IdM- und IAM-Systeme sind im Allgemeinen Bestandteil der IT-Sicherheit und des IT-Datenmanagements innerhalb des Unternehmens. Tools für das Identitäts- und Zugriffsmanagement sind weithin für die zahlreichen Geräte verfügbar, die Anwender zur Ausführung von Geschäftsfunktionen benötigen: von Telefonen und Tablets bis hin zu Desktop-Computern mit Windows, Linux, iOS oder Android. 

 

IdM und IAM sind Begriffe, die oft austauschbar verwendet werden. Identitätsmanagement konzentriert sich jedoch stärker auf Anwenderidentität (oder Anwendernamen) sowie auf die Rollen, Berechtigungen und Gruppen, denen Anwender angehören. IdM konzentriert sich auch auf den Schutz von Identitäten durch eine Vielzahl von Technologien wie Kennwörter, Biometrie, Mehrfach-Authentifizierung und andere digitale Identitäten. Dies wird in der Regel durch die Einführung von Anwendungen und Plattformen für die Identitätsmanagementsoftware erreicht.

 

Funktionsweise von Identitätsmanagement

Als Teil eines übergreifenden IAM-Frameworks aus Zugriffs- und Identitätsmanagement verwenden Unternehmen in der Regel sowohl eine Komponente für das Anwendermanagement als auch eine Komponente für das zentrale Verzeichnis wie Active Directory für Windows oder Apache Directory Studio oder Open LDAP für Linux-Systeme.

 

Die Komponente für das Anwendermanagement übernimmt die Vergabe von Verwaltungsberechtigungen, die Nachverfolgung von Rollen und Verantwortlichkeiten für jeden Anwender und jede Gruppe, die Bereitstellung von Anwenderkonten und deren Aufhebung sowie das Kennwortmanagement. Die meisten dieser Funktionen, wie das Zurücksetzen von Kennwörtern, sind in der Regel Self-Service-Funktionen. Dadurch wird die Belastung des IT-Personals verringert.

 

Das zentrale Verzeichnis ist ein Repository für alle Anwender- und Gruppendaten des Unternehmens. Eine Hauptaufgabe dieser Komponente besteht daher darin, das Verzeichnis oder Repository unternehmensweit zu synchronisieren. Dies kann On-Premises- sowie Public Cloud- oder Private Cloud-Komponenten umfassen. So können Anwender und ihre Berechtigungen jederzeit und überall in einer Hybrid Cloud- oder Multi-Cloud-Infrastruktur über eine einzige Ansicht eingesehen werden.

 

Ein IAM-Framework umfasst auch zwei Zugriffskomponenten. Authentifizierung bildet die Grundlage von Bereichen wie Anmeldung (und Single Sign-On), Management aktiver Sitzungen und Bereitstellung starker Authentifizierung über Token oder biometrische Geräte. Bei der Autorisierung wird anhand von Rollen, Attributen und Regeln in einem Benutzerdatensatz entschieden, ob bestimmten Anwendern, Geräten oder Anwendungen Zugriff auf eine Ressource gewährt werden soll.

 

 

Unterschied zwischen Identitätsmanagement und Zugriffsmanagement

Identitätsmanagement

Eine digitale Identität ist der Zugangsschlüssel. Identitäten enthalten Informationen und Attribute, die eine Rolle definieren. Hierzu gehört insbesondere das Gewähren oder Verweigern von Berechtigungen zum Zugriff auf eine bestimmte Ressource. Sie informieren zudem andere Mitarbeiter im Unternehmen darüber, zu wem oder was Identitäten gehören, wie sie als Person kontaktiert werden können und wo sie in der gesamten Unternehmenshierarchie einzuordnen sind. Das Erstellen einer Identität kann sich auf das gesamte Unternehmen auswirken, z.B. durch Erstellen eines E-Mail-Kontos, Einrichten eines Mitarbeiterdatensatzes oder Generieren eines Eintrags in einem Organigramm. Identitäten können mit lebenden Organismen verglichen werden, da sie sich im Laufe der Zeit verändern, z.B. wenn ein Mitarbeiter eine neue Rolle übernimmt oder an einen neuen Arbeitsort wechselt.

 

Die Rolle des Identitätsmanagements besteht darin, Änderungen an allen Attributen und Einträgen, die eine Identität im Unternehmens-Repository definieren, nachzuverfolgen und zu verwalten. Typischerweise können diese Änderungen nur von einigen wenigen Personen in Unternehmen vorgenommen werden, z.B. von einem Personalsachbearbeiter, der eine geänderte Gehaltsstufe einträgt, oder von einem Anwendungseigentümer, der einer Gruppe von Mitarbeitern, z.B. Kundenservice-Mitarbeitern, Zugriff auf eine neue CRM-Systemfunktion gewährt.

 

Zugriffsmanagement

Zugriffsmanagement bedeutet, Identitäten zu authentifizieren, die Zugriff auf eine bestimmte Ressource beantragen. Zugriffsentscheidungen sind Ja- oder Nein-Entscheidungen, die diese Zugriffsberechtigung gewähren oder verweigern.

Dies kann ein mehrstufiger Prozess sein. Er umfasst Zugriffsservices, die ermitteln, ob ein Anwender überhaupt für einen Netzwerkzugriff autorisiert ist, und niedrigere Zugriffsebenen, die authentifizieren, wo der betreffenden Identität Zugriff auf bestimmte Server, Laufwerke, Ordner, Dateien und Anwendungen gewährt werden soll.

