IAM Software Vergleich: So finden Sie die richtige Lösung!

Der Begriff “IAM Software” beschreibt weder ein spezifisches Produkt, noch ein fix definiertes Funktionsspektrum. Wenn wir von IAM Software sprechen, dann meinen wir damit vielmehr unterschiedliche Software-Lösungen, die jeweils bestimmte Funktionen bieten. Wie dieses Spektrum an Funktionen genau aussieht, variiert von System zu System.

Allen Lösungen für Identity und Access Management ist gemeinsam, dass sie ein Unternehmen in die Lage versetzen, die Zugriffsberechtigungen und -voraussetzungen ihrer Mitarbeiter effizient zu managen. In vielen Fällen betrifft dies nicht nur die internen Berechtigungen, sondern auch externe Zugriffe durch Partner, Lieferanten oder Kunden.

IAM Software baut auf der digitalen Identität des Nutzers auf. Es geht also primär um die Authentifizierung und Autorisierung des Benutzers im Netzwerk (und in der Cloud), und die Verwaltung der mit diesem Nutzer verknüpften Zugriffsberechtigungen innerhalb des Netzwerks und ggf. für externe Anwendungen. IAM Lösungen verbinden also Funktionen für die Benutzerverwaltung und das Berechtigungmanagement.

Da 99,9 Prozent aller IT-Abteilungen mit Microsoft^® Windows arbeiten, ist es wichtig, dass Ihre IAM-Software sich reibungslos mit der Microsoft-Infrastruktur integrieren lässt. Die Schnittstelle zum Active Directory ist essentiell, da sie die Voraussetzung für die Standardisierung und Automatisierung häufig benötigter Funktionen und Abläufe ist. Zudem kann IAM Software durch die Einhaltung von Best Practices ihre Active Directory Sicherheit verbessern.

Ohne Schnittstelle zwischen IAM Software und Active Directory und anderen on-Prem-Diensten wie Exchange und SharePoint lassen sich Joiner-Mover-Leaver-Prozesse beispielsweise nicht hinreichend abbilden. Darüber hinaus ist die Integration in die Microsft-Infrastruktur die Voraussetzung für ein optimales User Lifecycle Management.

Spätestens seit dem Cloud-only– bzw. Cloud-first-Ansatz von Microsoft sind die Anforderungen an IAM-Systeme gestiegen. Während es früher “nur” die Informationen innerhalb des Unternehmensnetzwerks zu schützen galt und sämtliche Dienste on Premise liefen, gibt es heute kaum noch Unternehmen, die ohne Cloud-Anwendungen arbeiten.

Diese Entwicklung wurde durch die Corona-Pandemie beschleunigt, da viele Unternehmen in sehr kurzer Zeit auf Remote-Arbeit umstellen mussten.

Um den reibungslosen Zugriff auf Daten und Anwendungen trotz Home-Office-Regelungen und flexibler Arbeitsmodelle gewährleisten zu können, haben viele Firmen ihre Anwendungen entweder vollständig in die Cloud verlagert oder die Nutzung ihrer Cloud-Dienste erheblich ausgeweitet. Moderne IAM-Systeme müssen diesen neuen, deutlich komplexeren IT-Strukturen gerecht werden:

Ein modernes IAM System muss die automatisierte und policy-konforme Verwaltung sämtlicher Berechtigungen, sowohl in Ihrem Unternehmensnetzwerk als auch in der Cloud, garantieren. Ebenso wichtig wie die Schnittstelle zum lokalen AD ist in diesem Zusammenhang die Verbindung zwischen IAM Software und Azure AD.

Azure AD ist der cloud-basierte Verzeichnisdienst von Microsoft, mit dem Sie die Zugriffsberechtigungen und Identitäten Ihrer Microsoft-Services sowie externe SaaS-Anwendungen (Software as a Service) verwalten. Dafür brauchen Sie normalerweise aber das Azure Portal oder die PowerShell.

