14.06.2022

Single Sign-On, MFA, Anwender-Rollen-Zuteilung und weshalb sich eine IAM-Lösung lohnt

IAM(3).jpg

Was ist IAM?

Identitäts- und Zugriffsmanagement (IAM) ist eine Struktur von Geschäftsprozessen, Richtlinien und Technologien, das die Verwaltung von elektronischen oder digitalen Identitäten erleichtert.

Mit einer IAM-Struktur können IT-Manager den Benutzerzugriff auf wichtige Informationen in ihren Unternehmen kontrollieren.

Zu den für IAM verwendeten Systemen gehören Single Sign-On-Systeme, Zwei-Faktor-Authentifizierung, Multi-Faktor-Authentifizierung und Privileged Access Management.

Diese Technologien bieten auch die Möglichkeit, Identitäts- und Profildaten sicher zu speichern, sowie Data-Governance-Funktionen, um sicherzustellen, dass nur die Daten freigegeben werden, die notwendig und relevant sind.

IAM-Systeme können vor Ort eingesetzt, von einem Drittanbieter über ein Cloud-basiertes Abonnementmodell bereitgestellt oder in einem hybriden Modell implementiert werden.

Auf einer grundlegenden Ebene umfasst IAM die folgenden Komponenten:

  • wie Personen in einem System identifiziert werden (Unterschied zwischen Identitätsmanagement und Authentifizierung);
  • Wie werden Rollen in einem System identifiziert und wie werden sie Personen zugewiesen?
  • Hinzufügen, Entfernen, Aktualisieren von Personen und deren Rollen in einem System;
  • Zuweisung von Zugriffsebenen an Einzelpersonen oder Gruppen
  • Schutz der sensiblen Daten innerhalb des Systems und Sicherung des Systems selbst.

Warum ist IAM wichtig?

Stehen auch Sie unter zunehmendem Druck, den Zugriff auf Unternehmensressourcen durch gesetzliche und organisatorische Vorgaben zu schützen?

Falls ja, können Sie sich nicht mehr auf manuelle und fehleranfällige Prozesse zur Zuweisung und Verfolgung von Benutzerrechten verlassen. IAM automatisiert diese Aufgaben und ermöglicht eine granulare Zugriffskontrolle und Prüfung aller Unternehmensressourcen vor Ort und in der Cloud.

IAM, verfügt über eine ständig wachsende Liste von Funktionen - einschließlich Biometrie, Verhaltensanalyse und KI – und ist für die Anforderungen der neuen Sicherheitslandschaft bestens geeignet.

Sie denken vielleicht, dass IAM nur etwas für größere Organisationen mit höheren Budgets ist, aber in Wirklichkeit ist die Technologie für Unternehmen jeder Größe zugänglich.

Grundlegende Komponenten des IAM

IAM-Produkte bieten eine rollenbasierte Zugriffskontrolle, die es Systemadministratoren ermöglicht, den Zugriff auf Systeme oder Netzwerke auf der Grundlage der Rollen der einzelnen Benutzer im Unternehmen zu regeln.

In diesem Zusammenhang ist der Zugriff die Fähigkeit eines einzelnen Benutzers, eine bestimmte Aufgabe auszuführen, z. B. eine Datei anzuzeigen, zu erstellen oder zu ändern.

Rollen werden je nach Aufgabe, Autorität und Verantwortung innerhalb des Unternehmens definiert.

IAM-Systeme sollten folgende Aufgaben erfüllen:

  • Erfassen und Aufzeichnen von Benutzeranmeldeinformationen
  • Verwalten der Unternehmensdatenbank mit Benutzeridentitäten
  • Orchestrieren der Zuweisung und Aufhebung von Zugriffsrechten

Das bedeutet, dass die für IAM verwendeten Systeme einen zentralen Verzeichnisdienst bereitstellen sollten, der alle Aspekte der Benutzerbasis des Unternehmens überblickt und sichtbar macht.

Digitale Identitäten sind nicht nur für Menschen; IAM kann die digitalen Identitäten von Geräten und Anwendungen verwalten und so zur Vertrauensbildung beitragen.

In der Cloud kann IAM durch Authentifizierung als Service oder Identität als Service (IDaaS) gehandhabt werden.

In beiden Fällen übernimmt ein Drittanbieter die Authentifizierung und Registrierung von Benutzern sowie die Verwaltung ihrer Daten.

Vorteile von IAM

Mit Hilfe von IAM-Technologien können Benutzeridentitäten und die damit verbundenen Zugriffsberechtigungen automatisiert initiiert, erfasst, aufgezeichnet und verwaltet werden.

