:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Identity- und Access-Management (IAM) Grundlagen der IAM-Systeme
Identity- und Access-Management-Systeme übernehmen als zentrale Authentifizierungsplattform die Aufgabe, Benutzer zu identifizieren und Zugriff auf genau die Ressourcen zu geben, die er benötigt. Idealerweise ermöglichen IAM-System dies nur zu den Zeiten, die dafür vorgesehen sind. Dazu regeln die Lösungen den Zugriff auf alle Assets im heterogenen Netz und sorgen gleichzeitig für die Erfüllung bestehender Compliance-Vorgaben.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
In der Praxis unterstützen Identity- und Access-Management-Lösungen (IAM) eine große Zahl unterschiedlicher Authentifizierungsverfahren, arbeiten mit Standardprotokollen und automatisieren zudem die Benutzeradministration. Die Produkte ermöglichen üblicherweise auch das Einrichten von Single-Sign-On-Szenarien (SSO). Manche können nicht nur Benutzerkonten, sondern auch Hardware, Netzwerk-Ressourcen, Sessions und Anwendungen – beziehungsweise den Zugriff darauf – verwalten. Das Thema IAM as a Service gewinnt momentan ebenfalls immer mehr an Bedeutung.
:quality(80)/images.vogel.de/vogelonline/bdb/1505300/1505320/original.jpg "Die Startseite der IAM-Lösung von Atos (Evidian).")
:quality(80)/images.vogel.de/vogelonline/bdb/1505300/1505321/original.jpg "So sieht das IAM-Produkt von OneLogin nach der Anmeldung eines Benutzers aus.")
:quality(80)/images.vogel.de/vogelonline/bdb/1505300/1505322/original.jpg "Das Bearbeiten eines Benutzerprofils unter Microsoft Azure Active Directory.")
:quality(80)/images.vogel.de/vogelonline/bdb/1505300/1505323/original.jpg "Der Funktionsumfang der Ping Identity-Plattform.")
Funktionsweise
Im Betrieb müssen sich die Anwender zunächst bei den IAM-Produkten – dabei kann es sich sowohl um Appliances, als auch um Cloud- (wie bei Microsoft Azure AD) und On-Premise-Dienste handeln – authentifizieren. Damit belegen sie ihre Identität, beispielsweise durch ein Token, einen Login mit Benutzername und Passwort oder auch mit Hilfe von Systemen zur Multi-Faktor-Authentifizierung (MFA) wie dem Google Authenticator. Manche IAM-Lösungen (etwa das Produkt von Auth0) arbeiten auch mit externen Identity-Providern zusammen, um die Authentifizierung zu ermöglichen, beispielsweise Bank-IDs. Der Anbieter OptimalCloud ermöglicht es seinen Anwendern sogar, Daten von mehreren verschiedenen Identity Repositories einzubinden. Es gibt übrigens auch hybride IAM-Lösungen, etwa von Ping Identity, die Cloud- und On-Premise arbeiten.
Anhand der Identität stellt das IAM-System dann fest, auf welche Assets der jeweilige Benutzer zugreifen darf (zum Beispiel Web-Anwendungen, Cloud-Applikationen oder auch mobile Architekturen) und welche Aktionen ihm gestattet sind (Autorisierung). So ist es etwa möglich, einem Anwender aus der Buchhaltung nur Zugriff auf die Buchhaltungssoftware zu erteilen, die er für die Erledigung seiner Aufgaben braucht. Ein Datenbankadministrator aus der IT-Abteilung könnte im Gegensatz dazu Vollzugriff auf alle Datenbanken an einem bestimmten Standort oder in einem bestimmten Land erhalten. In der Regel weisen die IAM-Produkte die Rechte anhand von Benutzerrollen zu, da dies die Verwaltung vereinfacht. Auf diese Weise können die Administratoren beispielsweise Rollen für "IT-Mitarbeiter", "Verwaltungsangestellte" oder die Buchhaltung anlegen und diese dann den Mitarbeitern der jeweiligen Abteilungen zuweisen – bei Bedarf mit geringen Anpassungen an die jeweilige Person.
