Identity & Access Management FAQ

Was Sie über IAM wissen müssen

James A. Martin ist Autor des Blogs "Living the Tech Life" unserer US-Schwesterpublikation CIO.com.


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Was genau ist IAM? Wozu brauchen Sie es? Gibt es Nachteile und Risiken? Welche Begriffe sollten Sie kennen? Wir haben die Antworten auf Ihre Fragen.

Identity- und Access-Management (IAM) -Systeme ermöglichen - ganz allgemein gesprochen - die Verwaltung verschiedener Identitäten innerhalb eines Systems. Dabei kann es sich um ein Unternehmen, ein Netzwerk oder ein ganzes Land handeln.

Identity und Access Management: Wir sagen Ihnen, was Sie wissen müssen.
Identity und Access Management: Wir sagen Ihnen, was Sie wissen müssen.
Foto: ktsdesign - shutterstock.com

Was ist Identity & Access Management?

Im Enterprise-IT-Umfeld geht es bei IAM darum, die Rollen, Zugriffsberechtigungen und -voraussetzungen einzelner Nutzer zu managen. Die Kernaufgabe besteht dabei darin, einem Individuum eine digitale Identität zuzuweisen. Wurde diese einmal erstellt, muss sie - über den gesamten Access Lifecycle eines Users hinweg - gewartet, aktualisiert und überwacht werden.

IAM-Systeme geben Administratoren die nötigen Tools und Technologien an die Hand, um die Rollen von Nutzern bei Bedarf zu ändern, deren Aktivitäten zu überwachen und Reports darüber zu erstellen - oder auch um Security Policies auf regelmäßiger Basis durchzusetzen. Die Systeme sind so konzipiert, dass sie die Zugriffsberechtigungen eines ganzen Unternehmens abbilden können und dabei die Erfüllung von unternehmenseigenen und externen Compliance-Richtlinien sichergestellt ist.

Zu den Technologien des Identity und Access Managements gehören unter anderem:

IAM-Systeme sind sowohl für On-Premise-Systeme wie Microsoft Sharepoint, als auch für cloud-basierte Systeme wie Microsoft Office 365 verfügbar.

Die Systeme zum Identitätsmanagement müssen flexibel und robust genug sein, um den komplexen IT-Umgebungen der heutigen Zeit gerecht zu werden. Früher war ein Unternehmensnetzwerk on premise und die IAM-Systeme haben die User in diesen Systemen authentifiziert und überwacht. "Es gab quasi einen Sicherheitszaun, der um das Werksgelände gespannt war", sagt Jackson Shaw, vom IAM-Provider One Identity. "Dieser existiert heutzutage nicht mehr."

In der Konsequenz ergeben sich einige Kern-Features, die heutige IAM-Systeme leisten sollten:

  • Einfaches Management von Zugangsberechtigungen für eine Vielzahl von Nutzern - inklusive Mitarbeitern im Home Office und Partnern aus aller Welt;

  • Support für hybride IT-Umgebungen, die On-Premise-Systeme, SaaS-Applikationen, Schatten-IT und BYOD-User umfassen;

  • das Management von IT-Architekturen, auf denen UNIX-, Windows-, Mac-, iOS-, Android- und IoT-Geräte gleichermaßen laufen;

In den letzten Jahren haben sich zudem Identity-as-a-Service (IDaaS)-Angebote entwickelt. Diese setzen meist auf ein Cloud-Abo-Modell und bieten den Kunden IAM-Dienste für On-Premise- und Cloud-Systeme.

Wozu brauche ich IAM?

Identity- und Access-Management ist ein kritischer Part der IT-Security-Strategie aller Unternehmen. Schließlich ist dieser in der heutigen, digitalen Weltwirtschaft untrennbar mit der Sicherheit und Produktivität des gesamten Unternehmens verbunden.

Kompromittierte Login-Daten und Zugangsberechtigungen dienen oft als Einfallstor ins Unternehmensnetzwerk. Um die Firmen-Daten und -Assets gegen Bedrohungen wie Ransomware, Phishing, Malware und ganz generell gegen kriminelle Hacker zu schützen, gibt es IAM. Dennoch schätzt Cybersecurity Ventures den durch Ransomware verursachten Schaden im Jahr 2017 auf mehr als fünf Milliarden Dollar. Dem Wert von 2015 gegenübergestellt entspricht das einer Verfünfzehnfachung. Bis zum Jahr 2019 gehen die Experten von einem jährlichen Schadensvolumen von 11,5 Milliarden Dollar aus.

In vielen Unternehmen ist es Usus, dass User mehr Zugangsberechtigungen haben als sie eigentlich brauchen. Ein robustes Identity- und Access-Management-System kann für die Etablierung eines zusätzlichen Sicherheits-Layers sorgen, indem es für das gesamte Unternehmen eine durchgängige Anwendung von Zugangsregeln und -richtlinien sicherstellt.

Darüber hinaus können IAM-Systeme auch die Produktivität erhöhen. Denn durch das zentrale Management werden Komplexität und Kosten für den Schutz von Zugangsdaten gesenkt. Gleichzeitig erhöhen die Systeme die Produktivität der Mitarbeiter in einer Vielzahl von Umgebungen ohne Einschränkung der Sicherheit.

Es gibt etliche regulatorische Anforderungen, die Unternehmen de facto dazu "zwingen", sich mit dem Thema Identity- und Access-Management zu befassen. In den USA etwa der Sarbanes-Oxley-Act, der Gramm-Leach-Bliley-Act oder der HIPAA-Act. Unternehmen die in Europa tätig sind, müssen ab dem 25. Mai 2018 den strengen Anforderungen der EU-Datenschutzgrundverordnung (DSGVO/GDPR) genügen.

Indem sie banale - aber wichtige - Aufgaben automatisieren, entlasten Identity- und Access-Management-Systeme die IT-Abteilung und helfen dabei, regulatorische Anforderungen zu erfüllen. Dies sind entscheidende Vorteile angesichts des Status Quo:

  • Jeder IT-Job ist inzwischen auch ein Security-Job;

  • auf dem Gebiet der IT Security besteht ein weltweiter Fachkräftemangel;

  • die Strafen bei Compliance-Verstößen können für Unternehmen sehr empfindlich und unter Umständen auch existenzbedrohend ausfallen;