Ihre Organisation profitiert von den folgenden IAM-Vorteilen:

  • Zugriffsprivilegien werden gemäß den Richtlinien gewährt, und alle Personen und Dienste werden ordnungsgemäß authentifiziert, autorisiert und geprüft.
  • Unternehmen, die Identitäten ordnungsgemäß verwalten, haben eine bessere Kontrolle über den Benutzerzugriff, was das Risiko interner und externer Datenverletzungen verringert.
  • Durch die Automatisierung von IAM-Systemen können Unternehmen effizienter arbeiten, da sie weniger Aufwand, Zeit und Geld für die manuelle Verwaltung des Zugangs zu ihren Netzwerken aufwenden müssen.
  • Im Hinblick auf die Sicherheit kann der Einsatz einer IAM-Struktur die Durchsetzung von Richtlinien zur Benutzerauthentifizierung, -validierung und -berechtigung erleichtern und Probleme im Zusammenhang mit der Ausuferung von Berechtigungen lösen.
  • IAM-Systeme helfen Unternehmen bei der Einhaltung gesetzlicher Vorschriften, da sie nachweisen können, dass Unternehmensdaten nicht missbraucht werden. Unternehmen können auch nachweisen, dass alle für die Prüfung benötigten Daten bei Bedarf zur Verfügung gestellt werden können.

Arten der digitalen Authentifizierung

Mit IAM können Unternehmen eine Reihe von digitalen Authentifizierungsmethoden implementieren, um ihre digitale Identität nachzuweisen und den Zugriff auf Unternehmensressourcen zu autorisieren.

Einzigartige Passwörter
Die häufigste Art der digitalen Authentifizierung ist das einzigartige Passwort. Um Passwörter sicherer zu machen, verlangen einige Unternehmen längere oder komplexe Passwörter, die eine Kombination aus Buchstaben, Symbolen und Zahlen erfordern. Wenn Benutzer nicht automatisch ihre Sammlung von Passwörtern hinter einem einzigen Anmeldepunkt sammeln können, finden sie es in der Regel mühsam, sich eindeutige Passwörter zu merken.

Vorab geteilter Schlüssel (PSK – Pre-Shared-Key)
PSK ist eine weitere Art der digitalen Authentifizierung, bei der das Kennwort von Benutzern, die zum Zugriff auf dieselben Ressourcen berechtigt sind, gemeinsam genutzt wird - man denke nur an das Wi-Fi-Passwort einer Zweigstelle. Diese Art der Authentifizierung ist weniger sicher als individuelle Kennwörter.

Ein Problem bei gemeinsam genutzten Passwörtern wie PSK besteht darin, dass ein häufiges Ändern mühsam sein kann.

Verhaltensbasierte Authentifizierung
Beim Umgang mit hochsensiblen Informationen und Systemen können Unternehmen die verhaltensbasierte Authentifizierung nutzen, um die Dynamik der Tastenanschläge oder die Merkmale der Mausbenutzung zu analysieren. Durch den Einsatz von künstlicher Intelligenz, einem Trend bei IAM-Systemen, können Unternehmen schnell erkennen, ob das Verhalten von Benutzern oder Maschinen von der Norm abweicht, und können Systeme automatisch sperren.

Biometrische Daten
Moderne IAM-Systeme nutzen die Biometrie für eine präzisere Authentifizierung. Sie erfassen beispielsweise eine Reihe von biometrischen Merkmalen wie Fingerabdrücke, Iris, Gesicht, Handflächen, Gangart, Stimme und in einigen Fällen auch DNA. Biometrische Daten und verhaltensbasierte Analysen haben sich als effektiver erwiesen als Passwörter.

Bei der Erfassung und Verwendung biometrischer Merkmale müssen Unternehmen die ethischen Aspekte in den folgenden Bereichen berücksichtigen:

  • Datensicherheit (Zugriff auf, Verwendung und Speicherung von biometrischen Daten);
  • Transparenz (Einführung leicht verständlicher Informationen);
  • Optionalität (den Kunden die Möglichkeit geben, sich für oder gegen eine Teilnahme zu entscheiden); und
  • Datenschutz für biometrische Daten (Verständnis dafür, was private Daten sind und Regeln für die Weitergabe an Partner.

Eine Gefahr, wenn man sich stark auf biometrische Daten verlässt, besteht darin, dass die biometrischen Daten eines Unternehmens nur schwer wiederhergestellt werden können, wenn sie gehackt werden, da die Benutzer ihre Gesichtserkennung oder Fingerabdrücke nicht wie Passwörter oder andere nicht-biometrische Informationen austauschen können.

Eine weitere kritische technische Herausforderung der Biometrie besteht darin, dass die Implementierung in großem Maßstab teuer sein kann, da Software-, Hardware- und Schulungskosten zu berücksichtigen sind.
Bevor Sie sich auf passwortloses IAM einlassen, sollten Sie die Vor- und Nachteile der biometrischen Authentifizierung kennen.

