Alle Grundlagen

Identity and Access Management (IAM)

Identitäts- und Access Management (IAM) definiert und erzwingt, wer Zugriff auf digitale Ressourcen in Cloud-, On-Premises- und hybriden Umgebungen hat.

Plattform entdecken

Was ist Identity and Access Management (IAM)?

Die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) bietet Unternehmen Tools zur Steuerung des Zugriffs der Benutzer auf ihre technische Infrastruktur. IAM implementiert effektiv eine Sicherheitsebene zwischen Benutzern und lokalen oder Cloud-basierten Servern, Anwendungen und Daten. Jeder Benutzer erhält einen individuellen Satz von Berechtigungen, die auf seiner spezifischen Rolle basieren. IAM-Plattformen zielen darauf ab, eine digitale Identität pro Benutzer zu speichern.

Je nach Art des Unternehmens lässt sich mit einer IAM-Plattform die Identität der Kunden, die der Mitarbeiter oder beides verwalten. Manchmal weisen Identity Management-Systeme auch Anwendungen, cloudbasierten Diensten und Microservices eine digitale Identität zu. Letztendlich verfolgt man mit einer IAM-Lösung das Ziel, bestimmten Identitäten unter bestimmten Bedingungen Zugang zu digitalen Objekten zu gewähren.

Warum ist IAM wichtig?

Es liegt auf der Hand, dass nicht autorisierte Zugriffe auf die technische Infrastruktur eines Unternehmens, also auch auf seine Anwendungen und Daten, verhindert werden müssen. Das gilt ganz besonders in einer Welt voller moderner Technologien, in der Cyberangriffe und Datenschutzverstöße regelmäßig Schlagzeilen machen.

Die Verbreitung des E-Commerce hat das Problem der Cyberkriminalität noch weiter verstärkt. Ransomware ist nach wie vor eine Bedrohung für private und öffentliche Organisationen auf der ganzen Welt.

Offensichtlich riskiert ein Unternehmen, dessen Kundendaten gehackt werden, seinen guten Ruf. In unserer wettbewerbsorientierten Wirtschaftswelt suchen sich die Kunden in einem solchen Fall einfach einen anderen Anbieter.

Darüber hinaus stehen Unternehmen, die in Bereichen wie dem Bank-, Finanz- oder Versicherungsgeschäft tätig sind, bei Angriffen auf ihre technische Infrastruktur vor regulatorischen und Compliance-Problemen. In dieser Umgebung ist eine verlässliche Cloud-Sicherheit unerlässlich. Also, was ist IAM?

Wie funktioniert IAM? 

Ganz einfach zusammengefasst: IAM soll die richtigen Personen (Ihre Mitarbeiter) hereinlassen und die falschen Personen (Bedrohungsakteure) fernhalten. Jeder Dienst und jedes Asset in der Cloud verfügt über eine eigene Identität mit mehreren Berechtigungsebenen, und IAM schützt die Identitätsgrenzen durch automatisierte Überwachung und Korrekturmaßnahmen, die darauf aufbauen:  

Least Privileged Access (LPA) ist eine Schlüsselkomponente des IAM-Cloud-Lifecycle-Ansatzes. Dieser Ansatz legt die minimalen Rechte fest, die eine Person oder Maschine benötigt, um ihre Arbeit zu erledigen. Lösungen, die LPA nutzen, setzen in der Regel Automatisierung ein, um die Berechtigungen je nach Benutzerrolle zu verschärfen oder zu lockern. Während LPA den Baseline Zugriff begrenzt, konzentriert sich Privileged Access Management (PAM) auf die Sicherung und das Monitoring erhöhter Berechtigungen, die Administratoren und anderen Nutzern mit hohem Risiko gewährt werden.

Komponenten von IAM

Eine zuverlässige IAM-Plattform bietet eine Reihe von Technologien und Tools, mit denen sich der Zugriff auf die technischen Ressourcen eines Unternehmens steuern lässt. Diese grundlegende Funktionalität beinhaltet: 

  • Passwortverwaltung
  • Durchsetzung von Sicherheitsrichtlinien
  • Zugriffsüberwachung, Reporting und Warnungen
  • Identitätsverwaltung und Repositorys
  • Service-Bereitstellung

Diese Funktionen mögen wie "die Grundlagen" erscheinen, aber die Art und Weise, wie sie implementiert und gepflegt werden, kann sehr schnell kompliziert werden. Eine Lösung, die die obengenannten Funktionen anbietet, gewährleistet den ordnungsgemäßen Zugriff mithilfe von Richtlinien auf Basis von Identitäten, Ressourcen, Diensten und Sessions sowie durch Berechtigungseinschränkungen. Einige IAM-Plattformen verwenden auch attributebasierte Zugriffskontrolle (ABAC), die Zugriff auf der Grundlage von Benutzerattributen, Ressourcentypen oder Umgebungsbedingungen gewährt und nicht nur auf Rollen.

Im Laufe der Zeit wird sich die Verwaltung dieser Funktionen ändern, da sich die IAM-Grenzen weiterentwickeln und die Sicherheitsvorkehrungen immer strenger werden. Schließlich ist der IAM ein wesentlicher Bestandteil des strategischen SecOps-Ansatzes eines Unternehmens. 

Hauptfunktionen einer IAM-Lösung

Einige Anbieter bieten je nach Bedarf des Unternehmens separate IAM-Lösungen für lokale und cloudbasierte Umgebungen an. Daneben gibt es weitere IAM-Technologien für spezielle Identity Management-Szenarien.

