Identity Management wurde von vielen Unternehmen lange eher als Stiefkind ihrer Security-Strategie gesehen. Derzeit vollzieht sich aber ein Wandel in dieser Wahrnehmung. Warum ist das so?
Wer man ist und was man darf, sind die zentralen Informationen bei der Nutzung von IT-Systemen - sei es als Bürger, als Mitarbeiter, als Kunde, als Administrator oder in beliebigen anderen Rollen. Das Identitätsmanagement stellt Unternehmen gerade in der Cloud vor neue und große Herausforderungen. Die Verwaltung von Identitäten und deren Zugriffsrechten war bislang ein eher ungeliebtes Kind zwischen IT-Sicherheit und Betriebsaufgaben. Dieses Bild verändert sich aktuell und das geschieht durch die steigende Nutzung der Cloud. Die folgenden Gründe sind zentrale Ursachen dafür:
Sichere Identitäten für Kunden und Interessenten
Praktisch jeder IT-Nutzer ist auch Kunde und Interessent - etwa als Nutzer von Online-Diensten, die traditionelle, modifizierte und völlig neuartige Dienstleistungen im Internet anbieten. Hier erwartet jeder zu Recht ein Höchstmaß an Sicherheit, wenn es um ihre Identitäten, die damit verknüpften Profile oder vertrauliche Informationen wie hinterlegte Zahlungsdaten geht. Eine vertrauenswürdige, sichere und gesetzeskonforme Handhabung von Benutzer-Identitäten ist zwingende Voraussetzung, um das Vertrauen von Kunden und Interessenten langfristig zu rechtfertigen.
Der Schaden, der bei einer unsachgemäßen Handhabung dieser Daten entstehen kann - etwa durch ein Datenleck - ist so substantiell, dass er die Existenz von Unternehmen gefährden kann. Das haben nicht zuletzt die großen, dokumentierten Data Breaches in den USA nachdrücklich bewiesen. Die Bereitstellung und Verwaltung von sicheren Identitäten liegt also im Interesse aller Beteiligten. Dies zeigt sich insbesondere bei der langsam sich durchsetzenden Einführung von Mehrfaktorauthentifizierung mit Fingerabdruck, SMS oder mobiler Authenticator-Applikationen.
Die Top-12-Sicherheitsrisiken in der Cloud
Datenverlust Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können.
Gestohlene Benutzerdaten Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst.
Geknackte Interfaces und APIs Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss.
Ausgenutzte Schwachstellen Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht.
Account Hijacking Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können.
Insider mit bösen Absichten Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren.
Der APT-Parasit APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.
Dauerhafter Datenabfluss Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden.
Fehlende Sorgfalt Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.
Missbrauch von Cloud-Diensten Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium.
DoS-Attacken DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen.
Geteite Technik, doppelte Gefahr Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.
Cloud als neue Standardinfrastruktur
Für viele Unternehmen ist das eigene Rechenzentrum nur noch eine Möglichkeit von vielen, wenn es um die Implementation von Infrastrukturen für interne und externe Dienste geht. Mit Blick auf Kosten und Geschwindigkeit gehen viele Unternehmen dazu über, einen großen Anteil von existierenden und neuen Infrastrukturen auf der Basis kostengünstiger Cloud-Anbieter zu implementieren. Dies erfordert natürlich, dass auch Mitarbeiter auf Ressourcen in der Wolke zugreifen können. Damit werden entweder ihre vorhandenen Identitäten logisch zu Cloud-Identitäten oder sie erhalten zusätzliche Identitäten zur Nutzung von Diensten in der Cloud. In beiden Fällen handelt es sich um hochgradig schützenswerte Identitäten in der Cloud. Dies gilt in besonderem Maße für die Administratoren dieser Systeme.
Vertrauenswürde Identitäten für die Zusammenarbeit
Viele aktuelle Entwicklungen erfordern die Notwendigkeit zusätzlicher Identitäten: Neue Kommunikationswege und Kooperations-Modelle zwischen Unternehmen erfordern den Austausch von Partner-Identitäten. Unter dem Stichwort "Extended enterprise" sind diese Identitäten zum Zugriff auf gemeinsam genutzte Dienste notwendig - unabhängig davon, ob diese in der Cloud oder im Unternehmensnetz implementiert sind.
