Was man an IAM heute haben muss – und was als Nächstes kommt

bei

 / 13. October. 2017

Identity und Access Management (IAM) ist mittlerweile eine etablierte Fähigkeit in den IT-Infrastrukturen mittlerer und großer Unternehmen. Allerdings ist es mit grundlegenden Provisioning-Diensten und ein bisschen Access Governance längst nicht mehr getan.
Eine effektive und effiziente Verwaltung von Benutzern und ihren Zugriffsberechtigungen ist für die Benutzerfreundlichkeit, die Administrationseffizienz, die Erfüllung von Compliance-Anforderungen und die Reduktion von IT-Sicherheitsrisiken unverzichtbar. Die Anforderungen wachsen aber stetig, wobei zwei Treiber besonders wichtig sind. Zum einen wachsen die Bedrohungen durch Cyberangriffe stetig. Zum anderen wird mit der zunehmenden Digitalisierung die engere Zusammenarbeit mit Kunden und Geschäftspartnern immer wichtiger, weshalb es beim IAM längst nicht mehr nur um die Verwaltung von Mitarbeitern und ihren Berechtigungen geht.

Die Grundlage: Was man heute an IAM haben muss

Wenn man heute ein gutes Basisniveau, also die „Baseline“, für die erforderliche IAM-Funktionalität definieren möchte, dann gibt es hier fünf Bereiche, die auf einem guten Niveau adressiert sein müssen.
Die Basis bilden Verzeichnisdienste, von denen es wenige zentrale Verzeichnisse mit klar abgegrenzten Funktionen geben sollte, also beispielsweise neben dem meist vorhanden Microsoft Active Directory noch ein zentrales „Corporate Directory“ für die Mitarbeiter und Verzeichnisse für Geschäftspartner und Kunden.
Ein Identity Provisioning, mit dem Benutzer automatisch oder indirekt, über Schnittstellen zum IT Service Management, manuell provisioniert werden mit einer vollständigen Unterstützung der Prozesse ist zwingend. Zu einem Prozess-Framework gehört die detaillierte Beschreibung der Prozesse ebenso wie die Unterstützung beispielsweise von Wechselprozessen im Unternehmen und das Management von verwalteten Anwendungen oder Rollen.
Auch Access Governance-Funktionen sind heute ein Muss. Je nach regulatorischen Anforderungen müssen diese unterschiedlich stark ausgeprägt sein. Eine vollständige Übersicht über den aktuellen Status von Berechtigungen gehört aber in jedem Fall ebenso dazu wie ein regelmäßiger Review oder eine erneute Genehmigung von Zugriffsrechten.
Die wohl häufigste Lücke besteht derzeit immer noch im Bereich des Privilege Management, also bei speziellen Funktionen für die Verwaltung und Kontrolle von privilegierten Benutzern und gemeinsam genutzten Benutzerkonten und deren Kennwörtern. Letztere ist ebenso zwingend wie eine Basisfunktionalität für die Überwachung von privilegierten Zugriffen zur Laufzeit, das Session Management.
Schließlich zählen auch das Web Access Management für die Authentifizierung und Autorisierung von Zugriffen auf Web-Anwendungen, Web Application Firewalls und eine zumindest grundlegende Unterstützung von Identity Federation-Standards zum Muss beim IAM.
Wer in diesen grundlegenden Bereichen noch Lücken oder Schwächen wie beispielsweise eine unkoordinierte Vielzahl von Verzeichnisdiensten oder mangelhafte Prozesse im Provisioning hat, muss handeln.