So bietet beispielsweise die API-Sicherheit die Möglichkeit eines Single Sign-on für den Zugriff auf eine technische Infrastruktur über mobile und IoT-Geräte. Diese Herangehensweise ist im B2B-Bereich sowie bei der Integration von Cloud-Diensten und Microservices sinnvoll.

Wie bereits erwähnt, unterstützen IAM-Lösungen für das Kundenidentitätsmanagement die Identitätsverwaltung bei Kunden, die auf das ERP-, CRM- oder ein ähnliches System eines Unternehmens zugreifen. Unternehmen, die bereits über eine cloudbasierte Infrastruktur verfügen, sollten eine IAM-Lösung im Bereich Identity als a Service (IDaaS) in Erwägung ziehen.

Und schließlich gibt es auch noch Lösungen, die Unternehmen durch Identity Management and Governance (IMG) bei der Einhaltung von hohen regulatorischen und Compliance-Auflagen unterstützen. Diese Technologie basiert auf einer automatisierten Steuerung des Identitätslebenszyklus. Darüber hinaus analysiert die risikobasierte Authentifizierung (RBA) die Identität und den Kontext eines Nutzers, um eine Risikobewertung zu ermitteln. Oft ist für risikoreichere Zugriffsversuche eine Multifaktor-Authentifizierung (MFA) erforderlich.

Vorteile von IAM

Unternehmenserfolg findet nicht in einem Vakuum statt. Er beruht auf der Pflege guter Beziehungen zu Kunden, Zulieferern und Mitarbeitern. Dafür muss das Unternehmen den Zugriff auf interne technische Systeme ermöglichen, und zwar entweder lokal oder über die Cloud oder beides. Dank Identitäts- und Zugriffsverwaltung erfolgt dieser Zugriff auf eine sichere Art und Weise.

Durch den 5G-Netzausbau nimmt der Einsatz von mobilen und IoT-Geräten in Unternehmen weiter zu. Diese erweiterten Zugriffsmöglichkeiten machen eine zuverlässige IAM-Lösung notwendig. Die Identitäts- und Zugriffsverwaltung sorgt für Sicherheit und Compliance – unabhängig vom Standort des Benutzers und davon, ob es sich um eine Person, ein Gerät oder einen Microservice handelt.

Letztendlich trägt die Einführung einer IAM-Plattform dazu bei, dass die technischen Mitarbeiter eines Unternehmens effizienter arbeiten können. 

Herausforderungen von IAM

Die Bereitstellung einer Identitätsverwaltungsplattform ist für viele Unternehmen verständlicherweise nach wie vor ein schwieriger Prozess, weil sie sich auf die gesamte Sicherheitsausstattung auswirkt. Aus diesem Grund sollten Netzwerkadministratoren sich bei der Einführung einer neuen IAM-Lösung verschiedener Risiken bewusst sein.

Eine Herausforderung besteht in der Einbindung neuer Mitarbeiter, Auftragnehmer, Anwendungen und Dienstleistungen. Es ist äußerst wichtig, dass der verantwortliche Manager oder HR-Mitarbeiter befugt ist, die entsprechenden Zugriffsrechte zu erteilen. Ein ähnliches Konzept gilt für Fälle, in denen die Zugriffsrechte aus irgendeinem Grund geändert werden müssen. Eine angemessene Übertragung dieser Kompetenzen ist von entscheidender Bedeutung.

Beachten Sie, dass dies bei neueren IAM-Produkten automatisiert erfolgt, was auch beim Entfernen von Zugriffsrechten äußerst hilfreich ist. Von diesem Thema sind auch wichtige Compliance-Fragen betroffen. Ungenutzte Konten mit Netzwerkzugriffsrechten stellen kritische Sicherheitslücken dar, die schnellstmöglich gepatcht werden müssen.

Eine weitere wichtige Herausforderung bei der Einführung einer IAM-Plattform ist die Überwachung von Vertrauensbeziehungen nach der Erteilung von Zugriffsrechten — eine Lücke, die häufig durch ITDR-Lösungen (Identity Threat Detection and Response) geschlossen wird. Die Analyse des Benutzerverhaltens zum Einführungszeitpunkt ist dabei insofern hilfreich, als sie die Erkennung späterer Anomalien erleichtert.

Eine IAM-Lösung muss außerdem gut auf den Single-Sign-on-Ansatz (SSO) des Unternehmens abgestimmt sein. Die für den Single Sign-on genutzte Plattform muss einen sicheren Zugriff auf sämtliche Unternehmensanwendungen ermöglichen, ganz gleich, ob es sich um lokale oder Cloud-Anwendungen handelt.  

Zu guter Letzt ist auch eine gelungene Orchestrierung des neuen Identity Management-Prozesses mit mehreren Cloud-Anbietern erforderlich. Eine Multi-Cloud-Infrastruktur bereitet im Hinblick auf die Identitäts- und Zugriffsverwaltung die größten Schwierigkeiten, da in der Regel jeder Cloud-Anbieter einen eigenen Sicherheitsansatz verfolgt. Die erfolgreiche Integration einer IAM-Lösung, die mehrere Cloud-Umgebungen unterstützt, trägt entscheidend zur Vermeidung kritischer Sicherheitsrisiken bei.

Lesen Sie mehr über Identitäts- und Access Management (IAM)

Erfahren Sie mehr über die Cloud Security Lösung von Rapid7: InsightCloudSec

Identity Access Management (IAM): Aktuelles aus dem Rapid7-Blog

Least Privilege Access (LPA): Definition, Vorteile & Implementierung

Thema lesen