Identity Governance and Administration (IGA) ermöglicht Sicherheitsadministratoren die effiziente Verwaltung von Benutzeridentitäten und -zugriffen im gesamten Unternehmen. Sie verbessert die Transparenz von Identitäten und Zugriffsrechten und hilft dabei, die notwendigen Kontrollen zu implementieren, um unangemessenen oder riskanten Zugriff zu verhindern.
IGA kombiniert Identity Governance und Identity Administration. Bei der Identity Governance geht es um Aufgabentrennung, Rollenverwaltung, Protokollierung, Analyse und Berichterstellung, während sich Identity Administration auf die Kontoadministration, die Administration von Anmeldeinformationen, die Bereitstellung von Benutzern und Geräten sowie die Verwaltung von Berechtigungen bezieht.
In Unternehmen führt die zunehmende Digitalisierung zu einer höheren Zahl an Geräten, Benutzern und Daten in On-Premises- und Multi-Cloud-/Remote-Umgebungen. In solch komplexen IT-Ökosystemen ist es schwierig, Benutzeridentitäten und -Zugriffe effektiv zu verwalten. Wenn Benutzer jedoch übermäßigen oder unnötigen Zugriff auf Systeme, Anwendungen oder Daten erhalten, erhöht dies die Sicherheitsrisiken und macht das Unternehmen anfällig für Cyberangriffe und Datenschutzverletzungen.
Mit IGA-Tools kann das Sicherheitspersonal den Benutzerzugriff sowohl auf On-Premises- als auch auf Cloud-basierte Systeme nachverfolgen und kontrollieren. Sie können sicherstellen, dass die richtigen Benutzer den richtigen Zugriff auf die richtigen Systeme haben, und sie können unangemessenen Zugriff erkennen und verhindern. Durch die Implementierung der richtigen Kontrollen mit IGA können Unternehmen das Risiko minimieren und die Einhaltung gesetzlicher Vorschriften gewährleisten.
Mit IGA-Tools können Unternehmen die Verwaltung des Lebenszyklus von Benutzeridentitäten präzise und effizient optimieren. Sicherheitsadministratoren können die Bereitstellung und Aufhebung des Benutzerzugriffs während des gesamten Lebenszyklus automatisieren. Um diese Automatisierung zu ermöglichen, arbeiten IGA-Lösungen mit Prozessen für Identity and Access Management (IAM). Dies trägt auch dazu bei, Administratoren bei der Verwaltung von Berechtigungen zu unterstützen und die Compliance durch genaue Berichterstellung zu gewährleisten.
IGA-Systeme enthalten im Allgemeinen folgende Elemente der Identity Administration (IA):
IGA-Tools wie Kennwort-Vaults speichern Benutzernamen und Kennwörter für mehrere Anwendungen sicher. Da sich die Benutzer nur ein einziges Kennwort merken müssen, verwenden sie eher ein komplexes, einzigartiges Kennwort, das schwer zu stehlen oder zu kompromittieren ist, und minimieren so die Anfälligkeit des Unternehmens für Bedrohungen von außen.
Zunehmend setzen Unternehmen auch IGA-Tools wie Single Sign-On (SSO) von OneLogin ein. SSO ermöglicht es Benutzern, sich mit nur einem Satz von Anmeldedaten bei mehreren Konten anzumelden. Es reduziert die Häufigkeit der Anmeldungen und die Anzahl der gespeicherten Anmeldedaten und schützt so das Unternehmen vor möglichen Datensicherheitsverletzungen.
Connectors ermöglichen die Integration von IGA-Tools mit Verzeichnissen und anderen Unternehmenssystemen, die Informationen über Benutzer, die Anwendungen und Systeme, auf die sie Zugriff haben, sowie ihre Berechtigungen innerhalb dieser Systeme enthalten. Die Connectors lesen diese Daten, um zu verstehen, wer Zugriff worauf hat, und schreiben auch Daten, um neue Benutzer zu erstellen und ihnen Zugriff zu gewähren.
Durch automatisierte Workflows können Benutzer einfacher Zugriff auf die Systeme beantragen, die sie für ihre Arbeit benötigen. Darüber hinaus können Administratoren auf einfache Weise das On- und Offboarding für Benutzer abwickeln, festlegen, welche Rollen welche Zugriffsebene auf Anwendungen und Systeme benötigen, und den Benutzerzugriff genehmigen.