Die nächsten Schritte: Neue Themen im IAM

Auch das IAM bleibt natürlich nicht von den grundlegenden Entwicklungen in der IT unberührt, mit dem Trend hin zu mobilen Zugriffen, zu flexiblen und in mobile Endgeräte integrierten Authentifizierungsfunktionen oder zu Apps, die über sogenannte APIs (Application Programming Interfaces, Programmierschnittstellen) zugreifen, weshalb man dann wissen muss, wer die Apps nutzt, um die APIs entsprechend absichern zu können.
Darüber hinaus gibt es aber mehrere große Trends im IAM, die für Unternehmen immer wichtiger werden und bei der Strategie und Roadmap für IAM eingeplant und schließlich, soweit für das jeweilige Unternehmen erforderlich, in konkrete Projekte münden müssen.
Die schon angesprochene Verwaltung von Kunden und Geschäftspartnern im Rahmen der Digitalen Transformation ist dabei an erster Stelle zu nennen. IAM ist längst nicht mehr nur auf die Mitarbeiter beschränkt. Es wird immer wichtiger, den Konsumenten zu kennen, seine Identität in den internen Systemen beispielsweise mit der aus sozialen Netzwerken zu verknüpfen und die Schnittstelle bis hin zur Marketing-Automatisierung zu schaffen. CIAM (Consumer IAM) ist eines der dominierenden Themen der aktuellen Entwicklung. Das IAM muss die Flexibilität schaffen, um Kunden, Partner und ihre Zugriffe in neuen Geschäftsmodellen zu unterstützen.
Unverzichtbar und damit zunehmend eine Grundfunktionalität von IAM ist auch die Unterstützung von Cloud-Diensten, also beispielsweise ein Single Sign-On für Benutzer über verschiedene Cloud-Dienste hinweg, die Provisionierung von Benutzern, die Zugriffssteuerung und auch Access Governance-Funktionalität für diese Dienste. Auch das Privilege Management bekommt im Kontext der Cloud nochmal einen neuen Stellenwert, weil es bei vielen Cloud-Diensten nur gemeinsam genutzte administrative Konten und oft sehr grob-granulare Berechtigungskonzepte gibt, so es andere Ansätze für die Einschränkung und Überwachung solcher Zugriffe – eben das Privilege Management – benötigt.
Auch im Bereich der Access Governance steht die Zeit nicht still. Viele Ansätze sowohl für das Rollenmanagement als auch die regelmäßige Rezertifizierung haben sich als zu ineffizient erwiesen. Die automatische Vergabe von Berechtigungen über Richtlinien, risikogesteuerte und fokussierte Ansätze für die Prüfung von Berechtigungen, leistungsfähigere Analysen über „Access Intelligence“ oder die zeitlich beschränkte Berechtigungsvergabe sind einige der Wege, die aus diesem Dilemma führen. Kurz gesagt: Die Access Governance-Ansätze müssen in praktisch allen Unternehmen daraufhin überprüft werden, ob sie mit vernünftigem Aufwand wirklich das erforderliche Resultat liefern. Ein weiteres, immer wichtigeres Feld ist die sogenannte Data Governance, bei der es um die Steuerung und Kontrolle von Berechtigungen auf unstrukturierten Daten, also beispielsweise auf File-Servern, geht.
Dazu gehört auch die Integration mit dem Privilege Management, um privilegierte Benutzer und beispielsweise die Zuordnung von gemeinsam genutzten Benutzerkonten zu zuständigen „Managern“ im Access Governance, aber auch in den Provisioning-Prozessen, mit berücksichtigen zu können. Darüber hinaus rücken erweiterte Funktionen wie die Überwachung und Analyse der Nutzung von privilegierten Benutzerkonten (Privilege Behavior Analytics) und das Management von privilegierten Zugriffen und Anwendungen auf Endgeräten (Endpoint Privilege Management) zunehmend ins Blickfeld.
Während starke Authentifizierung zumindest in Teilbereichen inzwischen fast in jedem Unternehmen zu finden ist (oder zumindest zu finden sein sollte), geht die Entwicklung hier weiter hin zur adaptiven Authentifizierung. Diese ist gleich in zweierlei Hinsicht anpassungsfähig. Einerseits geht es darum, unterschiedliche Authentifizierungsmechanismen in flexibler Weise zu unterstützen, was insbesondere im Hinblick auf die Vielfalt und ständigen Innovationen bei in mobile Endgeräte integrierter starker Authentifizierung essentiell ist. Zum anderen geht es aber auch darum, dass eine adäquate Authentifizierung abhängig vom Risiko gewählt wird. Wer auf sensitive Informationen zugreift, muss stärkere Authentifizierungsmechanismen nutzen oder mehrere Verfahren kombinieren.
Ein Revival erlebt derzeit das Themenfeld der dynamischen Autorisierung, das oft auch unter dem (viel zu engen) Stichwort ABAC (Attribute Based Access Control) positioniert wird. Dabei geht es darum, Autorisierungsentscheidungen zur Laufzeit auf Basis von Richtlinien durchzuführen, also beispielsweise bestimmte Transaktionen nur Benutzern ab einer definierten Hierarchieebene zu erlauben. Die dynamische Autorisierung ermöglicht es, Autorisierungslogik aus dem Code von Anwendungen hin in zentrale Autorisierungssysteme zu verlagern, was die Sicherheit, die Effizienz in der Anwendungsentwicklung und auch die Prüfbarkeit von Anwendungen erhöht.
Diese Entwicklung steht in engem Zusammenhang mit Anwendungssicherheitsinfrastrukturen, die eigentlich längst gute Praxis sein müssten. Anwendungssicherheitsinfrastrukturen entkoppeln die Anwendungen von den darunterliegenden Sicherheitsdiensten, indem sie Schnittstellen, aber auch vordefinierten Module beispielweise für das Zurücksetzen von Kennwörtern oder die Registrierung von Benutzern bereitstellen, die von Anwendungen und Apps genutzt werden können. Richtig gemacht, kann die darunter liegende Infrastruktur weiterentwickelt werden, ohne dass dies zu Änderungen bei Anwendungen führt, während Anwendungen und Apps einfach ein hohes und einheitliches Maß an Sicherheitsfunktionen – über IAM hinaus bis hin zu Verschlüsselung und anderen Diensten – nutzen können. Auch die API-Sicherheit, also spezielle Funktionen zur Verwaltung und zum Schutz von Zugriffen anderer Anwendungen und Apps über APIs, zählen zu diesem Themenbereich.

