Was ist Identity- and Access Management (IAM)?

Identity- and Access Management (IAM) sorgt in Unternehmen für die zentrale Verwaltung von Benutzern und Zugriffsrechten für unterschiedliche Systeme und Applikationen im Unternehmensnetzwerk und in der Cloud. Wir schauen uns an, welche Funktionen eine IAM Software bietet, und warum sie im Rahmen von Compliance, IT-Security und Ressourceneffizienz eine so wichtige Rolle spielt.

Was ist Identity and Access Management?

Identity and Access Management versetzt Unternehmen in die Lage, sämtliche Benutzerkonten und Zugriffsberechtigungen für Systeme und Anwendungen Compliance-gerecht zu verwalten. Zusätzlich ist es dank IAM möglich, das Unternehmensnetzwerk für externe Partner, Kunden, Lieferanten etc. zu öffnen, ohne dass Sicherheitslücken entstehen.

Identity Access Management baut auf der Identität des Benutzers auf. Zentrale Funktionen sind die Authentifizierung und die Autorisierung des Users.

Die Identität des Benutzers wird vom System, z.B. durch eine Kombination von Benutzername und Passwort oder durch das Abfragen biometrischer Daten, festgestellt (Authentifizierung). Mit dieser Identität sind wiederum bestimmte Zugriffsrechte verknüpft (Autorisierung).

Moderne IAM Systeme unterstützen außerdem föderierte Identitäten. Das bedeutet, dass Identitätsinformationen über technische Grenzen hinweg (z.B. zwischen lokaler IT und Cloud) ausgetauscht und verwaltet werden können.

Wie funktioniert Identity Access Management?

Identity and Access Management beschreibt kein fix definiertes System. Vielmehr handelt es sich bei IAM-Lösungen um Software, die ein bestimmtes Funktionsspektrum abdeckt. Wie dieses Spektrum genau aussieht, ist von Produkt zu Produkt unterschiedlich.

IAM-Lösungen sorgen dafür, dass Unternehmen die Berechtigungs- und Benutzerverwaltung in sämtlichen Systemen und Anwendungen zentral managen können. Eine wesentliche Rolle spielt dabei die Automatisierung durch Standardisierung von Prozessen und Workflows.

Geschäftsmann, der entspannt an seinem Schreibtisch sitzt, weil er weiß, dass seine Software für Identity and Access Management die Sicherheitslücken in seinem Unternehmen schließt.
Identity and Access Management schließt Sicherheitslücken und spart Ressourcen. Adobe Stock, (c) Yingyaipumi

Automatisierte Benutzerverwaltung

In vielen Unternehmen bindet das manuelle Access Management nicht nur viele Ressourcen, sondern es reißt auch erhebliche Sicherheitslücken auf. Um die IT-Administration zu entlasten und das Risiko für Datendiebstahl/Datenmissbrauch durch Mitarbeiter zu senken, setzt IAM-Software auf die Automatisierung sich wiederholender Vorgänge.

In den meisten mittelständischen und großen Unternehmen handelt es sich bei mindestens 90 Prozent aller Prozesse um solche standardisierbaren Vorgänge.

Die Software wartet, aktualisiert und überwacht die Zugriffsrechte eines Benutzers über seinen gesamten User Lifecycle (vom Eintritt ins Unternehmen bis zum Austritt) hinweg und dokumentiert gleichzeitig jede an Benutzern und Berechtigungen vorgenommene Änderung.

Rollen oder Berechtigungsprofile

Viele IAM-Lösungen arbeiten im Zuge des Berechtigungsmanagements mit Rollen. Man spricht in diesem Zusammenhang auch von RBAC oder Role-Based Access Control. Das bedeutet, dass die Software die Standardrechte aufgrund bestimmter Merkmale des Mitarbeiters (z.B. Abteilung und Standort) vollautomatisch zuteilt, aber auch automatisch wieder entfernt, wenn Merkmale sich ändern (z.B. die Abteilungszugehörigkeit).