IGA optimiert die Bereitstellung und den Entzug von Zugriffsberechtigungen auf Benutzer- und Anwendungsebene – sowohl für On-Premises- als auch für Cloud-basierte Ressourcen.
Sicherheitsadministratoren können festlegen und überprüfen, was Benutzer in verschiedenen Anwendungen und Systemen tun dürfen. So können beispielsweise einige Benutzer Daten hinzufügen oder bearbeiten, während andere nur Daten anzeigen dürfen. Einige wenige können auch die Berechtigung haben, Daten zu löschen.
IGA-Systeme enthalten in der Regel folgende Elemente für Identity Governance (IG):
Um Fehler zu vermeiden und Betrug vorzubeugen, können Sicherheitsteams Regeln erstellen, die verhindern, dass einer einzelnen Person riskante Zugriffs- oder Transaktionsrechte gewährt werden. SoD-Kontrollen verhindern beispielsweise, dass ein Benutzer sowohl ein Unternehmenskonto einsehen als auch Geld auf fremde Konten überweisen kann, sei es aus Unachtsamkeit oder zu böswilligen Zwecken. SoD-Kontrollen sollten sowohl innerhalb einer bestimmten Anwendung als auch system- und anwendungsübergreifend vorhanden sein.
IGA-Tools optimieren den Prozess der Überprüfung und Verifizierung des Benutzerzugriffs auf verschiedene Anwendungen und Ressourcen. Sie vereinfachen auch den Entzug des Zugriffs, z. B. wenn ein Benutzer das Unternehmen verlässt.
Bei der rollenbasierten Zugriffskontrolle (Role-Based Access Control, RBAC) wird der Zugriff der Benutzer entsprechend ihrer Rolle festgelegt, sodass sie nur auf die Informationen zugreifen können, die sie für die Erfüllung ihrer Aufgaben benötigen. Durch die Verhinderung unnötigen Zugriffs – insbesondere auf vertrauliche Daten – erhöht RBAC die Unternehmenssicherheit und verhindert Datensicherheitsverletzungen.
Diese IGA-Tools protokollieren die Benutzeraktivitäten und ermöglichen es dem Sicherheitspersonal, Sicherheitsprobleme oder -risiken zu erkennen, und lösen in Hochrisikosituationen Alarme aus. Sie können auch Sicherheitsverbesserungen vorschlagen, Abhilfemaßnahmen einleiten, Richtlinienverstöße bearbeiten und Compliance-Berichte erstellen.
Wenn sich die Benutzerzuordnungen innerhalb des Unternehmens ändern, etwa weil ein Mitarbeiter in eine andere Abteilung wechselt oder das Unternehmen verlässt, ändern sich auch die Zugriffsanforderungen. Mit IGA lassen sich diese Änderungen ganz einfach verwalten, von der Bereitstellung bis zur Deprovisionierung. IGA erleichtert durch die Verwaltung von Kennwörtern, Berechtigungen und Zugriffsanfragen auch die Kontrolle von Benutzern, Geräten, Netzwerken und anderen IT-Ressourcen.
Ein IGA-System bietet eine zentrale Genehmigungsstelle, über die Benutzer ganz einfach die Zugriffe beantragen können, die sie für ihre Arbeit benötigen. Dank der Zentralisierung können Administratoren außerdem Berechtigungen verwalten, verdächtige Aktivitäten nachverfolgen und erkennen sowie potenzielle Angreifer am Zugriff auf Unternehmenssysteme oder -daten hindern.
Durch detaillierte Ereignisprotokolle, Berichte und Analysen können IT-Administratoren die Vorgänge in der Unternehmensumgebung verstehen und Probleme oder Risiken schnell erkennen. So können sie Probleme beheben, um geschäftskritische Ressourcen zu schützen. Außerdem können Administratoren dank der Datenzentralisierung Zugriffsberichte auditieren, um Compliance-Anforderungen zu erfüllen.
Mit robusten IGA-Tools können Unternehmen sicher Remote-Zugriffe gewähren und kontrollieren, um die Business Continuity aufrechtzuerhalten und gleichzeitig Verstöße zu verhindern. Dank dieser Flexibilität können Mitarbeiter von überall aus arbeiten und so ihre Produktivität und Leistung steigern.