Es gibt viel zu tun – Stillstand beim IAM kann man sich nicht leisten

Alle diese Trends und neuen Themenfelder im IAM sind eng verbunden mit den Treibern für das IAM, insbesondere der Reduktion von Risiken beim Zugriff auf Anwendungen und Daten und der Erfüllung regulatorischer Vorgaben. Der so oft geforderte „Stand der Technik“ entwickelt sich. Gleichzeitig verändern sich aber auch die Anforderungen durch mobile Endgeräte und Apps, die Einbindung von Konsumenten, Kunden und Partner in Geschäftsprozesse sowie neue Geschäftsmodelle und durch die vermehrte Nutzung von Cloud-Diensten kontinuierlich. Das IAM muss hier nicht nur Schritt halten, sondern ist immer mehr die Basis dafür, dass man den schnellen Wandel in der Digitalen Transformation bewältigen kann und gleichzeitig ausreichend sicher ist.
Deshalb gilt es, heute die Strategie und Roadmap für die weitere Evolution der IAM-Infrastruktur zu definieren und die Projekte zu budgetieren und umzusetzen. Noch mehr gilt das natürlich, wenn man nicht einmal die grundlegenden Dienste vollständig umgesetzt hat und damit noch nicht den Stand der Technik erreicht hat.
Mehr zum Thema IAM und dem Fokus auf Customer Management erfahren Sie auch auf der Consumer Identity World 2017, welche vom 27.-29. November in Paris und vom 12.-14. Dezember in Singapur stattfindet.

Martin Kuppinger, Autor des Textes über IAM.

Der Author: Martin Kuppinger is Founder of the independent Analyst Company KuppingerCole and as Principal Analyst responsible for the KuppingerCole research. In his 25 years of IT experience he has already written more than 50 IT-related books and is known as a widely-read columnist and author of technical articles as well as reviews and is also a well-established speaker and moderator at seminars and congresses. His interest in Identity Management dates back to the 80s, when he also gained considerable experience in software architecture development. Over the years, he added several other fields of research, including virtualization, cloud computing, overall IT security, and others. Having studied economies, he combines in-depth IT knowledge with a strong business perspective.

Vorheriger ArtikelWie innovative Unternehmen ihre Daten schützen
Nächster ArtikelSAP-Sicherheit im E-Government und im Umfeld Kritischer Infrastrukturen