Herausforderung IAM
Identitätsverwaltung in privaten und öffentlichen Clouds
Die Bandbreite der Zugriffskanäle auf Unternehmensdaten hat sich in den letzten Jahren stark erweitert - insbesondere durch mobile Geräte und Cloud-Dienste. Diese Entwicklung birgt neue Risiken. Sie verlangt nach einer sicheren Authentifizierung und - aufgrund der großen Bandbreite - nach einem starken Identity- und Access-Management (IAM), das Vertraulichkeit, Datenintegrität sowie die Einhaltung regulatorischer Anforderungen sicherstellt.
Für das Design eines IAM stehen technische Methoden wie manuelle Pflege, Provisioning, Integration und Identity-Federation zur Verfügung. Bei Cloud-Anwendungen ist zunächst zu klären, ob es sich um eine Private oder Public Cloud handelt. Während bei einer Private-Cloud-Lösung lediglich die Integration in die bestehende IT-Landschaft zu berücksichtigen ist, sind bei Public-Cloud-Lösungen unbedingt Aspekte wie Risikomanagement, Organisation und Technik zu betrachten.
Risiko-Management
IAM schützt Informationen durch eine gesteuerte Zugriffskontrolle. Daher empfiehlt es sich, vor der Nutzung von Cloud-Services oder mobilen Diensten ein umfassendes Risiko-Assessment vorzunehmen. Als Kriterien empfehlen sich die von der European Union Agency for Network and Information Security (ENISA) aufgestellten Kategorien organisatorische, technische, juristische und allgemeine Risiken. Beim Risiko-Assessment gilt es zum einen abzuwägen, welche Chancen und Gefahren sich durch die Nutzung von Cloud-Diensten ergeben, zum anderen ist zu klären, welchen Risiken die Organisation schon vorher ausgesetzt ist. So können beispielsweise kleine und mittelständische Unternehmen von einem professionellen IT-Betrieb aus der Cloud profitieren, den sie in Eigenregie nur unter hohen Kosten bewerkstelligen könnten. Auf der anderen Seite fehlen ihnen oftmals die Ressourcen, um sich ausreichend vor IT-Sicherheitsrisiken zu schützen. Typische Risiken sind beispielsweise Insiderattacken beim Cloud-Provider oder das Abhören von Identitäts-Service-Nachrichten, die zwischen Unternehmen und Dienstleister ausgetauscht werden. Dazu kommen unerlaubte Zugriffe auf Informationen in der Cloud oder auf mobilen Geräten sowie nicht gelöschte Identitätsdaten.