer vergeben werden, die mit höheren Risiken versehen sind. Welche Risiken aktuell besonders hoch sind, beantwortet die Risikoanalyse-Funktion der IAM-Lösung in nahezu Echtzeit.
Dashboards bieten Orientierung
Ohne menschliche Interaktion geht es aber auch im Risk-based IAM nicht. So muss es zum Beispiel möglich sein, dass der Entscheider aus bestimmten Gründen zulässt, dass ein Nutzer einen risikobehafteten Zugang oder besonders hohe Privilegien in einem IT-System erhält. Das damit verbundene Risiko übernimmt dann der Entscheider, der dies mit den geschäftlichen Vorteilen aus der Freigabe abwägen wird.
Technisch umsetzen lässt sich dies, indem den Entscheidern eine Liste der Zugangs- und Zugriffsanfragen, die vom Standard abweichen, im IAM-System angezeigt wird. Zusätzlich zur Anfrage können Risk-based IAM-Lösungen einen Risikowert für die Anfrage anzeigen, im einfachsten Fall zeigt das Dashboard Hinweise nach einem Ampelsystem. Der Managerin oder dem Manager wird damit signalisiert, dass ein erhöhtes Risiko besteht. Trotzdem kann dann entschieden werden, das Risiko einzugehen und die Freigabe zu erteilen.
Freigaben für Zugänge und Zugriffe sollen in den neuen IAM-Lösungen aber nicht nur von Administration und Management kommen, sondern im zuvor beschriebenen User-managed IAM auch von dem einzelnen Nutzer selbst. Auch der einzelne Anwender braucht dann Unterstützung bei der möglichen Freigabe seiner Daten, auch hier sollten Risikowerte für die angefragten Berechtigungen angezeigt werden.
Risikobewertungen zu Identitäten und Berechtigungen helfen bei der Freigabe und Kontrolle im IAM. Foto: Beta Systems
Sowohl bei den Self-Service-Funktionen als auch bei dem User-managed Access aus Datenschutz-Sicht sind somit aktuelle Risikobewertungen hilfreich, um dem Nutzer eine erhöhte Gefährdung anzuzeigen. Beantragt ein Nutzer im Self-Service eine besonders risikobehaftete Berechtigung, könnte zum Beispiel eine Einwilligung zur Protokollierung der Aktivitäten abgefragt werden, so dass der Nutzer weiß, dass eine Auditierung seines neuen Zugangs stattfindet. Alternativ werden dynamisch nur die Berechtigungen in dem Self-Service-Portal angezeigt, die eine bestimmte Risikoschwelle nicht überschreiten. Die Auswahlmöglichkeiten für den Nutzer werden also auf Basis des aktuellen Risikos gefiltert.
Modernes Identitäts-Management
Beliebige Endgeräte können sich zu jeder Zeit und an jedem Ort anmelden Unternehmen müssen eine riesige Anzahl von Geräten, Anwendungen, Benutzern und die zahlreichen Beziehungen zwischen diesen unterstützen und dabei über all ihre Berührungspunkte hinweg das gleiche Kundenerlebnis bereitstellen. Heutige Systeme für Identity Relationship Management können fast beliebige internetfähige Geräte, darunter Laptops, Touchpads und sogar Autos, sowie neue mobile und soziale Apps mit einer zentralen Sicherheitsplattform verbinden, die Identitätssynchronisierung und Einmalanmeldung (Single Sign-On, SSO) jederzeit, überall, vor Ort oder in der Cloud ermöglicht.
Bereitstellung kontextsensitiver Dienste Ein Log-in ist heute nicht mehr eine einfache Ja-/Nein-Entscheidung. Mehrere Faktoren sollten darüber bestimmen, ob ein Benutzer Zugriff erhält - und falls ja, in welchem Umfang und worauf. Ein Unternehmen kann zum Beispiel sein IRM-System so einrichten, dass es je nach Situation eine zusätzliche Authentifizierungsangaben erfordert, wenn sich jemand von einem neuen Gerät oder einem anderen Land anmeldet.<br /><br /> Kontextsensitivität erhöht den Wert digitaler Dienste. Das In-Car-Portal von Toyota ist sich zum Beispiel immer im Klaren darüber, welcher Autobesitzer gerade auf die Plattform zugreift und wo sich Fahrer und Fahrzeug gerade befinden. Auf diese Weise kann das System Tankstellen empfehlen, einen Parkplatz finden, Echtzeit-Verkehrsinformationen bereitstellen und bei Umleitungen die Strecke neu berechnen. Andere Dienste können eine große Auswahl von Kontextdaten wie Standort, Uhrzeit, Kundendatensatz, Temperatur, Gerät und praktisch alle sonstigen Informationen nutzen, um die Interaktionen mit Benutzern individuell anzupassen.
