Ganzheitliche Methoden für sichere Zugriffe und Identitäten In mehreren Schritten zur Identity Governance
9. März 2017Technologien, Gesetze und Nutzeransprüche verändern sich. IT-Infrastrukturen müssen sich daran schnell, sicher und flexibel ausrichten. Es ist wichtig, zu verstehen, warum Identity Management (IdM) und Identity und Access Management (IAM) nur zwei Schritte von vielen auf dem Weg zur Identity Governance (IG) sind. Dabei sind einige Punkte zu nennen, die Unternehmen im Vorfeld beachten müssen.
Identity Theft
Anwender benötigen heute einen sicheren, flexiblen, orts- und auch oft geräteunabhängigen Zugang zu den IT-Ressourcen ihres Unternehmens oder Cloud-basierte Dienste. Dies kann den Zugriff auf Daten, Dienste oder IT Systeme beinhalten. In diesem komplexen Umfeld kann ein erhöhter Anspruch an die IT Sicherheit schnell zu einer Belastung für den Anwender werden und die Erfüllung der eigentlichen Aufgabe erschweren oder gar verhindern.
Durch die vordergründig einfache und bequeme Bereitstellung von umfangreichen IT Zugängen, gekoppelt mit vielen Berechtigungen scheint dieses Problem schnell und einfach umgangen werden zu können. Das daraus resultierende Risiko (Identity Theft) wird zugunsten der Effektivität ausgeblendet und ermöglicht den unautorisierten Zugriff auf die zu schützenden IT-Ressourcen.
Wer die Authentifizierung und Autorisierung seiner Anwender professionell betreiben will, benötigt neben dem Einsatz von Identity Management (IdM) und Identity Access Management (IAM) auch eine Möglichkeit den Zugriff auf IT-Ressourcen zu planen, zu verwalten und zu auditieren. Klar strukturierte Managementprozesse senken die Gefahr, Opfer von Betrügereien, Datenverlust und -diebstahl zu werden. Außerdem verringern sich Verwaltungsaufwand und die damit verbundenen Kosten. Vor, während oder nach einem Schadensfall können Schwachstellen schneller gefunden und geschlossen werden.
Die Basis legt das IdM, das eine wesentliche Komponente der IT-Sicherheit repräsentiert. Durch die zentrale Verwaltung der einzelnen Identität innerhalb des IdM werden benötigte Benutzerkonten in den unterschiedlichen IT-Ressourcen innerhalb oder außerhalb des Unternehmens angelegt (Provisioning), verwaltet (Synchronization) oder gelöscht (Deprovisioning).
IAM setzt auf dem IdM auf und verwaltet die mit dem Benutzerkonto verbundenen Berechtigungen anhand von Regeln, Richtlinien und manuellen Eingriffen. Automatisierte und durch das Geschäftsumfeld definierte Berechtigungsverwaltung unterstützt wesentlich die Umsetzung einer besseren IT-Sicherheitsarchitektur.
Das Einhalten von gesetzlichen Vorgaben, Compliance sowie IT-Sicherheitsrichtlinien in Unternehmen ist davon abzugrenzen. Dies zählt zu den zentralen Aufgaben der Identity Governance (IG). Als zentrales Steuerungsinstrument stellt IG die benötigten Verfahren und Prozesse für das IdM und IAM bereit und entwickelt diese gemäß den sich verändernden Anforderungen kontinuierlich weiter. Die rechtskonforme Überwachung, Aufzeichnung und Speicherung von Zugriffen (Access Intelligence) ist ebenfalls eine zentrale Aufgabe des IG.
Komplex oder einfach?
Das Anlegen und Verwalten von Identitäten und deren Berechtigungen ist komplex. Das trifft erst recht auf die Steuerung der vielen Prozesse und Komponenten zu, die Mitarbeiter während eines IdM-Projekts in die IT-Architektur implementieren müssen. Deshalb sind die Aufgaben innerhalb eines solchen Projekts klar zu strukturieren und an verschiedene Abteilungen, Arbeitsgruppen und Mitarbeiter zu verteilen. Das treibt allerdings die Komplexität bei der Umsetzung in die Höhe.
