Studie „Identity und Access Management“

Zukunftssicheres IAM: Noch gibt es viel zu tun

Jürgen Mauerer betreibt als freier Journalist ein Redaktionsbüro in München.
Identity und Access Management (IAM), sprich die Verwaltung von Identitäten und deren Zugriffsrechten, ist zentral für die IT-Sicherheit und Compliance von Unternehmen. Hier besteht in deutschen Firmen allerdings noch Nachholbedarf.

Die IAM-Welt hat sich enorm verändert. Bis vor wenigen Jahren bestand Identity und Access Management (IAM) vor allem aus der technischen Verwaltung von Benutzerkonten und Berechtigungen der eigenen Mitarbeiter im Unternehmen. Doch Digitalisierung, Cloud Computing und das Internet of Things (IoT) haben die Rolle von IAM verändert - und werden sie weiter verändern.

Digitalisierung, Cloud Computing und das Internet of Things (IoT) haben die Rolle von IAM verändert.
Digitalisierung, Cloud Computing und das Internet of Things (IoT) haben die Rolle von IAM verändert.
Foto: Den Rise - shutterstock.com

Da immer mehr Geschäftsmodelle und -prozesse direkt über das Internet aka die Cloud abgewickelt werden, müssen die IAM-Systeme jetzt auch verstärkt externe Partner und Kunden integrieren. Diese Dienstleister und Konsumenten sollten sich registrieren können, sie benötigen Zugriff auf Systeme, und die Benutzerkonten und Zugriffsrechte sind zu verwalten.

Die aktuelle IAM-Studie von Computerwoche und CIO spiegelt diese neue Entwicklung wider. Zwar greifen in Firmen mit installierter IAM-Software vor allem die Mitarbeiter intern (75 Prozent) oder extern (60 Prozent) über Authentifizierungs- und Identitätsmanagement-Tools auf Systeme ihres Unternehmens zu. Doch bereits in 42 Prozent der Firmen erhalten Geschäftspartner, Dienstleister und Zulieferer (B2B) über IAM Zugang zum Netzwerk, in 23 Prozent die Kunden sowie auch Dienste und Services über Machine-to-Machine-Kommunikation (M2M), sprich über das IoT.

Mehr Einfallstore für Hacker

Mit der zunehmenden Vernetzung steigt natürlich auch die Zahl der möglichen Einfallstore für Hacker und andere Cyberkriminelle. Entsprechend sehen die meisten befragten Firmen die allgemeine Bedrohungslage von extern als größte Herausforderung in Bezug auf IT-Security an. 38 Prozent der Firmen betrachten die externen Risiken durch Cyberangriffe wie Ransomware oder Industriespionage als größte Herausforderung für ihre IT-Security.

Die Firmen sehen zahlreiche Bedrohungsszenarien durch digitale Kriminalität – je nach Unternehmensbereich aber unterschiedlich.
Die Firmen sehen zahlreiche Bedrohungsszenarien durch digitale Kriminalität – je nach Unternehmensbereich aber unterschiedlich.

Sorgen bereiten zudem der Diebstahl digitaler Identitäten oder von Zugangsdaten (47 Prozent) sowie der Datenverlust beziehungsweise die Nicht-Verfügbarkeit von Daten/Services in der Cloud (44 Prozent). Ein Viertel der Firmen schätzen das Risikopotenzial durch die internen Mitarbeiter sowie fehlende Informationen und mangelnde Transparenz über den Wert bedrohter Daten und Prozesse hoch ein. Auch Compliance-Anforderungen und fehlende Security-Awareness bei den eigenen Mitarbeitern (jeweils 24 Prozent) stellen eine relevante Security-Herausforderung dar.

Vertrauenswürdige Identitäten spielen daher eine umso wichtigere Rolle; Angreifer sollten keine Benutzerkonten übernehmen können. Das IAM-System muss unbefugte Zugriffe auf Netze und Applikationen abwehren sowie die Identitäten, Benutzerkonten und Zugriffsrechte von Tausenden bis Millionen von Nutzern verwalten. Es geht um Transparenz über die Benutzer, damit Unternehmen steuern können, welcher Nutzer mit welcher Authentifizierung welche Rechte erhält, und auch erkennen, wann Missbrauch vorliegt.

IAM ist wichtig für die Compliance

Eine derartige IAM-Infrastruktur minimiert die Sicherheitsrisiken und bildet gleichzeitig die tragende Säule um regulatorische und Compliance-Anforderungen in Bezug auf Datenschutz erfüllen zu können. Nur wer eine einheitliche Sicht auf die Benutzer und deren Identitäten hat, kann Regeln konsequent umsetzen. Dies gilt vor allem für die EU-Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2018 rechtswirksam in Kraft tritt. Ihre Umsetzung nennen die für die IAM-Studie befragten Unternehmen als größte Compliance-Herausforderung.

Das Gros der Firmen sieht sich gut auf die EU-DSGVO vorbereitet. Nichtsdestotrotz besteht noch Handlungsbedarf.
Das Gros der Firmen sieht sich gut auf die EU-DSGVO vorbereitet. Nichtsdestotrotz besteht noch Handlungsbedarf.

41 Prozent der Firmen sind von der EU-DSGVO sehr stark (15 Prozent) und stark betroffen (26 Prozent). Dies gilt vor allem für große Unternehmen ab 1.000 Mitarbeitern mit einem IT-Etat ab einer Million Euro (50 Prozent). Die kleinen Firmen stehen den Anforderungen der EU-DSGVO gelassener gegenüber. Knapp ein Drittel der Unternehmen mit weniger als 100 Mitarbeitern sieht sich kaum oder überhaupt nicht betroffen.

Weitere wichtige Compliance-Herausforderungen sind das IT-Sicherheitsgesetz (35 Prozent) und die End-of-Life-Diskussion (33 Prozent). Auch hier sind die mittleren und großen Unternehmen jeweils überdurchschnittlich betroffen (44 Prozent). 30 Prozent der Firmen beschäftigen sich zudem verstärkt mit bisher ungelösten Fragen durch neue Technologien (wie z. B. Internet of Things / Industrie 4.0 / Digital Business) oder der EU-Zahlungsrichtlinie Payment Services Directive (PSD).

Inhalt dieses Artikels