Leistungsfähige IAM-Lösungen sind nicht nur dazu in der Lage, solche Szenarien abzubilden und umzusetzen, sondern bieten den zuständigen Mitarbeitern auch die Option, die Zugriffe zu verifizieren und zu überwachen. Sie stellen also einen zentralen Anlaufpunkt für die Verwaltung und das Monitoring der Zugriffsrechte und -konten eines Unternehmens über alle Assets im Netz hinweg dar. Außerdem helfen sie den Administratoren dabei, allen Anwendern immer nur die Rechte zuzugestehen, die sie tatsächlich benötigen und so dafür zu sorgen, dass immer nur minimale Privilegien vergeben werden müssen. Solche Privileged Access Management-Features (PAM) bringt beispielsweise die Lösung von CA-Technologies mit. Im Idealfall behält das IAM-Produkt die verwendeten Benutzerkonten vom Augenblick ihrer Generierung bis zu dem Moment ihrer Löschung im Blick, so dass die IT-Mitarbeiter immer genau wissen, wozu die Accounts genau genutzt wurden.
:quality(80)/images.vogel.de/vogelonline/bdb/1392500/1392587/original.jpg "Das IoT spielt eine wichtige Rolle bei der digitalen Integration und stellt wichtige Weichen für den wirtschaftlichen Erfolg; es bedarf aber der richtigen Sicherheitsgrundlagen. (Pixabay)")
Sicherheit im Internet der Dinge
Grundlagen der IoT-Sicherheit
Internet of Things (IoT)
Beim Zugriff auf die Assets spielen auch die jeweils verwendeten Geräte eine große Rolle. Dieses Thema gewinnt im Zusammenhang mit dem Internet of Things (IoT) immer mehr an Bedeutung, da viele IoT-Komponenten nur über limitierte Ressourcen verfügen und deswegen nicht dazu in der Lage sind, mit allen Plattformen zusammenzuarbeiten. Deswegen bietet zum Beispiel ForgeRock einen so genannten Edge Gateway an, der eben solche Devices in seine IAM-Lösung integrieren kann.
Abgesehen davon verfügen leistungsfähige IAM-Produkte noch über eine umfassende Funktionalität beim Verwalten der Administratorzugriffe auf die Authentifizierungslösung selbst. Damit lässt sich vermeiden, dass ein Super-User Zugriff auf das ganze System erhält. Stattdessen stehen im Betrieb normalerweise Administrationskonten für bestimmte Aufgaben, wie das Anlegen neuer Konten, das Modifizieren von Zugriffsrechten oder auch das Verwalten von Benutzerinformationen zur Verfügung.
:quality(80)/images.vogel.de/vogelonline/bdb/1478700/1478742/original.jpg "Unternehmen müssen prüfen, wie sich IAM-Services oder IDaaS-Lösungen besser auf ihre Bedürfnisse anpassen lassen. (Pixabay)")
Herausforderungen bei IAM-Services
IAM-Services müssen zum Unternehmen passen
Privatsphäre
In diesem Zusammenhang spielt auch die Privatsphäre eine wichtige Rolle. Um ihre Aufgaben wahrzunehmen, müssen die IAM-Systeme eine Vielzahl an Informationen über alle Anwender speichern. Dazu gehören zum Beispiel Kontaktinformationen, Zugriffsrechte, Zeitraum der Betriebszugehörigkeit und vieles mehr. In der Regel befinden sich viele sensitive Informationen darunter, so dass das Absichern der Zugriffe auf die IAM-Daten einen hohen Stellenwert einnimmt.
Ebenfalls von großer Bedeutung: Self Service-Funktionen, wie sie unter anderem SecureAuth bereitstellt. Diese sorgen im Idealfall dafür, dass die Anwender selbst in der Lage sind, ihre Benutzerkonten zu verwalten, und zwar vom Anlegen über das Zuweisen von Authentifizierungsmethoden und das Ändern von Passwörtern bis hin zum Löschen. Das entlastet das Help Desk deutlich und spart so viele Ressourcen.
