logo lineofbiz

Identity and Access Management ist mehr als Technologie: Konsistenz macht den Unterschied

29. November 2024
biometrics
Quelle: Pete Linforth, Pixabay

Es führt kein Weg daran vorbei: Jeder Verantwortliche für den Bereich Identity and Access Management (IAM) sollte auch die Fähigkeit zum Programm- Management mitbringen. Denn IAM-Initiativen betreffen zumeist komplexe miteinander verbundene Systeme, Prozesse und Menschen. Ohne ein solides Verständnis riskieren die Verantwortlichen, dass es zu Verzögerungen und Zeitüberschreitungen kommt.

Die Statistiken sprechen eine deutliche Sprache: Ein erfolgreiches IAM-Projekt ist keine Selbstverständlichkeit. Dessen sind sich die meisten Projektmanager durchaus bewusst. Leider ist dies keineswegs ein neuer Befund. Die Marktforscher von Gartner bemerkten dazu schon im Jahr 2015: „Trotz einer mehr als 50 Jahre andauernden Geschichte, zahlloser Methoden, Empfehlungen und Büchern scheitern IT-Projekte immer noch.“ Das Fazit des Gartner IAM Summits von 2023 lautete: „Bis 2026 werden 70 Prozent der Identity-First Sicherheitsstrategien scheitern, wenn Unternehmen auf Zugriffsrichtlinien verzichten, die sowohl kontextbasiert sind als auch kontinuierlich konsistent gehalten werden.“

Dieser identitätsorientierte Ansatz befeuert die Entwicklung hin zu dem, was Gartner als „Identity-First Business“ bezeichnet. Dabei haben die unterschiedlichen Abteilungen eines Unternehmens ein Mitspracherecht und ihren Anteil an den Ergebnissen in einem IAM-Projekt. Dieser Ansatz vereint verbesserte Sicherheitsmaßnahmen mit einer Risikominimierung beim beschleunigten Zugriff auf digitale Assets und einem optimierten Bereitstellungsprozess. Im Zentrum stehen Gartners „3 K‘s“ (3 Cs) der Identity-First-Sicherheit:

  • Konsistenz (Consistency): Identitäten ändern sich zumeist im Laufe der Zeit. Das gilt im Besonderen für größere Unternehmen mit ihren komplexen Hierarchien und dezentralen Verfahren. Hier benötigt man ein konsistentes Identitätsmanagement. Dadurch ist beispielsweise gewährleistet, dass alle Mitarbeiter, vom Einstellungstag bis zu ihrem Ausscheiden aus dem Unternehmen, verpflichtet sind Multifaktor-Authentifizierung zu verwenden oder dass alle Entitäten angemessen sicher mit Anwendungen und Endpunkten verknüpft sind.
  • Kontextabhängigkeit (Context-aware): Beim zweiten Prinzip geht es darum festzustellen, wie unterschiedliche Identitäten kontextabhängig eingesetzt werden. Das reicht vom Zugriff auf Informationen bis hin zur Berechtigungsvergabe. Der Administrator sollte dazu das Benutzerverhalten sowie biometrische Daten auswerten. So kann er ermitteln, ob die verwendeten Geräte vertrauenswürdig oder verdächtig sind und ob Daten Eigentum bzw. Zugriffsberechtigungen notwendig, angemessen und sicher sind.
  • Kontinuität (Continuous): Für Projektmanager, die noch am Anfang stehen, wird es vermutlich etwas länger dauern, das dritte Prinzip umzusetzen. Es beruht auf der organisatorischen Reife im Bereich IAM. An dieser Stelle werden Risiken und Vertrauen (Trust) kontinuierlich bewertet und verankert. Dabei geht es weniger um ein greifbares Ergebnis. Es geht vielmehr um die Erkenntnis, dass Veränderung eine kontinuierliche und zu berücksichtigende Konstante innerhalb des Identity und Access Managements ist.

Selbst wenn Manager von IAM-Programmen bereits über gute Kenntnisse bei der Bereitstellung von Identitäten innerhalb ihres Unternehmens verfügen, die 3 K‘s liefern zusätzlich einen Bezugspunkt, um technisches Fachwissen gebündelt im Rahmen einer erfolgreichen Programmumsetzung einzusetzen. Dadurch lassen sich einige bekannte Fallstricke vermeiden, die auf diesen Weg lauern:

  • Vergeudete Investitionen. Es besteht immer ein Risiko, dass sich eine neue Software nicht für den vorgesehenen Zweck eignet. In dem Fall drohen Probleme bei der Interoperabilität, Skalierung oder der Zukunftssicherheit von Investitionen sowie Lücken bei der Einhaltung von Compliance- Vorschriften. Der Schwerpunkt sollte auf einer Identitätsstruktur mit integrierter Architektur liegen und nicht aus einer Ansammlung einzelner, disparater Tools bestehen. Andernfalls entstehen Lücken, die die Angriffsfläche eines Unternehmens vergrößern.
  • Potenziell unsicher. Ohne eine einheitliche Lösung oder wenn zu viele Anbieter an einer Lösung beteiligt sind, ist jede Umgebung nur eingeschränkt transparent. Außerdem arbeiten 98 Prozent der Unternehmen mit Dritten zusammen, bei denen es bereits zu Sicherheitsverstößen gekommen ist. Das führt zu einer Angriffsfläche mit vielen, potenziellen Zugangspunkten. Werden Konten mit höheren Berechtigungsstufen nicht regelmäßig überprüft, ist es schwierig das PoLP (Principle of least privilege) und Zero Trust durchzusetzen. Das gilt insbesondere, wenn manuelle Eingriffe durch den Anwender erforderlich sind. In einer Zeit, in der laut Forrester „bei 90 Prozent der Datenschutzverletzungen ein menschlicher Faktor eine Rolle spielt“, sollte man neben entsprechenden Sicherheitsmaßnahmen unbedingt auch an die Benutzerfreundlichkeit einer IAM-Lösung denken.
  • Compliance-Verstöße. Auch bei Audits wird mangelnde Transparenz zum Problem. Nachvollziehbare Aufzeichnungen sind insbesondere gemäß der HIPAA-Anforderungen an Prüfprotokolle wichtig. Die Protokolle müssen die Identität derjenigen verzeichnen, die auf das betreffende Netzwerk zugegriffen haben, wann dieser Zugriff erfolgt ist und was genau sie genau dort getan haben.

Auch bei der Segregation of Duties (SoD), also der Aufgabentrennung, spielt IAM eine geschäftskritische Rolle und unterstützt die Compliance. Der Sarbanes-Oxley Act verlangt beispielsweise, dass mindestens zwei Personen die Verantwortung für wesentliche Aufgaben und Prozesse tragen und dass Identitätsrechte und Berechtigungen regelmäßig überprüft werden.

Komponenten für ein erfolgreiches IAM-Programm-Management

Naturgemäß wird ein Programm mit der Zahl der daran beteiligten Personen zunehmend komplexer. Erfahrung ist durch nichts zu ersetzen. Trotzdem können IAM-Experten auf bewährte Frameworks zurückgreifen, um ein Programm mittels Identifizierungs-, Authentifizierungs- und Autorisierungslösungen erfolgreich(er) zu gestalten. Dies sind u.a.:

  • Agile Projekt-Framework: Die Anpassungsfähigkeit von Agile und die Scrum-basierende, kurzfristige Sprint-Planung eignen sich gut für die sich stetig verändernde IAM-Landschaft. Für Unternehmen, die sich an den drei K’s von Gartner orientieren, bietet der Agile-Ansatz mit seinen fünf Säulen einige Synergien: kontinuierliche Neubewertung, iterative Verbesserungen (im Sinne der Konsistenz), Transparenz (zur Unterstützung des Kontexts), Flexibilität und Teamarbeit.
  • Waterfall Framework: Für eine lineare, schrittweise Umsetzung von IAM-Projekten bietet es sich an, beim Programm-Management auf den Waterfall-Ansatz zurückgreifen. Voraussetzung hierfür ist allerdings eine genaue Analyse der bestehenden Prozesse. Zudem sollten die Beteiligten schon in der Planungsphase wissen, was sie erreichen wollen.
  • Projektmanagement-Profi (PMP): Der PMP-Ansatz deckt unterschiedliche Arbeitsweisen ab, von agilen bis hin zu eher hybriden oder prädiktiven Arbeitsabläufen (sofern deren Umfang genau definiert ist). Wer für europäische IAM-Projekte verantwortlich zeichnet, wird eher auf das PRINCE2-Framework setzen.

Hat man sich für das geeignete Rahmenwerk entschieden, bleiben noch ausreichend viele bewegliche Teile übrig und eine lange Wegstrecke mit jeder Menge an kurzfristigen Änderungen. Zu Beginn sollte man deshalb die bewährten Komponenten implementieren, die stark genug sind, um diesen Änderungen standzuhalten.

Klare Ziele und Vorgaben

Vollständige Klarheit führt im Idealfall zu vollständiger Granularität. Sie erlaubt es einem Projektmanager, die bestehenden Möglichkeiten zu verstehen und diese auf die erwünschten Ergebnisse des IAM-Programms hin auszurichten.

Dazu braucht man vollständige Transparenz über die Umgebung, einschließlich der Schatten-IT. An dieser Stelle ist eine spezifische Lösung für die Zugriffsverwaltung hilfreich, die verschiedene Protokolle unterstützt und sowohl ältere als auch moderne Anwendungen absichert – auch in Hybridumgebungen.

„Stakeholder buy-in“ und Management

Will man echte Veränderungen erzielen, sollte man nicht nur mit den Erwartungen der Stakeholder umgehen können, sondern auch mit denen aller anderen Beteiligten. Hierzu ist es in einem ersten Schritt hilfreich sich der Unterstützung der obersten Führungsebene zu versichern. Für noch mehr Transparenz sorgen Entscheidungsträger, welche die Belegschaft aktiv über programmbezogene Neuigkeiten und Updates informieren.

