Identity- und Access-Management unter Kontrolle Wie Kontrollen IAM effizienter und sicherer machen

Autor / Redakteur: Hans-Peter Fischer / Peter Schmitz

Identity- und Access-Management (IAM) ist eines der Schlüsselthemen, wenn es um unternehmensweite Cybersicherheit geht. Doch wie lässt sich nachhaltig Ordnung in die stetig wachsenden Berechtigungsstrukturen bringen? Die Antwort liegt nahe: Durchdachte, automatisierte und an das Unternehmen angepasste Kontrollen erlauben langfristig mehr Effizienz, Transparenz und Compliance im IAM.

Firmen zum Thema

Gut implementierte und regelmäßig evaluierte Kontrollen legen eine solide Grundlage für Effizienz, Transparenz und Compliance im IAM dar.
Gut implementierte und regelmäßig evaluierte Kontrollen legen eine solide Grundlage für Effizienz, Transparenz und Compliance im IAM dar.
(Bild: blobbotronic - stock.adobe.com)

Das IAM eines Unternehmens war schon immer fester und zentraler Bestandteil einer jeden Sicherheitsarchitektur. Schon lange bevor die Digitalisierung Unternehmen rund um den Globus verändert hat, haben sie Identitäten beim Zutritt zu ihrem Firmengelände geprüft. So konnten sie sicherstellen, dass nur Berechtigte Zugang zu den Ressourcen des Unternehmens erlangen. Ein Schutz, der heutzutage wichtiger denn je ist: Durch Angebote wie Public Clouds lösen sich Perimetermodelle zum Schutz der Unternehmensdaten auf. Immer mehr Menschen aber auch Geräte – Stichwort Internet of Things – von außerhalb greifen auf Assets im Unternehmen zu. Gleichzeitig steigt die Anzahl eingesetzter Anwendungen und somit die Anzahl der zu überwachenden Zugänge zu kritischen Ressourcen rasant an. Hinzu kommen agile Unternehmensstrukturen und der Einsatz externer Experten, beides Modelle, die eine schnelle Zuweisung oder Änderung von Zugriffsberechtigungen erfordern. Ohne ein IAM zu betreiben, kann ein Unternehmen die Sicherheit der eigenen wertvollen Daten gar nicht mehr sicherstellen.

Struktur, Kontrolle und Automatisierung sind essenziell, um bei diesem Umfang an Berechtigungen und der Geschwindigkeit der Veränderungen noch den Überblick zu behalten und nachhaltig für Sicherheit zu sorgen. Darum werden nicht selten IAM-Fachexperten eingekauft, die im Zuge von umfangreichen Projekten Ordnung in das Chaos bringen und den Unternehmen einen sauberen Neustart verschaffen. Moderne IAM-Software ermöglicht eine zentrale Verwaltung von Nutzern und Berechtigungen sowie das Anlegen automatisierter und kontextgebundener Berechtigungs-Zuweisungsregeln. Dennoch bleibt nach wie vor ein manueller Aufwand bestehen, um beispielsweise kritische Berechtigungen wie etwa Adminrechte zu vergeben und zu kontrollieren, Prozesse zu implementieren und aktuell zu halten und stetig auf Konformität mit regulatorischen Anforderungen zu achten.

Die Ziele Effizienz, Transparenz und Compliance stehen heute im Vordergrund von IAM-Systemen. Wie schon ein altes Sprichwort besagt, ist Kontrolle besser als Vertrauen – gerade im IAM und vor dem Hintergrund von Compliance-Prüfungen bekommt dieses Sprichwort wieder Gewicht. Die Implementierung von klaren Kontrollmechanismen stellt sicher, dass der erarbeitete geordnete Stand nach dem IAM-Projekt auch weiter bestehen bleiben kann.