Branchenspezifische Clouds, etwa in der Automobilindustrie, gehen hier den logisch nächsten Schritt, indem sie eine einheitliche Plattform zur Nutzung durch viele kommunizierende Unternehmen ermöglichen. Diese erfordern nicht zuletzt die Bereitstellung einer sicheren einheitlichen Identität für die Teilnehmer (Federation). Das ermöglicht auch den Zugriff auf Identitäten, die sicher durch vertrauenswürdige Dritte, etwa Partnerunternehmen, zur Verfügung gestellt werden.
Die Verwaltung von Identitäten ist durch die steigende Cloud-Nutzung wichtiger als je zuvor. Foto: ArtFamily - www.shutterstock.com
SaaS als neuer Vertriebsweg für innovative Software
Immer mehr Softwareanbieter gehen dazu über, Ihre Lösungen hauptsächlich oder ausschließlich als Dienstleistung in der Cloud anzubieten. Mit dem Wechsel vom Softwarekauf hin zu einem Miet-Modell geht damit auch der Wechsel hin zu Cloud-Identitäten für die Nutzer solcher Software einher. Mit steigende Kritikalität der in diesen Lösungen implementierten Unternehmensfunktionalitäten (von Customer Relationship Management bis hin zur Auslagerung von unternehmenskritischen Kernprozessen) steigt zwangsläufig die Notwendigkeit, ein Höchstmaß an Sicherheit für diese neuen Identitäten in der Cloud zu Grunde zu legen. Mit Blick auf Audit und Nachvollziehbarkeit der Handlungen müssen Identitäten eindeutig den Nutzern zuzuordnen sein.
Rechtliche und regulatorische Herausforderungen
Die Speicherung von personenbezogenen Daten - und darum handelt es sich bei Identitäten in der Cloud - unterliegt steigenden Anforderungen, wenn es um Sicherheit und Gesetzeskonformität geht. Die hieraus resultierenden Herausforderungen an die Systeme und Prozesse sind erheblich. Ein Nachweis der Erfüllung dieser Anforderungen ist eine stetige und existenzielle Aufgabe für jedes Unternehmen, das diese Aufgaben wahrnimmt. Die Definition und Umsetzung eines Identitäts- und Zugriffsmanagements zur Schaffung und Wahrung von sicheren Identitäten für die Cloud sind ein essentieller Bestandteil, um dies zu erreichen.
Neue Geschäftsmodelle
Sichere Identitäten können damit aber im Umkehrschluss auch als Erfolgsfaktor für das Business betrachtet werden: Ein großer Anteil der neuen Geschäftsmodelle, die sich im Rahmen der digitalen Transformation ergeben, erfordern verlässliche und belastbare Identitäten von Kunden und Interessenten. Hier wird von Seiten des Fachbereichs ein hohes Maß an Flexibilität und Agilität gefordert, während IT-Sicherheit und Compliance mit Recht ein ebenso hohes Maß an Sicherheit erwarten. Werden diese auf den ersten Blick gegenläufigen Anforderungen sinnvoll in Einklang gebracht, kann das Identitätsmanagement seine Rolle als Enabler und Katalysator neuer Geschäftsmodelle wahrnehmen.
Ein gutes, sicheres und agiles IAM für die Cloud ist somit Sicherheitsinfrastruktur und Wettbewerbsvorteil zugleich. Die Einbindung und Verknüpfung existierender Accounts (von Social Logins bei Facebook oder Twitter bis hin zum Google-, Apple- oder Microsoft-Konto) ist hierbei ein zentraler Aspekt. Dass traditionelle IAM-Systeme und deren Prozesse schon mit der schieren Menge potentieller Daten in der Cloud überfordert sein können, liegt auf der Hand.
Identität als neuer Perimeter
Mit dem Weg neuer und klassischer Infrastrukturen in die Cloud und der Ergänzung neuer Arten von Identitäten (Kunden, Partner, Interessenten) treten klassische Sicherheitsinfrastrukturen in den Hintergrund. Gleichzeitig steigen die Häufigkeit der Angriffe und die Anzahl der möglichen Angriffswege um ein Vielfaches. Firewalls und Intrusion-Detection-Systeme zum Schutz der Außengrenzen (Perimeter) des Unternehmens-Netzwerks werden damit nicht zwangsläufig überflüssig.
Mit der steigenden Dezentralisierung und Cloud-Nutzung liefern aber immer häufiger vertrauenswürdige Information über Identitäten die Basis für Authentisierung (starke Passwörter, Mehr-Faktor-Authentifizierung) und Autorisierung (Rechte, Rollen, Eigenschaften). Eine sichere Identität verlagert damit die Grundlage für Sicherheit dorthin, wo sie benötigt wird. Basierend auf den Eigenschaften einer Identität werden kritische Zugänge ermöglicht und sensible Berechtigungen zur Laufzeit erteilt, und dies kann nur sinnvoll auf der Bereitstellung in höchstem Maße sicherer Informationen sinnvoll erfolgen. Entsprechend zwangsläufig ist der Trend hin zu Malware und Hackerangriffen, die genau auf die Erschleichung von Identitäten und deren Zugriffsrechten abziehen.
