Was ist Identity Access Management?

| 17 November 2021

Identity Access Management - Berechtigungen sicher verwalten

Wegen Neueinstellungen, Abteilungswechseln oder Abgängen müssen Benutzerkonten in Unternehmen laufend angepasst werden. Die manuelle Verwaltung von Usern und Berechtigungen ist allerdings sowohl zeitaufwändig als auch fehleranfällig. Identity Access Management (IAM) ermöglicht die Automatisierung der notwendigen Prozesse und entlastet so die Unternehmens-IT.


In diesem Gastbeitrag verrät tenfold Software, Anbieter der gleichnamigen IAM-Lösung und Partner von Konica Minolta, was es mit IAM auf sich hat und welche Vorteile sich durch das zentrale Berechtigungsmanagement ergeben.

Identity Access Management: Was ist das genau?


Unter Identitäts- und Berechtigungsmanagement bzw. Identity Access Management (IAM) versteht man sämtliche Prozesse und Funktionen, die die Verwaltung von Benutzerkonten und den Zugriff auf IT-Ressourcen betreffen. Nehmen wir einen frisch angestellten Mitarbeiter als Beispiel: Um seiner Arbeit nachgehen zu können, braucht der neue Kollege ein Konto im lokalen Verzeichnisdienst (dem Active Directory), Zugriffsrechte für den File Server, ein E-Mail-Postfach, einen Netzwerkordner, ein eigenes Konto in Geschäftsanwendungen wie ERP- und CRM-Programmen usw.

Allein das Anlegen der nötigen Konten und die Vergabe der entsprechenden Berechtigungen kostet Admins bei händischer Bearbeitung einiges an Zeit. Doch damit ist es nicht getan: Wann immer sich die Aufgaben eines Mitarbeiters verändern, ist zudem eine Anpassung der Zugriffsrechte notwendig. Wechselt etwa eine langjährige Support-Mitarbeiterin in die Produktentwicklung, braucht sie erstens Zugriff auf die entsprechenden Ordner und Programme, zweitens müssen ihre vorherigen Zugänge (etwa zu offenen Beschwerden von Kunden) geschlossen werden. Andernfalls entwickelt sich ein vergessenes Konto leicht zu einem Datenschutz-Verstoß. Doch wie sollen Admins den Überblick über hunderte Benutzer und tausende einzelner Konten behalten?

Hier knüpft IAM-Software an: Mithilfe einer zentralen Plattform lassen sich sowohl die Vergabe von IT-Ressourcen (Provisionierung), als auch laufende Anpassungen von Berechtigungen weitgehend automatisieren. Möglich ist das einerseits über Schnittstellen zu allen notwendigen Systemen, um Konten und Rechte synchron halten zu können, und andererseits über ein Verfahren namens rollenbasierte Berechtigungsvergabe.

Da Zugriffsrechte, die man direkt an User vergibt, leicht vergessen oder übersehen werden können, erstellt man gemäß dieses Ansatzes stattdessen Berechtigungsprofile, in denen alle Standard-Rechte für eine bestimmte Position (z.B. Vertrieb, Design, Marketing) zusammengefasst sind. Ein neuer Benutzer muss nur zu den entsprechenden Profil(en) hinzugefügt werden und erhält automatisch alle damit verknüpften Berechtigungen. Dadurch lassen sich nicht nur benutzerübergreifende Änderungen viel leichter umsetzen, sondern User verlieren auch automatisch alte Rechte, wenn sich ihre Position ändert.


 

Was für IAM-Software gibt es?


Hinter dem Begriff Identity Access Management verbirgt sich keine klar abgesteckte Softwarekategorie, sondern eher eine Schnittmenge an Funktionen und Aufgaben. Bei IAM-Lösungen gibt es daher Unterschiede von Anbieter zu Anbieter: Kleinere Tools decken oft nur einen minimalen Teilbereich der Benutzerverwaltung ab (etwa Berechtigungs-Reporting für Active Directory) und lösen nicht das grundlegende Problem händischer Anpassungen und unübersichtlicher Strukturen.

