Identity and Access Management (IAM) führte lange Zeit ein Schattendasein und wurde in Unternehmen eher notgedrungen angegangen. Inzwischen gibt es ein neues Bewusstsein: IAM ist eine zentrale Grundlage des digitalen Geschäfts. Cloud-Services, mobiles Business und Internet of Things (IoT) ist ohne ein umfassendes und zuverlässiges Identitätsmanagement nicht realisierbar.
Branchenkonferenzen wie die European Identity and Cloud Conference (EIC) 2015 zeigen eine deutliche Bewegung bei IAM. Analysten von KuppingerCole oder Forrester Research sprechen von einer neuen Generation von IAM-Lösungen, von wichtigen, neuen Trends im IAM.
Tatsächlich gibt es einen deutlichen Bedarf für eine Fortentwicklung im IAM: Die digitalen Identitäten, die es zu verwalten gilt, befinden sich nicht mehr alleine innerhalb der Firewall-Grenzen der Unternehmen. Digitale Identitäten sind nicht mehr nur verbunden mit internen Nutzern, sondern mit externen Partnern, Kunden, Anwendungen, Schnittstellen, Endgeräten und Maschinen.
Foto: Courion
Diese vielfältigen Identitäten können und sollen alle miteinander in Beziehung treten können, definiert und sicher, versteht sich. IAM-Lösungen müssen sich durch Skalierbarkeit, Sicherheit, Schnelligkeit und Flexibilität auszeichnen.
Auf Komplexität antworten
Die zunehmende Komplexität bei der Definition und Steuerung der Identitäten und Zugriffe erzeugt ohne geeignete Lösungen hohe Aufwände bei den Unternehmen, aber auch mögliche Risiken, die übersehen werden könnten.
Deshalb sind zwei wichtige Entwicklungen im Identity and Access Management zu verzeichnen: IAM wird zunehmend zu einem User-managed IAM und zu einem Risk-based IAM. Diese Entwicklungen scheinen zu einem gewissen Grad gegenläufig zu sein: Gerade der User ist es, mit dem viele Risiken verbunden sind, der unsichere Geräte einsetzt oder unerlaubte Anwendungen öffnen will. Entscheidet der User, geht dies zu Lasten der Risiken, so scheint es.
Foto: Wisegate
Umgekehrt ist es aber auch der Nutzer, der zur richtigen Zeit die jeweils richtigen Berechtigungen für seine Aufgaben braucht und dem aus Gründen des Datenschutzes die Hoheit und Kontrolle über seine Daten (zurück)gegeben werden sollen.
Im Folgenden werden deshalb die Entwicklungen User-managed IAM sowie Risk-based IAM genauer betrachtet und in Verbindung gesetzt, so dass Anwenderunternehmen die richtige Strategie in ihren IAM-Projekten wählen können und Nutzer und Risiken die notwendige Berücksichtigung finden.
Nutzer werden zu Entscheidern
User-managed IAM stellt den Nutzer in doppelter Hinsicht in den Mittelpunkt, einmal um Supportkosten zu senken und die Produktivität zu steigern, zum anderen aber auch, um den Nutzern mehr Kontrolle innerhalb des Identitäts- und Zugriffsmanagement zu geben. Beide Motive lassen sich leicht begründen.
Helpdesks in Unternehmen stehen vor deutlich wachsenden Aufgaben, da die Zahl der Endgeräte, Anwendungen, Services und damit der gewünschten Zugänge und Berechtigungen stark ansteigt. Wie eine IDC-Umfrage ergab, wollen 45 Prozent der Unternehmen in Deutschland die Kosten für ihre IT-Services senken. Einen Weg dorthin bilden die Self-Service-Funktionen bei IAM-Lösungen.
Die Nutzer können die nach ihrer Meinung benötigten Zugänge und Zugriffe beantragen. Innerhalb festgelegter Richtlinien lassen sich solche Anträge automatisch prüfen und freigeben. Nur mögliche Abweichungen von den internen Vorgaben müssen noch durch die IT-Administration oder die Fachvorgesetzten kontrolliert und ggf. freigegeben werden. Betrachtet man, wie hoch der Anteil der Helpdesk-Anfragen zu vergessenen Passwörtern und zu gewünschten Berechtigungen ist, wird schnell deutlich, dass sich dadurch Kosten senken und Abläufe straffen lassen.
Foto: Meeco
Das zweite Argument für den neuen Nutzerfokus im IAM ist die hohe Bedeutung, die dem Datenschutz gerade im deutschsprachigen Raum zugemessen wird. Kunden als externe Nutzer von Online-Diensten zum Beispiel sind besorgt, was mit ihren personenbezogenen Daten geschieht. Transparenz bei der Datenverarbeitung gehört zum Datenschutz unbedingt dazu und erhöht das Vertrauen der Kunden.
