Die Rolle der Identity Governance in der IT-Sicherheit
Identity Governance sichert digitale Identitäten von Anwendern, Daten und Anwendungen. Dies dient sowohl der IT-Sicherheit als auch der Einhaltung gesetzlicher Vorgaben.
Das moderne Unternehmen ist ein komplexes Gebilde – oftmals müssen verschiedene Abteilungen und Divisionen an mehreren Standorten weltweit gemanaged werden. Pro Niederlassung gibt es wechselnde Mitarbeiterfluktuationen, Zuständigkeiten ändern sich, Mitarbeiter werden an neue Orte versetzt. In Zeiten, in denen Unternehmensstrukturen zunehmend komplexer werden, steigt gleichzeitig der Bedarf, sensible Daten vor unbefugtem Zugriff zu schützen, denn nicht selten sind Datenschutzverstöße geschäftskritisch.
Gleichzeitig sehen sich moderne Betriebe in Zeiten der EU-DSGVO und anderer Gesetzesänderungen im Bereich Datenschutz mit immer mehr Anforderungen in Bezug auf die Compliance konfrontiert. Hier ist Vorsicht geboten, denn im Rahmen der DSGVO ist mit teilweise empfindlichen Bußgeldern zu rechnen.
Wie im Sommer dieses Jahres bekannt wurde, musste die Fluggesellschaft British Airways eine Rekordstrafe von 200 Millionen Euro im Rahmen von Datenschutzversäumnissen zahlen. Die britische Datenschutzbehörde ICO (Information Commissioner’s Office) sah gravierende Sicherheitsmängel innerhalb des Unternehmens, die dazu führten, dass Unbekannte durch eine Sicherheitslücke im Online-Buchungssystem ab Juni 2018 an die Daten von etwa 500.000 Kunden gelangten.
Wie groß der Nachholbedarf auch in Deutschland beim Thema DSGVO ist, zeigte eine im September 2019 erschienene Studie des Digitalverbandes Bitkom: Erst ein Viertel der deutschen Unternehmen hat die Verordnung bereits vollständig umgesetzt – dies bedeutet im Vergleich zum Vorjahr nur einen Zuwachs um zwei Prozent. Grundlage für die Erhebung waren Befragungen unter mehr als 500 Firmen in Deutschland. Generell lässt sich festhalten: Sowohl die hohen Anforderungen im Bereich IT-Sicherheit, als auch die gesetzlichen Vorschriften zu vereinen, ist eine der größten Herausforderungen, mit denen sich Betriebe heute konfrontiert sehen.
Sichere digitale Identitäten
An dieser Schnittstelle greifen Lösungen aus dem Bereich Identity Governance, denn sie stehen für die richtlinienbasierte und zentralisierte Steuerung von Identitätsmanagement und Zugangskontrollen. Identity Governance ermöglicht und sichert digitale Identitäten für alle Benutzer, Anwendungen und Daten. Dadurch unterstützen Lösungen aus diesem Bereich sowohl die IT-Sicherheit in Unternehmen als auch die Einhaltung gesetzlicher Vorgaben.
Ursprünglich hat sich der Bereich Identity Governance als eine neue Kategorie im Sektor des Identitätsmanagements etabliert und wurde vor allem durch die Anforderungen im Rahmen neuer regulatorischer Vorgaben getrieben. Lösungen aus diesem Bereich wurden entwickelt, um die Transparenz und Handhabbarkeit zu verbessern und gab Unternehmen eine bessere Übersicht über Identitäten und Zugriffsrechte sowie Kontrollen zur Erkennung und Verhinderung unbefugter Zugriffe. Bereits im Jahr 2012 wurde Identity Governance vom Marktforschungsunternehmen Gartner zu dem am schnellsten wachsenden Sektor des Identitätsmanagementmarktes benannt.
In seinem ersten Magic Quadrant, der sich auf dieses Marktsegment konzentrierte, erklärte Gartner, dass IGA (Identity Governance and Administration) die Benutzerverwaltung und -bereitstellung als neuen Schwerpunkt für IAM ersetzen würde. Gartner schätzte weiterhin, dass die Wachstumsraten hier 35 bis 40 Prozent pro Jahr übersteigen würden, basierend auf vermehrten Vorfällen von gut publiziertem Insider-Diebstahl und Betrug.
