Sikov - stock.adobe.com
Wichtige Fachbegriffe des Identity and Access Management
Identity and Access Management gehört zu den wichtigen Säulen der IT-Sicherheit im Unternehmen. Wir zeigen, was sich hinter wichtigen Formulierungen im Bereich IAM verbirgt.
Externe Attacken auf die Endnutzer in den Unternehmen nehmen ständig zu. Dazu kommt eine steigende Gefahr durch Insider. Um diesen Bedrohungen auch in Zukunft entgegentreten zu können, sollten sich die IT-Security-Teams in den Firmen umfassend mit dem Bereich Identity and Access Management (IAM) auskennen. Sowohl die IT-Leitung als auch die Administratoren sollten laufend ihre Kenntnisse im Bereich IAM-Tools und in den damit verwandten Techniken auffrischen, um die im Unternehmen eingesetzten Authentifizierungs- und Zugangsprozesse sowie die jeweiligen Zugriffsrechte auf einem aktuellen und sicheren Stand halten zu können.
Im Grunde ist Identity and Access Management nur ein Framework aus Enterprise-Richtlinien und -Techniken, um damit die Identitäten der Anwender zu verwalten. Moderne IAM-Plattformen kombinieren jedoch das Management der Identitäten mit einer Kontrolle der Zugänge zu den Ressourcen im Unternehmen. Mit den Funktionen, die ein IAM-Framework bereitstellt, kann die IT-Abteilung genau bestimmen und umfassend kontrollieren, welche Anwender auf welche Ressourcen zugreifen dürfen – und auf welche nicht.
Unternehmen setzen IAM-Lösungen also ein, um sicherzustellen, dass nur autorisierte Anwender einen Zugang zu bestimmten Ressourcen und nur unter vorgegebenen Bedingungen erhalten. Ein IAM kümmert sich dabei auch um das Provisioning der Nutzer und um die damit zusammenhängenden Prozesse, die Zugriffsrechte, die Authentifizierung und um die Einhaltung der geltenden Compliance-Vorgaben im gesamten Unternehmen.
Die folgende Liste mit Begriffen aus dem Bereich Identity and Access Management zeigt, welche Trends den Markt im Bereich IAM aktuell am stärksten beeinflussen.
Privileged Identity Management (PIM): Das Überwachen der Superuser-Accounts in einem Unternehmen wird als Privileged Identity Management bezeichnet. Zu den Superusern gehören nicht nur die Admins, sondern oft auch CIOs und CEOs. Ohne eine engmaschige Kontrolle dieser Accounts, die in der Regel Zugriff auf die sensibelsten Daten einer Firma haben, ist ein Unternehmen erheblichen Gefahren ausgesetzt. PIM gehört deshalb zu den Bereichen, die eine besonders große Bedeutung für die Sicherheit einer Organisation haben.
Zur Einführung einer PIM-Lösung gehören auch Richtlinien, die bestimmen, wie Superuser-Accounts verwaltet werden, über welche Rechte sie verfügen und welche sie nicht haben. Dazu wird eine vertrauenswürdige Stelle beziehungsweise Person benötigt, die sich um die Umsetzung dieser Richtlinien kümmert. Zur Durchführung einer PIM-Strategie gehören zudem regelmäßige Audits und Bestandsaufnahmen der vorhandenen Superuser-Accounts.
Identity Governance: Die Zentralisierung des Identity and Access Managements auf Basis von Richtlinien wird als Identity Governance bezeichnet. Produkte aus diesem Bereich umfassen oft PIM-Funktionen sowie zusätzliche Intelligence- und Analytics-Werkzeuge. Identity Governance kann für eine Einhaltung der Compliance-Vorgaben und für mehr IT-Sicherheit im Unternehmen sorgen. Lösungen in diesem Bereich sind zudem bei der Verwaltung und Kontrolle der IAM-Richtlinien nützlich und stellen eine Verbindung der vorhandenen IAM-Fähigkeiten mit den Compliance-Vorgaben durch etwa ein Auditing der Zugriffsrechte der Nutzer her.
Single Sign-On (SSO): Ein SSO-Dienst erlaubt es den Anwendern, sich mit nur einem Satz an Zugangsdaten an mehreren Anwendungen anzumelden. Der Service erhält die für eine Authentifizierung benötigten Daten von einem zentralen SSO-Server. Zusammen mit der ihm zur Verfügung stehenden Nutzerdatenbank können die einzelnen Anwender authentifiziert werden. Damit wird die Anmeldung an unterschiedlichen Diensten und Anwendungen deutlich vereinfacht, da nicht mehr jede einzelne Applikation ein Login-Fenster für neue Sessions anzeigen muss.