Identity and Access Management baut auf Rollen auf, um die Prozesse in einem Unternehmen automatisieren zu können.
Identity and Access Management nutzt Rollen für die Vergabe der Standardrechte. Adobe Stock, (c) MohamadFaizal

Zentrale Verwaltung für alle angebundenen Systeme

Da Identity-und-Access-Management-Systeme als “Broker” zwischen Microsoft On-Prem-Diensten, Microsoft Cloud-Diensten und Drittsystemen fungieren, können sämtliche Änderungen zentral im IAM durchgeführt werden. Die Software triggert die jeweilige Aktion in den angebundenen Diensten und Systemen vollautomatisch und in Echtzeit.

Wozu brauche ich Identity & Access Management?

WER darf eigentlich WAS in Ihrem Unternehmensnetz? Wenn Sie noch über die Antwort nachdenken, dann ist es um die Sicherheit Ihrer Daten möglicherweise nicht so gut bestellt, wie Sie vielleicht denken. Tatsächlich geht die größte Gefahr für sensible Informationen in Ihrem Unternehmensnetz nämlich nicht vom brillanten Hacker im Kapuzenpulli aus. In vielen Fällen lauert die Gefahr im Inneren. Genauer: Die Mitarbeiter sind die Sicherheitslücke.

Und damit meinen wir nicht zwangsläufig bewussten Datendiebstahl, obwohl natürlich auch das vorkommen kann. Aber auch der loyalste Mitarbeiter der Welt kann allein dadurch zum Insider Threat werden, dass er zu viele Zugriffsberechtigungen hat.

IAM erhöht IT-Sicherheit

Denken Sie beispielsweise an Ransomware. Ein Beispiel: Thorben, der neuer HR-Mitarbeiter, fand Anna aus dem Marketing deutlich interessanter als die Inhalte des Cyber-Security-Seminars. Er klickt daher auf einen bösartigen Link in einer Phishing-Email.

Business Mann, der ungläubig auf seinen Bildschirm starrt.
Identity Access Management kann im Unglücksfalls das Schlimmste verhindern. Adobe Stock, (c) deagreez

Und bevor er merkt, dass ein Unglück passiert ist, wird auch schon ein Trojaner geladen, der sämtliche Dateien verschlüsselt, auf die Thorben Zugriff hat. Die Folge können Schäden in Milliardenhöhe sein. Vom Imageschaden für das Unternehmen (und für Thorben) ganz zu schweigen. IAM-Software kann zwar nicht verhindern, dass Thorben auf den Link klickt, aber sie kann den Schaden erheblich eingrenzen.

Wenn nämlich zu jeder Zeit sichergestellt ist, dass ein Mitarbeiter nur jene Zugriffsberechtigungen besitzt, die er tatsächlich für seine Arbeit benötigt, kann der Trojaner auch nur diese Daten verschlüsseln (Least Privilege Prinzip).

Identity Access Management und Compliance

Die Verbesserung der IT-Sicherheit und die optimierte Ressourcennutzung sind gute Gründe, um in ein IAM-System zu investieren. Der dritte und vielleicht wichtigste Grund ist die Compliance. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt Unternehmen die Implementierung eines Identitäts- und Berechtigungsmanagements vor. In der Edition 2021 heißt es im Abschnitt ORP.4 Identitäts- und Rechtmanagement ausdrücklich:

Der Zugang zu schützenswerten Ressourcen einer Institution ist auf berechtigte Benutzer und berechtigte IT-Komponenten einzuschränken. Benutzer und IT-Komponenten müssen zweifelsfrei identifiziert und authentisiert werden. […] Es MUSS dokumentiert werden, welche Benutzerkennungen […] und Rechteprofile zugelassen und angelegt wurden. Die Dokumentation der zugelassenen Benutzer […] Rechteprofile MUSS regelmäßig daraufhin überprüft werden, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegelt […].

Eine Access-Management-Software ist aber nicht nur im Rahmen der BSI-Vorschriften wichtig. Sie ist auch ein zuverlässiger Weg, um andere externe sowie unternehmenseigene Compliance-Richtlinien zu erfüllen. Hierzu zählen neben der EU-DSGVO, KRITIS und PCI DSS z.B. auch regulatorische Anforderungen für bestimmte Branchen (z.B. MaRisk/BAIT und TISAX in Deutschland und HIPAA in den USA).