Da immer mehr Unternehmen Identity-Governance- und Provisioning-Lösungen gemeinsam einsetzten, wurde deutlich, dass die Rolle von Richtlinien und Risikomodellen der Identity Governance für die Provisioning- und für Compliance-Prozesse grundlegend war. Gleichzeitig wurde klar, dass Betriebe eine zentralisierte Transparenz sowohl über lokale als auch über Cloud-Anwendungen und Dateien im gesamten Unternehmen benötigen.
Seitdem griff das Research-Unternehmen den Sektor wiederholt auf, etwa in diesem Jahr im Rahmen des 2019 Gartner Magic Quadrant for Identity Governance and Administration – der Report liefert ein umfassendes Update über diesen Wachstumsmarkt und die Kundentrends, die ihn beeinflussen.
Transparenz, Usability und Konsistenz: Schlüsselfaktoren für den Erfolg
Konkret erweitern Lösungen aus dem Bereich Identity Governance das Feld des Identitätsmanagements um drei Punkte, die für moderne Unternehmen zunehmend an Bedeutung gewinnen.
Zunächst geht es um zentrale Transparenz: Identity Governance wurde entwickelt, um eine unternehmensweite Sichtbarkeit der Unternehmensressourcen zu gewährleisten. Diese wird durch die Aggregation und Korrelation von Identitätsdaten in Cloud- und Rechenzentrumsumgebungen erreicht.
Auf diese Weise wird ein zuverlässiger Überblick geschaffen, der die Frage beantwortet: „Wer hat worauf Zugriff?“ Sobald die Daten zentralisiert sind, ermöglichen Identity-Governance-Lösungen es Unternehmen und IT-Anwendern, riskante Mitarbeitergruppen, Richtlinienverletzungen und unangemessene Zugriffsrechte zu identifizieren und diese Risikofaktoren zu eliminieren.
Ein zweiter entscheidender Punkt ist das Thema Usability: Moderne Lösungen bieten geschäftsfreundliche Benutzeroberflächen. Diese sind in einer Weise entwickelt, dass sie von Businessanwendern ohne Probleme genutzt werden können. Eine intuitive und unkomplizierte Bedienung erleichtert das effektive Monitoring und die Steuerung von Identitäten.
Nutzer innerhalb des Unternehmens können Zugriffsdaten über geschäftsfreundliche Benutzeroberflächen anfordern, genehmigen oder überprüfen, um technische Daten zu vereinfachen oder zu erklären. Weiterhin können sie auf Berichte, Dashboards und Analysetools zugreifen, die „Business-friendly“ gestaltet sind – auf diese Weise werden Betrieben die Informationen und Kennzahlen zur Verfügung gestellt, die sie benötigen, um interne Kontrollen durchzuführen und Risiken zu reduzieren.
Zuletzt bieten moderne Identity-Governance-Lösungen Konsistenz im Hinblick auf die Identitätsprozesse. Diese Konsistenz basiert auf dem Governance-Modell. Das bedeutet konkret: Software aus diesem Bereich hilft bei der Etablierung konsistenter Geschäftsprozesse für die Überprüfung, Beantragung und Genehmigung des Zugriffs sowie für die Verwaltung von Passwörtern, die auf einem gemeinsamen Richtlinien-, Rollen- und Risikomodell basieren. Governance-Basis bedeutet in diesem Zusammenhang, dass Prozesse präzise und effizient ausgeführt werden und der Fokus auf der konsistenten Durchsetzung von Richtlinien, rollenbasierten Zugriffskontrolle (RBAC), Risikomanagement und Revisionssicherheit liegt.
Im zweiten Schritt: Effizienzsteigerung und Kostensenkung
Neben der Sicherstellung der Compliance (etwa im Kontext der DSGVO) und der IT-Sicherheit helfen Lösungen aus diesem Bereich außerdem dabei, die Produktivität zu verbessern und Betriebskosten zu senken. Indem Benutzern die Ressourcen, die sie für ihre Arbeit benötigen, schneller zur Verfügung gestellt werden, können diese schneller produktiv werden.
Dies gilt langfristig – denn User können produktiv bleiben, unabhängig davon, in welcher Weise oder wie schnell sich ihre Rollen und Verantwortlichkeiten ändern. Darüber hinaus können Mitarbeiter ihre Passwörter eigenständig verwalten, was die Arbeitsbelastung der Helpdesk- und IT-Betriebsteams verringert. Dank der automatisierten Richtliniendurchsetzung können sich Firmen auf das eigentliche Tagesgeschäft konzentrieren, ohne ihre Sicherheit oder Compliance zu gefährden.