Passwort-Manager: Das sollten Sie wissen
Tipp 1: Varianz ist wichtig Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices.
Tipp 2: Komplexität wahren Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere".
Tipp 3: On- oder offline? Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt.
Tipp 4: Nicht nur einen Master Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden.
Tipp 5: Möglichkeiten nutzen Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
Sicher durch Kontext
Identitätsdiebstahl ist in der Cloud ein sehr konkretes Risiko. Um dieser Gefahr entgegen zu wirken, können Systeme für sichere Cloud-Identitäten leistungsfähige zusätzliche Funktionalitäten bieten: Neben statischen Eigenschaften einer Identität, wie ihrem Benutzernamen und dem zugehörigen Passwort, werden zunehmend zusätzliche, dynamische Eigenschaften bei der Beurteilung von Sicherheit immer wichtiger: Diese als "Kontext" bezeichneten Daten dienen der Verwertung zusätzlicher, laufzeitbezogener Informationen, also beispielsweise die aktuelle Position des Anwenders, das verwendete Gerät, aber auch historische Informationen.
Verlangt also ein eigentlich in Deutschland verorteter Benutzer morgens um drei Uhr von einem bislang unbekannten Gerät aus einer bislang nicht von ihm benutzten Region Zugriff auf kritische Daten, etwa Konto- und Zahlungsdaten, kann dies ein Signal für die bedrohte Sicherheit einer solchen Identität sein. Die Anforderung eines zusätzlichen, identifizierenden Faktors kann hier Sicherheit bringen, ob es sich um einen legitimen Zugriff handelt oder nicht.
IDaaS statt traditionellem IAM
Natürlich stellt sich auch für das Identitätsmanagement (IAM, Identity and Access Management) die Frage nach einer Verlagerung des Betriebs in die Cloud: Identitätsmanagement als Dienst, der in der Cloud (IDaaS, Identity Management as a Service) für Unternehmen angeboten wird, präsentiert sich als kostengünstige Alternative zu aufwändigen Installationen im eigenen Rechenzentrum. Damit gelten die hiermit verbundenen strengen Anforderungen für das Identitätsmanagement natürlich auch in der Cloud.
Hier entfällt zwar die Notwendigkeit des Betriebs eigener Infrastruktur, aber die Umsetzung angemessener Verwaltungsprozess bleibt hiervon unbenommen. Hierzu gehört nicht zuletzt auch die kontinuierliche Kontrolle und Überwachung von Identitäten und deren Zugriffsrechten (Stichwort: IAG, Identity und Access Governance). Die Bereitstellung sicherer Identitäten ist gerade hier, zum Zugriff auf interne wie externe Ressourcen, von hoher Wichtigkeit.
Fazit
Die oben genannten Gründe zeigen, dass ein sicheres, vertrauenswürdiges und nachvollziehbares IAM für die Cloud heute unverzichtbar ist. Dessen Bereitstellung bietet die Grundlage für eine Vielzahl an Möglichkeiten für Kommunikation, Kollaboration und neue Geschäftsprozesse für praktisch jeden Anwender, der online aktiv ist. Sichere Identitäten sind damit eine zentrale Grundlage sowohl für den notwendigen Datenschutz und den vertrauenswürdigen Zugriff auf sensible Informationen. (sh)
10 Schritte zum IAM-System
In zehn Schritten zum IAM Softwarelösungen für das Berechtigungs-Management, so genannte Identity-Access-Management-Systeme (IAM), haben sich von ihrem früheren reinen IT-Fokus gelöst. Zwar werden über Single-Point-of-Administration, HR-gestütztes Provisioning und rollenbasierte Zugriffskontrolle nach wie vor Kostensenkung und effizientes Benutzermanagement realisiert. Bei den heutigen IAM-Systemen handelt es sich aber vor allem um Business-Collaboration-Plattformen, die auf eine umfassendere Beteiligung der Fachabteilungen an der Zugriffsverwaltung setzen. <br /> Sie eröffnen erweiterte Möglichkeiten für die Umsetzung von Regularien, Gesetzesvorgaben und des Risikomanagements. IAM wird damit zur tragenden Säule im Rahmen der Governance-, Risk- & Compliance-Strategie (GRC) eines Unternehmens. Der folgende 10-Punkte-Plan gibt einen Überblick, worauf bei der Einführung eines IAM-Systems zu achten ist.