Eine Schnittstelle zwischen Ihrer IAM-Software und Azure AD sowie anderen Cloud-Diensten wie Exchange Online und Sharepoint Online nimmt Ihnen diesen Umweg ab.

Die Integration einer IAM Software ist ein zuverlässiger Weg, um die Erfüllung von unternehmenseigenen und externen Compliance-Richtlinien sicherzustellen. Hierzu zählen neben der EU-DSGVO, KRITIS und PCI DSS auch regulatorische Anforderungen für bestimmte Branchen (z.B. MaRisk, BAIT und TISAX in Deutschland oder SOX und HIPAA in den USA).

Auch in den Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) bzw. der Dokumentation rund um den IT-Grundschutz spielt das Thema Identity und Access Management eine wichtige Rolle. Das BSI schreibt Unternehmen die Implementierung eines Identitäts- und Berechtigungsmanagements vor. In der Edition 2022 heißt es im Abschnitt ORP.4 Identitäts- und Rechtmanagement ausdrücklich:

Der Markt für Identity-und-Access-Management-Software wächst. Grundsätzlich sehen wir zwei dominierende Produktkategorien, die jeweils auf unterschiedliche Zielgruppen ausgerichtet sind:

Bei Data Governance Software liegt der Fokus auf unorganisierten Daten. Diese Lösungen bringen also vorübergehend Ordnung in Ihre Fileserver und helfen bei der Automatisierung bestimmter Tätigkeiten. Allerdings stoßen sie bei der Standardisierung und Automatisierung von Workflows an ihre Grenzen.

Dies führt vor allem im Rahmen des User Lifecycle Managements zu Problemen, weil z.B. die Neuanlage eines Benutzers und die damit verbundene Vergabe von Berechtigungen ebenso zeitaufwändig ist, als wenn Sie sämtliche Schritte direkt in den jeweiligen Systemen (z.B. im Active Directory) durchführen würden.

Zielführender sind Lösungen, die eine Schnittstelle zur HR-Datenbank haben, und bei denen die Neuanlage eines Benutzers in HR automatisch die Joiner-Mover-Leaver-Prozesse in allen angebundenen Systemen startet.

Wie der Name bereits verrät, geht es beim ULM darum, den gesamten Lebenszyklus eines Benutzers (vom Eintritt ins Unternehmen bis zum Ausscheiden) zu verwalten. Es stellt sicher, dass der Benutzer während der gesamten Zeit seiner Zugehörigkeit zum Unternehmen auf allen Stationen mit den Benutzerkonten und Berechtigungen ausgestattet ist, die er zum jeweiligen Zeitpunkt benötigt.

Umgekehrt sorgt es aber auch dafür, dass der Benutzer zu keinem Zeitpunkt mehr Berechtigungen erhält, als für seinen Aufgabenbereich notwendig sind. Dieses Prinzip nennen wir auch das Need to Know-Prinzip oder Principle of Least Privilege (PoLP). Das User Lifecycle Management sorgt also u.a. dafür, dass

• Benutzeridentitäten angelegt werden.
• Berechtigungen zugeordnet oder entzogen werden.
• Benutzerkonten deaktiviert werden.

Enterprise-Lösungen bzw. IAM-Suiten zeichnen sich vor allem durch Komplexität aus, weil sie auf die komplizierten Strukturen von Großkonzernen ausgelegt sind. Theoretisch kann Identity & Access Management im Enterprise-Umfeld unendlich viele Funktionen abbilden. Einen sehr guten Überblick darüber, was mit IAM im Enterprise-Umfeld alles möglich ist, bekommen Sie in diesem Artikel.

IAM-Software galt in der IT-Welt lange Zeit als Schreckgespenst, weil immer wieder von Unternehmen zu hören war, die viel Zeit und Geld in die Implementierung einer IAM-Lösung gesteckt hatten, und diese niemals produktiv nutzen konnten.

