Was ist Identity- and Access Management (IAM)?

Identity and Access Management versetzt Unternehmen in die Lage, sämtliche Benutzerkonten und Zugriffsberechtigungen für Systeme und Anwendungen Compliance-gerecht zu verwalten. Zusätzlich ist es dank IAM möglich, das Unternehmensnetzwerk für externe Partner, Kunden, Lieferanten etc. zu öffnen, ohne dass Sicherheitslücken entstehen.

Die Identität des Benutzers wird vom System, z.B. durch eine Kombination von Benutzername und Passwort oder durch das Abfragen biometrischer Daten, festgestellt (Authentifizierung). Mit dieser Identität sind wiederum bestimmte Zugriffsrechte verknüpft (Autorisierung).

Moderne IAM Systeme unterstützen außerdem föderierte Identitäten. Das bedeutet, dass Identitätsinformationen über technische Grenzen hinweg (z.B. zwischen lokaler IT und Cloud) ausgetauscht und verwaltet werden können.

Identity and Access Management beschreibt kein fix definiertes System. Vielmehr handelt es sich bei IAM-Lösungen um Software, die ein bestimmtes Funktionsspektrum abdeckt. Wie dieses Spektrum genau aussieht, ist von Produkt zu Produkt unterschiedlich.

IAM-Lösungen sorgen dafür, dass Unternehmen die Berechtigungs- und Benutzerverwaltung in sämtlichen Systemen und Anwendungen zentral managen können. Eine wesentliche Rolle spielt dabei die Automatisierung durch Standardisierung von Prozessen und Workflows.

In vielen Unternehmen bindet das manuelle Access Management nicht nur viele Ressourcen, sondern es reißt auch erhebliche Sicherheitslücken auf. Um die IT-Administration zu entlasten und das Risiko für Datendiebstahl/Datenmissbrauch durch Mitarbeiter zu senken, setzt IAM-Software auf die Automatisierung sich wiederholender Vorgänge.

Die Software wartet, aktualisiert und überwacht die Zugriffsrechte eines Benutzers über seinen gesamten User Lifecycle (vom Eintritt ins Unternehmen bis zum Austritt) hinweg und dokumentiert gleichzeitig jede an Benutzern und Berechtigungen vorgenommene Änderung.

Viele IAM-Lösungen arbeiten im Zuge des Berechtigungsmanagements mit Rollen. Man spricht in diesem Zusammenhang auch von RBAC oder Role-Based Access Control. Das bedeutet, dass die Software die Standardrechte aufgrund bestimmter Merkmale des Mitarbeiters (z.B. Abteilung und Standort) vollautomatisch zuteilt, aber auch automatisch wieder entfernt, wenn Merkmale sich ändern (z.B. die Abteilungszugehörigkeit).

Da Identity-und-Access-Management-Systeme als “Broker” zwischen Microsoft On-Prem-Diensten, Microsoft Cloud-Diensten und Drittsystemen fungieren, können sämtliche Änderungen zentral im IAM durchgeführt werden. Die Software triggert die jeweilige Aktion in den angebundenen Diensten und Systemen vollautomatisch und in Echtzeit.

WER darf eigentlich WAS in Ihrem Unternehmensnetz? Wenn Sie noch über die Antwort nachdenken, dann ist es um die Sicherheit Ihrer Daten möglicherweise nicht so gut bestellt, wie Sie vielleicht denken. Tatsächlich geht die größte Gefahr für sensible Informationen in Ihrem Unternehmensnetz nämlich nicht vom brillanten Hacker im Kapuzenpulli aus. In vielen Fällen lauert die Gefahr im Inneren. Genauer: Die Mitarbeiter sind die Sicherheitslücke.

Und damit meinen wir nicht zwangsläufig bewussten Datendiebstahl, obwohl natürlich auch das vorkommen kann. Aber auch der loyalste Mitarbeiter der Welt kann allein dadurch zum Insider Threat werden, dass er zu viele Zugriffsberechtigungen hat.

Denken Sie beispielsweise an Ransomware. Ein Beispiel: Thorben, der neuer HR-Mitarbeiter, fand Anna aus dem Marketing deutlich interessanter als die Inhalte des Cyber-Security-Seminars. Er klickt daher auf einen bösartigen Link in einer Phishing-Email.

Und bevor er merkt, dass ein Unglück passiert ist, wird auch schon ein Trojaner geladen, der sämtliche Dateien verschlüsselt, auf die Thorben Zugriff hat. Die Folge können Schäden in Milliardenhöhe sein. Vom Imageschaden für das Unternehmen (und für Thorben) ganz zu schweigen. IAM-Software kann zwar nicht verhindern, dass Thorben auf den Link klickt, aber sie kann den Schaden erheblich eingrenzen.

Wenn nämlich zu jeder Zeit sichergestellt ist, dass ein Mitarbeiter nur jene Zugriffsberechtigungen besitzt, die er tatsächlich für seine Arbeit benötigt, kann der Trojaner auch nur diese Daten verschlüsseln (Least Privilege Prinzip).

