Kriterien für die Auswahl einer IAM-Lösung Korrektes Identifizieren und Verifizieren
15. Juni 2022Das Ziel von Identity and Access Management (IAM)-Lösungen ist die Verwaltung eines ordnungsgemäßen und sicheren Benutzerzugriffs im gesamten Unternehmen bei gleichzeitiger Durchsetzung der verschiedenen Unternehmensrichtlinien und gesetzlichen Vorschriften. Konkret bedeutet dies, dass IAM sicherstellt, dass die richtigen Personen und Maschinen korrekt identifiziert und verifiziert werden und ihnen für einen bestimmten Zeitraum Zugriff auf die benötigten Ressourcen gewährt wird.
Zwar ist IAM ein wichtiger Baustein in der Sicherheitsstrategie von Unternehmen, da es den Zugriff für Benutzer reguliert, dennoch müssen Security-Verantwortliche verstehen, dass IAM-Tools auch erhebliche Schwachstellen aufweisen können, die Cyberkriminellen als Einstiegspunkt für Angriffe dienen. Dies ist vor allem dann der Fall, wenn IAM-Lösungen nicht in Verbindung mit Privileged Access Management (PAM)-Solutions eingesetzt werden.
PAM-Lösungen ermöglichen es, alle Arten von privilegierten Zugriffen kontinuierlich und automatisch zu überwachen und zu sperren, und sind insofern die Grundlage des Zero-Trust-Prinzips. Während IAM alle Benutzerkonten innerhalb eines Unternehmens verwaltet, konzentriert sich PAM vor allem auf die Absicherung von geschäftskritischen und technischen Systemzugriffen.
In den letzten Jahren haben sich Software-Lösungen für das Identitäts- und Zugriffsmanagement enorm weiterentwickelt. So dominieren Cloud-basierte Anwendungen heute den Anbietermarkt und haben traditionelle IAM-Ansätze, die sich vor allem um einen Benutzernamen und digitale Identifikatoren drehen, verdrängt. Eine effektive IAM-Lösung kann dazu beitragen, Kosten zu senken, Zeit zu sparen und – ganz wichtig – Cyberrisiken unter Kontrolle zu halten. Wollen Unternehmen von diesen Vorteilen profitieren, müssen sie eine Lösung auswählen, die zu ihren Anforderungen passt. Folgende Überlegungen sollten sie dabei einbeziehen:
Punktlösung oder Full-Service-Plattform?
Soll eine neue IAM-Lösung zum Einsatz kommen, müssen sich die IT-Verantwortlichen zunächst die Frage stellen, was mit der Implementierung dieser Managementlösung eigentlich erreicht werden soll. Die Antwort auf diese Frage ist dabei so individuell wie jedes Unternehmen und hängt von vielen Faktoren ab – unter anderem von der Unternehmensgröße, der Branche oder dem Standort. Hier entscheidet sich letztlich, ob ein Unternehmen eine Punktlösung anschafft, die grundlegende und aktuelle IAM-Anforderungen erfüllt, oder aber einen Schritt weiter gehen und auf eine Full-Service-Plattform setzen will.
Wichtig ist dabei, dass die Verantwortlichen die langfristigen Sicherheitsstrategien und -ziele nicht aus den Augen verlieren. Denn nicht selten treffen IT-Abteilungen bei der Anschaffung neuer IAM-Produkte übereilte Entscheidungen und setzen auf Einzellösungen wie EMM, MFA oder SSO, die ihnen zwar kurzfristig Nutzen bringen, auf lange Sicht aber die Komplexität bei der Verwaltung enorm erhöhen. Die Folge kann eine Welle von Anmeldungen und Integrationen sein, die für die Teams kaum zu bewältigen ist. Aus diesem Grund kann es von Vorteil sein, mit einem Identity-as-a-Service (IDaaS)-Anbieter zusammenzuarbeiten, der integrierte Technologien anbietet und in der Lage ist, allen Nutzern einen sicheren Zugang zu bieten.