Kontrolle über die Daten
Zudem wollen die Kunden die Kontrolle über ihre Daten behalten können, aus Sicht des Datenschutzes müssen sie es sogar. Wie eine NIFIS-Umfrage ergab, sehen 73 Prozent der Unternehmen in Deutschland den Kontrollverlust über ihre Daten als eine der Hauptgefahren für die deutsche Wirtschaft beim Cloud Computing. Das ist für den einzelnen Nutzer nicht anders.
Initiativen wie Kantara arbeiten daran, dass Nutzer die Zugriffe auf ihre Daten selbst verwalten können. Anwender können dann nicht nur Berechtigungen an den Daten Dritter beantragen, sondern auch die Rechte an den eigenen Daten vergeben oder verwehren. Die Spezifikationen für User-Managed Access (UMA) haben kürzlich den Status 1.0 erreicht und bieten Anwendern die Möglichkeit, eigene Richtlinien für Zugriffe auf ihre Nutzerdaten aufzustellen und durchzusetzen.
Foto: OpenUMA
User-Managed IAM hilft dem Datenschutz, steigert das Vertrauen der Nutzer und gibt dadurch dem Online-Geschäft Rückenwind. Gleichzeitig hilft die aktive Teilnahme des Nutzers mittels Self-Service-Funktionen bei der Reduzierung der Helpdesk-Aufwände. Trotzdem sollte das neue Identity and Access Management nicht nur nutzerzentriert sind.
Risikoanalysen unterstützen
Eine weitere, starke Strömung bei IAM-Lösungen kann mit Identity Intelligence, Access Intelligence oder auch Risk-based IAM umschrieben werden. Sicherheitsforscher und Analysten warnen seit langem, dass die Verwaltung von Identitäten, Zugängen und Zugriffen deutlich gewissenhafter betrieben werden muss. Wie es zum Beispiel Forrester Research bezeichnet, sind schlecht organisierte Zugriffsrechte zu sehen wie eine bevorstehende Datenpanne, sprich: Fehler im IAM rächen sich früher oder später durch das Auftreten von Datenpannen und IT-Sicherheitsvorfällen.
Bei einem Risk-based IAM werden grundsätzlich die Risiken betrachtet, die von einer Identität, einem Zugang oder einer Berechtigung ausgehen. Als mögliche Risikofaktoren gelten zum Beispiel der aktuelle Standort von Nutzer und Gerät, die verwendete IP-Adresse, der Sicherheitsstatus des Gerätes, der Status der Sicherheitssoftware, die Geschäftsrelevanz und Kritikalität der angefragten Anwendung und der Schutzbedarf der jeweiligen Daten.
Risikoeinschätzung
Die entsprechende Risikobewertung hilft dem Unternehmen, die Freigabe angefragter Zugänge, Anwendungen und Berechtigungen nicht nur auf Basis vorab definierter, statischer Richtlinien zu erteilen oder zu versagen. Vielmehr erhält der Administrator oder die freigebende Stelle eine aktuelle Entscheidungsgrundlage: die Risikoeinschätzung.
Ein Risk-based IAM kann aber noch mehr: Berechtigungen werden nicht dauerhaft vergeben, sondern dynamisch und zeitlich begrenzt. Ändert sich die Risikobewertung für eine bestehende Berechtigung, kann diese auch nachträglich entzogen werden. Die sogenannte Rezertifizierung der Berechtigungen, also die regelmäßige Kontrolle der erteilten Privilegien, wird dadurch deutlich unterstützt.
Identitäten und Berechtigungen müssen immer in ihrem aktuellen Kontext gesehen werden, also jeweils in Verbindung mit der bestehenden Sicherheits- und Risikolage überprüft werden. Dabei ist der Kontext zum einen nutzerabhängig, zum anderen transaktionsabhängig. Eine IAM-Lösung sollte also berücksichtigen, welcher Nutzer was genau womit wann und wo machen möchte.
IAM wird zur Echtzeitlösung
Die hohe Dynamik im IAM bedingt es, dass die Freigabe von Zugängen und Berechtigungen sehr schnell erfolgen muss. Kein Nutzer will und kann längere Zeit warten, bis die gewünschten Zugangs- und Zugriffsrechte erteilt oder die entsprechende Anfrage zumindest beantwortet ist. Dabei können je nach Anwendungsszenario schon zehn Sekunden eine längere Zeit sein.
Möglich werden so schnelle Reaktionen durch die automatische Freigabe und Überprüfung durch das IAM-System. Die Rechtevergabe erfolgt dadurch in kurzer Zeit, aber auch nur für kurze Zeit. Entscheidend ist, dass insbesondere solche Zugänge und Privilegien nur für kurze Dauer vergeben werden, die mit höheren Risiken versehen sind. Welche Risiken aktuell besonders hoch sind, beantwortet die Risikoanalyse-Funktion der IAM-Lösung in nahezu Echtzeit.