Die Verbesserung der IT-Sicherheit und die optimierte Ressourcennutzung sind gute Gründe, um in ein IAM-System zu investieren. Der dritte und vielleicht wichtigste Grund ist die Compliance. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt Unternehmen die Implementierung eines Identitäts- und Berechtigungsmanagements vor. In der Edition 2021 heißt es im Abschnitt ORP.4 Identitäts- und Rechtmanagement ausdrücklich:

Eine Access-Management-Software ist aber nicht nur im Rahmen der BSI-Vorschriften wichtig. Sie ist auch ein zuverlässiger Weg, um andere externe sowie unternehmenseigene Compliance-Richtlinien zu erfüllen. Hierzu zählen neben der EU-DSGVO, KRITIS und PCI DSS z.B. auch regulatorische Anforderungen für bestimmte Branchen (z.B. MaRisk/BAIT und TISAX in Deutschland und HIPAA in den USA).

Da so gut wie alle IT-Abteilungen weltweit Microsoft^® Windows im Einsatz haben, ist es extrem wichtig, dass eine Software für Identity and Access Management mit der Microsoft-Infrastruktur integrierbar ist. Die Schnittstelle zum Active Directory ist eine der wichtigsten Voraussetzungen für die Standardisierung sowie Automatisierung von Workflows und die Gewährleistung der Active Directory Sicherheit.

Während es früher “nur” die Informationen innerhalb des Unternehmensnetzwerks zu schützen galt und sämtliche Dienste on Premise liefen, gibt es heute kaum noch Unternehmen, die ihre Ressourcen nicht durch Cloud-Dienste erweitern. Identity-Access-Management-Lösungen werden diesen neuen, deutlich komplexeren IT-Strukturen gerecht, indem sie

Ebenso wichtig wie die Schnittstelle zum lokalen AD ist auch die Integration mit Azure AD, dem cloud-basierten Verzeichnisdienst von Microsoft. Mithilfe von Azure AD können Sie die Zugriffsberechtigungen und Identitäten Ihrer Microsoft-Services sowie externe SaaS-Anwendungen (Software as a Service) verwalten.

Eine Schnittstelle zwischen Azure AD und anderen Cloud-Diensten wie Exchange Online und Sharepoint Online mit dem IAM-System versetzt Unternehmen in die Lage, Mitgliedschaften in Microsoft-365-Gruppen gezielt steuern und Ressourcen in der Cloud automatisch zuteilen zu können.

Wie wir bereits gesehen haben, ist IAM der Oberbegriff für sämtliche Anwendungen und Prozesse, die für die Administration von Identitäten und die Verwaltung von Zugriffsrechten auf verschiedene Systeme, Applikationen und Ressourcen on-Prem und in der Cloud zuständig sind.

Je nachdem, wie das Unternehmen strukturiert ist, können unterschiedliche Lösungen zum Einsatz kommen. Diese bestehen jeweils aus mehreren Softwarekomponenten und manchmal sogar aus mehreren Produkten, die jeweils bestimmte Funktionen abbilden.

In unserem Ratgeber-Artikel IAM Software im Vergleich erhalten Sie einen Überblick über die dominierenden IAM-Produktkategorien und wir verraten Ihnen, warum komplexe Lösungen nicht immer die bessere Wahl sind.

Bei Identity and Access Management geht es darum, Benutzerkonten und Zugriffsberechtigungen zentralisiert zu verwalten. Für die Erteilung der Zugriffsrechte muss das IAM-System die Benutzer erst einmal authentifizieren.

Authentifizierung bedeutet, dass der Benutzer dem System gegenüber zweifelsfrei seine Identität bestätigen muss. Dies kann z.B. erfolgen durch

Nach erfolgreicher Authentifizierung teilt das System dem Mitarbeiter im Rahmen der Autorisierung bestimmte Rechte zu. Das bedeutet, der Benutzer wird für den Zugriff auf bestimmte Ressourcen im Unternehmensnetz und u.U. in der Cloud (Systeme, Anwendungen, Daten, gemeinsam genutzte Elemente) autorisiert.

Bei vielen IAM-Systemen basiert die Autorisierung, also die Zuteilung der Berechtigungen, auf Berechtigungsprofilen, auch Rollen genannt. Bei der rollenbasierten Berechtigungsvergabe werden die Ressourcen und Berechtigungen aus unterschiedlichen Zielsystemen gruppiert und mit der jeweiligen Organisationseinheit verknüpft. Die Berechtigungsvergabe erfolgt also auf Basis der Organisationsstruktur des Unternehmens.

Viele Systeme für Identity and Access Management stellen Userschnittstellen bereit, über die Mitarbeiter selbst bestimmte Services bzw. die Bereitstellung von IT-Ressourcen beantragen können. Im Self Service können User beispielsweise Zugriffsberechtigungen, die nicht zum rollenbasierten Standard-Set gehören, das Ändern von Benutzerdaten oder das Zurücksetzen des Passwortes beantragen.