IGA-Lösungen unterstützen zentralisierte Richtlinien und automatisierte Arbeitsabläufe, die dazu beitragen, die Betriebskosten zu senken, sicherzustellen, dass Mitarbeiter auf die benötigten Ressourcen zugreifen können, Risiken zu verringern und die Compliance zu verbessern. All diese Vorteile bieten Unternehmen eine organische Skalierbarkeit, die mit manuellen Prozessen oder begrenztem Einblick in Benutzer, Identitäten und Systeme nicht möglich wäre.
Gesetzliche Vorschriften sollen Benutzer und/oder Daten schützen und das Vertrauen zwischen verschiedenen Einrichtungen stärken. So wurde beispielsweise in den USA der Health Information Portability and Accountability Act (HIPAA) verabschiedet, um die Gesundheitsdaten von Benutzern zu schützen. Das Gesetz verpflichtet Organisationen des Gesundheitswesens, geeignete Schutzmaßnahmen zu ergreifen, um die Sicherheit und den Schutz von Patientendaten zu gewährleisten.
In ähnlicher Weise musste durch den Sarbanes-Oxley Act (SOX) die Finanzbuchhaltung und -auditierung in börsennotierten Unternehmen verbessert werden. Ziel ist es, das Vertrauen in die Finanzinformationen der Unternehmen zu stärken und Betrug zu verhindern. Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Regelwerk, das Anforderungen an Sicherheitsverwaltung, Richtlinien und Verfahren zum Schutz der Kreditkartendaten von Kunden festlegt.
Es ist wichtig, dass Unternehmen alle für sie geltenden Vorschriften einhalten, um gerichtliche Konsequenzen oder Bußgelder aufgrund von Compliance-Verstößen zu vermeiden. Durch Compliance können sie außerdem das Vertrauen ihrer Kunden gewinnen und ihr Geschäft ausbauen. Die Einhaltung gesetzlicher Vorschriften bedeutet auch, dass sie über die nötigen Kontrollen verfügen, um ihre Systeme und Daten zu schützen, was sie vor Cyberangriffen und Datenschutzverletzungen bewahrt.
IGA ist eine Unterkategorie von Identity and Access Management (IAM). IGA-Systeme bieten jedoch zusätzliche Funktionen, die über standardmäßige IAM-Systeme hinausgehen, und helfen bei der Bewältigung gängiger IAM-Herausforderungen.
So ist zum Beispiel der unangemessene und/oder veraltete Zugriff auf Unternehmensressourcen ein häufiges Problem bei IAM. Eine dezentrale Belegschaft, zeitaufwändige Bereitstellungsprozesse, schwache BYOD-Richtlinien (Bring Your Own Device) und strenge Compliance-Anforderungen sind einige weitere IAM-Herausforderungen. Diese Probleme erhöhen das Sicherheitsrisiko und erschweren die Einhaltung der gesetzlichen Vorschriften. Unternehmen können diese Herausforderungen jedoch bewältigen, indem sie ihre IAM-Systeme mit IGA stärken.
Mit IGA können Unternehmen die Arbeitsabläufe für Zugriffsgenehmigungen automatisieren und Risiken reduzieren. Außerdem können sie IAM-Richtlinien definieren und durchsetzen und Benutzerzugriffsprozesse auditieren, um Compliance-Berichte zu erstellen. Aus diesem Grund nutzen viele Unternehmen IGA, um die in HIPAA, SOX und PCI DSS festgelegten Compliance-Anforderungen zu erfüllen.
Alle Unternehmen können von IGA-Lösungen profitieren. IGA verbessert den Überblick darüber, worauf Benutzer zugreifen können und worauf nicht. Dadurch können IT-Administratoren Kontrollen im Bereich Identity Management and Access optimieren, Risiken effizient mindern und geschäftskritische Systeme und Daten schützen. IGA trägt auch dazu bei, die Compliance aufrechtzuerhalten und zu verbessern. In der komplexen IT- und Cybersicherheitslandschaft von heute können Unternehmen sich mit IGA-Tools schützen, ihre Resilience verbessern und skalierbares Wachstum erzielen.