Serg Nvns - Fotolia
Unterschiede zwischen Identitäts- und Zugriffsmanagement
Die Begriffe Identitäts- und Zugriffsmanagement hängen eng zusammen, bedeuten aber etwas komplett anderes. Das führt wiederholt zu Missverständnissen. Was steckt wirklich dahinter?
In der IT-Welt geschieht es immer wieder, dass etwa in Gesprächen mehrerer Kollegen miteinander die Begriffe Identitätsmanagement und Zugriffsmanagement falsch verwendet oder verwechselt werden. Dabei bedeuten sie eigentlich etwas komplett anderes. Der wichtigste Grund für die Begriffsverwirrung ist, dass die beiden Prozesse eines Frameworks zum Management von Identitäten und Zugriffen eng miteinander verwoben sind. Eine Plattform, die diese beiden Komponenten miteinander verbindet, wird deswegen auch Identity and Access Management (IAM) genannt. Um IAM wirklich zu verstehen, sehen wir uns im Folgenden die beiden Teile genauer an, die für seine Funktionsfähigkeit benötigt werden, also das Management der Identitäten sowie das Management der Zugriffe in einem Unternehmen.
Identitätsmanagement ist eine Methode, um die Nutzer, Gruppen und Geräte in einem Unternehmen zu klassifizieren. Die wichtigste Aufgabe dabei ist, identifizierte Ressourcen in Kategorien einzuordnen, so dass die in einem Unternehmen vorhandenen Netzwerk- und Sicherheitsrichtlinien auf sie angewendet werden können. Die bislang am häufigsten verwendete Art, um eine Ressource zu identifizieren, ist der Einsatz einer Kombination aus Nutzername und Passwort. Der Nutzername ist dabei das Identifizierungskennzeichen, während das Passwort nur der Ressource, also dem Nutzer, bekannt sein sollte. Nach einer erfolgreich durchgeführten Authentifizierung kann die IT-Abteilung deswegen davon ausgehen, dass der Nutzer der ist, der er zu sein vorgibt – vorausgesetzt natürlich, der Account wurde nicht kompromittiert. Andere Methoden zur Identifizierung basieren auf Informationen wie etwa den DNS-Namen (Domain Name System) und IP- sowie MAC-Adressen (Media Access Control). Sie sind aber nicht notwendigerweise sicher. Die Blockchain ist eine der modernsten und zugleich verlässlichsten Methoden, um die Identität eines vernetzten Geräts zu garantieren.
Richtlinien für Zugriffe sind der nächste Schritt
Das war es aber noch nicht, wenn es um die Einführung eines IAM-Frameworks geht. Nach dem Identifizieren der Ressourcen müssen wir noch eine oder mehrere Richtlinien für die erlaubten Zugriffe auf sie anwenden. Mit einem aktuellen Zugriffsmanagement kann die IT-Abteilung festlegen, wer oder was im Netzwerk die Erlaubnis hat, sich mit einer bestimmten Ressource zu verbinden. Das kann in Form eines Ja oder Nein oder auch abgestuft erfolgen. Nur dieser Schritt wird als Zugriffskontrolle bezeichnet. Zum Beispiel sollten nur identifizierte Anwender aus der Finanzabteilung eines Unternehmens Zugriff auf die Gehaltsabrechnungen der Mitarbeiter erhalten, während alle anderen Kollegen keinen Blick darauf werfen dürfen. Vernetzte Überwachungskameras sind ein weiteres Beispiel, das Richtlinien benötigt. So wird in der Regel nur den Sicherheitsangestellten eines Unternehmens erlaubt, auf die von den Kameras erstellten Aufnahmen zuzugreifen.
In der Regel werden mehrere Identitäten in Gruppen zusammengefasst, die auf ihrer Funktion im Unternehmen oder auch auf einer bestimmten Geräteklasse beruhen. Diese Vorgehensweise wird als rollenbasierte Zugriffskontrolle (Role-based Access Control, abgekürzt RBAC) bezeichnet. Das hat den Vorteil, dass eine einzige Richtlinie für bestimmte Zugriffe einer größeren Gruppe von Identitäten verwendet werden kann. Es werden also keine individuellen Richtlinien für jede einzelne Identität mehr benötigt. Dank der rollenbasierten Zugriffskontrollen müssen meist deutlich weniger Richtlinien für Zugriffe mit dem IAM-Framework eines Unternehmens erstellt und verwaltet werden.