Was ist Identity and Access Management (IAM)?

Identity and Access Management (IAM) stellt sicher, dass die richtigen Personen und Jobrollen in Ihrem Unternehmen (Identitäten) auf die Tools zugreifen können, die sie für ihre Arbeit benötigen. Mit Identity-and-Access-Management-Systemen kann Ihr Unternehmen Mitarbeiteranwendungen verwalten, ohne dass sich der oder die Verantwortliche bei jeder einzelnen Anwendung als Administrator anmelden muss. Außerdem ermöglichen sie in Ihrem Unternehmen die Verwaltung unterschiedlicher Identitäten, darunter Menschen, Software und Hardware wie Roboter und IoT-Geräte.

Unternehmen brauchen IAM, um Cybersicherheit zu gewährleisten und die Produktivität ihrer Mitarbeiter zu steigern.

• Sicherheit – Herkömmliche Sicherheitssysteme haben oft einen Schwachpunkt: das Kennwort. Wenn das Kennwort eines Benutzers geknackt wird – oder noch schlimmer, die E-Mail-Adresse für die Wiederherstellung des Kennworts –, ist Ihr Unternehmen anfällig für Angriffe. IAM-Services schränken die Fehlerquellen ein und schützen Sie mit Tools, die Fehler rechtzeitig erkennen.
• Produktivität – Sobald Sie sich bei Ihrem Haupt-IAM-Portal angemeldet haben, muss sich Ihr Mitarbeiter nicht mehr darum kümmern, ob er das richtige Kennwort oder die richtige Zugriffsebene hat, um seine Aufgaben zu erfüllen. Dabei erhält nicht nur jeder einzelne Mitarbeiter Zugriff auf die richtigen Tools für seine Arbeit, sondern alle Zugriffe lassen sich auch als Gruppe oder Rolle verwalten, was den Workload Ihrer IT-Experten verringert.

Sicherheit ist auch eine Frage von Gesetzen, Vorschriften und Verträgen. Datenschutzstandards wie die europäische Datenschutz-Grundverordnung (DSGVO), HIPPA und der Sarbanes-Oxley Act in den USA setzen strenge Normen für die Datensicherheit durch. Mit einer IAM-Lösung können Ihre Benutzer und Ihr Unternehmen sicherstellen, dass die höchsten Standards für Sicherheit, Nachverfolgung und Verwaltungstransparenz in Ihrem Tagesgeschäft ganz selbstverständlich eingehalten werden.

Identity-Management-Lösungen erfüllen im Allgemeinen zwei Aufgaben:

1. IAM bestätigt die Identitäten von Benutzern, Software oder Hardware, indem es die Anmeldeinformationen in mit einer Datenbank abgleicht. IAM-Cloud-Identitäts-Tools sind sicherer und flexibler als herkömmliche Lösungen mit Benutzernamen und Kennwort.
2. Identity and Access Management-Systeme gewähren den Benutzern über die entsprechende Zugriffsebene nur den Zugriff, den sie auch wirklich für Ihre Zwecke benötigen. Anstelle eines Benutzernamens und eines Kennworts, die den Zugriff auf eine gesamte Software-Suite ermöglichen, erlaubt IAM die Aufteilung des Zugriffs auf bestimmte Rollen, z. B. auf Redakteure, Betrachter und Kommentatoren in einem Content-Management-System.

IAM-Systeme bieten folgende Kernfunktionen:

Das Identity Management bestätigt, dass Sie Sie sind, und speichert Informationen über Sie. Eine Identity-Management-Datenbank enthält Informationen über Ihre Identität – zum Beispiel Ihre Berufsbezeichnung und Ihre direkten Vorgesetzten – und bestätigt, dass Sie tatsächlich die in der Datenbank beschriebene Person sind.

Das Access Management verwendet die Informationen über Ihre Identität, um zu bestimmen, auf welche Softwaresuites Sie zugreifen dürfen und was Sie tun dürfen, wenn Sie dies tun. Durch Access Management wird beispielsweise sichergestellt, dass jede Führungskraft mit direkten Untergebenen Zugriff auf eine Anwendung zur Genehmigung von Arbeitszeitnachweisen hat, aber nicht so viel Zugriff, dass er seine eigenen Arbeitszeitnachweise genehmigen kann.

In der Vergangenheit wurde das Identity and Access Management meist von einem Server in den physischen Räumlichkeiten eines Unternehmens verwaltet, was als lokale Verwaltung bezeichnet wurde. Die meisten IAM-Services werden heute von einem Anbieter in der Cloud verwaltet, um dem Unternehmen Kosten für die physische Wartung zu ersparen und Betriebszuverlässigkeit, die Nutzung verteilter und redundanter Systeme sowie kurze SLAs zu gewährleisten.

Das Identity and Access Management von Amazon Web Services (AWS) ist das IAM-System, das in AWS integriert ist. Mit AWS IAM können Sie AWS-Benutzer und -Gruppen erstellen und ihnen Zugriff auf AWS-Services und -Ressourcen gewähren oder verweigern. AWS IAM ist kostenlos verfügbar.

Der AWS IAM-Service bietet:

• Fein abgestufte Kontrollen des Zugriffs auf AWS-Ressourcen
• AWS-Multi-Faktor-Authentifizierung
• Analysefunktionen zur Validierung und Feinabstimmung von Richtlinien
• Integration mit externen Identity-Management-Lösungen

Zu den Tools, die für die Implementierung von IAM benötigt werden, gehören Kennwortverwaltungsprogramme, Provisionierungssoftware, Anwendungen zur Durchsetzung von Sicherheitsrichtlinien, Anwendungen für Berichterstellung und Überwachung sowie Identitäts-Repositories. IAM-Tools können unter anderem sein:

• MFA
  Multi-Faktor-Authentifizierung bedeutet, dass Ihr IAM-Anbieter mehr als eine Art von Nachweis verlangt, dass Sie derjenige sind, für den Sie sich ausgeben. Ein typisches Beispiel ist die Authentifizierung über ein Kennworts und einen Fingerabdruck. Andere MFA-Möglichkeiten sind Gesichtserkennung, Iris-Scans und physische Token wie ein Yubikey.