Gemischte Projektteams aus IT und Business IAM ist längst kein reines IT-Thema mehr. Meist können nur Personen außerhalb der IT, die über umfassende Kenntnisse der internen Geschäftsprozesse und der Organisation verfügen, die erforderlichen Informationen zu wesentlichen Aspekten beisteuern: Rollenkonzepte, Genehmigungsstrukturen, Erwartungen an die Nutzeroberflächen oder auch was Barrieren zwischen einzelnen Abteilungen angeht. <br />Projektteams zum Aufbau eines IAM-Systems sollten deshalb stets aus Kompetenzträgern sowohl aus der IT als auch aus dem Business bestehen.
Ziele definieren Klar definierte Ziele und Dienstleistungen sowie ein eng gesteckter Rahmen zu deren Planung und Überwachung sind Erfolgsfaktoren eines jeden IAM-Projektes. Dies wiederum erfordert eine enge Zusammenarbeit zwischen erfahrenen Mitarbeitern sowohl beim Anwender als auch dem implementierenden IAM-Hersteller. <br />Es ist daher sicherzustellen, dass alle Daten und Ziele miteinander vereinbart und von jedem am Projekt Beteiligten verstanden werden, bevor die Einführung beginnt. Jede spätere Anpassung verlängert das Projekt unnötig, sowohl zeitlich als auch hinsichtlich des Budgets.
Vor Start des Projektes: Aufräumen! Hohe Datenqualität ist der Schlüssel für erfolgreiches Identity Access Management. Diese Ausgangssituation ist aber keineswegs selbstverständlich, wenn ein entsprechendes Projekt aufgesetzt wird. Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind fehlende Verbindungen zwischen Konten und den Nutzern, verwaiste Konten, Rechtschreibfehler, etc. <br />Jedes IAM-Projekt beginnt daher mit einer Konsolidierung der User-IDs, bei der die Benutzerkonten ihren Besitzern zugewiesen werden. So spürt man im ersten Schritt sehr schnell verwaiste Konten auf.
Umsetzung in Phasen Eine IAM-Lösung sollte sowohl alle unternehmensweiten IT-Systeme integrieren können als auch ausreichend skalierbar hinsichtlich der Anzahl der einzubindenden Nutzer sein. Doch muss dies alles nicht auf einmal umgesetzt werden; sinnvoller ist es, das Projekt in erreichbare Zwischenziele aufzuteilen und diese Schritt für Schritt abzuarbeiten.<br /> In der ersten Phase wird dabei nur eine begrenzte Anzahl von Zielsystemen angebunden – idealerweise die wichtigsten; die Anwender nutzen zunächst nur Standardfunktionalitäten. Erste Erfolge sind dadurch schneller sichtbar, was letztlich zum schnelleren Erreichen der vollständigen Projektziele führt.
Anschluss des HR-Systems Probleme im Bereich der Rechteverwaltung resultieren oft aus unzureichender Koordinierung zwischen Human Resources und IT-Abteilung. Meldet das HR-Team Änderungen in der Personalstruktur oder bei den Stellenbezeichnungen der IT zu spät oder sogar gar nicht, kann dies schwerwiegende Folgen haben: Personen erlangen Zugang zu Konten, obwohl sie aufgrund ihrer neuen Rolle gar kein Recht mehr dazu hätten – oder weil sie das Unternehmen sogar ganz verlassen haben. <br />Eine manuelle, nicht automatisierte Informationspolitik und dezentrales Arbeiten tragen noch dazu bei, dass sich Fehler in den Berechtigungsstrukturen schnell und unkontrolliert ausbreiten. Das HR-System sollte deshalb als erstes mit dem IAM-System verbunden werden, um hier zu einer Automatisierung zu gelangen und damit Sicherheit und Kontrolle zu gewährleisten.