Single Sign-On reduziert auch die Belastung für die Anwender, da sie sich nicht mehr mehrere starke Passwörter für alle von ihnen verwendeten Applikation merken müssen. Die Technik ist allerdings nicht identisch mit einem Synchronisieren von Passwörtern. Bei dieser Methode werden alle Passwörter auf einen einzigen Begriff reduziert. Nachdem sich ein Anwender erst einmal gegenüber einem SSO-Server authentifiziert hat, kümmert sich der Server um alle weiteren Anmeldungen bei Anwendungen, die ansonsten ein separates Login erfordern würden.
User Provisioning: Die meisten Unternehmen versuchen, den administrativen Aufwand zu reduzieren, der mit dem Management der benötigten Accounts zusammenhängt. User Account Provisioning sorgt dafür, dass die Zugriffe auf die IT-Ressourcen im Betrieb einheitlich verwaltet werden können.
Der Begriff Provisioning bezieht sich dabei auf das Verfügbarmachen einer Ressource wie zum Beispiel einer Datei oder einem Netzwerk. Bei dem dabei verwendeten Prozess werden alle wesentlichen Aspekte wie der Abgleich der Nutzer-Accounts, die Autorisierung, der Zugriff auf physische Ressourcen und das Anlegen neuer Accounts einbezogen. Das User Provisioning ist also Teil des Managements der Identitäten in einem Unternehmen.
Rollenbasierte Zugriffskontrollen: Role-based Access Control (RBAC) ist eine von Administratoren verwendete Methode, um die Zugriffe der Anwender auf Basis ihrer zugewiesenen Rollen zu kontrollieren. Mehrere Anwender werden dabei in Gruppen zusammengefasst, die von den Zugriffen und Diensten bestimmt werden, die sie für ihre Arbeit benötigen.
Die dafür benötigte Analyse der Verbindungen zwischen Ressourcen und Nutzern wird auch Role Mining genannt. Sie dient dazu, die erforderlichen RBAC-Rechte für die Nutzer zu bestimmen. Rollenbasierte Zugriffskontrollen sollen dafür sorgen, dass Anwender nicht auf Informationen, Dienste oder Ressourcen zugreifen können, die nichts mit ihren eigentlichen Aufgaben zu tun haben. Sie reduzieren zudem den Bedarf an individuellen Richtlinien für diverse Zugriffe.
Wenn ein Anwender Zugang zu fremden Ressourcen erhält, kann es dadurch – absichtlich oder unabsichtlich – zu Insider-Attacken kommen. Um dies zu verhindern, sollten regelmäßige Audits durchgeführt werden, um die sich immer wieder ändernden Rollen der Anwender im Unternehmen zu überprüfen. Darüber hinaus sollten die Administratoren auch nicht zu viele Anwender in einer Gruppe zusammenfassen. Das kann nämlich dann dazu führen, dass einige Nutzer Zugangsrechte erhalten, die sie nicht wirklich benötigen, oder dass es zu einer schleichenden Zunahme nicht benötigter Zugriffsrechte kommt. Letzteres wird auch als Privilege Creep bezeichnet.
Privilege Creep: Wenn Anwender nach und nach immer wieder neue zusätzliche Rechte erhalten, die sie aber für ihre eigentliche Funktion nicht wirklich oder nicht mehr benötigen, dann wird dies auch Privilege Creep oder schleichende Rechteausweitung genannt. Dieser Effekt tritt zum Beispiel auf, wenn ein Anwender befördert oder auch nur innerhalb einer Fachabteilung in eine andere Position versetzt wird. Nur in seltenen Fällen werden dabei seine bisherigen Rechte entfernt. Selbst dann nicht, wenn er auf die bisher genutzten Ressourcen in Zukunft gar nicht mehr zugreifen muss, um seine Aufgaben erfüllen zu können. Mit der Zeit erhält er so immer mehr Rechte. Damit steigt aber auch die Gefahr eines Missbrauchs.
Die Folgen von Privilege Creep machen sich auf zwei Weisen bemerkbar: Entweder kann der Mitarbeiter selbst seine Zugriffsrechte missbrauchen oder ein Angreifer, der sich Zugang zu dem Nutzer-Account verschaffen konnte, nutzt die Rechte für seine eigenen Zwecke aus. In beiden Fällen kann es zu Datenverlust kommen, zur Veränderung wichtiger Daten oder zu einem Diebstahl vertraulicher Informationen.
Zur Bekämpfung dieser Gefahr sollten regelmäßige Kontrollen und Audits durchgeführt werden, um nicht mehr benötigte Zugriffsrechte identifizieren und entfernen zu können. Dieser Prozess, bei dem die Rechte der Nutzer überprüft werden, kann verhindern, dass es zu Privilege Creep kommt. Viele IT-Teams setzen dabei auf das bewährte Prinzip der geringsten benötigten Rechte, um den Anwendern im Unternehmen nur einen Zugriff auf die Ressourcen zu erlauben, die sie tatsächlich für ihre Aufgaben benötigen.