Identity Access Management für Microsoft

Da so gut wie alle IT-Abteilungen weltweit Microsoft® Windows im Einsatz haben, ist es extrem wichtig, dass eine Software für Identity and Access Management mit der Microsoft-Infrastruktur integrierbar ist. Die Schnittstelle zum Active Directory ist eine der wichtigsten Voraussetzungen für die Standardisierung sowie Automatisierung von Workflows und die Gewährleistung der Active Directory Sicherheit.

Während es früher “nur” die Informationen innerhalb des Unternehmensnetzwerks zu schützen galt und sämtliche Dienste on Premise liefen, gibt es heute kaum noch Unternehmen, die ihre Ressourcen nicht durch Cloud-Dienste erweitern. Identity-Access-Management-Lösungen werden diesen neuen, deutlich komplexeren IT-Strukturen gerecht, indem sie

  • hybride Umgebungen unterstützen, die sowohl On-Premise-Systeme als auch SaaS-Applikationen nutzen.

  • das zuverlässige Berechtigungsmanagement für intern (Mitarbeiter/Remote-Arbeit) und extern (Partner aus aller Welt) garantieren.

  • das zentrale Access Management für IT-Architekturen ermöglichen, in denen unterschiedliche Betriebssysteme und/oder verschiedene Endgeräte verwendet werden (z.B. UNIX-, Windows-, iOS-, Android- und Mac-Geräte).

Identity Access Management mit Azure AD

Ebenso wichtig wie die Schnittstelle zum lokalen AD ist auch die Integration mit Azure AD, dem cloud-basierten Verzeichnisdienst von Microsoft. Mithilfe von Azure AD können Sie die Zugriffsberechtigungen und Identitäten Ihrer Microsoft-Services sowie externe SaaS-Anwendungen (Software as a Service) verwalten.

Mit den Standard-Tools von Microsoft ist es in der Cloud allerdings NICHT möglich, die Zugriffsberechtigungen auf sensible Informationen gezielt zu steuern.

Eine Schnittstelle zwischen Azure AD und anderen Cloud-Diensten wie Exchange Online und Sharepoint Online mit dem IAM-System versetzt Unternehmen in die Lage, Mitgliedschaften in Microsoft-365-Gruppen gezielt steuern und Ressourcen in der Cloud automatisch zuteilen zu können.

Identity and Access Management Software

Wie wir bereits gesehen haben, ist IAM der Oberbegriff für sämtliche Anwendungen und Prozesse, die für die Administration von Identitäten und die Verwaltung von Zugriffsrechten auf verschiedene Systeme, Applikationen und Ressourcen on-Prem und in der Cloud zuständig sind.

Je nachdem, wie das Unternehmen strukturiert ist, können unterschiedliche Lösungen zum Einsatz kommen. Diese bestehen jeweils aus mehreren Softwarekomponenten und manchmal sogar aus mehreren Produkten, die jeweils bestimmte Funktionen abbilden.

In unserem Ratgeber-Artikel IAM Software im Vergleich erhalten Sie einen Überblick über die dominierenden IAM-Produktkategorien und wir verraten Ihnen, warum komplexe Lösungen nicht immer die bessere Wahl sind.

Whitepaper

Identity und Access Management Software: Produkte im Vergleich

Finden Sie heraus, welche Kategorien von IAM Software am Markt erhältlich sind und welches Produkt optimal auf Ihre Bedürfnisse abgestimmt ist.

Hauptfunktionen von Identity Access Management

Bei Identity and Access Management geht es darum, Benutzerkonten und Zugriffsberechtigungen zentralisiert zu verwalten. Für die Erteilung der Zugriffsrechte muss das IAM-System die Benutzer erst einmal authentifizieren.

