Die IAM-Welt hat sich enorm verändert. Bis vor wenigen Jahren bestand Identity und Access Management (IAM) vor allem aus der technischen Verwaltung von Benutzerkonten und Berechtigungen der eigenen Mitarbeiter im Unternehmen. Doch Digitalisierung, Cloud Computing und das Internet of Things (IoT) haben die Rolle von IAM verändert - und werden sie weiter verändern.
Foto: Den Rise - shutterstock.com
Da immer mehr Geschäftsmodelle und -prozesse direkt über das Internet aka die Cloud abgewickelt werden, müssen die IAM-Systeme jetzt auch verstärkt externe Partner und Kunden integrieren. Diese Dienstleister und Konsumenten sollten sich registrieren können, sie benötigen Zugriff auf Systeme, und die Benutzerkonten und Zugriffsrechte sind zu verwalten.
Die aktuelle IAM-Studie von Computerwoche und CIO spiegelt diese neue Entwicklung wider. Zwar greifen in Firmen mit installierter IAM-Software vor allem die Mitarbeiter intern (75 Prozent) oder extern (60 Prozent) über Authentifizierungs- und Identitätsmanagement-Tools auf Systeme ihres Unternehmens zu. Doch bereits in 42 Prozent der Firmen erhalten Geschäftspartner, Dienstleister und Zulieferer (B2B) über IAM Zugang zum Netzwerk, in 23 Prozent die Kunden sowie auch Dienste und Services über Machine-to-Machine-Kommunikation (M2M), sprich über das IoT.
Mehr Einfallstore für Hacker
Mit der zunehmenden Vernetzung steigt natürlich auch die Zahl der möglichen Einfallstore für Hacker und andere Cyberkriminelle. Entsprechend sehen die meisten befragten Firmen die allgemeine Bedrohungslage von extern als größte Herausforderung in Bezug auf IT-Security an. 38 Prozent der Firmen betrachten die externen Risiken durch Cyberangriffe wie Ransomware oder Industriespionage als größte Herausforderung für ihre IT-Security.
Sorgen bereiten zudem der Diebstahl digitaler Identitäten oder von Zugangsdaten (47 Prozent) sowie der Datenverlust beziehungsweise die Nicht-Verfügbarkeit von Daten/Services in der Cloud (44 Prozent). Ein Viertel der Firmen schätzen das Risikopotenzial durch die internen Mitarbeiter sowie fehlende Informationen und mangelnde Transparenz über den Wert bedrohter Daten und Prozesse hoch ein. Auch Compliance-Anforderungen und fehlende Security-Awareness bei den eigenen Mitarbeitern (jeweils 24 Prozent) stellen eine relevante Security-Herausforderung dar.
Vertrauenswürdige Identitäten spielen daher eine umso wichtigere Rolle; Angreifer sollten keine Benutzerkonten übernehmen können. Das IAM-System muss unbefugte Zugriffe auf Netze und Applikationen abwehren sowie die Identitäten, Benutzerkonten und Zugriffsrechte von Tausenden bis Millionen von Nutzern verwalten. Es geht um Transparenz über die Benutzer, damit Unternehmen steuern können, welcher Nutzer mit welcher Authentifizierung welche Rechte erhält, und auch erkennen, wann Missbrauch vorliegt.
IAM ist wichtig für die Compliance
Eine derartige IAM-Infrastruktur minimiert die Sicherheitsrisiken und bildet gleichzeitig die tragende Säule um regulatorische und Compliance-Anforderungen in Bezug auf Datenschutz erfüllen zu können. Nur wer eine einheitliche Sicht auf die Benutzer und deren Identitäten hat, kann Regeln konsequent umsetzen. Dies gilt vor allem für die EU-Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2018 rechtswirksam in Kraft tritt. Ihre Umsetzung nennen die für die IAM-Studie befragten Unternehmen als größte Compliance-Herausforderung.
41 Prozent der Firmen sind von der EU-DSGVO sehr stark (15 Prozent) und stark betroffen (26 Prozent). Dies gilt vor allem für große Unternehmen ab 1.000 Mitarbeitern mit einem IT-Etat ab einer Million Euro (50 Prozent). Die kleinen Firmen stehen den Anforderungen der EU-DSGVO gelassener gegenüber. Knapp ein Drittel der Unternehmen mit weniger als 100 Mitarbeitern sieht sich kaum oder überhaupt nicht betroffen.
