freshidea - Fotolia
Welche Risiken bestehen bei Identity and Access Management?
Eine Lösung fürs Identitäts- und Zugriffsmanagement sorgt für mehr Sicherheit und Transparenz. Damit dies in der Praxis wirklich funktioniert, gilt es einige Punkte zu beachten.
Keine Frage, bei der Bewertung von Identity and Access Management überwiegen die Vorteile die Nachteile bei weitem. Aber sowohl bei der Implementierung einer entsprechenden Lösung als auch bei der kontinuierlichen Pflege müssen IT-Abteilungen einige wichtige Punkte beachten, um Risiken zu minimieren. Werden alle Benutzernamen, Zugangsdaten und Authentifizierungsmechanismen an einer zentralen Stelle abgelegt und verwaltet, stellt dieser Prozess natürlich selbst ein attraktives Angriffsziel dar.
Aus diesem Grund ist es wichtig, dass das Thema Sicherheit beim Aufsetzen und Bereitstellung der gewählten IAM-Plattform von der ersten Sekunde an Sicherheit integriert wird. Dazu gehören sehr strenge Richtlinien hinsichtlich des Zugriffs auf die IAM-Lösung sowie IPS-Schutzmaßnahmen über Firewalls und Intrusion-Prevention-Lösungen.
Der richtige Umgang mit Gruppen und Richtlinien
Üblicherweise arbeiten Administratoren in solchen Systemen mit rollenbasierten Zugriffskontrollen (RBAC, Role Based Access Control) innerhalb eines Unternehmens. Dabei wird der Zugriff des einzelnen Nutzers auf Systeme und Ressourcen auf Basis der Rolle des Einzelnen im Unternehmen reguliert. Administratoren können so mehrere Benutzer zu Gruppen zusammenfassen, je nachdem, ob diese auf ähnliche Ressourcen zugreifen müssen. Damit lässt sich ganz trefflich die Anzahl der Richtlinien für Zugriffe reduzieren, die ja jeweils gepflegt und erstellt werden müssen. Allerdings werden in vielen Unternehmen zu viele Benutzer in einer einzigen Gruppe zusammengefasst. Dies führt in der Praxis wiederum dazu, dass einigen Nutzern Zugriff auf Anwendungen und Dienste gewährt wird, die sie für ihre tägliche Arbeit eigentlich gar nicht benötigen.
Im besten Fall resultiert dies in einer Regulierung der Zugriffsrechte, die einfach nicht so stringent ist, wie sie sein könnte. In vielen Fällen kann dies aber auch zu ernsthaften Problemen mit Compliance- und Datenschutz-Vorschriften wie der DSGVO führen, wenn die Zugriffskontrolle (Access Control) im Hinblick auf die Aufgaben der Anwender nicht wirklich sauber geregelt ist.
Wenn eine IAM-Lösung im Unternehmen implementiert wird, sollte sichergestellt sein, dass turnusmäßig über eine Richtlinie die Zugriffskontrollen auf den Prüfstand gestellt werden. Wenn sich die Benutzerrolle ändert, muss sich das entsprechend in der jeweiligen Gruppe widerspiegeln. Heutzutage wird in Unternehmen meist weit flexibler im Hinblick auf die Rollen einzelner Benutzer gearbeitet, so dass sich Rollen sehr temporär ändern können. Dies muss auch ein IAM-System entsprechend abbilden können. Verändert sich ein Mitarbeiter innerhalb eines Unternehmens, muss sichergestellt sein, dass seine Berechtigungen der neuen Position entsprechen und die bisherigen auf den Prüfstand gestellt werden – Stichwort schleichende Rechteausweitung.
Diese Risiken für das Identitäts- und Zugriffsmanagement lassen sich über einen etablierten Auditprozess minimieren. Dies bringt zudem weitere Vorteile mit sich: Zum einen existieren dann dokumentierte Verfahren, nach denen sich die IT-Abteilung richten kann. Diese sind zudem im Falle eines Falles in Sachen Datenschutz und Compliance von Bedeutung. Darüber hinaus hilft ein derartiger Prozess der IT-Abteilung, nachzuvollziehen, welche Anwendungen und Dienste der jeweilige Nutzer tatsächlich für seine tägliche Arbeit benötigt.