Sobald ein Benutzer einen Antrag stellt, startet die Software automatisch einen Workflow für die Genehmigung. Das bedeutet, dass der jeweilig verantwortliche Dateneigentümer (Data Owner) vom System dazu aufgefordert wird, den Antrag des Benutzers freizugeben oder abzulehnen. Im Falle einer Freigabe startet das System automatisch den/die Workflow(s) zur Provisionierung, was bedeutet, dass die beantragte Ressource dem User bereitgestellt wird.

Da veraltete und/oder falsch gesetzte Zugriffsberechtigungen ein Unternehmen anfälliger für Datendiebstahl- und missbrauch machen, arbeiten viele Identity-und-Access-Management-Lösungen mit einem doppelten Netz.

Das bedeutet, dass die Aktualität der Zugriffsberechtigungen nicht allein durch das ULM gewährleistet wird, sondern dass sämtliche Berechtigungen zusätzlich regelmäßig durch den jeweils Verantwortlichen rezertifiziert werden müssen.

Die Rezertifizierung ist ein automatisierter Prozess, bei dem das System dem jeweiligen Data Owner die IT-Berechtigungen zur Kontrolle vorlegt. Der Dateneigentümer muss diese entweder bestätigen oder entfernen.

Beim User Lifecycle Management geht es darum, den gesamten Lebenszyklus eines Benutzers (vom Eintritt ins Unternehmen bis zum Ausscheiden) zu verwalten. Das ULM stellt sicher, dass ein Mitarbeiter während der gesamten Zeit seiner Zugehörigkeit zum Unternehmen auf allen Stationen seiner Laufbahn mit exakt jenen Benutzerkonten und Berechtigungen ausgestattet ist, die er zum jeweiligen Zeitpunkt benötigt, um seine Arbeit zu verrichten.

Das ULM sorgt aber auch dafür, dass der Benutzer zu keinem Zeitpunkt mehr Berechtigungen erhält, als für seinen Aufgabenbereich notwendig sind. Dieses Prinzip nennen wir auch das Need to Know-Prinzip oder Principle of Least Privilege (PoLP).

Bei vielen Produkten ist es mittlerweile möglich, die Benutzerdaten automatisiert aus der Personaldatenbank (SAP HCM usw.) zu übernehmen. Das hat den Vorteil, dass nicht alle User manuell eingegeben werden müssen, sondern sämtliche Ereignisse im User Lifecycle (Eintritt, Datenänderungen, Übertritt oder Austritt) automatisiert über eine Schnittstelle von einem Personalmanagementsystem (HR-Software) in das jeweilige IAM gelangen. Wie das genau funktioniert, erfahren Sie hier.

Mit Identity and Access Management ist es wie mit jeder anderen Software: Es ist wichtig, dass der Anbieter Erfahrung mit dem Produkt hat. Und es ist wichtig, dass er gut vernetzt ist. Im Falle von IAM-Lösungen ist die Vernetzung sogar besonders wichtig, denn komplexe IT-Projekte dieser Art brauchen Betreuung und Support von mehreren Seiten.

Der Anbieter sollte also nicht nur Referenzkunden vorweisen können, sondern auch ein stabiles Netzwerk bestehend aus Vertriebs-, Implementierungs- und Technologiepartnern. Warum? Ganz einfach: Je mehr Erfahrung mit dem Produkt auf je mehr Unternehmen aufgeteilt ist, um so besser stehen die Chancen auf einen erfolgreichen Projektabschluss!

Die Integration einer Identity and Access Management Software ist eine große Sache. Es ist also wichtig, sie entsprechend gut zu planen. Und das bedeutet vor allem: Nehmen Sie sich nicht zu viel auf einmal vor. Halten Sie es stattdessen wie Beppo Straßenkehrer:

Auch erfolgreiche IT-Projekte werden Schritt für Schritt realisiert. Und jeder fertig implementierte Schritt sollte umgehend in Betrieb gehen. Auf diese Weise wird das IAM-System schrittweise, aber stetig, durch Funktionen erweitert.

Wenn Sie versuchen, direkt im ersten Schritt sämtliche Workflows abzubilden und alle Systeme zu integrieren, werden Sie Ihre Zeit- und Budgetpläne wahrscheinlich nicht einhalten können. Worst case: Sie stehen vor einem System, das zwar zu 90 % implementiert ist, von dem Sie aber keine Funktion für sich gesehen produktiv nutzen können.

tenfold ist Next Generation Access Management. Unsere IAM-Software “tenfold” ist speziell an die Bedürfnisse von mittelständischen Organisationen angepasst und übersetzt Komplexität in Benutzerfreundlichkeit. Wir legen besonderen Wert darauf, dass ALLE tenfold-Nutzer, vom IT-Admin bis zur HR-Fachkraft, effizient mit der Software arbeiten können.

Mit der tenfold-Testversion lernen Sie den vollen Funktionsumfang unserer Software kennen und erfahren, wie Sie Ihre Berechtigungen in Zukunft einfach und effizient managen können. Selbstverständlich ist dieser Test für Sie kostenlos und unverbindlich!