Das Management aller Beteiligten und eine solide Finanzierung sind aber nur die ersten Schritte auf dem Weg zu einem stabilen Programm. Der Schlüssel zum Erfolg besteht darin, alle Beteiligten über Fortschritte, Hindernisse, Herausforderungen und Chancen auf dem Laufenden zu halten. Kommunizieren Sie frühzeitig und so oft wie möglich mit anderen Entscheidungsträgern. Die Programmverantwortlichen fungieren als Brücke zwischen dem zuständigen Team und den anderen Beteiligten.

Neben regelmäßigen Aktualisierungen sollte man über den gesamten Programmlebenszyklus die jeweiligen Erwartungen im Blick behalten. Deren Umfang kann sich ändern, es wird zu unvorhergesehenen Herausforderungen kommen. Beispielsweise werden Mitarbeiter das Projekt verlassen oder abgezogen. Jeder einzelne dieser Aspekte kann dazu führen, dass man die Erwartungen hinsichtlich der Bereitstellung oder des Zeitrahmens anpassen muss. All das sollte man kommunizieren, sobald die Fakten vorliegen, damit die Roadmap dynamisch und aktuell bleibt.

Programmplanung

Die mit der Verwaltung des Programms betrauten IT-Führungskräfte benötigen die volle Kontrolle darüber. Wenn sie neben ihren alltäglichen Aufgaben noch für die Bereitstellung in einem IAM-Programm zuständig sind, kann das Programm schnell scheitern.

Aktionen werden verschoben, der Umfang einzelner Arbeitspakete reduziert oder notwendige Schritte einfach vergessen. Daher sollte man zusätzliche Abhängigkeiten anderer am Programm beteiligter Akteure durch eine sorgfältige Planung weitestgehend vermeiden oder minimieren. Andernfalls drohen Engpässe oder die notwendige Dynamik des Projekts leidet.

Change Management – Umgang mit Veränderungen

Bei einem IT-gestützten Programm-Management geht es nicht allein darum die beste Lösung zu finden. Es geht darum, dass sich die richtigen Mitarbeiter der Implementierung, Datenübernahme und Nutzung annehmen.

Dazu ist ein sorgfältig geplanter Change-Management Prozess erforderlich. Die Verantwortlichkeiten sollten dabei in einer ähnlichen Sprache definiert sein, wie sie beim Entwickeln von Zugriffsrichtlinien verwendet wird. Dazu müssen vor allem Identitäten, Entitäten und Kontrollfunktionen ausgewählt und die Verantwortlichen durch Schulungen und Zertifizierungen angemessen unterstützt werden.

IAM in Aktion: Ein Programm…mehr als ein Projekt

Der IAM-Lebenszyklus besteht aus unterschiedlichen Phasen, angefangen bei der Erstellung einer digitalen Identität über das Zuweisen von Zugriffs- und Berechtigungsoptionen bis hin zur ihrer Deaktivierung. Dadurch passt er ideal zum Lebenszyklus eines Projekts – von der Initiierung und Planung über die Ausführung und Überwachung bis hin zum Abschluss. Für erfahrene IAM-Fachleute trägt eine präzise Abstimmung dazu bei, die Risiken zu verringern, die mit wichtigen Programmen fast zwangsläufig einhergehen.

Unternehmen werden dadurch in die Lage versetzt, sich auf das Thema Identität zu fokussieren und die drei K‘s im Sinne eines konsistenten, kontextabhängigen und kontinuierlichen IAM-Ansatzes umzusetzen. Auf dieser Basis sind die Verantwortlichen besser gegen potenzielle Fallstricke wie Fehlinvestitionen, Unsicherheiten und Compliance-Verstöße gewappnet und können sich auf die Kernkomponenten des Programms konzentrieren:

  • klare Ziele und Vorgaben im gesamten Unternehmen,
  • Zustimmung aller beteiligten Autoritäten,
  • Befugnisse zur Planung und Ausführung,
  • transparente und offene Kommunikation sowie
  • mitarbeiterzentrierter Fokus, um Verhaltensänderungen dauerhaft zu etablieren.

Wenn es einem Unternehmen gelingt, ein IAM-Programm erfolgreich zu installieren, wird es dadurch in die Lage versetzt digitale Assets durchgängig verwalten, kontrollieren und schützen zu können. Gleichzeitig bietet der Ansatz die nötige Transparenz, um Governance-Anforderungen zu erfüllen. Im Idealfall wird IAM zu einer Quelle für Agilität, unterstützt geschäftliche Prozesse und trägt dazu bei, Wettbewerbsvorteile zu erlangen.

Patrick Hunter, Senior Director, EMEA Pre Sales, One Identity

One Identity

Lesen Sie auch

A eperi WP Verschlüsselung

Die Verschlüsselungsstrategie muss passen

eperi sEcure Funktionsweise

Moderne Verschlüsselungstechnologie sorgt für NIS2-Konformität

snip leo Adobe

Fernverschlüsselung als nächste Stufe von Ransomware