Authentifizierung

Authentifizierung bedeutet, dass der Benutzer dem System gegenüber zweifelsfrei seine Identität bestätigen muss. Dies kann z.B. erfolgen durch

  • eine Kombination aus Benutzername und Passwort (z.B. bei der Anmeldung),

  • Überprüfung biometrischer Daten (z.B. Fingerabdruck) eine Keycard oder einen Token oder

  • Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung (Kombination aus einem Passwort/einer PIN und etwas Greifbarem wie einer Keycard)

Autorisierung u. Rollen

Nach erfolgreicher Authentifizierung teilt das System dem Mitarbeiter im Rahmen der Autorisierung bestimmte Rechte zu. Das bedeutet, der Benutzer wird für den Zugriff auf bestimmte Ressourcen im Unternehmensnetz und u.U. in der Cloud (Systeme, Anwendungen, Daten, gemeinsam genutzte Elemente) autorisiert.

Bei vielen IAM-Systemen basiert die Autorisierung, also die Zuteilung der Berechtigungen, auf Berechtigungsprofilen, auch Rollen genannt. Bei der rollenbasierten Berechtigungsvergabe werden die Ressourcen und Berechtigungen aus unterschiedlichen Zielsystemen gruppiert und mit der jeweiligen Organisationseinheit verknüpft. Die Berechtigungsvergabe erfolgt also auf Basis der Organisationsstruktur des Unternehmens.

Whitepaper

ISO 27001: Anforderungen an das Access Management

In unserem Whitepaper erfahren Sie alles über die ISO Vorbereitung, wichtige Dokumente und die Vorgaben an das Identity und Access Management.

Self Service, Workflows u. Data Owner

Viele Systeme für Identity and Access Management stellen Userschnittstellen bereit, über die Mitarbeiter selbst bestimmte Services bzw. die Bereitstellung von IT-Ressourcen beantragen können. Im Self Service können User beispielsweise Zugriffsberechtigungen, die nicht zum rollenbasierten Standard-Set gehören, das Ändern von Benutzerdaten oder das Zurücksetzen des Passwortes beantragen.

Sobald ein Benutzer einen Antrag stellt, startet die Software automatisch einen Workflow für die Genehmigung. Das bedeutet, dass der jeweilig verantwortliche Dateneigentümer (Data Owner) vom System dazu aufgefordert wird, den Antrag des Benutzers freizugeben oder abzulehnen. Im Falle einer Freigabe startet das System automatisch den/die Workflow(s) zur Provisionierung, was bedeutet, dass die beantragte Ressource dem User bereitgestellt wird.

Rezertifizierung von Berechtigungen

Da veraltete und/oder falsch gesetzte Zugriffsberechtigungen ein Unternehmen anfälliger für Datendiebstahl- und missbrauch machen, arbeiten viele Identity-und-Access-Management-Lösungen mit einem doppelten Netz.

Das bedeutet, dass die Aktualität der Zugriffsberechtigungen nicht allein durch das ULM gewährleistet wird, sondern dass sämtliche Berechtigungen zusätzlich regelmäßig durch den jeweils Verantwortlichen rezertifiziert werden müssen.

Die Rezertifizierung ist ein automatisierter Prozess, bei dem das System dem jeweiligen Data Owner die IT-Berechtigungen zur Kontrolle vorlegt. Der Dateneigentümer muss diese entweder bestätigen oder entfernen.

In unserem Ratgeber-Artikel “Was ist Rezertifizierung?” erfahren Sie, warum dieser Prozess für Ihre IT-Sicherheit und den Schutz Ihrer Daten so wichtig ist.

User Lifecycle Management

Beim User Lifecycle Management geht es darum, den gesamten Lebenszyklus eines Benutzers (vom Eintritt ins Unternehmen bis zum Ausscheiden) zu verwalten. Das ULM stellt sicher, dass ein Mitarbeiter während der gesamten Zeit seiner Zugehörigkeit zum Unternehmen auf allen Stationen seiner Laufbahn mit exakt jenen Benutzerkonten und Berechtigungen ausgestattet ist, die er zum jeweiligen Zeitpunkt benötigt, um seine Arbeit zu verrichten.

Das ULM sorgt aber auch dafür, dass der Benutzer zu keinem Zeitpunkt mehr Berechtigungen erhält, als für seinen Aufgabenbereich notwendig sind. Dieses Prinzip nennen wir auch das Need to Know-Prinzip oder Principle of Least Privilege (PoLP).