Weiterhin werden durch die Implementierung einer Identity-Governance-Software zwangsläufig die Betriebskosten sinken. Die Lösung automatisiert Prozesse, die sonst mit einem erheblichen Arbeitsaufwand einhergehen. Hierzu zählen unter anderem Zugriffszertifizierungen und -anforderungen sowie die Passwortverwaltung.
Dies führt zu einer drastischen Senkung der Betriebskosten – die Zeit, die IT-Mitarbeiter für administrative Aufgaben aufwenden, wird erheblich reduziert, da es geschäftlichen Nutzern nun möglich ist, einfach und unabhängig den Zugriff anzufordern und zu überprüfen sowie Passwörter zu verwalten.
Ausblick: Künstlicher Intelligenz und Machine Learning gehört die Zukunft
Betrachtet man die aktuellen Trends im Bereich Cybersicherheit, wird deutlich: Die Themen künstliche Intelligenz (KI) und Maschinelles Lernen (ML) sind aus der IT-Security-Landschaft kaum mehr wegzudenken.
Dies ist es nicht verwunderlich, wenn man die Vorteile der neuen Technologien bedenkt – vor allem in Hinblick auf die Kostenoptimierung und Steigerung der Effizienz. Dies gilt auch und im Besonderen für den Zweig der Identity Governance. Bestätigt wird diese Tatsache durch die aktuelle Forbes Insights-Studie Identity-Governance – the great enabler: Die Erhebung zeigt, dass 58 Prozent der befragten Unternehmen der Meinung sind, KI sowie automatisierte Systeme und Prozesse werden künftig eine große oder sehr große Rolle im Bereich Identity Governance spielen.
Die Aufteilung setzte sich hier wie folgt zusammen: Für rund 30 Prozent wird die Technologie eine sehr wichtige Rolle für die Zukunft von IGA spielen, 28 Prozent sind der Ansicht, dass diese eine hohe Bedeutung haben werde. Befragt wurden hierfür 200 leitende Technologiemanager in Hinblick auf ihre Bestrebungen im Bereich der Cybersicherheit und des Identity Access Managements.
„Wenn Betriebe sich vor der Anschaffung einer Lösung umfassend informieren und auf die genannten Punkte achten, sind sie bereits einen Schritt weiter, um neuen Herausforderungen für die IT-Sicherheit sowie der EU-DSGVO sicher zu begegnen.“
Volker Sommer, SailPoint
Doch wie sieht die Implementierung einer KI/ML-gestützten Lösung in diesem Bereich aus? Was müssen Unternehmen beachten? Bei der Anschaffung einer solchen Software ist es für Betriebe zunächst wichtig sicherzustellen, dass Identitätsprozesse automatisiert ablaufen können: Im Idealfall liefert die Lösung KI-basierte Empfehlungen, erkennt automatisch neue Zugriffsmöglichkeiten und bezieht sie in die Identitätsverwaltung ein.
Die Möglichkeit der vorausschauenden Modellierung bietet Unternehmen zusätzlich Vorteile, denn sie erlaubt die sofortige Erkennung und Erstellung von Richtlinien bezüglich der Zugriffe. Dies geschieht bei modernen Lösungen auf Basis des maschinellen Lernens und garantiert Betrieben, dass die Zugriffsmöglichkeiten zu jeder Zeit den aktuellen Geschäftsanforderungen entsprechen.
Ein weiterer großer Vorteil von KI-basierter IGA-Software ist, dass die IT-Security-Verantwortlichen jederzeit im Vorfeld alarmiert werden, sobald potenziell gefährliche Verhaltensweisen erkannt werden. Die Technologie nutzt im Idealfall Peer-Group-Modelle, um auch versteckte Risiken durch unbefugte Zugriffe zu erkennen.
Um die Compliance kontinuierlich aufrechtzuerhalten, liefern moderne Lösungen Vorschläge in Bezug auf die Richtlinien, welche auf KI basieren. Diese helfen bei der schnellen Erschaffung und Weiterentwicklung von Compliance-Programmen und ermöglichen es dank des Machine-Learning-Ansatzes, gezielte Zertifizierungskampagnen für risikoreiche User und Zugriffsbereiche zu starten.
Wenn Betriebe sich vor der Anschaffung einer Lösung umfassend informieren und auf die genannten Punkte achten, sind sie bereits einen Schritt weiter, um neuen Herausforderungen für die IT-Sicherheit sowie neuer Datenschutz-Richtlinien wie der EU-DSGVO sicher zu begegnen.
Über den Autor:
Volker Sommer ist Area Vice President DACH und Eastern Europe bei SailPoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.