Auf der anderen Seite finden sich komplexe Enterprise-IAM Pakete, die neben der Verwaltung von Zugriffsrechten und Benutzerkonten noch viele weitere Features anbieten oder für Kunden individuelle Schnittstellen programmieren. Für Großkonzerne im Enterprise-Segment mag das eine lohnende Investition sein, mittelständische Unternehmen sollten hier aber Vorsicht walten lassen. Funktionen, die im Alltag nur selten benötigt werden, können bei solchen Projekten den zeitlichen und finanziellen Rahmen sprengen. Im Mittelstand haben sich Lösungen bewährt, die sich schnell in Betrieb nehmen lassen und durch die Automatisierung wesentlicher Prozesse Admins entlasten und langfristig für Ordnung sorgen.


 

Welche Funktionen bietet Identity Access Management?


Die wesentliche Aufgabe von IAM ist die Verwaltung von Benutzerkonten und Zugriffsrechten. Indem Prozesse wie das Anlegen von Benutzern, die Anpassung von Berechtigungen und auch das Schließen von nicht mehr benötigten Zugängen über eine zentrale Plattform gesteuert werden, lässt sich ein weitgehend automatisiertes User Lifecycle Management erreichen. Das bedeutet, dass Mitarbeiter vom ersten bis zum letzten Tag im Unternehmen genau über jene Zugriffsrechte verfügen, die sie benötigen.

Da der Großteil aller Unternehmen Windows verwendet, sind Schnittstellen zu Microsoft-Diensten essenziell, um diese Aufgabe erfüllen zu können. Neben der Anbindung an Active Directory und lokale Systeme sollte dabei auch Microsoft 365 abgedeckt sein, da Dienste wie Teams, Exchange Online und Azure AD aus einer modernen, hybriden Arbeitsumgebung mittlerweile nicht mehr wegzudenken sind. Auch Plugins für gängige Geschäftsanwendungen wie SAP ERP zählen zur Grundausstattung einer guten IAM-Lösung.

Da im Alltag neben Standard-Rechten auch immer wieder manuelle Freigaben anfallen, sorgt eine Self-Service-Plattform für zusätzliche Erleichterung. Angestellte können so den Zugriff auf benötigte Daten selbstständig anfordern. Die entsprechende Anfrage geht direkt an den jeweiligen Verantwortlichen bzw. Data Owner, ohne Umwege über die IT oder langwierigen E-Mail-Verkehr. Damit auch Sonderrechte nach Ablauf wieder entfernt werden, benachrichtigt die IAM-Software Datenverantwortliche regelmäßig, um von Ihnen vergebene Rechte auf Aktualität zu prüfen. Man spricht dabei von der Rezertifizierung von Berechtigungen. Auch weitere oft benötigte Funktionen, wie das Zurücksetzen des Passworts, lassen sich über die Self-Service-Plattform abwickeln.

Für Audits und die Überprüfung von Zugriffsrechten zählt darüber hinaus das Reporting zu den wichtigsten Funktionen einer IAM-Lösung: Übersichtliche Berichte und die Dokumentation sämtlicher Änderungen erleichtern den Nachweis von Compliance- und Datenschutz-Zielen.


 

Welche Vorteile bietet Identity Access Management Unternehmen?


1. Weniger Aufwand, schnellere Freigaben

Dank der Automatisierung des Berechtigungsmanagements gewinnen Admins viel wertvolle Zeit zurück, in der sie sich wichtigeren Aufgaben zuwenden können. Denn obwohl Routine-Prozesse wie das Anlegen und Anpassen von Benutzern an sich schnell erledigt sind, nehmen sie in Summe erstaunlich viel Zeit in Anspruch. Dazu kommt die Gefahr, dass sich bei der manuellen Bearbeitung auf kurz oder lang Fehler einschleichen. Standardisierte Prozesse sorgen hier für Ordnung und Sicherheit. 
 

Eine benutzerfreundliche IAM-Lösung erleichtert zudem „fachfremden“ Kollegen den Zugang zu IT-Systemen. Anpassungen und Freigaben können direkt innerhalb einer Abteilung erledigt werden, ohne den Helpdesk kontaktieren zu müssen, womit oft eine gewisse Hemmschwelle verbunden ist. Indem entsprechende Entscheidungen aus der IT in die relevanten Fachabteilungen ausgelagert werden, können diese besser und schneller getroffen werden: Direkte Vorgesetzte können genauer einschätzen, welche Teammitglieder Zugang zu bestimmten Daten brauchen, als ein unbeteiligter Admin. Das vermeidet überflüssige Zugriffsrechte, die „nur für den Fall“ vergeben werden.
 