Kontrollen richten sich nach Anforderungen des Unternehmens

Da das IAM in jedem Unternehmen anders aussieht und stets anderen Anforderungen gerecht zu werden hat, gibt es keinen de-facto Standard oder Best-Practice Katalog an Mechanismen, die Unternehmen umsetzen sollten. Im Allgemeinen sollten Kontrollen im „Three Line of Defense (LoD) Modell“ angesiedelt und automatisiert werden. Die Möglichkeit zur Automatisierung wird von vielen modernen IAM-Software-Systemen bereitgestellt und ermöglicht einen hohen Effizienzgrad. Das Loggen aller automatisch und manuell getätigter Prozesse stellt außerdem die Transparenz von Zuweisungen sicher. Nicht zuletzt bei der Prüfung schlägt diese Eigenschaft stark zugunsten der Effizienz zu Buche. Doch bevor Unternehmen Kontrollen automatisieren können, ist es essenziell, diese zunächst einmal zu definieren. So ist zum Beispiel festzulegen, welche Risiken Unternehmen durch welche Kontrollen mindern oder eliminieren können – wie etwa im Fall von Compliance- oder Sicherheitsrisiken. Wie genau sollen die Kontrollprozesse aussehen? Welcher Grad an Automatisierung ist angemessen? Wie häufig sollen die Kontrollen durchgeführt werden und anhand welcher Metriken kann die Güte dieser gemessen werden? Gerade letzteres spielt eine wichtige Rolle in der stetigen Weiterentwicklung und Verbesserung der Kontrollmaßnahmen.

Ein Beispiel solcher Kontrollen stellt etwa die Automatisierung des 4-Augen Prinzips dar. Laut dem 4-Augen Prinzip erfolgt die Genehmigung bestimmter Berechtigungen nämlich nicht nur durch eine, sondern durch mindestens zwei Personen. Solche Freigabeprozesse können in vielen modernen IAM-Tools eingepflegt werden. Doch was passiert, wenn der Erst- und Zweitgenehmiger ein und dieselbe Person sind? Angenommen, bei dem Erstgenehmiger handelt es sich um den Vorgesetzten des Antragstellenden, beim Zweitgenehmiger um den Anwendungsverantwortlichen – in der Praxis könnte es sich hier um dieselbe Person handeln. Eine implementierte Kontrolle gleicht entsprechende Sachverhalte ab und würde in einem solchen Fall eine Warnung vermerken oder direkt einen weiteren Genehmiger einreihen.

Eine weitere nützliche Kontrolle ist das regelmäßige Überprüfen von Identitäts-Duplikaten. So kann es durch Anlage- oder Prozessfehler dazu kommen, dass ein Mitarbeiter mehrere digitale Identitäten hat. Das würde ihm etwa erlauben, Funktionstrennungsvorschriften zu umgehen, indem er mit der einen Identität bestimmte Rollen erlangt, die mit Rollen seiner zweiten Identität nicht vereint werden dürfen. Systemseitig würde das zunächst allerdings nicht auffallen. Eine regelmäßige Überprüfung der Identitäten kann solche Situationen aufdecken. Weitere Kontrollen wären Prüfungen auf inaktive Accounts aber auch Plausibilitätschecks auf Anwendungsebene: Wurde bei der Rezertifizierung beispielsweise relativ gesehen deutlich weniger Berechtigungen von einer bestimmten Anwendung entzogen oder erteilt als bei anderen? Viele solcher Kontrollen sind denkbar, um Compliance- und Sicherheitsrisiken zu minimieren, und die optimalen Maßnahmen sind bei jedem Unternehmen von viele Faktoren wie Risikolage und regulatorischen Anforderungen abhängig.

Der Ausbau von Kontrollmechanismen hat Priorität

Gut implementierte und regelmäßig evaluierte Kontrollen legen eine solide Grundlage für Effizienz, Transparenz und Compliance im IAM dar. Sie mindern Compliance- und Sicherheitsrisiken, legen Sollbruchstellen in Prozessen offen, erlauben eine Verfolgung aller Berechtigungsvorgänge und reduzieren den Aufwand zur Erhaltung eines sauberen und sicheren IAMs. Die Implementierung und der Ausbau von Kontrollen sollten sich somit auf der Agenda eines jeden IAM-Verantwortlichen wiederfinden.

Über den Autor: Hans-Peter Fischer ist Partner im Bereich Security Consulting der KPMG. Er berät Unternehmen zu IT Risiko Management und Cyber Security – von der Strategie über die Maßnahmendefinition bis zur Implementierung. Schwerpunkte seiner Tätigkeiten sind Aufbau und Optimierung von Information Security Management Systems (ISMS) und Security Incident and Event Management (SIEM) bei großen Unternehmen und Konzernen.

(ID:47536081)