Dashboards bieten Orientierung
Ohne menschliche Interaktion geht es aber auch im Risk-based IAM nicht. So muss es zum Beispiel möglich sein, dass der Entscheider aus bestimmten Gründen zulässt, dass ein Nutzer einen risikobehafteten Zugang oder besonders hohe Privilegien in einem IT-System erhält. Das damit verbundene Risiko übernimmt dann der Entscheider, der dies mit den geschäftlichen Vorteilen aus der Freigabe abwägen wird.
Technisch umsetzen lässt sich dies, indem den Entscheidern eine Liste der Zugangs- und Zugriffsanfragen, die vom Standard abweichen, im IAM-System angezeigt wird. Zusätzlich zur Anfrage können Risk-based IAM-Lösungen einen Risikowert für die Anfrage anzeigen, im einfachsten Fall zeigt das Dashboard Hinweise nach einem Ampelsystem. Der Managerin oder dem Manager wird damit signalisiert, dass ein erhöhtes Risiko besteht. Trotzdem kann dann entschieden werden, das Risiko einzugehen und die Freigabe zu erteilen.
Freigaben für Zugänge und Zugriffe sollen in den neuen IAM-Lösungen aber nicht nur von Administration und Management kommen, sondern im zuvor beschriebenen User-managed IAM auch von dem einzelnen Nutzer selbst. Auch der einzelne Anwender braucht dann Unterstützung bei der möglichen Freigabe seiner Daten, auch hier sollten Risikowerte für die angefragten Berechtigungen angezeigt werden.
Foto: Beta Systems
Sowohl bei den Self-Service-Funktionen als auch bei dem User-managed Access aus Datenschutz-Sicht sind somit aktuelle Risikobewertungen hilfreich, um dem Nutzer eine erhöhte Gefährdung anzuzeigen. Beantragt ein Nutzer im Self-Service eine besonders risikobehaftete Berechtigung, könnte zum Beispiel eine Einwilligung zur Protokollierung der Aktivitäten abgefragt werden, so dass der Nutzer weiß, dass eine Auditierung seines neuen Zugangs stattfindet. Alternativ werden dynamisch nur die Berechtigungen in dem Self-Service-Portal angezeigt, die eine bestimmte Risikoschwelle nicht überschreiten. Die Auswahlmöglichkeiten für den Nutzer werden also auf Basis des aktuellen Risikos gefiltert.
Für die Steuerung der Zugriffe auf seine eigenen Daten kann der einzelne Nutzer genauso vorgehen wie die Managerin oder der Manager: Vor der Freigabe der eigenen Daten für bestimmte Personen, Anwendungen oder Geräte werden die aktuellen Risiken angezeigt, die damit verbunden sind. Der Nutzer selbst entscheidet dann, ob er oder sie das Risiko eingehen will oder nicht. Dies entspricht dem Gedanken der "informierten Einwilligung" im Datenschutz.
Nutzer- und risikobasiert
Es zeigt sich: Die aktuellen Entwicklungen im IAM widersprechen sich nicht etwa, sondern ergänzen sich. Nicht das Risiko alleine entscheidet, sondern immer der Nutzer oder Manager auf Basis der Risikoinformationen, sei es im User-managed IAM bei den Self-Service-Funktionen zur Entlastung des Helpdesks, bei der Stärkung der Nutzerrechte (Betroffenenrechte) im Datenschutz oder im Risk-based IAM, bei der Risiken aktuell berücksichtigt und die Nutzer oder Manager bei ihren Freigaben unterstützt werden.
Das neue Identity and Access Management muss also den Nutzer und die Risiken im Blick haben. Unternehmen, die sich mit neuen IAM-Angeboten befassen, sollten deshalb auf Lösungen achten, die beide IAM-Trends im Fokus haben und User-Managed als auch Risk-based sind. Die Fokussierung auf nur einen IAM-Trend wird den neuen Anforderungen an IAM nicht gerecht. (sh)
Nutzerzentriertes IAM (User-managed) | Risikozentriertes IAM (risk-based) | |
Fokus | Nutzer beantragen und entscheiden über Freigaben für Zugänge und Berechtigungen | Risiken entscheiden über Freigaben für Zugänge und Berechtigungen |
Ziele | Senkung des Helpdesk-Aufwandes und Steigerung der Selbstkontrolle des Nutzers über seine Daten | Reduzierung der Risiken, die mit Zugängen und Zugriffen verbunden sind |
Methoden | Self-Service-Funktionen Datenfreigaben durch Nutzer | Bestimmung der Risikowerte in (nahezu) Echtzeit Automatische Kontrolle der Zugänge und Berechtigungen auf Risikobasis |
Einschränkung | Nutzer haben unzureichende Entscheidungsgrundlagen (dynamische Risikolage) | Ausnahmen müssen trotz Risiken möglich sein, wenn das Geschäft es erfordert |
Lösung | IAM braucht Fokus auf Nutzer und Risiken | Nutzer/Manager entscheiden, Risikowerte unterstützen dabei |