Benutzerdaten automatisch übernehmen

Bei vielen Produkten ist es mittlerweile möglich, die Benutzerdaten automatisiert aus der Personaldatenbank (SAP HCM usw.) zu übernehmen. Das hat den Vorteil, dass nicht alle User manuell eingegeben werden müssen, sondern sämtliche Ereignisse im User Lifecycle (Eintritt, Datenänderungen, Übertritt oder Austritt) automatisiert über eine Schnittstelle von einem Personalmanagementsystem (HR-Software) in das jeweilige IAM gelangen. Wie das genau funktioniert, erfahren Sie hier.

Business Meeting, bei dem sich zwei Geschäftsleute die Hände reichen.
Anbieter für IAM Software sollten viel Erfahrung mitbringen und gut vernetzt sein. Adobe Stock, (c) Konstantin Yuganov

Identity and Access Management – Anbieter

Mit Identity and Access Management ist es wie mit jeder anderen Software: Es ist wichtig, dass der Anbieter Erfahrung mit dem Produkt hat. Und es ist wichtig, dass er gut vernetzt ist. Im Falle von IAM-Lösungen ist die Vernetzung sogar besonders wichtig, denn komplexe IT-Projekte dieser Art brauchen Betreuung und Support von mehreren Seiten.

Der Anbieter sollte also nicht nur Referenzkunden vorweisen können, sondern auch ein stabiles Netzwerk bestehend aus Vertriebs-, Implementierungs- und Technologiepartnern. Warum? Ganz einfach: Je mehr Erfahrung mit dem Produkt auf je mehr Unternehmen aufgeteilt ist, um so besser stehen die Chancen auf einen erfolgreichen Projektabschluss!

IAM Software implementieren

Die Integration einer Identity and Access Management Software ist eine große Sache. Es ist also wichtig, sie entsprechend gut zu planen. Und das bedeutet vor allem: Nehmen Sie sich nicht zu viel auf einmal vor. Halten Sie es stattdessen wie Beppo Straßenkehrer:

Man muss immer nur an den nächsten Schritt denken, an den nächsten Atemzug, an den nächsten Besenstrich. Dann macht es Freude; das ist wichtig, dann macht man seine Sache gut. Und so soll es sein. Auf einmal merkt man, dass man Schritt für Schritt die ganze Straße gemacht hat. (Quelle)

Auch erfolgreiche IT-Projekte werden Schritt für Schritt realisiert. Und jeder fertig implementierte Schritt sollte umgehend in Betrieb gehen. Auf diese Weise wird das IAM-System schrittweise, aber stetig, durch Funktionen erweitert.

Wenn Sie versuchen, direkt im ersten Schritt sämtliche Workflows abzubilden und alle Systeme zu integrieren, werden Sie Ihre Zeit- und Budgetpläne wahrscheinlich nicht einhalten können. Worst case: Sie stehen vor einem System, das zwar zu 90 % implementiert ist, von dem Sie aber keine Funktion für sich gesehen produktiv nutzen können.

Identity und Access Management für den Mittelstand

tenfold ist Next Generation Access Management. Unsere IAM-Software “tenfold” ist speziell an die Bedürfnisse von mittelständischen Organisationen angepasst und übersetzt Komplexität in Benutzerfreundlichkeit. Wir legen besonderen Wert darauf, dass ALLE tenfold-Nutzer, vom IT-Admin bis zur HR-Fachkraft, effizient mit der Software arbeiten können.

Whitepaper

Identity & Access Management für den Mittelstand

Erfahren Sie in diesem Whitepaper, welchen Funktionsumfang eine Software für Identity und Access Management für ein mittelständisches Unternehmen mitbringen muss.

Identity Access Management testen – Kontakt

Mit der tenfold-Testversion lernen Sie den vollen Funktionsumfang unserer Software kennen und erfahren, wie Sie Ihre Berechtigungen in Zukunft einfach und effizient managen können. Selbstverständlich ist dieser Test für Sie kostenlos und unverbindlich!

Verfasst von: Nele Nikolaisen

Nele Nikolaisen ist Spezialistin für Conversion-Content und Suchmaschinenoptimierung. Außerdem ist sie Bücherfreundin mit Thomas-Mann-Faible, Cineastin mit Horror-Spleen und leidenschaftliche Kuriositätensammlerin.