Identity und Access Management
Notwendigkeit und Herausforderung für den Mittelstand
Die Menge an schützenswerten Daten nimmt stetig zu. Um ihre Sicherheit zu gewährleisten, fehlt es aber vor allem im Mittelstand oftmals an Expertise und den erforderlichen Ressourcen. Abhilfe können Cloud-basierte Identity- und Access-Management-Systeme schaffen, erklärt Dr. Babak Ahmadi von C-IAM.
Cybersecurity und Datensicherheit sind nicht erst seit der Einführung der Datenschutzgrundverordnung (DSGVO) in aller Munde – und das vollkommen zu Recht. Durch die zunehmende Digitalisierung unserer Daten und Prozesse, ist die Menge an schützenswerten persönlichen und geschäftlichen Daten größer denn je. Leider jedoch werden Bedrohungen von außen oft viel intensiver wahrgenommen als Risiken aus dem Inneren deren Schadenspotenzial, ob mutwillig oder schlicht fahrlässig, mindestens ebenso hoch ist.
Das – oft hausgemachte – Problem stellt sich dabei wie folgt dar: Oftmals wissen Unternehmen nicht, wer in einem Unternehmen zu welchen Ressourcen Zugriff hat, welche Systeme überhaupt unternehmensweit existieren und ob die aktuell existierenden Zugänge und Rechte einzelnen Personen überhaupt notwendig sind.
Abhilfe können hier sogenannte Identity- und Access-Management-Systeme (IAM) schaffen. Sie ermöglichen eine zentrale Verwaltung der Rollen und Accounts der Mitarbeiter, Partner oder Kunden und der damit verbundenen Rechte, die sie benötigen um auf notwendige Daten, Dokumente und Accounts zuzugreifen, und lösen damit die manuelle und oftmals sehr fragmentierte Benutzeradministration ab. IAM-Lösungen sind dazu in der Lage den gesamten Lifecycle (Onboarding, Wechsel, Offboarding) eines Nutzers, eine Audit-sichere Dokumentation der vergebenen Rechte und der damit verbundenen Vergabeprozesse gewährleisten sowie Unternehmensprozesse abbilden, die durch eingebaute Sicherheitsprinzipien die Unternehmens-Compliance fördern. Da die Datenschutzgrundverordnung (DSGVO) explizit eine Minimierung von Zugriffsrechten fordert und von Unternehmen den Nachweis ihrer Compliance verlangt, kann die Einführung eines IAMs erheblich zur DSGVO-Konformität eines Unternehmens beitragen. Es ist daher auch wenig überraschend, dass seitdem das Thema DSGVO auf der Agenda steht, auch das Interesse an IAM-Lösungen gestiegen ist.
(K)eine Lösung für KMU?
Identity- und Access-Management-Systeme sind keine neue Erfindung. Im Enterprise-Umfeld etwa sind seit vielen Jahren Systeme verschiedener Anbieter im Einsatz – mal mehr und mal weniger zufriedenstellend. Dabei sind es vor allem Banken und Versicherungen, also Unternehmen die strengen Regularien unterliegen, die ungeachtet der Hindernisse, Kosten oder negativen Seiten einer Lösung, solche Systeme zu nutzen. Kleinen und mittelständischen Unternehmen (KMU) dagegen blieb der Einsatz solcher Enterprise-Lösungen bislang meist verwehrt. Das hat verschiedene Gründe.
So sind Enterprise-Lösungen oftmals sehr komplex. Die Einführung einer Lösung, aber auch der fortlaufende Betrieb sowie notwendige Anpassungen, erfordern leistungsstarke Hardware und ein Expertenwissen, das entweder im Haus aufgebaut werden muss, oder von extern dazugekauft wird, was teuer ist. So kann das notwendige Budget allein für die initiale Einführung und die damit verbundenen Anpassungen leicht auf einen kleinen bis mittleren Millionenbetrag anwachsen. Die Zeit- und Kostenintensität, die für Konzerne sicherlich darstellbar ist, stellt für viele mittelständische Unternehmen ein KO-Kriterium dar.
Wie wird IAM für den Mittelstand attraktiv?