 

2. Schutz vor Angriffen und Datenlecks

Die Bedrohungslage im digitalen Raum steigt weiterhin an: Zu diesem Ergebnis kommt etwa der Lagebericht des deutschen Bundesamts für Sicherheit in der Informationstechnik. Neben gezielten Hacks und Schadsoftware wie Ransomware zählen identitätsbasierte Angriffe nach wie vor zu den beliebtesten Methoden von Cyberkriminellen. Beispielsweise werden die geleakten Passwörter anderer Webseiten missbraucht, da viele User noch immer dasselbe Passwort mehrfach verwenden.
 

Da IAM-Software nicht mehr benötigte Konten und Zugänge zeitnah schließt, reduziert sich die Angriffsfläche von Unternehmen für solche Attacken deutlich. Doch das ist noch nicht alles: Die korrekte Konfiguration der Zugriffsrechte verringert neben dem Risiko für Cyberangriffe auch die potenziellen Folgen, da jeder Benutzer nur auf Systeme zugreifen kann, die für seine Aufgaben zwingend benötigt werden. Gelingt es also trotz aller Vorsicht jemandem, in ein Konto einzudringen, kann derjenige nur auf einen kleinen Teil des Firmennetzwerks zugreifen.

Die möglichst sparsame Vergabe von Berechtigungen, auch als Least-Privilege-Prinzip bezeichnet, hat sich als Grundsatz der Informationssicherheit etabliert. Der Vorteil dieser Sicherheitsmaßnahme liegt darin, dass sie neben externen Angriffen auch das Risiko für Datendiebstahl und interne Datenpannen senkt.   


 

3. Bessere Compliance

Schutzmaßnahmen wie der möglichst eingeschränkte Zugang zu Daten sind nicht nur zur Abwehr von Angriffen sinnvoll, sondern zunehmend auch durch Gesetze und IT-Sicherheitsstandards vorgeschrieben. Die sichere Autorisierung von Benutzern, Einschränkung von Zugriffsrechten und sogenannte logische Zugangskontrollen zählen etwa zu den Anforderungen der DSGVO, der KRITIS-Verordnung und der Norm ISO 27001.

Eine automatisierte IAM-Software ist mit Abstand der effizienteste Weg, die entsprechenden Vorgaben zu erfüllen. Nicht nur, was die Absicherung von IT-Systemen angeht, sondern vor allem auch, um die Einhaltung der Vorschriften nachweisen zu können. Ohne geeignete Reporting-Tools lässt sich der Dokumentationsaufwand für IT-Sicherheitsstandards wie diese praktisch nicht bewältigen.



 

Lohnt sich Identity Access Management für mein Unternehmen?


Um die Vorteile von IAM selbst nutzen zu können, braucht es wie bei den meisten Software-Projekten zunächst einige Zeit für Planung und Inbetriebnahme. Die Lösung Ihrer Wahl muss nicht nur installiert, sondern auch richtig konfiguriert werden. Dabei unterstützt Sie Ihr jeweiliger Technologie-Partner. Des Weiteren erleichtern Import-Funktionen und automatische Assistenten das initiale Setup. Trotz smarter Features arbeiten Identity Access Management Produkte aber nicht autark: Auch Unternehmen selbst sind gefragt, wenn es um das Definieren von Freigabe-Workflows und Datenverantwortlichen geht.

Der Bedarf für automatisiertes Berechtigungsmanagement ist von vielen Faktoren abhängig: der Zahl an IT-Usern, den eingesetzten Anwendungen, den individuellen Compliance-Herausforderungen und so fort. Ob und wie Ihr Unternehmen von IAM profitiert und welches Produkt das richtige ist, lässt sich daher am besten bei einer persönlichen Beratung klären.


 

Das könnte Sie auch interessieren

Das könnte Sie auch interessieren

Mit regelmäßigen Updates von Konica Minolta

Wir informieren bereits mehr als 8.000 interessierte Abonnentinnen und Abonnenten über Trends rund um Digitalisierung, IT und Digital Office. Und immer nur dann, wenn es wirklich etwas Neues gibt – versprochen!
Jetzt Update abonnieren
Bleiben Sie auf dem Laufenden!