Ist die Lösung hybrid?
Bevor man sich mit den verschiedenen Funktionen und Features einer IAM-Lösung befasst, gilt es zunächst zu klären, ob ein potenzieller Anbieter auch hybride Lösungen im Portfolio hat, die Kontrolle und Zugriff sowohl für lokale Umgebungen als auch für SaaS-basierte Anwendungen ermöglicht. Rein SaaS-basierte Anwendungen sind zweifellos gut und nützlich, doch gerade große Unternehmen benötigen ausgereiftere Lösungen, um die komplexen Herausforderungen von hybriden Domänen, Legacy-Systemen und On-Premises-Anwendungen zu bewältigen.
Fehlen IAM-Funktionen vor Ort, werden Unternehmen früher oder später dazu gezwungen sein, mit unterschiedlichen Lösungen zu arbeiten. Auch sollte man auf jeden Fall darauf achten, dass die Lösung eine einzelne Identität bereitstellt, um auf alle Anwendungen und von allen Endbenutzerplattformen (d. h. Desktops, Laptops und mobile Geräte) zuzugreifen. Zudem sollte eine Privileged-Access-Lösung sicherstellen, dass die richtigen Sicherheitskontrollen angewandt werden und die Autorisierung überprüft wird, um Cyberrisiken zu minimieren.
Wie streng sind die Zugriffskontrollen?
Passwörter als alleiniger Authentifizierungsfaktor werden unserer komplexen und sich kontinuierlich weiterentwickelnden Bedrohungslandschaft längst nicht mehr gerecht. Aus diesem Grund ist es unerlässlich, dass eine künftige IAM-Lösung eine starke Multi-Faktor-Authentifizierung (MFA) für SaaS-, Cloud-, Mobil- und Vor-Ort-Anwendungen bereitstellt. IT-Teams sollten daher klären, ob potenzielle IAM-Anbieter verschiedene Authentifizierungsmethoden unterstützen, wie etwa Einmal-Passcodes, die per SMS oder E-Mails verschickt werden, oder Softtoken-Zertifizierungen.
Kombinieren Unternehmen IAM mit einer ausgefeilten PAM-Strategie, sind sie in der Lage, Passwörter in den Hintergrund zu rücken, gefährliche Passworttaktiken zu reduzieren und automatisierte Sicherheitskontrollen umzusetzen, die es den Mitarbeitern ermöglichen, ihre Arbeit ohne Reibungsverluste zu erledigen.
Wie einfach ist der Fernzugriff auf die Cloud?
Die Zahl der Remote-arbeitenden Mitarbeiter ist so hoch wie nie, und parallel dazu hat auch die Cloud-Nutzung in den letzten Jahren einen enormen Aufschwung erlebt. Dies stellt Security-Verantwortliche in Unternehmen vor große Herausforderungen, da sie auch Zugriffe aus der Ferne verwalten und absichern müssen und kontextbezogene Sicherheit plötzlich unerlässlich ist.
Gerade Unternehmen, die die Bring-Your-Own-Device (BYOD) bzw. Bring-Your-Own-Office (BYOO)-Philosophie leben, müssen sicherstellen, dass die ausgewählte IAM-Lösung auch hybride Arbeitsumgebungen unterstützt und sicherstellen können, dass sämtliche Zugriffe auf die Cloud verifiziert und absolut sicher sind.
Die Auswahl der richtigen IAM-Lösung bzw. IDaaS-Plattform ist keine leichte Aufgabe und sollte stets auf Grundlage der spezifischen und individuellen Anforderungen eines Unternehmens getroffen werden. Wichtig ist dabei, langfristig zu planen und auf zukunftsfähige Produkte zu setzen, um später anfallende Mehrkosten und technische Schulden zu vermeiden.
Andreas Müller ist Vice President für den Bereich DACH bei Delinea.