• SSO
  SSO steht für Single Sign-On. Wenn Ihre IAM-Lösung Single Sign-On bietet, bedeutet dies, dass sich Ihre Benutzer nur einmal anmelden müssen und dann das Identity and Access Management-Tool als „Portal“ zu den anderen Software-Suites, auf die sie Zugriff haben, behandeln können, ohne sich bei jeder separat anmelden zu müssen.

Als Eckpfeiler einer Zero-Trust-Architektur sollte eine IAM-Lösung unter Anwendung von Zero-Trust-Prinzipien wie Zugriff nach dem Least-Privilege-Prinzip und identitätsbasierten Sicherheitsrichtlinien implementiert werden.

• Zentrales Identity Management
  Ein Kernprinzip von Zero Trust ist die Verwaltung des Ressourcenzugriffs auf Identitätsebene, weshalb eine zentrale Verwaltung dieser Identitäten diesen Ansatz wesentlich vereinfachen kann. Dies kann zum Beispiel bedeuten, dass Sie Benutzer aus anderen Systemen migrieren oder zumindest Ihr IAM mit anderen Benutzerverzeichnissen in Ihrer Umgebung synchronisieren, etwa mit einem Verzeichnis der Personalabteilung.

• Sicherer Zugriff
  Da die Absicherung auf Identitätsebene entscheidend ist, sollte ein IAM sicherstellen, dass es die Identitäten derjenigen bestätigt, die sich anmelden. Dies könnte bedeuten, MFA oder eine Kombination aus MFA und adaptiver Authentifizierung zu implementieren, um den Kontext des Anmeldeversuchs zu berücksichtigen: Ort, Zeit, Gerät usw.

• Richtlinienbasierte Kontrolle
  Benutzer sollten nur die Berechtigung erhalten, ihre erforderlichen Aufgaben auszuführen, und nicht mehr Rechte als nötig haben. Ein IAM sollte so konzipiert sein, dass Benutzer auf Grundlage ihrer beruflichen Rolle, ihrer Abteilung oder anderer geeigneter Attribute Zugriff auf Ressourcen erhalten. Als Teil der zentral verwalteten Identitätslösung können diese Richtlinien dann sicherstellen, dass die Ressourcen sicher sind – ganz gleich, von wo aus auf sie zugegriffen wird.

• Zero-Trust-Richtlinie
  Eine Zero-Trust-Richtlinie bedeutet, dass die IAM-Lösung eines Unternehmens die Identität und die Zugriffspunkte seiner Benutzer ständig überwacht und sichert. In der Vergangenheit arbeiteten Unternehmen nach dem Prinzip „wer einmal drin ist, hat Zugriff“, doch Zero-Trust-Richtlinien sorgen dafür, dass jedes Mitglied des Unternehmens ständig identifiziert wird und sein Zugriff verwaltet wird.

• Gesicherte privilegierte Konten
  Nicht alle Konten in einem Access Management-System sind gleich. Konten mit speziellen Tools oder privilegiertem Zugriff auf sensible Daten können mit einer Sicherheits- und Supportstufe ausgestattet werden, die ihrem Status als Gatekeeper für das Unternehmen entspricht.

• Schulung und Support
  IAM-Anbieter führen Schulungen für die Benutzer durch, die am häufigsten mit dem Produkt zu tun haben werden – einschließlich der Benutzer und Administratoren – und bieten oft einen Kundendienst für die langfristige Zuverlässigkeit Ihrer IAM-Installation und ihrer Benutzer.

Von einem IAM-System wird erwartet, dass es mit vielen verschiedenen Systemen integriert werden kann. Aus diesem Grund gibt es bestimmte Standards oder Technologien, die von allen IAM-Systemen unterstützt werden müssen: Security Access Markup Language, OpenID Connect und System for Cross-Domain Identity Management.

• Security Access Markup Language (SAML)
  SAML ist ein offener Standard für den Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen einem Identitätsanbietersystem wie einem IAM und einem Service oder einer Anwendung. Dies ist die am häufigsten verwendete Methode für ein IAM, um einem Benutzer die Möglichkeit zu geben, sich bei einer Anwendung anzumelden, die in die IAM-Plattform integriert wurde.

• OpenID Connect (OIDC)
  OIDC ist ein neuerer offener Standard, mit dem sich Benutzer auch über einen Identitätsanbieter bei ihrer Anwendung anmelden können. Es ist SAML sehr ähnlich, basiert jedoch auf den OAuth 2.0-Standards und verwendet JSON zur Übertragung der Daten anstelle von XML, das bei SAML verwendet wird.

• System for Cross-Domain Identity Management (SCIM)
  SCIM ist ein Standard für den automatischen Austausch von Identitätsinformationen zwischen zwei Systemen. Zwar können sowohl SAML als auch OIDC während des Authentifizierungsprozesses Identitätsinformationen an eine Anwendung weitergeben, doch SCIM wird verwendet, um die Benutzerinformationen auf dem neuesten Stand zu halten, wenn dem Service oder der Anwendung neue Benutzer zugewiesen, Benutzerdaten aktualisiert oder Benutzer gelöscht werden. SCIM ist eine Schlüsselkomponente der Benutzerbereitstellung im IAM-Bereich.