Was ist Identity Governance & Administration (IGA)?
Die Begriffe Identity bzw. Access Governance werden oft synonym zur automatischen Benutzerverwaltung und IAM verwendet. Wir erklären die Unterschiede und Gemeinsamkeiten der Konzepte.
Was bedeutet Identity Governance & Administration?
Rund um die Berechtigungsverwaltung im IT-Kontext kursieren viele ähnliche Begriffe: Identity Management, Access Management, Identity & Access Governance, Identity Governance & Administration. Da fällt es schwer, den Überblick zu behalten. Insbesondere, da verschiedene Anbieter für diese Konzepte teils unterschiedliche Definitionen verwenden. Deshalb zur Abgrenzung:
Identity Management bezeichnet die Verwaltung digitaler Identitäten und befasst sich unter anderem mit Aufgaben wie dem Anlegen von Benutzern, der sicheren Authentifizierung und dem Lebenszyklus von Konten.
Access Management dient der Steuerung von IT-Zugriffsrechten und umfasst Elemente wie die automatische Provisionierung von Berechtigungen oder zentrales Reporting von Privilegien.
Identity Governance & Administration beschreibt die Prozesse und Richtlinien, die dafür sorgen, dass jeder Benutzer nur notwendige und vorgesehenen Rechte erhält. Dazu zählen etwa Berechtigungskonzepte, Rollenmodelle und regelmäßige Audits.
Der Unterschied zwischen Identity & Access Management (IAM) und Identity Governance & Administration (IGA) lässt sich also wie folgt zusammenfassen: IAM liefert den mechanischen Unterbau, welcher die Automatisierung der Berechtigungsprozesse ermöglicht, während IGA die Richtlinien und logischen Werkzeuge bereitstellt, um die Berechtigungsvergabe in die richtigen Bahnen zu lenken.
Wäre die Berechtigungsvergabe ein Auto, dann könnte man vereinfacht sagen: Identity und Access Management entspricht Motor und Getriebe, welche das Fahrzeug vorwärts bringen, wohingegen Identity Governance und Administration sich mit Lenkung und Fahrsicherheitsfeatures vergleichen lässt, die einen sicher ans gewünschte Ziel bringen.
Der Vergleich zeigt auch: IAM und IGA sind keine gegensätzlichen Konzepte, sondern eng miteinander verknüpft. In Lösungen für das Identity und Access Management decken daher in der Regel auch wichtige Governance-Funktionen enthalten, z.B. Rollenmodelle, Funktionstrennung und Berechtigungs-Audits ab.
Identity und Access Management (IAM) wird meist als gemeinsames Aufgabenfeld zusammengefasst. Näheres zum Unterschied von Identity Management und Access Management.
Warum braucht es Identity Governance & Administration?
Moderne Unternehmen verarbeiten eine enorme Menge sensibler Daten, von Kundendaten und Zahlungsinformationen bis hin zu den persönlichen Daten ihrer Mitarbeiter. Um Datenlecks und Datendiebstahl zu verhindern sowie gesetzliche Vorgaben zu erfüllen, ist es daher entscheidend, den Zugriff auf sensible Daten genau zu steuern.
Zum Beispiel schreibt die DSGVO vor, dass personenbezogene Daten nur zweckgebunden und nur von einem möglichst kleinen Kreis an Usern mit berechtigtem Interesse verarbeitet werden dürfen. Dieses Konzept der Minimierung der Zugriffsrechte, auch als Least Privilege Prinzip bekannt, ist Teil vieler Sicherheitsstandards und gesetzlicher Vorgaben, darunter etwa ISO 27001 und NIS2, sowie branchenspezifische Regularien wie BAIT und TISAX.
Identity Governance & Administration versetzt Unternehmen in die Lage, diese Sicherheitsanforderungen und gesetzlichen Vorschriften zu erfüllen. Ohne eine entsprechende Compliance-Lösung sind Unternehmen nicht nur mit unüberwindbarem Aufwand durch die manuelle Verwaltung tausender Konten und Zugriffsrechte konfrontiert. Der Nachweis der Compliance ist schlicht unmöglich, wenn Werkzeuge für zentrales Reporting und Audits fehlen.