Viele IAM-Produkte bringen noch weitere Funktionalitäten mit, wie beispielsweise das Einbinden von Mobile Device Management- (MDM) sowie Enterprise Mobility Management-Lösungen (EMM). So verfügt unter anderem das Produkt von Centrify über umfassende MDM-Funktionalitäten, mit denen sich Zugangsdaten und Anwendungen auf mobile Endpoints verteilen lassen. In diesem Zusammenhang ist es sogar möglich, abhängig vom Gerätestatus (sicher, unsicher und ähnliches) festzulegen, welche Zugriffrechte erteilt werden. Zu den weiteren Features, die viele IAM-Lösungen bieten, gehören auch Passwort-Vaults und das Weiterleiten von Passwörtern an Anwendungen, die sonst nicht, beispielsweise über ein API, ansprechbar sind.
Zum Einbinden von Anwendungen, also der Applikationen, deren Nutzung den Usern nach der Authentifizierung gestattet wird, verwenden viele IAM-Systeme, so wie beispielsweise die Lösung von Auth0, Software Development Kits (SDKs) für verschiedene Development Frameworks. Manche SaaS-Angebote lassen sich auch über Templates integrieren, das ist beispielsweise beim Produkt von Micro Focus der Fall. SSO-Funktionen realisieren die Systeme üblicherweise durch eine Kombination von Agenten und Proxy-Servern.
:quality(80)/images.vogel.de/vogelonline/bdb/1486800/1486850/original.jpg "IAM-Systeme ermöglichen es Unternehmen alle Identitäten und Zugriffsberechtigungen zentral und in übersichtlicher Form zu verwalten und zur Verfügung zu stellen. (Pixabay)")
IT-Awards 2018
Die beliebtesten IAM-Systeme 2018
Analyse und Reports
Damit die zuständigen Mitarbeiter sehen, was in ihrer Umgebung passiert, bieten alle IAM-Systeme mehr oder weniger leistungsfähige Analyse- und Reporting-Funktionen zu den beim Access Management anfallenden Ereignissen. Micro Focus hat in diesem Zusammenhang eine Analysekomponente im Angebot, die Custom Reporting unterstützt. Microsofts Azure AD geht noch einen Schritt weiter und umfasst nicht nur Reporting-Funktionen, sondern auch Sicherheitsanalysen.
Anbieter
Kommen wir nun zu den wichtigsten Anbietern im IAM-Markt. Gartner stuft in seinem aktuellen Magic Quadrant zu Access Management die Unternehmen Atos (Evidian), i-Sprint Innovations, Optimal IdM und SecureAuth + Core Security als „Niche Players“ ein. „Visionaries“ sind Auth0, CA Technologies, Centrify, ForgeRock, Micro Focus und OneLogin. „Challengers“ gibt es keine und als „Leaders“ gelten IBM, Microsoft, Okta, Oracle und Ping Identity.
Fazit
Neben den genannten Funktionen spielen auch noch andere Fakten eine Rolle bei der Auswahl der richtigen IAM-Lösung. Dazu gehören unter anderem schnelle Implementierungen, Funktionalität der Dienste, Support und Zuverlässigkeit der Lösung. In diesen Punkten schneidet laut Gartner OneLogin besonders gut ab. Unter dem Strich muss aber jedes Unternehmen selbst wissen, welche Faktoren in seinem Netz eine besondere Rolle spielen und seine Produktentscheidung davon abhängig machen.
Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
(ID:45686385)
:quality(80)/p7i.vogel.de/wcms/59/e1/59e150603eb4eb7ef8b5faf129377d5e/0114073000.jpeg "Wer wann über welches Gerät und von wo aus Zugriff auf Unternehmensressourcen hat, ist heute wichtiger denn je. Diese Steuerung übernehmen in der Regel IAM-Lösungen, die aber meist extrem komplex sind. Einfacher in allen Punkten sind hochintegrierten IAM-Lösungen. (Bild: © blacksalmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/f8/d7f810045d218a1bf1d3567864a3a0be/0108707706.jpeg "Im Rahmen der Konferenz Oktane22 stellte Okta verschiedene Neuheiten vor. (Bild: Okta)")