Wo liegen die Risiken beim Identity & Access Management?
Die erfolgreiche Implementierung von Identity- und Access-Management-Systemen erfordert vorausschauendes Denken und abteilungsübergreifende Zusammenarbeit. Unternehmen die vor Projektbeginn eine schlüssige IAM-Strategie erarbeiten, sind dabei in der Regel am erfolgreichsten.
Gerade Informationen über die Identität eins Nutzers können oft mehreren Datenquellen entstammen - etwa Microsofts Active Directory oder einer HR-Datenbank. Ein IAM-System muss dazu in der Lage sein, die Informationen zur Nutzeridentität über all diese Systeme zu synchronisieren. Darüber hinaus muss ein solches System das Unternehmen in die Lage versetzen, eine Vielzahl von Benutzern in unterschiedlichen Situationen und Umgebungen zu managen - und zwar automatisiert und in Echtzeit. Eine manuelle Anpassung der Zugangsberechtigungen ist bei hunderten oder gar tausenden von Usern nicht zu stemmen.
Die Authentifizierung muss für die Nutzer einfach zu bewerkstelligen und für die IT einfach auszurollen sein, dabei aber ganz allgemein höchsten Sicherheitsstandards genügen. "Deshalb werden mobile Devices gerade zum Centerpiece der Benutzer-Authentifizierung", weiß Abousselham. "Denn Smartphones können den Aufenthaltsort, die IP-Adresse und andere Informationen über den Nutzer bereitstellen, die für Authentifizierungszwecke verwendet werden können."
Ein Risikofaktor, den Unternehmen dabei im Auge behalten sollten: Zentralisierte Systeme stellen ein attraktives Ziel für Hacker und Cracker dar. Wenn Sie ein Dashboard über die gesamten IAM-Aktivitäten ihres Unternehmens legen, wird die Komplexität nicht nur für die Administratoren reduziert. Einmal kompromittiert, könnten kriminelle Hacker neue Identitäten anlegen, die ihnen weitreichende Zugriffsrechte einräumen.
Um diesen Risiken zu begegnen, werden aktuell Ansätze auf Basis neuer Technologien entwickelt. Die dezentrale, als fälschungssicher geltende Blockchain könnte verhindern, dass Angreifer Zugangsdaten nachverfolgen oder aggregieren werden. Zudem könnte diese Methode das Identitätsmanagement und Authorisierungsprozesse vereinfachen. Als Beispiel wäre hier der Dienst Blockstack zu nennen, der eine dezentrale, Blockchain-basierte Datenbank für alle Anwendungen im Bereich Identität, Namensgebung und Authentifizierung implementiert. Separate Nutzerkonten bei einzelnen Applikationen oder auch Unternehmensanwendungen würden entfallen.
Identity & Access Management Glossar
Buzzwords kommen und gehen. Dennoch sollten Sie einige Schlüsselbegriffe des Identity und Access Managements kennen.
Access Management: bezeichnet die Prozesse und Technologien, die zur Überwachung und Kontrolle des Netzwerkzugriffs zum Einsatz kommen.
Active Directory (AD): Microsoft entwickelte die AD als User Identity Directory Service für Windows-Netzwerke.
Biometrische Authentifizierung: Diese Form der Authentifizierung basiert auf einzigartigen Merkmalen des Users und nutzt dazu Technologien wie Fingerabdruck- und Iris-Scanner oder auch Gesichtserkennung.
Context-aware Network Access Control: Dabei handelt es sich um eine Richtlinien-basierte Methode zum Zugriff auf Netzwerkressourcen, die den Kontext des Nutzers berücksichtigt. Der Zugriff von einer IP-Adresse, die nicht auf der Whitelist steht, ist so nicht möglich.
Identity Lifecycle Management: Ähnlich wie Access Lifecycle Management beschreibt der Begriff alle Prozesse und Technologien, die zur Vorhaltung, Wartung und Löschung digitaler Identitäten zum Einsatz kommen.
Identity synchronisation: Der Prozess, der sicherstellt, dass verschiedene Systeme (etwa nach einer Übernahme) konsistente Informationen über eine bestimmte digitale Identität zur Verfügung stellen.
Lightweight Directory Access Protocol (LDAP): LDAP ist ein offenes Protokoll, um auf distributed directory services (wie Microsofts Actice Directory) zugreifen und diese managen zu können.
Multi-Faktor-Authentifizierung (MFA): Sobald mehr als ein einziger Faktor (Passwort und Username) für die Authentifizierung nötig ist, spricht man von MFA.
Password Reset: In diesem Zusammenhang meint dieser Begriff die Möglichkeit, dass User selbst ein neues Passwort erstellen können und keine Unterstützung durch den Administrator nötig ist.
Risk-based Authentication (RBA): Bezeichnet eine dynamische Variante der Authentifizierung, bei der die jeweiligen Umstände des Zugriffs für zusätzliche Sicherheitsmaßnahmen sorgen können. Etwa wenn sich ein User von einem bisher nicht mit ihm in Verbindung stehenden Ort in das Unternehmensnetzwerk einloggen will.
User Behavior Analytics (UBA): UBA-Technologien identifizieren Muster im User-Verhalten und wenden automatisiert Algorithmen und Analysen an, um Anomalien aufzuspüren, die auf mögliche Sicherheitsrisiken hindeuten. Zu den überprüften Faktoren zählen beispielsweise der aktuelle Standort des Nutzers, die Uhrzeit des Zugriffs und ob der Nutzer auf Ressourcen zugreift, die normalerweise in seinen Zuständigkeitsbereich fallen.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
- Gernot Bekk-Huber, Ergon Informatik
"Beginnend bei einem Social-Media-Login für die erste Kontaktaufnahme bis hin zur vollständigen digitalen Kontoeröffnung, die an einige Compliance-Anforderungen gebunden ist: CIAM sollte den ganzen Customer Lifecycle vollständig abbilden können." - Andreas Rameil, FINCON
"Die Geräteindentifizierung ist sehr differenziert. Die einen haben dafür einen Online-Automatismus, bei anderen ist beim Gerätewechsel ein Brief per Post mit Passwörtern erforderlich." - Gerhard Zehethofer, ForgeRock
"IAM-Plattformen sollten modular und offen sein, damit innovative Lösungen Dritter einfach einge-bunden werden können." - Michael Stückl, LogMeIn
"Die Mutter aller Problematiken beim IAM ist das Spannungsfeld zwischen Zugangseinfachheit und Sicherheit. Es ist immer relativ schwer, eine gute Balance zu finden, vor allem für große Unternehmen." - John Thomson, SAP
"Bei unseren zukünftigen Lösungen müssen wir berücksichtigen, dass unsere Kinder die Next Generation Consumers sind."