Implementierung von IAM im Unternehmen

Bevor ein IAM-System im Unternehmen eingeführt wird, müssen Unternehmen festlegen, wer innerhalb der Organisation eine führende Rolle bei der Entwicklung, Umsetzung und Durchsetzung von Identitäts- und Zugriffsrichtlinien spielen wird.

IAM wirkt sich auf jede Abteilung und jeden Benutzertyp aus (Mitarbeiter, Auftragnehmer, Partner, Lieferanten, Kunden usw.), daher ist es wichtig, dass das IAM-Team aus einer Mischung von Unternehmensfunktionen besteht.

Unternehmen, die nicht angestellte Benutzer integrieren und IAM in der Cloud in ihrer Architektur nutzen möchten, sollten die folgenden Schritte zum Aufbau einer effektiven IAM-Architektur befolgen:

1. Erstellen Sie eine Liste der Nutzung, einschließlich der Anwendungen, Dienste, Komponenten und anderer Elemente, mit denen die Benutzer interagieren werden. Anhand dieser Liste lässt sich überprüfen, ob die Nutzungsannahmen korrekt sind, und sie hilft bei der Auswahl der benötigten Funktionen eines IAM-Produkts oder -Dienstes.

2. Verstehen Sie, wie die Umgebungen des Unternehmens, wie z. B. Cloud-basierte Anwendungen und lokale Anwendungen, miteinander verbunden sind. Diese Systeme benötigen möglicherweise eine bestimmte Art von Verbund.

3. Kennen Sie die spezifischen Bereiche von IAM, die für Ihr Unternehmen am wichtigsten sind. Die Beantwortung der folgenden Fragen ist hilfreich:

  • a. Ist eine mehrstufige Authentifizierung erforderlich?
  • b. Müssen Kunden und Mitarbeiter im gleichen System unterstützt werden?
  • c. Ist eine automatische Bereitstellung und Deprovisionierung erforderlich?
  • d. Welche Standards müssen unterstützt werden?

Bei der Implementierung sollten bewährte IAM-Verfahren berücksichtigt werden, einschließlich der Dokumentation von Erwartungen und Verantwortlichkeiten für den IAM-Erfolg. Unternehmen sollten auch sicherstellen, dass Sicherheit und kritische Systeme rund um die Identität zentralisiert werden. Am wichtigsten ist vielleicht, dass Unternehmen einen Prozess entwickeln, mit dem sie die Wirksamkeit der aktuellen IAM-Kontrollen bewerten können.

IAM-Risiken

IAM ist nicht ohne Risiken, zu denen auch Versäumnisse bei der IAM-Konfiguration gehören können.

Wie bereits erwähnt, birgt die Biometrie auch Sicherheitsrisiken, einschließlich Datendiebstahl. Wenn man nur die notwendigen Daten sammelt und aufbewahrt, verringert sich dieses Risiko. Unternehmen sollten wissen, welche biometrischen Daten sie haben, welche sie benötigen, wie sie nicht benötigte Daten loswerden können und wie und wo die Daten gespeichert werden.

Cloud-basiertes IAM kann problematisch sein, wenn das Provisioning und Deprovisioning von Benutzerkonten nicht korrekt gehandhabt wird, wenn es zu viele anfällige, inaktive zugewiesene Benutzerkonten gibt und wenn die Anzahl der Administratorkonten überhand nimmt.

Unternehmen müssen die Lebenszykluskontrolle über alle Aspekte des Cloud-basierten IAM sicherstellen, um zu verhindern, dass böswillige Akteure Zugriff auf Benutzeridentitäten und Passwörter erhalten.

Gleichzeitig lassen sich Funktionen wie die Multifaktor-Authentifizierung in einem Cloud-basierten Dienst wie IDaaS aufgrund ihrer Komplexität möglicherweise leichter implementieren als vor Ort.

Audit-Funktionen dienen als Kontrolle, um sicherzustellen, dass sich der Zugriff von Benutzern, die ihre Rolle wechseln oder das Unternehmen verlassen, entsprechend ändert.

 


Gerne stellen wir Ihnen unser IAM-Portfolio vor und stehen Ihnen mit Rat und Tat zur Seite, wenn Sie Ihr IAM-Projekt mit uns umsetzen möchten.

 

Die letzten Beiträge:

bw digitronik in Liquidation / wichtige Informationen für Kunden / important information for customers
Incident Response Retainer vs. Incident Support Service
Inside bw digitronik - Heute: Toby

bw digitronik ag | Uster West 30 | CH-8610 Uster
Telefon +41 44 905 48 48 | Fax +41 44 905 48 88 | Mail

Unsere verlässlichen Partner:

bw-digitronik – IT-Security Lösungen für die Schweiz

Anmelden

Datenschutz

powered by webpresso