Was genau ist IAM? Wozu brauchen Sie es? Gibt es Nachteile und Risiken? Welche Begriffe sollten Sie kennen? Wir haben die Antworten auf Ihre Fragen. [...]
WIE BEREICHERT IDENTITY MANAGEMENT MEIN GESCHÄFT?
Die Implementierung eines IAM-Systems und der dazugehörigen Best Practices kann Ihnen in mehrerlei Hinsicht einen Wettbewerbsvorteil bescheren. Heutzutage kommen die meisten Unternehmen nicht umhin, Nutzern von extern Zugang auf das Firmennetz zu gewähren. Die Öffnung Ihres Netzwerks für Kunden, Partner, Lieferanten und natürlich die Mitarbeiter, kann die Effizienz steigern und Betriebskosten senken.
Denn Identity- und Access-Management-Systeme erlauben einem Unternehmen die Ausweitung der Zugriffsrechte auf sein Netzwerk über eine Vielzahl von On-Premise-Applikationen, Mobile Apps und SaaS Tools – ohne dabei die IT-Sicherheit aufs Spiel zu setzen. Wenn es Ihnen gelingt, Außenstehende besser einzubinden, können Sie die Kollaboration im ganzen Unternehmen treiben, die Produktivität anschieben, die Zufriedenheit der Mitarbeiter optimieren, Forschung und Entwicklung pushen – und so letztlich auch die Betriebseinnahmen nach oben treiben.
Video: Best practices for Identity and Access Management on Compute Engine (Google Cloud Next ’17)
Auch die Zahl der eingehenden Anrufe beim IT Help Desk kann durch die Implementierung von IAM reduziert werden. Zum Beispiel, wenn es bei diesen um das Zurücksetzen von Passwörtern geht. Diese und andere zeitraubende – und somit kostenintensive – Aufgaben können von den Administratoren automatisiert werden.
Nebenbei ist Identity- und Access-Management auch ein Eckpfeiler eines jeden sicheren Unternehmensnetzwerks. Schließlich ist die Identität eines Benutzers ein wesentlicher Bestandteil des Zugangs-Kontroll-Prozesses. Und ein IAM-System zwingt Unternehmen praktisch dazu, ihre Zugangsrichtlinien zu definieren und dabei auszuweisen, wer auf welche Daten-Ressourcen unter welchen Konditionen Zugriff hat.
Gute gemanagte Identitäten bedeuten eine optimierte Kontrolle über den User-Zugriff, was sich wiederum in ein reduziertes Risiko für interne oder externe Angriffe übersetzen lässt. Vor dem Hintergrund, dass laut IBMs Cyber Security Intelligence Index 2016 60 Prozent aller Datenlecks in Unternehmen auf die eigenen Mitarbeiter zurückzuführen sind, ein immenser Vorteil.
WIE FUNKTIONIEREN IAM-SYSTEME?
In der Vergangenheit bestand ein typisches Identitätsmanagement-System aus vier Grundkomponenten:
- ein Pool mit persönlichen Daten, über die das System die individuellen Nutzer definiert;
- ein Toolset, um Daten hinzuzufügen, zu modifizieren oder zu löschen (Access Lifecycle Management);
- ein System, das den Zugriff der Nutzer reguliert (Durchsetzung von Security Policies und Zugriffsprivilegien);
- ein Audting- und Reporting-System (um die Vorgänge im System zu verifizieren);
Um den Nutzerzugriff zu regulieren, kommen traditionell verschiedene Authentifizierungs-Methoden zur Anwendung, zum Beispiel Passwörter, digitale Zertifikate, Tokens oder Smart Cards. Hardware Tokens und Smart Cards in Kreditkartengröße dienen dabei als eine Komponente der Zwei-Faktor-Authentifizierung. Diese kombiniert etwas das Sie wissen (das Passwort), mit etwas das Sie haben (den Token oder die Smart Card), um Ihre Identität zu verifizieren.
Video: Banking biometrics: hacking risks | Personal Finance
Angesichts der sich stets verschärfenden Bedrohungslage und den immer komplexeren IT-Umgebungen, reichen gute Kombinationen aus Nutzernamen und Passwort längst nicht mehr aus. Heutige Identity- und Access-Management-Systeme haben oft bereits Elemente von Biometrie, Machine Learning und Künstlicher Intelligenz sowie risikobasierter Authentifizierung an Bord.
Auf User-Level helfen inzwischen auch einige Technologien dabei, digitale Identitäten besser zu schützen. Die durch das iPhone getriebene Popularität der Touch-ID-Fingerabdruckscanner hat dafür gesorgt, dass sich die Konsumenten daran gewohnt haben, ihren Fingerabdruck zur Authentifizierung zu verwenden. Neuere Windows-10-Geräte nutzen ebenfalls biometrische Authentifizierungsmethoden wie Fingerabdruck- und Iris-Scanner. Beim kommenden iPhone 8 soll Gerüchten zufolge ein Gesichtserkennungs-Feature oder ein Iris-Scanner Touch ID beerben.
Wie Okta-CSO Abousselham weiß, setzen mehr und mehr Unternehmen inzwischen auf Drei- beziehungsweise Multi-, statt Zwei-Faktor-Authentifizierung. Diese stellt auf etwas ab, was Sie kennen (Ihr Passwort), etwas das Sie haben (Ihr Smartphone) und etwas, das Sie „sind“ (Ihr Gesicht, Ihre Fingerabdrücke oder Ihre Iris). „Drei Faktoren bieten mehr Sicherheit darüber, dass es sich tatsächlich um den korrekten Benutzer handelt“, erklärt der Experte.
Auf dem Administrations-Level bieten die heutigen IAM-Systeme weitergehende Funktionen beim User Auditing und Reporting. Verantwortlich dafür sind vor allem Technologien wie Context-Aware Network Access Control und Risk-Based Authentication (RBA).
WAS IST „FÖDERIERTES“ IDENTITY MANAGEMENT?
Der „föderierte“ Ansatz des Identitätsmanagements bezeichnet einen Authentifizierungs-Mechanismus, bei dem ein User denselben Login für mehr als ein Netzwerk nutzen kann.
Ein wichtiger Bestandteil des föderierten Identitätsmanagements ist der Single-Sign-On(SSO). Dieser Standard erlaubt es Nutzern, die ihre Identität in einem Netzwerk bereits verifiziert haben, ihren Status „mitzunehmen“, wenn sie sich in ein anderes Netzwerk einwählen. Dieses Modell funktioniert allerdings nur zwischen kooperierenden Parteien – den sogenannten „trusted partners“ – die gegenseitig für ihre Nutzer bürgen.
Video: Introduction to SAML – Chalktalk on what is it, how it is used
Die Nachrichten über Authentifizierung zwischen den „trusted partners“ werden oft über das SAML- (Security Assertion Markup Language) Framework verschickt, das eine Interoperabilität zwischen verschiedenen Händler-Plattformen herstellt, die Authentifizierungs- und Autorisierungs-Services anbieten.
SAML ist aber nicht das einzige Open-Source-Identitätsprotokoll. Weitere Beispiele sind OpenID, WS-Trust, WS-Federation oder OAuth.
Be the first to comment