 

Hinweis: Authentifizierung ist nicht dasselbe wie Autorisierung. Selbst wenn eine Identität (ein Anwender) zum Zugriff auf das Unternehmensnetzwerk berechtigt ist und über ein Konto im Verzeichnis verfügt, bedeutet dies nicht automatisch, dass diese Identität unternehmensweit auf jede Anwendung zugreifen kann. Autorisierung für eine bestimmte Anwendung oder Ressource wird durch die Attribute der Identität bestimmt, z.B. ihre Gruppenzugehörigkeit, ihre Ebene im Unternehmen oder eine spezifische Rolle, die zuvor zugewiesen wurde.

 

Wie die Authentifizierung kann die Autorisierung auf mehreren Ebenen innerhalb des Unternehmens gewährt werden, z.B. als zentralisierter Service oder lokal für eine bestimmte Anwendung oder Ressource. Die Authentifizierung auf Ressourcen- oder Service-Ebene ist jedoch verpönt, da mit zentraler Authentifizierung eine konsistentere Kontrolle gewährleistet ist.

 

 

Vergleich von Identitätsmanagement und Zugriffsmanagement

Vereinfacht dargestellt, bestehen folgende Unterschiede zwischen Identitätsmanagement und Zugriffsmanagement:

 

IDENTITÄTSMANAGEMENT betrifft das Management von Attributen, die sich auf ANWENDER, eine Gruppe von Anwendern oder eine andere Identität beziehen, die gelegentlich Zugriff benötigt.

 

ZUGRIFFSMANAGEMENT bezieht sich auf die Bewertung dieser Attribute anhand bestehender Richtlinien und die zugriffsbezogene Entscheidung (Ja oder Nein) auf Basis dieser Attribute.

 

 

Warum ist Identitätsmanagement notwendig?

Eine kürzlich durchgeführte (ISC)²-Studie ergab, dass 80% der Verstöße auf Probleme beim Identitätszugang zurückzuführen waren, insbesondere auf schwache oder schlecht verwaltete Anmeldedaten. Wenn keine ordnungsgemäßen Kontrollen vorhanden sind oder die Verfahren und Prozesse für IAM nicht richtig befolgt werden, können Kennwörter kompromittiert, Phishing-Angriffe nicht verhindert und Verstöße oder Ransomware-Angriffe Realität werden. Doch moderne IAM-Plattformen bieten die Automatisierung vieler Funktionen, um die Nutzung von Kontrollen zu gewährleisten. So kann beispielsweise ein Anwender aus dem Verzeichnis entfernt werden, wenn das HR-System anzeigt, dass der betreffende Mitarbeiter das Unternehmen verlassen hat.

 

Da häufig neue Datenschutzgesetze in Kraft treten, kann IAM eine weitere wichtige Rolle übernehmen: die Unterstützung von Unternehmen bei der Einhaltung der unzähligen geltenden gesetzlichen und behördlichen Vorschriften. Dabei muss sichergestellt werden, dass nur autorisierte Anwender zum Zugriff auf Daten berechtigt sind, dass die Daten selbst jedoch am vorgesehenen Ort verbleiben. Letztendlich geht es bei IT-Sicherheit vor allem um Zugriffsrechte. Daher ist eine solide IAM-Strategie eine kritische Komponente der gesamten IT-Sicherheit und stellt die erste Schutzlinie gegen jede Bedrohung dar, ob von außerhalb oder innerhalb der Firewall.

 

 

Business-Vorteile von Identitätsmanagement

Die Fähigkeit, Vermögenswerte – einschließlich digitaler Ressourcen – erfolgreich zu schützen, kann sich direkt auf die Geschäftsergebnisse und damit auf den Wert des Unternehmens auswirken. IAM beschleunigt die Wertschöpfung für jeden, der bei der Ausübung seiner Tätigkeit Zugriff auf Unternehmensressourcen benötigt. Häufig wird so die Zeit zwischen dem Onboarding eines neuen Mitarbeiters und dem Zeitpunkt, an dem er auf Systemressourcen zugreifen kann, von Tagen auf Minuten verkürzt.

 

Neben einem höheren geschäftlichen Mehrwert infolge der verbesserten Sicherheit gibt es noch andere greifbare Business-Vorteile. Automatisierung von IAM-Aufgaben setzt die IT-Abteilung für gewinnorientierte Projekte frei und Self-Service-Tools für das Identitätsmanagement verbessern die Gesamtproduktivität von Mitarbeitern, Auftragnehmern und anderen Anwendern, die auf Unternehmensressourcen zugreifen.

 

Die Implementierung eines übergreifenden IAM-Rahmens kann Wachstumschancen bieten. Sie verbessert die Skalierbarkeit von Services, die für das Onboarding neuer Anwender entscheidend sind. Die Reduzierung des IT-Personals führt zudem zu einem besseren ROI für die gesamte IT-Abteilung.

 

Identitätsmanagement und Zugriffsmanagement sind zur Grundlage all dieser Business-Vorteile geworden und schützen das Unternehmen kontinuierlich vor Bedrohungen, die zu Datendiebstahl, böswilligen Angriffen oder zur Offenlegung sensibler Kunden-, Patienten- oder Rechtsinformationen führen könnten.