Weitere wichtige Compliance-Herausforderungen sind das IT-Sicherheitsgesetz (35 Prozent) und die End-of-Life-Diskussion (33 Prozent). Auch hier sind die mittleren und großen Unternehmen jeweils überdurchschnittlich betroffen (44 Prozent). 30 Prozent der Firmen beschäftigen sich zudem verstärkt mit bisher ungelösten Fragen durch neue Technologien (wie z. B. Internet of Things / Industrie 4.0 / Digital Business) oder der EU-Zahlungsrichtlinie Payment Services Directive (PSD).
IAM: Deutsche Unternehmen haben Nachholbedarf
Doch die meisten deutschen Unternehmen sind noch nicht ausreichend auf die neuen IAM-Anforderungen vorbereitet. Das bestätigt die IAM-Studie von Computerwoche und CIO eindrucksvoll. Derzeit setzen nur rund 38 Prozent der befragten Firmen eine Software-Lösung für Identity- und Access-Management (IAM) ein. Vorreiter sind die großen Unternehmen mit einem Wert von 64 Prozent, gefolgt von den mittleren Firmen mit 39 Prozent. Nur 14 Prozent der kleinen Unternehmen nutzen eine IAM-Software. Entsprechend lehnen auch 57 Prozent der Firmen mit bis zu 100 Mitarbeitern den Einsatz einer entsprechenden Lösung derzeit noch ab.
Immerhin 31 Prozent der Firmen planen den Einsatz einer IAM-Software. Hier müssen die deutschen Unternehmen also nachziehen. Interessant ist ein Blick auf die unterschiedliche Bewertung in den Fachbereichen der Unternehmen. Während die Hälfte der CIOs und der IT-Leiter den Einsatz einer IAM-Lösung bejahen, sind es bei den Geschäftsführern nur 22 Prozent.
Lösungen für SSO, MDM und SIEM sind Mangelware
Ein ähnliches Bild ergibt sich bei Lösungen, die zukunftstaugliches IAM unterstützen und die Sicherheit erhöhen: Single-Sign-On (SSO), Mobile Device Management (MDM) oder Security Information und Event Management (SIEM). Diese sind nur in rund einem Drittel der Unternehmen zu finden.
Etwa 37 Prozent der befragten Firmen setzen eine SSO-Lösung für die einfachere Anmeldung bei ihren Systemen ein. Die Nase vorn haben hier die großen Firmen mit 53 Prozent, während nur 18 Prozent der kleinen Unternehmen SSO nutzen. Absolute SSO-Vorreiter mit 63 Prozent sind hier die Unternehmen, die bereits ein software-gestütztes IAM installiert haben.
Analog gilt das für MDM-Lösungen zur sicheren und zentralen Verwaltung von mobilen Geräten wie Smartphones und Tablets. Während in der Gesamtheit nur 37 Prozent der Unternehmen auf MDM setzen, sind es bei den Firmen mit installiertem IAM 61 Prozent. Auch bei MDM steigt der Reifegrad mit der Unternehmensgröße an. Nur 14 Prozent der kleineren Firmen besitzen eine MDM-Lösung; der Wert klettert bei den Unternehmen mittlerer Größe auf 44 Prozent bis hin zu 53 Prozent bei den großen Firmen ab 1.000 Mitarbeitern.
Wenig überraschend ist dies auch bei SIEM-Lösung der Fall, also beim software-gestütztes Sicherheitsinformations- und Ereignismanagement in Echtzeit. Im Schnitt setzen 30 Prozent der Firmen eine SIEM-Lösung ein, unterteilt in 14 Prozent kleine Unternehmen, 37 Prozent mittlere und 40 Prozent große Unternehmen mit einem hohen IT-Etat. Auch hier stehen die Firmen mit software-gestütztem IAM an der Spitze (60 Prozent).
Lücken bei der Multi-Faktor-Authentifizierung
Zudem sollten die deutschen Unternehmen endlich die letzten Lücken bei der Multi-Faktor-Authentifizierung schließen. Denn etwas mehr als ein Fünftel der Firmen (21 Prozent) sichert ihre Zugänge zum Netzwerk derzeit NICHT über eine Multi-Faktor-Authentifizierung mit Token (Hardware, Software oder Push) ab. Aber immerhin elf Prozent davon planen bereits die Implementierung. Überdurchschnittlich hoch ist hier der Anteil kleiner Unternehmen.