Nach der Implementierung setzt sich dieser Trend fort, wenn Unternehmen ihre Zugangskontrollen weiterentwickeln und anpassen wollen. Den Grund dafür liefern Anforderungen, die sich ständig verändern oder erweitern. Als Folge dieser Komplexität scheitern viele IdM- und IAM-Projekte. Oder es besteht die Gefahr, dass laufende Projekte so stark simplifiziert werden, dass sie ihr Ziel verfehlen. Es empfiehlt sich, klar zwischen den einzelnen Bestandteilen der Identity Governance zu trennen. So liegt der Fokus zunächst auf dem Identity Management.
Die „moderne Identität“ ist die Menge aller Informationen, welche die IT-Infrastruktur benötigt, um Zugriffsklassen zu unterscheiden. Alle Zugriffe von einer Identität definieren eine Zugriffsklasse. Bei einem Zugriff von einer Identität auf eine Ressource erfolgt anhand eines Regelwerks die Prüfung, ob die Identität bekannt ist. Die Identität wird authentifiziert. Sie wird erst autorisiert, wenn der Zugriff erlaubt ist. Danach kann die Identität die Ressource, je nach Berechtigung, lesen oder verändern.
Sobald ein IdM die benötigten Identitäten in der gewünschten Quantität und Qualität bereitstellt und verwaltet, kann das IAM-Projekt starten. Im Vorfeld muss ein Unternehmen die Anforderungen der Geschäftsbereiche, Abteilungen und Arbeitsgruppen möglichst umfänglich erfassen. Die ermittelten Anforderungen und die daraus abgeleiteten Ansprüche sind mit den Unternehmenszielen (Aufgaben, Ziele, Ansprüche) abzugleichen.
Dies führt zwangsläufig zu einem neuen Rollenverständnis, welches nicht ausschließlich auf technischen Vorgaben basiert, sondern umfänglich durch die Geschäftsbereiche definiert wird. Aus diesem Grund ist die Zweiteilung in IT- und Business-Rollen angezeigt. Die IT-Rolle stellt den technischen Bezug der zugewiesenen Berechtigung her. Die Business-Rolle dagegen beschreibt die Funktion der Identität in der IT-Umgebung. Dadurch werden komplexe Rollenhierarchien vermieden.
Compliance aus dem Container
Ein IdM-System bildet Richtlinien, Verfahren und Prozesse nicht nur ab, sondern muss diese anpassen können. Die Herausforderung nimmt zu, weil IT-Infrastrukturen immer komplexer werden und sich immer schneller verändern. Identity Governance bietet hierfür einen Lösungsansatz: Entscheidungs- und Steuerungsprozesse sowie Orchestrierung erfolgen über Container (Repository), um Identitäten und deren Berechtigungen zu verwalten.
Ein Container kann aus Authentifikations-, Autorisations- und Ressourcen-Containern (Repositories) bestehen. Er bündelt die notwendigen Zugriffsinformationen. Dabei werden die Richtlinien, Verfahren und Prozesse für das IdM und IAM festgelegt. Zudem findet eine Überprüfung auf Sicherheit, Compliance, Intelligence, Transparenz, Rechtsfähigkeit und Rechtsverträglichkeit statt, wobei all das an den Geschäftsbereich (Line of Business) angepasst wird.
IDM- und IAM-Projekte sind wichtig für das Business, weil sie sich erheblich auf Kosteneffizienz, Datenschutz, Compliance und Risiko-Management in einem Unternehmen auswirken. Die umfängliche Einbeziehung der Geschäftsbereiche in der Planung und Umsetzung, die parallele Entwicklung von angepassten Verfahren und Prozessen sind der Schlüssel für den langfristigen Erfolg eines IdM-Projekts, sowie eine hohe Akzeptanz innerhalb des Unternehmens und der Anwender. Identity Governance macht diese Vielzahl von Aufgaben und Herausforderungen transparent und beherrschbar. (rhh)
Andreas Bünseler
ist Senior Consultant Productivity Infrastructure & Cybersecurity bei Axians IT Solutions.