Dieses Vorurteil gegenüber Access-Management-Systemen ist schnell entkräftet, denn mittlerweile wissen wir: WENN ein IAM-Projekt scheitert, dann liegt das in 99 Prozent der Fälle daran, dass das Unternehmen sich für die falsche Software entschieden hat. Und “falsch” heißt konkret: unpassend für die Unternehmensstruktur.

Insbesondere für mittelständische Unternehmen ist es wichtig, den Funktionsumfang der IAM-Lösung genau zu prüfen und sicherzustellen, dass die Software innerhalb eines angemessenen zeitlichen (und finanziellen) Rahmens implementiert und effektiv genutzt werden kann.

Nehmen wir an, ein Unternehmen im Midmarket-Segment entscheidet sich für eine Data-Governance-Lösung, um z.B. Berechtigungsschwierigkeiten auf Netzwerkfreigaben zu lösen. Folgendes passiert: Die Software bringt kurzfristig Ordnung in die Fileserver, allerdings hält diese Ordnung nicht lange an, weil sie lediglich die Symptome, nicht aber das Grundproblem der dezentralen Berechtigungsvergabe beseitigt.

Das liegt daran, dass Data-Governance-Lösungen für mittelständische Unternehmen nicht komplex genug sind. Sie sind nicht in der Lage dazu, Prozesse, Policies und Rollen so abzubilden, dass es tatsächlich zu einer nachhaltigen Verbesserung kommt.

Bei einer komplexen Enterprise-IAM-Suite haben wir es mit dem gegenteiligen Problem zu tun, denn Produkte dieser Art sind gar nicht darauf ausgelegt, auf Basis von Best Practices innerhalb kurzer Zeit in Betrieb genommen zu werden.

In den meisten Fällen besteht Enterprise-IAM-Software aus mehreren Einzelprodukten, deren vollständige Inbetriebnahme häufig die zeitlichen, administrativen und finanziellen Ressourcen sprengt, die der IT eines mittelständischen Unternehmens zur Verfügung stehen.

Das bedeutet natürlich, dass der Aufwand für die laufende Betreuung und Wartung in keinem Verhältnis zu den tatsächlichen Vorteilen steht, die diese “Rumpflösung” für das Unternehmen erzielt. Mit anderen Worten: Sie zahlen für etwas, das Sie in der geplanten Funktionsweise gar nicht einsetzen können.

Viele Anbieter im Enterprise-Umfeld setzen auf Individualisierung durch kundenspezifische Programmierung. Das klingt zunächst einmal gut. Bei näherer Betrachtung ergeben sich jedoch Probleme. Zunächst einmal nimmt schon die Implementierung der Standardschnittstellen, ohne die reibungslose Arbeitsabläufe nicht möglich sind (z.B. die Schnittstelle zum Active Directory) enorm viel Zeit in Anspruch.

Darüber hinaus erfordert die kundenspezifische Programmierung einen beträchtlichen Anpassungsaufwand, welcher letzten Endes auch die Kosten für die laufende Wartung in die Höhe treibt. Stark spezifizierte IAM-Projekte geraten daher häufig ins Stocken und fallen im (effektiv nutzbaren) Funktionsumfang weit hinter die Erwartungen zurück.

Sie sollten Ihre Identity and Access Management Software nicht nach dem Hersteller auswählen, sondern danach, ob die Software für den Einsatz in Ihrem Unternehmen geeignet ist. Welche Funktionen sie bieten muss hängt nämlich ausschließlich davon ab, welche Ziele Sie erreichen möchten, und wie Ihre IT-Infrastruktur aufgebaut ist.

Die meisten Großkonzerne sind strukturell sehr komplex und brauchen daher auch ein entsprechend komplexes IAM-System. Das ist wichtig, weil Großkonzerne es, anders als kleine und mittelständische Unternehmen, sehr häufig mit speziellen Vorgängen zu tun haben.

