Herausforderung IAM

Identitätsverwaltung in privaten und öffentlichen Clouds

Kontrollierte Zugriffsmöglichkeiten auf Cloud-Anwendungen verlangen nach einem durchgängigen Identity- und Access-Management. Bei Public-Cloud-Lösungen ist eine umfassende Betrachtung von Risikomanagement, Organisation und Technik unverzichtbar.

Die Bandbreite der Zugriffskanäle auf Unternehmensdaten hat sich in den letzten Jahren stark erweitert - insbesondere durch mobile Geräte und Cloud-Dienste. Diese Entwicklung birgt neue Risiken. Sie verlangt nach einer sicheren Authentifizierung und - aufgrund der großen Bandbreite - nach einem starken Identity- und Access-Management (IAM), das Vertraulichkeit, Datenintegrität sowie die Einhaltung regulatorischer Anforderungen sicherstellt.

Für das Design eines IAM stehen technische Methoden wie manuelle Pflege, Provisioning, Integration und Identity-Federation zur Verfügung. Bei Cloud-Anwendungen ist zunächst zu klären, ob es sich um eine Private oder Public Cloud handelt. Während bei einer Private-Cloud-Lösung lediglich die Integration in die bestehende IT-Landschaft zu berücksichtigen ist, sind bei Public-Cloud-Lösungen unbedingt Aspekte wie Risikomanagement, Organisation und Technik zu betrachten.

Risiko-Management

IAM schützt Informationen durch eine gesteuerte Zugriffskontrolle. Daher empfiehlt es sich, vor der Nutzung von Cloud-Services oder mobilen Diensten ein umfassendes Risiko-Assessment vorzunehmen. Als Kriterien empfehlen sich die von der European Union Agency for Network and Information Security (ENISA) aufgestellten Kategorien organisatorische, technische, juristische und allgemeine Risiken. Beim Risiko-Assessment gilt es zum einen abzuwägen, welche Chancen und Gefahren sich durch die Nutzung von Cloud-Diensten ergeben, zum anderen ist zu klären, welchen Risiken die Organisation schon vorher ausgesetzt ist. So können beispielsweise kleine und mittelständische Unternehmen von einem professionellen IT-Betrieb aus der Cloud profitieren, den sie in Eigenregie nur unter hohen Kosten bewerkstelligen könnten. Auf der anderen Seite fehlen ihnen oftmals die Ressourcen, um sich ausreichend vor IT-Sicherheitsrisiken zu schützen. Typische Risiken sind beispielsweise Insiderattacken beim Cloud-Provider oder das Abhören von Identitäts-Service-Nachrichten, die zwischen Unternehmen und Dienstleister ausgetauscht werden. Dazu kommen unerlaubte Zugriffe auf Informationen in der Cloud oder auf mobilen Geräten sowie nicht gelöschte Identitätsdaten.