Identity & Access Management FAQ

Was Sie über IAM wissen müssen

04.05.2018
Von James A.  Martin und
James A. Martin ist Autor des Blogs "Living the Tech Life" unserer US-Schwesterpublikation CIO.com.


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.

Wie bereichert Identity Management mein Geschäft?

Die Implementierung eines IAM-Systems und der dazugehörigen Best Practices kann Ihnen in mehrerlei Hinsicht einen Wettbewerbsvorteil bescheren. Heutzutage kommen die meisten Unternehmen nicht umhin, Nutzern von extern Zugang auf das Firmennetz zu gewähren. Die Öffnung Ihres Netzwerks für Kunden, Partner, Lieferanten und natürlich die Mitarbeiter, kann die Effizienz steigern und Betriebskosten senken.

Identity- und Access-Management-Systeme erlauben einem Unternehmen die Ausweitung der Zugriffsrechte auf sein Netzwerk über eine Vielzahl von On-Premise-Applikationen, Mobile Apps und SaaS Tools - ohne dabei die IT-Sicherheit aufs Spiel zu setzen. Wenn es Unternehmen gelingt, Außenstehende besser einzubinden, können sie die Kollaboration im ganzen Unternehmen vorantreiben, die Produktivität anschieben, die Zufriedenheit der Mitarbeiter optimieren, Forschung und Entwicklung pushen - und so letztlich auch die Betriebseinnahmen nach oben treiben.

Auch die Zahl der eingehenden Anrufe beim IT Help Desk kann durch die Implementierung von IAM reduziert werden. Zum Beispiel, wenn es bei diesen um das Zurücksetzen von Passwörtern geht. Diese und andere zeitraubende - und somit kostenintensive - Aufgaben können von den Administratoren automatisiert werden.

Nebenbei ist Identity- und Access-Management auch ein Eckpfeiler eines jeden sicheren Unternehmensnetzwerks. Schließlich ist die Identität eines Benutzers ein wesentlicher Bestandteil des Zugangs-Kontroll-Prozesses. Und ein IAM-System zwingt Unternehmen praktisch dazu, ihre Zugangsrichtlinien zu definieren und dabei auszuweisen, wer auf welche Daten-Ressourcen unter welchen Konditionen Zugriff hat.

Gute gemanagte Identitäten bedeuten eine optimierte Kontrolle über den User-Zugriff, was sich wiederum in ein reduziertes Risiko für interne oder externe Angriffe übersetzen lässt. Vor dem Hintergrund, dass laut der IDC-Studie "IT-Security in Deutschland 2018" die eigenen Mitarbeiter als das größte Sicherheitsrisiko für Unternehmen gelten, ein immenser Vorteil.

Wie funktionieren IAM-Systeme?

In der Vergangenheit bestand ein typisches Identitätsmanagement-System aus vier Grundkomponenten:

  • ein Pool mit persönlichen Daten, über die das System die individuellen Nutzer definiert;

  • ein Toolset, um Daten hinzuzufügen, zu modifizieren oder zu löschen (Access Lifecycle Management);

  • ein System, das den Zugriff der Nutzer reguliert (Durchsetzung von Security Policies und Zugriffsprivilegien);

  • ein Auditing- und Reporting-System (um die Vorgänge im System zu verifizieren);

Um den Nutzerzugriff zu regulieren, kommen traditionell verschiedene Authentifizierungs-Methoden zur Anwendung, zum Beispiel Passwörter, digitale Zertifikate, Tokens oder Smart Cards. Hardware Tokens und Smart Cards in Kreditkartengröße dienen dabei als eine Komponente der Zwei-Faktor-Authentifizierung. Diese kombiniert etwas das Sie wissen (das Passwort) mit etwas das Sie in Besitz haben (den Token oder die Smart Card), um Ihre Identität zu verifizieren.

Angesichts der sich stets verschärfenden Bedrohungslage und den immer komplexeren IT-Umgebungen, reichen gute Kombinationen aus Nutzernamen und Passwort längst nicht mehr aus. Heutige Identity- und Access-Management-Systeme haben oft bereits Elemente von Biometrie, Machine Learning und Künstlicher Intelligenz sowie risikobasierter Authentifizierung an Bord.

Auf User-Level helfen inzwischen auch einige Technologien dabei, digitale Identitäten besser zu schützen. Die durch das iPhone getriebene Popularität der Touch-ID-Fingerabdruckscanner hat dafür gesorgt, dass sich die Konsumenten daran gewohnt haben, ihren Fingerabdruck zur Authentifizierung zu verwenden. Neuere Windows-10-Geräte nutzen ebenfalls biometrische Authentifizierungsmethoden wie Fingerabdruck- und Iris-Scanner. Und beim iPhone X hat die Gesichtserkennung Face ID inzwischen Touch ID ersetzt.

Wie Okta-CSO Abousselham weiß, setzen mehr und mehr Unternehmen inzwischen auf Drei- beziehungsweise Multi-, statt Zwei-Faktor-Authentifizierung. Diese stellt auf etwas ab, was die Nutzer kennen (Passwort), etwas das sie bei sich haben (Smartphone) und etwas, das sie "sind" (Gesicht, Fingerabdrücke oder Iris). "Drei Faktoren bieten mehr Sicherheit darüber, dass es sich tatsächlich um den korrekten Benutzer handelt", erklärt der Experte.

Auf dem Administrations-Level bieten die heutigen IAM-Systeme weitergehende Funktionen beim User Auditing und Reporting. Verantwortlich dafür sind vor allem Technologien wie Context-Aware Network Access Control und Risk-Based Authentication (RBA).

Was ist "föderiertes" Identity Management?

Der "föderierte" Ansatz des Identitätsmanagements bezeichnet einen Authentifizierungs-Mechanismus, bei dem ein User denselben Login für mehr als ein Netzwerk nutzen kann. Im Alltag ist diese Methode mittelerweile weit verbreitet. Beispielsweise bieten viele Online-Plattformen und Dienste ihren Nutzern an, sich mit ihrem Google- oder Facebook-Konto anzumelden, statt neue Zugangsdaten anzulegen.

Ein wichtiger Bestandteil des föderierten Identitätsmanagements ist der Single-Sign-On (SSO). Dieser Standard erlaubt es Nutzern, die ihre Identität in einem Netzwerk bereits verifiziert haben, ihren Status "mitzunehmen", wenn sie sich in ein anderes Netzwerk einwählen. Dieses Modell funktioniert allerdings nur zwischen kooperierenden Parteien - den sogenannten "trusted partners" - die gegenseitig für ihre Nutzer bürgen.

Die Nachrichten über Authentifizierung zwischen den "trusted partners" werden oft über das SAML- (Security Assertion Markup Language) Framework verschickt, das eine Interoperabilität zwischen verschiedenen Händler-Plattformen herstellt, die Authentifizierungs- und Autorisierungs-Services anbieten.

SAML ist aber nicht das einzige Open-Source-Identitätsprotokoll. Weitere Beispiele sind OpenID, WS-Trust, WS-Federation oder OAuth.

Zur Startseite