Sergey Nivens - Fotolia
Identity und Access Management: Darauf sollte man achten
Die Anforderungen an ein IAM-System (Identity und Access Management) sind vielfältig. Dieser Artikel beschreibt, worauf IT-Teams bei der Auswahl einer Lösung achten sollten.
Identity und Access Management (IAM), sprich die Verwaltung von Identitäten und deren Zugriffsrechten, ist für die IT-Sicherheit und Compliance in Unternehmen von zentraler Bedeutung. Mittlerweile geht es nicht mehr nur um die Verwaltung der Identitäten interner Mitarbeiter, sondern auch um die von externen Partnern und Kunden. Diese Dienstleister und Konsumenten müssen sich registrieren können, sie benötigen Zugriff auf Systeme, und die Benutzerkonten und Zugriffsrechte müssen verwaltet werden.
Und dann ist da noch das Internet of Things mit einer Unmenge verbundener Geräte, Sensoren und „Dinge“, die permanent miteinander kommunizieren. Die Verwaltung sämtlicher Identitäten im IoT ist eine der wichtigen Fragen für die Zukunft.
Bei der Auswahl eines passenden IAM-Systems (Identity und Access Management) muss die IT-Abteilung eine Vielzahl von Faktoren berücksichtigen.
Ausführliche Vorbereitung und Recherche
Zunächst einmal sollte vor der Auswahl klar sein, in welcher Form die IAM-Plattform implementiert werden soll. Die IT kann IAM-Systeme lokal oder als Cloud-Dienst implementieren oder in eine Plattform für Enterprise Mobility Management (EMM) integrieren.
Im nächsten Schritt bestimmt das IT-Team, welche Services es für das Identitätsmanagement benötigt. Die IT-Abteilung sollte entscheiden, ob sie Single Sign-On (SSO) inklusive Multifaktor-Authentifizierung (MFA) für die Identifizierung der Benutzer einsetzen will.
Bei der Auswahl der IAM-Tools gilt es zunächst zu prüfen, ob die Lösung mit den Sicherheitsrichtlinien des Unternehmens und anderen Anforderungen kompatibel ist. Die IT-Abteilung muss sicherstellen, dass das IAM-Produkt die Sicherheitsrichtlinien einhält, wenn es in Betrieb genommen wird. Darüber hinaus sollte sie die Mitarbeiter auf die Richtlinien und Verfahren des ausgewählten IAM-Produkts vorbereiten.
Wichtige IAM-Produkte
Da der Markt für IAM-Systeme wächst, hat die IT-Abteilung eine große Auswahl, ganz exemplarisch seien hier einige wenige erwähnt. IAM-Produkte wie Ping Identity und ForgeRock konzentrieren sich auf Authentifizierung und den Austausch von Attributen, während Trulioo und Signicat den Schwerpunkt auf das Sammeln von Identitätsdaten und die Identifikation von Bedrohungen legen.
Es ist auch wichtig, auf die Benutzerfreundlichkeit eines IAM-Produkts zu achten. So ist es zum Beispiel ärgerlich, wenn Benutzer ein Passwort wiederholt eingeben müssen. IAM-Lösungen wie OAuth vermeiden das, indem sie Single Sign-On ermöglichen, sprich die Benutzer können sich einmalig für alle Unternehmensportale anmelden.
Die IT-Abteilung sollte sich auch Tools ansehen, die Metriken wie Login-Historie und die tatsächliche Nutzung erfassen. Die Tools sollten das Lightweight Directory Access Protocol (LDAP) und Active Directory unterstützen, um den Zugriff zu verwalten und zu kontrollieren. Alternativ können Administratoren die Zugriffsverwaltung über eine Blockchain-Applikation auslagern.
IAM als permanenter Prozess
Es ist einfach, ein IAM-System zu kaufen, das den aktuellen Anforderungen eines Unternehmens entspricht. Die IT-Abteilung sollte allerdings auch die Zukunft des Systems bedenken. Da neue Angriffsvektoren, Partnerschaften und Technologien entstehen, müssen Administratoren die Änderung der Richtlinien für die Verwaltung der Passwörter im Auge behalten, den Zugriff auf Ressourcen systemübergreifend vereinfachen und neue Tools implementieren.
IAM-Systeme konzentrieren sich auf die Verwaltung von Passwörtern, um Sicherheitsrisiken zu verringern. IAM-Tools müssen Compliance-Richtlinien einhalten, aber Administratoren können mehr tun. So ist es beispielsweise möglich, die Authentifizierung auf Einzelseiten, in Verzeichnissen oder über eine ganze Website granularer zu steuern.
Wenn ein System Benutzer über SSO und MFA autorisiert, ist die Arbeit der IT-Abteilung noch lange nicht getan. Sie muss weiterhin die Risiken überwachen und ihre Richtlinien für die Verwaltung der Passwörter anpassen, um neue Bedrohungen zu bekämpfen. Die IT-Abteilung kann das Identitätsmanagement zudem weiter optimieren, indem sie die Registrierung der Benutzer automatisiert.
Föderierte Identitäten
Wenn Benutzer auf Ressourcen außerhalb einer Sicherheitsdomäne zugreifen müssen, sollte die IT-Abteilung ein föderiertes Identitätsmanagement in Betracht ziehen. Dies ermöglicht internen Benutzern den Zugriff auf externe Ressourcen und externen Benutzern den Zugriff auf interne Ressourcen.
Föderierte Identitäten verbinden die Identität eines Benutzers über mehrere Sicherheitsdomänen hinweg, wobei jede ihr eigenes System für die Verwaltung der Identitäten unterstützt. Wenn zwei Domains miteinander verbunden sind, kann sich der Benutzer bei einer Domain authentifizieren und dann auf Ressourcen in der anderen Domain zugreifen, ohne sich ein zweites Mal anmelden zu müssen. Beispielsweise könnte eine Gruppe von Firmen, die gemeinsam an einem Projekt arbeiten, eine Identitätsföderation bilden, damit Benutzer aus den beteiligten Firmen einfacher Daten nutzen und mit den anderen Teilnehmern austauschen können.
Föderierte Identitäten erleichtern auch die Probleme, die durch einen Multi-Domain-Zugriff entstehen. Administratoren verwalten weiterhin die Zugriffsebene ihrer eigenen Domain. Wenn Firmen beschließen, eine Identitätsföderation zu gründen, müssen alle Mitglieder den dafür notwendigen Richtlinien und Technologien zustimmen.
Künstliche Intelligenz und Biometrie
Auch moderne Entwicklungen wie künstliche Intelligenz und Biometrie prägen die IAM-Produkte. IAM wird sich mit dem Fortschritt dieser Technologien weiterentwickeln, die neuen Möglichkeiten für die Identifikation von Nutzern integrieren und die größere Vielfalt an Geräten und Anwendungen bewältigen.
Derzeit verwenden viele Administratoren Benutzernamen und Kennwörter, um den Zugriff auf die Ressourcen des Unternehmens zu bestimmen. Neue IAM-Tools könnten für die Authentifizierung Fingerabdruck-, Gesichts- oder Spracherkennung gemeinsam mit KI-Features wie Tastendruckanalyse, Orts- und Tageszeitdaten verwenden. Die Kombination von mehreren Tools erhöht die Sicherheit erheblich.