Was sind die Bestandteile von Identity Governance & Administration?
Um sicherzustellen, dass jeder IT-User im Unternehmen nur für seine Funktion notwendige Berechtigungen erhält, liefern Lösungen für Identity Governance & Administration Werkzeuge für die automatisierte Vergabe und Kontrolle von Rechten. Dazu zählen insbesondere:
Rollenmodell: Die Berechtigungsvergabe anhand von Rollen bzw. Role-Based Access Control sorgt dafür, dass Benutzer die für ihre Funktion vorgesehenen Privilegien erhalten und auch wieder verlieren, wenn sich ihre Position im Unternehmen verändert. Dazu legt die Organisation zunächst Standardrechte für unterschiedliche Aufgabenbereiche fest. Diese Geschäftsrollen orientieren sich an der Organisationsstruktur und Faktoren wie Abteilung oder Standort. Das IGA-System weist Benutzern nun automatisch die zu ihrer Rolle passenden Rechte zu und entfernt diese bei Bedarf auch wieder.
Rezertifizierung: Trotz der automatischen Vergabe von Standardrechten sind regelmäßige Audits zur Rezertifizierung von Berechtigung entscheidend für die Einhaltung der Compliance. Berechtigungsaudits, auch als User Access Reviews bezeichnet, dienen einerseits der Vermeidung von Fehlern und andererseits der Kontrolle individueller Zusatzrechte, die Mitarbeiter etwa für kurzzeitige Vertretungen und Projekte mit anderen Abteilungen erhalten. Die wiederkehrende Überprüfung stellt sicher, dass nicht mehr benötigte Rechte zeitnah entfernt werden.
Funktionstrennung: Unter Funktionstrennung bzw. Segregation of Duties versteht man die Vorgabe, dass Personen im Unternehmen keine unvereinbaren Berechtigungen innehaben dürfen. Insbesondere müssen unabhängige Kontrollen und die Einhaltung des Vier-Augen-Prinzips in wichtigen Geschäftsbereichen gewährleistet sein. Ist ein Mitarbeiter zum Beispiel gleichzeitig für die Anlage von Bestellungen und die Kontrolle des Wareneingangs verantwortlich, kann dies zu Missbrauch führen. Die Funktionstrennung lässt sich einerseits über Rollenmodelle und Audits abbilden, darüber hinaus bietet IGA jedoch auch Werkzeuge gegen Berechtigungskonflikte wie z.B. das Festlegen unvereinbarer Rechte.
Identity Governance für den Mittelstand: einfach, effizient & ausgereift
Die Anforderungen an Datenschutz und IT-Sicherheit steigen stetig, ebenso wie die Bedrohung durch Cyberangriffe und Ransomware. In der Folge wird das Thema Identity Governance & Administration für immer mehr Organisationen relevant, insbesondere mittelständische Firmen die in den Fokus neuer Regelwerke wie NIS2 rücken.
Das Problem an der Sache? Gängige IGA-Lösungen sind nicht für den Mittelstand ausgelegt. Durch ihren enormen Arbeitsaufwand übersteigen Enterprise-Systeme die IT-Kapazitäten mittelständischer Organisationen. Stattdessen braucht es einfache Governance-Lösungen, welche die konforme Verwaltung mit minimalem Aufwand ermöglichen.
Einfache, effizient und funktionsstark: Genau das sind die Vorteile, mit denen tenfold die unabhängigen IGA-Experten des Analystenhauses KuppingerCole von sich überzeugt hat. Laden Sie sich jetzt den vollständigen Analystenbericht herunter, um sich selbst ein Bild der Stärken und Schwächen unserer Lösung zu machen. Ihr Download wartet bereits auf Sie!
KuppingerCole Executive View
Das Analystenhaus KuppingerCole hat tenfold im Rahmen eines unabhängigen Expertenberichts ausführlich getestet. Lesen Sie den vollständigen Report.