69 Prozent der befragten Firmen nutzen die Multi-Faktor-Authentifizierung (MFA) für die eigenen Mitarbeiter. Auffällig sind die hohen Werte bei den Geschäftsführern (83 Prozent) und den Unternehmen mittlerer Größe zwischen 100 und 999 Mitarbeitern (76 Prozent). In 27 Prozent der Unternehmen müssen sich Geschäftspartner, Dienstleister und Zulieferer auf mehreren Wegen authentifizieren. Für ihre Kunden in Portalen oder eigenen Cloud-Anwendungen (SaaS) setzen 14 Prozent der Firmen auf die Multifaktor-Authentifizierung. Smartphone (45 Prozent) und Smartcard (44 Prozent) werden am häufigsten für die MFA genutzt, gefolgt von USB (37 Prozent), SIM-Karte (30 Prozent), Biometrie (23 Prozent) und MicroSD (18 Prozent).
Passwort bleibt wichtigste Authentifizierungs-Methode
Nichtsdestotrotz ist und bleibt das gute, alte Passwort weiterhin die wichtigste Methode der Authentifizierung. 62 Prozent der Unternehmen nutzen das Passwort zur Authentifizierung, in fünf Jahren soll das Passwort in 53 Prozent der Firmen zum Einsatz kommen. Den zweiten Platz nimmt die PIN ein mit 39 Prozent (jetzt) und 40 Prozent (in fünf Jahren). Aktuell liegt die E-Mail mit 35 Prozent auf dem Bronze-Platz; in fünf Jahren (34 Prozent) wird sie jedoch vom Fingerabdruck auf den vierten Platz verdrängt. Die Bedeutung des Fingerabdrucks steigt von jetzt 19 Prozent (aktuell Platz sechs) auf 37 Prozent in fünf Jahren.
Weitere wichtige Methoden sind die Sicherheitsfrage (28 Prozent jetzt, 32 Prozent in fünf Jahren) sowie Chipkarte/Magnetstreifenkarte/RFID-Karte (21 Prozent jetzt, 28 Prozent in fünf Jahren). Biometrische Merkmale wie Gesichtserkennung, Stimmerkennung sowie Iriserkennung oder Retinamerkmale (Augenhintergrund) werden als Authentifizierungs-Methoden in den nächsten fünf Jahren weiter an Bedeutung gewinnen.
Klare definierte Rollen der Mitarbeiter = Basis für effizientes IAM
Ein Punkt gibt aber Hoffnung. Mehr als zwei Drittel der Unternehmen haben die Rolle eines Mitarbeiters so genau definiert, dass sich daraus alle Zugänge oder Zugriffsberechtigungen für IAM eindeutig ableiten lassen. Konkret haben 69 Prozent der Unternehmen durch die genaue Definition der Rollen der Mitarbeiter bereits die Basis für effizientes IAM geschaffen.
Interessant ist auch hier ein Blick auf die Unternehmensgrößen. Die Unterschiede sind im Vergleich zu anderen Themen relativ gering: Immerhin 63 Prozent der kleinen Firmen haben die Rollen der einzelnen Mitarbeiter genau definiert, bei den mittleren sind es 74 Prozent, bei den großen Unternehmen 73 Prozent. Vorreiter sind logischerweise die Firmen mit software-gestütztem IAM (82 Prozent).
29 Prozent der Unternehmen müssen die Rollen ihrer Mitarbeiter noch genau definieren, um alle Zugriffsberechtigungen eindeutig ableiten zu können. Die rollenbasierte Administration (Role Based Access Control, RBAC) stellt grundsätzlich das wichtigste Administrationskonzept im IAM von Unternehmen dar. 56 Prozent der Firmen setzen auf diesen modernen Ansatz.
Studien-Steckbrief
Die Studie Identity Access Management basiert auf einer Online-Befragung in der DACH-Region, in deren Rahmen im Zeitraum vom 11. bis 21. Juli 2017 insgesamt 385 abgeschlossene und qualifizierte Interviews durchgeführt wurden. Grundgesamtheit sind strategische (IT-)Entscheider der obersten Führungsebene und der Fachbereiche, IT-Entscheider und IT-Security-Spezialisten aus dem IT-Bereich.
Link zum Studien-Shop: https://shop.computerwoche.de/portal/studie-identity-access-management-2017-pdf-download-direkt-im-shop-7888