1 Einführung
IAM (Identity & Access Management) ist heute das Herzstück der IT-Infrastrukturen von Unternehmen, wenn es um den Schutz digitalen Firmenvermögens geht. Bei IAM geht es, wie der Name schon sagt, um die Verwaltung von Identitäten und den Zugriff darauf. Dabei geht es um die Verwaltung von Benutzerkonten und ihren Berechtigungen über die verschiedenen Systeme und Anwendungen hinweg, die in Organisationen verwendet werden.
In den letzten Jahren sahen sich die Organisationen mit zahlreichen Veränderungen konfrontiert, die ihre Sicherheitslage beeinflussen. Die Abgrenzung des internen Netzwerks von der Außenwelt hat nicht mehr die gleiche Relevanz wie früher, resultierend aus dem Zugriff mobiler Benutzer auf interne Systeme, der Integration von Geschäftspartnern und Kunden in Geschäftsprozesse und die Umstellung auf Cloud-Anwendungen. Auf der anderen Seite haben der Wert und die Bedeutung digitalen Firmenvermögens und geistigen Eigentums zugenommen. Mit der Umstellung auf vernetzte Dinge und Smart Manufacturing (Intelligente Produktion) wird digitales Vermögen auch für traditionellere Unternehmen wie den Maschinenbau zu „Kronjuwelen“.
Der Schutz von digitalem Vermögen, Systemen und Anwendungen in einer IT-Umgebung von wachsender Komplexität und hybrider Natur bei gleichzeitig zunehmenden Übergriffen erfordert verschiedene Maßnahmen, die Unternehmen ergreifen müssen. Der Schutz vor internen und externen Angreifern erfordert ein gut durchdachtes Verständnis der Risiken und Gegenmaßnahmen.
Unter den Kernelementen jeder Infrastruktur finden wir IAM. IAM richtig gemacht stellt sicher, dass Identitäten, ihre Benutzerkonten und Passwörter sowie ihre Zugriffsberechtigungen gut verwaltet werden. IAM verringert somit die Angriffsfläche, indem es Organisationen hilft, sich auf das Prinzip der „geringsten Privilegien“ zuzubewegen. IAM stellt die Werkzeuge zur Verfügung, um Prozesse rund um die Verwaltung von Benutzern und Zugriffsberechtigungen zu automatisieren, aber auch um diese regelmäßig zu überprüfen und z.B. übermäßige Berechtigungen zu identifizieren.
Andererseits spielt IAM auch eine wichtige Rolle für die Geschäftsfähigkeit, wenn es darum geht, Mitarbeitern, Auftragnehmern, Geschäftspartnern und Kunden den Zugriff auf bestimmte Anwendungen, Systeme und Daten zu ermöglichen. IAM ist das Werkzeug für die Implementierung der Workflows und automatisierten Prozesse, um Benutzer einzugliedern und ihnen Zugriffsberechtigungen zu gewähren. Auch hier kann IAM, wenn es richtig gemacht wird, Unternehmen befähigen, indem es die Eingliederungs- und Änderungsprozesse optimiert, aber auch sicherstellt, dass Berechtigungen widerrufen und Konten gelöscht oder deaktiviert werden, sobald sie nicht mehr benötigt werden.
Unter dem Dach von IAM können wir unterscheiden zwischen dem „Kern-IAM“ oder – wie es heute häufig genannt wird – IGA (Identity Governance and Administration) und der weiter gefassten Definition von IAM, die zusätzliche Funktionen wie Privilege Management, Web Access Management, Identity Federation und mehr umfasst. Tatsächlich ist IGA ein Überbegriff für die beiden Kernelemente von IAM, nämlich Identity Provisioning (Identitätsbereitstellung) und Access Governance (Berechtigungskontrolle). Identity Provisioning unterstützt die Automatisierung von Prozessen zur Erstellung und Verwaltung von Benutzerkonten und deren High-Level-Berechtigungen über die verschiedenen Systeme und Anwendungen hinweg, während Access Governance die Kontrollschicht zur Analyse von Berechtigungen, zur regelmäßigen Überprüfung und Neuzertifizierung sowie zu effizienten Workflows für Berechtigungsanfragen hinzufügt.
Diese Kernfähigkeiten von Identity Provisioning und Access Governance sind häufig in kombinierten Produkten oder in Software-Suites mit einem guten Integrationsgrad zwischen den verschiedenen technischen Komponenten verfügbar, und sie werden zunehmend als SaaS-Lösungen angeboten. Der Teil der Access Governance ist unerlässlich für die Unterstützung der Zusammenarbeit zwischen Business und IT. Unternehmen beantragen und genehmigen den entsprechenden Zugriff, der den technischen Berechtigungen zugeordnet werden muss. Diese Schnittstelle gut zu gestalten, von der Definition bis zur laufenden Verwaltung und Überprüfung der Berechtigungen, ist eine Herausforderung. Darüber hinaus müssen die Tools Anforderungen wie die Kontrolle der Aufgabentrennung unterstützen, aber auch Einblick in risikoreiche Kombinationen von Berechtigungen haben.
Das Vorhandensein einer Infrastruktur für Identity Provisioning und Access Governance ist der Grundstein für die erfolgreiche Verwaltung von Identitäten, ihren Konten und Berechtigungen in der heterogenen und zunehmend hybriden IT-Infrastruktur von Organisationen. Die Ermöglichung und der Schutz der digitalen Transformation erfordert IGA.
Leider bringt die IGA auch verschiedene Herausforderungen mit sich. Die Ermittlung der richtigen Zugriffsberechtigungen kann eine Herausforderung sein, da häufig Zehntausende von granulären Berechtigungen zur Auswahl stehen. Die Konstruktion von Berechtigungen z.B. anhand von Rollen erfordert einen strukturierten Ansatz und Disziplin und ist mit viel Arbeit verbunden. Und es ist auch nicht einfach, einen risikoreichen Zugriff für eine effiziente Berechtigungsprüfung zu identifizieren. Um diesen Herausforderungen zu begegnen, sehen wir allmählich eine Übernahme von Lösungen, die irgendeine Form von KI (Künstliche Intelligenz) oder zumindest fortgeschrittene statistische Methoden zur Unterstützung von IGA-Prozessen einsetzen. Dies ist immer noch ein aufstrebender Bereich, der jedoch von besonderem Interesse ist, um die Benutzererfahrung (UX) bei der Verwendung von IGA zu erhöhen.
Einer der führenden Anbieter und ein Pionier bei der Anwendung von KI auf IGA ist SailPoint, die eine Reihe von Modulen auf den Markt gebracht haben, die KI zur Verbesserung von UX in IGA nutzen. Dies ist ein wesentlicher Teil der Vision für SailPoint Predictive Identity.