Flexible Rechteverwaltung

Identity- und Access-Management ist kein starres Konstrukt

| Autor / Redakteur: Florian Malecki* / Stephan Augsten

Während beim klassischen IAM die Rollen bestimmen, auf welche Ressourcen die Nutzer zugreifen können, wird dies bei der Attribute Based Access Control über dynamische Eigenschaften geregelt.
Während beim klassischen IAM die Rollen bestimmen, auf welche Ressourcen die Nutzer zugreifen können, wird dies bei der Attribute Based Access Control über dynamische Eigenschaften geregelt. (Bild: Dell)

Die Aufgabe von Identity Access Management (IAM) ist es, die Zugangsrechte zu Systemen, Anwendungen und Daten zu steuern und überwachen. Das IAM sollte angesichts der dynamischen IT-Infrastrukturen allerdings möglichst flexibel und zukunftssicher sein.

Heterogene IT-Infrastrukturen, mobile Endgeräte, Cloud-Services und permanente Änderungen stellen Unternehmen beim Identitäts- und Zugriffsmanagement vor große Herausforderungen. Eine zukunftsfähige IAM-Lösung sollte modular aufgebaut sein, offene Standards nutzen, einheitliche Identitäten und Sicherheit bieten sowie möglichst automatisiert arbeiten.

Dabei ist erst einmal wichtig zu wissen, welcher Nutzer was im Firmennetz darf. Wer nicht genau nachvollziehen kann, welcher Mitarbeiter welche Rechte für Anwendungen oder Systeme hat und wann, wie und auf welchem Gerät er diese Rechte einsetzt, bekommt schnell Probleme.

Je größer das Unternehmen, desto mehr Identitäten, personenbezogene Daten und Benutzerrechte sind zu verwalten. An diesem Punkt ist eine Identity-Access Management-Lösung gefragt. Sie stellt sicher, dass alle Mitarbeiter und Services überprüft, authentifiziert und autorisiert werden.

IAM sorgt außerdem dafür, dass die Berechtigungen gemäß den IT-Sicherheitsrichtlinien, den Compliance-Vorgaben und der Rolle des jeweiligen Benutzers im Unternehmen erfolgen. IT-Administratoren erteilen und entziehen via IAM den Benutzern über einen rollen- und regelbasierten Ansatz schnell und einfach Zugänge und Berechtigungen zu Applikationen und Systemen (Provisioning).

Herausforderungen: Vielfalt und permanenter Wandel

Die große Zahl von Nutzern mit komplexen Zugriffsrechten auf verschiedene Systeme an einer Vielzahl von Standorten bildet nicht die einzige Herausforderung für IAM. Hinzu kommen der verstärkte Einsatz mobiler Endgeräte und die Nutzung unterschiedlichster Cloud-Infrastrukturen. IAM-Systeme müssen zudem den spezifischen Anforderungen aus den Fachabteilungen und veränderten Geschäftsprozessen Rechnung tragen.

Sie sollten darüber hinaus nicht nur für mehr Sicherheit sorgen, sondern flexibel genug sein, um sich problemlos an neue Bedingungen anpassen zu können. Das heißt: Unternehmen benötigen zukunftsfähige IAM-Lösungen, die Investitionssicherheit bieten und bei der Einführung neuer IT-Systeme oder neuer Zugriffsmethoden nicht überfordert sind und ersetzt werden müssen.

Lernen aus der Vergangenheit

Bei der Definition von Anforderungen an eine zukunftsfähige IAM-Lösung lässt sich vieles aus der Unix- und Windows-Geschichte lernen. Unter Unix konnte man anfangs Systeme nur sichern, indem man jeden Server als eigenständige Insel behandelte. Aus IAM-Sicht existierten dazu für jeden Nutzer ein einzelnes Konto, eine eigene Authentifizierungsmethode und eine eigene Autorisierung.

Die Verwaltung war allerdings ein Albtraum. Am Ende übernahm die Unix-Welt das Active Directory-Konzept von Microsoft als einheitliches Verzeichnis für alle Server sowie als einzige Quelle für die Authentifizierung und Autorisierung. Dieses universelle Konzept ist zukunftsfähig, da sich neue Nutzer und Methoden einfach integrieren lassen.

Allerdings verfolgen auch heute noch viele IAM-Lösungen keinen umfassenden Ansatz. Sie sind so konzipiert, dass sie ein einzelnes Problem für eine kleine Gruppe von Systemen in klar umgrenzten Zugriffsszenarien angehen. Dies bestätigt eine aktuelle Dell-Studie, der zufolge ineffiziente Sicherheitssilos den IT-Alltag bestimmen. Demnach verfügen nur 23 Prozent der befragten Unternehmen über eine zentrale IT-Sicherheitsabteilung, IT-Bereiche stimmen sich nicht ab und es fehlt ein integrierter Ansatz.

Letzteres ist auch bei Single-Sign-On (SSO)-Produkten der Fall. Frühere SSO-Lösungen synchronisierten einfach Passwörter, um die Probleme bei heterogenen Servern zu überwinden. Ihre Nachfolger hatten beim Speichern und der Wiedergabe von Passwörtern umfangreich ausgestattete Desktopsysteme (Fat Clients) im Auge.

Mit dem Aufkommen der Cloud und verteilter Anwendungen entstanden neue Lösungen, die die Vorteile des Internets ausnutzten. Aber keine der Lösungen war zukunftssicher: Passwort-Synchronisierung eignet sich schlecht für Fat-Client-Applikationen, Passwort-Replay nur bedingt für Cloud- und SaaS-Anwendungen. Und einige Lösungen für verteilte Anwendungen ignorieren in der Regel alle Legacy-Anforderungen von Servern und Fat Clients.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43895516 / User-Management und Provisioning)