Fünf Stufen kennzeichnen den Reifegrad der Identitätssicherheit Organisation braucht Betriebsmodell
16. August 2023Mit der Reifeskala der Identitätssicherheit lässt sich aufzeigen, wie ausgereift die Identity-Strategie eines Unternehmens ist. Die Kriterien beschränken sich dabei nicht nur auf die technischen Fähigkeiten und Tools, sondern decken auch die Punkte Strategie, Betriebsmodell und Mitarbeiter ab.
Nur wenn die Identity-Strategie auch auf die Geschäftsziele des Unternehmens abgestimmt ist und zentral über das gesamte Unternehmen verfolgt und gemessen, sowie von einem IAM-Team unterstützt wird, kann ein derartiges Programm erfolgreich sein. Dabei stuft man einen Reifegrad 1 als unzureichend ein, Reifegrad 2-3 decken die grundlegenden Funktionen zum Identity-Management ab. Die Grade 4-5 zählen zu den erweiterten IAM-Fähigkeiten.
Für Unternehmen auf Reifegrad 1 ist das Identitätsmanagement kein Schwerpunkt – es handelt sich lediglich um fragmentiert eingesetzte Tools, statt um eine unternehmensweite Strategie. Oft werden auch veraltete Instrumente zur Verwaltung der Nutzerrechte, statt moderne Identity-Lösungen verwendet. Es fehlt an einem Betriebsmodell zur Organisation von Teams und zur unternehmensweiten Verwaltung aller Arten von Identitäten.
Unternehmen, die zwar Lösungen zum Identity Management einsetzen, aber dies meist manuell tun, erreichen den Reifegrad 2. In diesen Unternehmen wird Identity Management nur eingesetzt, um taktisch auf bestimmte Herausforderungen wie etwa Compliance oder Sicherheitsverletzungen zu reagieren. Die Akzeptanz innerhalb des Betriebs gegenüber einer Identity-Strategie ist eher gering und die Fähigkeiten zur Umsetzung des Programms sind elementar.
Das Identity-Team besteht hauptsächlich aus einem Helpdesk mit einem IT-Team für die Wartung von Tools und zentralisierte IAM-Funktionen haben primär einen Fokus zur Erfüllung von Service-Tickets. Unternehmen auf Level 2 setzen meist auf Passwort-Manager und wissensbasierte Multi-Faktor-Authentifizierung statt auf automatisierte Identitätsverwaltung.
Reifegrad 3 umfasst Unternehmen, die bereits ein digitalisiertes Identity-Management auf breiter Ebene implementiert haben. Viele IAM-Funktionen, wie ein automatisiertes Lifecycle-Management sowie die automatisierte Verwaltung von Maschinenidentitäten gehören bereits zum Standard. Es gibt eine Strategie, die den Impact des zentralisierten Betriebsmodells auf das Unternehmen durch festgesetzte Metriken misst. Identity-Funktionen werden im Unternehmen zunehmend angenommen und ein gewisses Maß an Automatisierung und Identity wird auf die Cloud sowie Data Governance ausgeweitet.
Für Unternehmen auf Reifegrad 4 ist das Identity-Programm zum strategischen Wegbereiter für Innovation und Sicherheit im Unternehmen geworden. KI besitzt hier einen hohen Stellenwert, wenn es um automatisierte Zugriffsentscheidungen bzw. -empfehlungen geht. Die Empfehlung folgt auf Basis von Risikoeinschätzungen. Passwörter gehören in Level 4-Unternehmen der Vergangenheit an: Der Login auf Laptops oder Anwendungen funktioniert passwortlos. Zudem gibt es meist ein Identity-Team aus Daten- und Identity-Spezialisten, welches Analysen durchführt und im gesamten Unternehmen als Experten im Bereich IAM anerkannt wird.
Unternehmen, die von sich behaupten können, den höchsten Reifegrad 5 im Unternehmen umgesetzt zu haben, verfügen über eine erweiterte und vereinheitlichtes Identitätsmanagement. Das etablierte Betriebsmodell ermöglicht die Zusammenarbeit mit Ökosystemen anderer Unternehmen. Beschäftigte haben nahtlosen Zugriff auf die ihnen zugewiesenen Anwendungen und profitieren von Biometrie sowie Geräte-MFA – Fingerabdruck oder Geschichtserkennung und verhaltensbasierte Verifizierung. In diesen Unternehmen dient Identität als kritischer Kontrollpunkt bei der Verringerung von Cybersecurity-Risiken und unterstützt Unternehmen bei technologischen Innovationen der nächsten Generation
Sinn und Zweck
Mit zunehmender Reife verbessern Unternehmen ihre Sicherheitslage und Widerstandsfähigkeit drastisch und minimieren damit natürlich auch ihr Cyber-Risiko. Eine von SailPoint durchgeführte Umfrage zeigt: Unternehmen, die von Reifegrad 3 auf Reifegrad 4 aufsteigen, erkennen Cyber-Angriffe um 40 Prozent schneller – dank der Nutzung von KI und ML und der dadurch verbesserten Transparenz. Die durchschnittliche Reaktionszeit auf eine Sicherheitsverletzung sinkt von drei Stunden auf nur drei Minuten. Und die Reaktionszeit ist entscheidend für die Schadensbegrenzung und Risikominderung. (rhh)