Skalierung auf Tausende oder sogar Millionen von Identitäten Da IRM-Systeme für den Zugriff auf Dienstleistungen für Kunden entwickelt wurden, bieten sie von Haus aus Kapazitäten für Tausende oder Millionen von Identitäten. Sie ermöglichen die schnelle Verifizierung dieser Identitäten sowie ihrer Berechtigungen. Immer mehr Benutzern, Geräten und Dingen wird netzwerkweit eine Identität zugeordnet. IRM hilft Unternehmen dabei, eine unkontrollierte Zunahme von Anmeldeinformationen zu vermeiden sowie einen nahtlosen und reaktionsschnellen Zugriff zu gewährleisten.
Offenheit und Sicherheit von Open Source Eine gute IRM-Plattform ist als integrierte, zusammenhängende System- und Lösungsinfrastruktur konzipiert, die speziell entwickelt wurde, um komplexen Anforderungen Rechnung zu tragen. Open-Source-Lösungen sind gut geeignet, um der paradoxen Herausforderung gerecht zu werden. Sie können sowohl Offenheit als auch Sicherheit auf einer einheitlichen, hochskalierbaren Plattform bereitstellen. Und sie können mit praktisch jedem Gerät verbunden werden – auch mit verschiedenen Versionen gleichartiger Geräte. Erfahrenen Architekten zufolge sind sie zudem sicherer, weil Entwickler in der Lage sind, sicherheitsbezogene Programmfehler schneller zu identifizieren und zu beheben als bei Legacy-Closed-Source-Plattformen.
Schnellere Umsetzung neuer Geschäftsmodelle Jedes Unternehmen will wachsen. Doch Unternehmen, die dafür Konsumente ansprechen und als neue Kunden gewinnen wollen, kommen dabei oft an Grenzen, weil es aufwändig ist, hunderttausende von Kunden adäquat in der IT abzubilden. Die früher gängigen Identitäts-Lösungen lassen sich nicht in diesem Maße skalieren. Da Verbraucher stärker personalisierte Dienstleistungen verlangen, müssen sich Unternehmen Identitäten zunutze machen, um visionäre Ideen in Anwendungen zu verwandeln. Mit einem schlüssigen, ausgereiften IRM können Unternehmen schnell Lösungen bereitstellen, die mit jedem beliebigen Gerät für Millionen von Kunden funktioniert. Ein für das Internetzeitalter designtes Identitäts-Management ist also das Fundament, auf dem Unternehmen Innovationen bauen.
Für die Steuerung der Zugriffe auf seine eigenen Daten kann der einzelne Nutzer genauso vorgehen wie die Managerin oder der Manager: Vor der Freigabe der eigenen Daten für bestimmte Personen, Anwendungen oder Geräte werden die aktuellen Risiken angezeigt, die damit verbunden sind. Der Nutzer selbst entscheidet dann, ob er oder sie das Risiko eingehen will oder nicht. Dies entspricht dem Gedanken der "informierten Einwilligung" im Datenschutz.
Nutzer- und risikobasiert
Es zeigt sich: Die aktuellen Entwicklungen im IAM widersprechen sich nicht etwa, sondern ergänzen sich. Nicht das Risiko alleine entscheidet, sondern immer der Nutzer oder Manager auf Basis der Risikoinformationen, sei es im User-managed IAM bei den Self-Service-Funktionen zur Entlastung des Helpdesks, bei der Stärkung der Nutzerrechte (Betroffenenrechte) im Datenschutz oder im Risk-based IAM, bei der Risiken aktuell berücksichtigt und die Nutzer oder Manager bei ihren Freigaben unterstützt werden.
Das neue Identity and Access Management muss also den Nutzer und die Risiken im Blick haben. Unternehmen, die sich mit neuen IAM-Angeboten befassen, sollten deshalb auf Lösungen achten, die beide IAM-Trends im Fokus haben und User-Managed als auch Risk-based sind. Die Fokussierung auf nur einen IAM-Trend wird den neuen Anforderungen an IAM nicht gerecht. (sh)
IAM: user-managed vs. risk-based
Nutzerzentriertes IAM (User-managed)
Risikozentriertes IAM (risk-based)
Fokus
Nutzer beantragen und entscheiden über Freigaben für Zugänge und Berechtigungen
Risiken entscheiden über Freigaben für Zugänge und Berechtigungen
Ziele
Senkung des Helpdesk-Aufwandes und Steigerung der Selbstkontrolle des Nutzers über seine Daten
Reduzierung der Risiken, die mit Zugängen und Zugriffen verbunden sind
Methoden
Self-Service-Funktionen
Datenfreigaben durch Nutzer
Bestimmung der Risikowerte in (nahezu) Echtzeit
Automatische Kontrolle der Zugänge und Berechtigungen auf Risikobasis
Einschränkung
Nutzer haben unzureichende Entscheidungsgrundlagen (dynamische Risikolage)
Ausnahmen müssen trotz Risiken möglich sein, wenn das Geschäft es erfordert
Lösung
IAM braucht Fokus auf Nutzer und Risiken
Nutzer/Manager entscheiden, Risikowerte unterstützen dabei