Mittlerweile gibt es aber auch IAM-Anbieter, die Alternativen zu Enterprise-Lösungen anbieten. Diese Software-as-a-Service (SaaS) oder Identity-as-a-Service (IdaaS) Anbieter stellen mit ihren IAM-Systemen Cloud-Lösungen zur Verfügung, die schnell eingeführt und kosteneffizient betrieben werden können. Standardisierungen in den Prozessen und in den Prozessformaten ermöglichen es den Unternehmen dabei, die Entwicklungszeit zur Anpassung dieser deutlich zu verkürzen und von Spezialisten der eingesetzten IAM-Lösung unabhängig zu machen. Dabei bleibt ihnen die Freiheit, die Lösungen ganz individuell nach den Unternehmensanforderungen anzupassen.
Ein Identity- und Access-Management-System ist dabei weit davon entfernt für das durchschnittliche Unternehmen off-the-shelf nutzbar zu sein, da sich Unternehmen zu sehr in ihren Anforderungen unterscheiden. Was es jedoch leisten kann, ist oft genutzte Lösungen bereitzustellen und die Anpassung und Neuentwicklung möglichst kundenfreundlich zu gestalten.
Unternehmen ohne ein IAM-System benötigen viele manuelle Schritte und Abstimmungen zwischen HR, Administratoren, Mitarbeitern aller weiteren Abteilungen und Vorgesetzen (Bild 1). Erforderliche Berechtigungen werden zunächst definiert, Rechte händisch erteilt und Passwörter für jede Anwendung vergeben. Mit Einsatz eines IAM-Systems reduzieren sich diese manuellen Schritte deutlich: Der Mitarbeiter bekommt eine Rolle zugeteilt, mit der er bereits die benötigte Liste an Rechten erhält. Weitere Berechtigungen beantragt der Mitarbeiter zentral über das IAM-Dashboard. Durch digitalisierte und automatisierte Prozesse und Genehmigungen werden die Compliance-Regeln eingehalten und Mitarbeiter arbeiten ab dem ersten Tag mit den richten Berechtigungen (Bild 2).
Grenzen der Sicherheit
Bei korrekter und vollständiger Umsetzung gewährleistet ein IAM-System die Konformität von Prozessen. Was aber weiterhin bleibt, ist der Risikofaktor Mensch. Eine zwingende Genehmigung zur Voraussetzung der Vergabe von Rechten oder eine Re-Zertifizierung bestehender Berechtigungen verfehlen ihren Zweck, wenn sie, wie die meisten AGBs, einfach so “abgenickt und weggeklickt“ werden. Auch eine zentral gesteuerte Provisionierung ist sinnlos, wenn die Vergabeprozesse umgangen werden könnten. Wenn der Kollege beim Zusammentreffen an der Kaffeemaschine nach einem Zugang auf eine Maschine fragen und diesen erhalten kann, wird die vermeintliche Sicherheit untergraben.
IT-Sicherheit versus Benutzerfreundlichkeit
Oftmals muss zwischen Sicherheit und Benutzerfreundlichkeit abgewogen werden, etwa bei der Nutzung von 2-Faktor-Authentifizierung. Diese bedeutet zwar einen weiteren Zwischenschritt des Nutzers, ist aber in manchen Bereichen absolut notwendig. Daher gilt es das Sicherheitsbedürfnis von Fall zu Fall zu prüfen, um zu entscheiden, wo erhöhte Sicherheit notwendig ist und wo es Prozesse zulassen, die Benutzerfreundlichkeit zu erhalten.
Der Nichteinsatz eines IAM-Systems öffnet – zum Beispiel durch Dead Accounts – Tür und Tor für Hacker. Nach eigenen Angaben waren 75 Prozent der Unternehmen in Deutschland im Jahr 2019 von Datendiebstahl, Industriespionage oder Sabotage betroffen (Umfrage Bitkom). Dies erklärt den Trend hin zum IAM-Einsatz. Mittelständischen Unternehmen muss aber klar sein, dass ein IAM-System hinsichtlich der aufgezeigten Risiken kein Allheilmittel ist, sondern vielmehr ein Teil im Werkzeugkasten, das zur Sicherheit des Unternehmens beiträgt.
Dr. Babak Ahmadi ist für C-IAM tätig.
Lesen Sie mehr zum Thema