Customizing auf ein Minimum reduzieren Führende IAM-Anbieter verkaufen nicht bloß ein Toolkit. Basierend auf der Erfahrung aus vielen realisierten Projekten, sind vorkonfigurierte Standardsysteme vielmehr nach dem Best-of-Breed-Ansatz konzipiert. Auf Standardszenarien verzichten, um ein System möglichst individuell an die Gegebenheiten eines Unternehmens anzupassen, sollte deshalb die Ausnahme bleiben. <br />In einem Standardprodukt spiegelt sich bereits das langjährig erworbene Wissen eines Herstellers um die verschiedensten Herausforderungen im IAM-Umfeld und die jeweils beste Lösung wider. Der Einsatz von Standardkomponenten reduziert zudem auch Implementierung und Wartungskosten auf ein Minimum. <br />Kunden sollten sorgfältig prüfen, ob es statt aufwändigem Customizing nicht sinnvoller wäre, die vorgeschlagene Vorgehensweise eines Standardproduktes zu übernehmen und die eigenen Strukturen hinsichtlich der Prozesse, Terminologie und Verantwortung anzupassen.
Rollen implementieren Das Bündeln von Zugriffsrechten in so genannten "Rollen" reduziert den Administrationsaufwand erheblich und stellt die Grundlage für eine Automatisierung im Bereich der Rechtevergabe dar. Eine Rolle ist die Sammlung einzelner Zugangsrechte, die für eine bestimmte Funktion oder Aufgabe im Unternehmen erforderlich sind.<br /> Role-Mining-Tools bieten Hilfe bei der Definition von Rollen und deren Optimierung über einen kontinuierlichen Prozess hinweg. Hier ist jedoch Vorsicht geboten: Die Einführung von Rollen erfordert mehr als eine einmalige Definition von "Zugriffsrecht-Clustern".
Rollenverantwortliche festlegen Rollen sind lebende, wandelbare Strukturen, die einem ständigen Überwachungs- und Anpassungsprozess unterliegen sollten. Deshalb benötigen sie einen zugewiesenen Besitzer, der die Verantwortung für ihre saubere Ausgestaltung übernimmt. Er muss die Rollen regelmäßig dahingehend überprüfen, ob aufgrund von Veränderungen in der Organisation oder der IT-Systeme Anpassungen notwendig sind. <br />Was für die IAM-Einführung im Großen gilt, hat deshalb auch für das Thema Rollen Relevanz: Aufteilen eines Rollenprojektes in kleine Teilziele, Einbeziehung von sowohl Business- wie IT-Verantwortlichen.
Top-down-Vorgehen Ein Risikobewertungssystem ist ein leistungsfähiges Werkzeug, um die einzelnen Objekte im Access Management – Benutzer, Rollen und Konten – in eine sinnvolle Rangfolge abhängig von ihrer Relevanz zu bringen. Ein solches System jedoch für die gesamte Struktur der Zugriffsrechte zu implementieren, kann zu einem zeitaufwändigen und ressourcenintensiven Projekt führen. <br />Es empfiehlt sich ein Top-down-Ansatz, bei dem die Aufmerksamkeit zunächst auf wichtige Aspekte in einem frühen Stadium des IAM-Betriebs gerichtet wird. Zu einer vollständigen Risikobewertung kann das Unternehmen dann im Laufe der Zeit aufschließen.
Schnellere Erfolge auf Fachabteilungsebene Treiber eines IAM-Projektes sind in der Praxis oft Wirtschaftsprüfer oder IT-Manager. Um eine Akzeptanz über alle Unternehmensbereiche hinweg zu erreichen, sollte ein Anwenderunternehmen im frühen Projektstadium bereits solche Funktionen evaluieren, die sich an den Wünschen und Bedürfnissen des einzelnen Anwenders orientieren. <br />Warum nicht die verfügbaren vorkonfigurierten Workflows für Anfrage oder Passwort-Reset schon einmal anbieten, anstatt damit zu warten, bis die Lösung bei Projektende zu 100 Prozent implementiert ist? Mit diesem Ansatz wird der Nutzen eines IAM-Systems schnell im praktischen Arbeitsalltag für alle – vom Anwender bis zum Management – spürbar, was ein wichtiger Baustein für den Gesamterfolg des IAM-Projektes ist.
Realistisch bleiben Der 10-Punkte-Plan verdeutlicht es: Moderne IAM-Systeme binden Fachabteilungen ein und verschaffen eine am Geschäftsprozess ausgerichtete und verständliche Sicht auf Identitäten und deren Rechte.<br /> Die Bäume wachsen auch beim Thema Identity Access Management nicht in den Himmel. Erfolgreich sind solche Projekte, bei denen sich die Beteiligten realistische Zwischenziele setzen und Stück für Stück zu einem unternehmensweiten IAM-System vorarbeiten. <br />Dieses erfüllt dann seinen eigentlichen Zweck: die Umsetzung der GRC-Strategie des Unternehmens.