Da die Abbildung von Spezialvorgängen keine Out-of-the-Box-Funktion ist, sondern eine kundenspezifische Programmierung erfordert, brauchen Großkonzerne eine Enterprise-IAM-Lösung, die theoretisch jeden noch so speziellen Vorgang abbilden kann.

Anders als in Großkonzernen haben wir es in den meisten mittelständischen Unternehmen zu 90 Prozent mit standardisierbaren Vorgängen zu tun, die automatisiert über IAM abgebildet werden können. Alle paar Wochen gesellt sich noch ein Spezialvorgang hinzu, der nicht standardisierbar ist (10 Prozent).

Da sich die Anschaffung eines komplexen Enterprise-IAM allein wegen der wenigen Spezialvorgänge nicht rechnet, brauchen mittelständische Unternehmen eine Software, die die Standard-Vorgänge in kürzester Zeit und out-of-the-Box implementiert und für die wenigen Spezialvorgänge Erweiterungen bietet. Wir sprechen in diesem Zusammenhang auch von Top down vs. Bottom up.

Identity and Access Management Software für den Mittelstand sollte grundsätzlich nach dem Prinzip bottom up funktionieren. Das bedeutet, dass mit dem Standardumfang zunächst die Funktionalitäten für die wichtigsten und am häufigsten durchgeführten Prozesse (die berühmten 90 Prozent) zur Verfügung stehen müssen.

Die Rollenkonzepte sind ein wesentlicher Bestandteil von IAM-Lösungen. Ohne Rollen funktioniert die Automatisierung nicht. Trotzdem ist es wichtig, dass das Rollenkonzept nicht überhandnimmt. Wenn eine Software keine Möglichkeit bietet, neben den fix definierten Rollen auch Einzelberechtigungen zu vergeben und zu verwalten, haben Sie es bald mit mehr Rollen als Benutzern zu tun. Und dann hat das Rollenkonzept sein Ziel verfehlt.

Ein IAM-Projekt ist nur dann erfolgreich, wenn die Software benutzerfreundlich ist. Können die Anwender (sowohl in der IT-Abteilung als auch in anderen Fachbereichen) nicht mit der Lösung umgehen, wird sie nicht akzeptiert und das Projekt ist zum Scheitern verurteilt. Ein wesentlicher Faktor in Sachen Benutzerfreundlichkeit ist die Konfiguration. Diese sollte möglichst einfach und auf der Benutzeroberfläche möglich sein.

Wir haben gesehen, dass Data-Governance-Lösungen sich mit Berechtigungen auf unorganisierten Daten befassen, jedoch keine Funktionen für die nachhaltige Verbesserung von Strukturen und Prozessen bieten.

IAM-Lösungen für Großkonzerne sind strukturell wiederum so komplex, dass die Implementierung mehrere Jahre in Anspruch nehmen kann, die laufende Wartung entsprechend aufwändig ist und jede noch so kleine Anpassung oder Änderung in den Einstellungen externes Expertenwissen voraussetzt.

Viele Anbieter vertreiben IAM Software auf Basis mehrerer eigenständiger Produkte. tenfold bietet Ihnen alle Funktionen in EINEM Produkt. Das hat folgende Vorteile:

tenfold ist Next Generation Access Management. Das ist keine Behauptung, sondern eine Tatsache. Unsere IAM-Software “tenfold” ist speziell an die Bedürfnisse von mittelständischen Organisationen angepasst, für die Data-Governance-Lösungen nicht genügend Funktionen bieten, die aber auch nicht die Komplexität einer großen IAM-Suite benötigen.

Mit tenfold verfolgen wir einen pragmatischen Ansatz, der Komplexität in Benutzerfreundlichkeit übersetzt. Wir legen besonderen Wert darauf, dass ALLE tenfold-Nutzer, vom IT-Admin bis zur HR-Fachkraft, effizient mit der Software arbeiten können.