Was ist Identity & Access Management (IAM)?
Erfahren Sie mehr über Identity & Access Management (IAM) und entdecken Sie, wie Sie damit die Sicherheit für Unternehmensdaten und -ressourcen erhöhen.
IAM – Definition und Funktionen
Unabhängig vom Ort, an dem Menschen arbeiten, benötigen sie Zugriff auf Unternehmensressourcen wie Apps, Dateien und Daten. Früher war es üblich, dass die meisten Beschäftigten vor Ort arbeiteten, wobei Unternehmensressourcen hinter einer Firewall geschützt waren. Sobald Benutzer sich vor Ort angemeldet hatten, erhielten sie Zugriff auf die benötigten Ressourcen.
Mit dem heutigen Trend zum hybriden Arbeiten benötigen Arbeitskräfte jedoch sicheren Zugriff auf Unternehmensressourcen – ob sie nun vor Ort oder remote arbeiten. Hier kommt Identity & Access Management (IAM) ins Spiel. Die IT-Fachabteilung muss steuern können, worauf Benutzer zugreifen dürfen und worauf nicht. So bleiben vertrauliche Daten und Funktionen denjenigen Personen und Prozessen vorbehalten, die wirklich damit arbeiten müssen.
IAM bietet bestätigten Entitäten sicheren Zugriff auf Unternehmensressourcen wie E-Mails, Datenbanken, Daten und Anwendungen – im Idealfall mit minimalen Eingriffen. Der Zugriff soll so gesteuert werden, dass die richtigen Personen ihre Aufgaben erledigen können, während der Zugriff unbefugten Personen wie Hackern verwehrt bleibt.
Der sichere Zugriff beschränkt sich aber nicht nur auf Beschäftigte, die an Unternehmenscomputern arbeiten. Er umfasst auch Auftragnehmer, Lieferanten, Geschäftspartner und Personen, die private Geräte nutzen. IAM stellt sicher, dass jede berechtigte Person Zugriff erhält – zur richtigen Zeit auf dem richtigen Computer und mit der richtigen Berechtigungsstufe. Diese Tatsache und die Bedeutung für betriebliche Cybersicherheit machen IAM zu einem wichtigen Bestandteil moderner IT.
Mit einer IAM-Lösung können Unternehmen die Identität einer Person und die Berechtigungen für die angeforderte Ressource schnell und präzise verifizieren, und zwar bei jedem Zugriffsversuch.
Funktionsweise von IAM
Der sichere Zugriff auf Unternehmensressourcen wird durch zwei Maßnahmen sichergestellt: Identitäts- und Zugriffsverwaltung.
Die Identitätsverwaltung gleicht Anmeldeversuche mit der zugehörigen Datenbank ab. Darin werden fortlaufend alle Personen erfasst, die zugriffsberechtigt sind. Diese Informationen müssen ständig aktualisiert werden, z. B. wenn Mitarbeitende hinzukommen oder das Unternehmen verlassen, Rollen und Projekte sich ändern oder das Geschäftsfeld des Unternehmens größer wird.
Eine Datenbank für die Identitätsverwaltung enthält beispielsweise Namen und Positionen von Beschäftigten, Vorgesetzte, direkt unterstellte Mitarbeitende, Mobiltelefonnummern und persönliche E-Mail-Adressen. Man spricht von Authentifizierung, wenn personenbezogene Anmeldeinformationen wie Benutzername und Kennwort mit der zugehörigen Identität in der Datenbank abgeglichen werden.
Um die Sicherheit zu verstärken, verlangen viele Unternehmen, dass die Benutzer ihre Identität mit der so genannten Multi-Faktor-Authentifizierung (MFA) bestätigen. MFA wird auch als doppelte Bestätigung oder zweistufige Authentifizierung (2FA) bezeichnet und bietet mehr Sicherheit als die Verwendung eines Benutzernamens und Kennworts allein. Der Anmeldevorgang wird durch einen Schritt erweitert, bei dem der Benutzer seine Identität mit einer alternativen Nachweismethode bestätigen muss. Die Nachweismethoden basieren u. a. auf Mobiltelefonnummern und persönlichen E-Mail-Adressen. Für den alternativen Nachweis versendet das IAM-System in der Regel einen Einmalcode, den der Benutzer innerhalb einer bestimmten Zeitspanne in das Anmeldeportal eingeben muss.
Die Zugriffsverwaltung ist die zweite Komponente von IAM. Nachdem das IAM-System die Identität der Person oder des Prozesses, die Ressourcenzugriff anfordern, abgeglichen hat, kommt die Zugriffsverwaltung zum Einsatz. Sie ermittelt, für welche Ressourcen die Person oder der Prozess zugriffsberechtigt ist. Die meisten Unternehmen gewähren Ressourcen- und Datenzugriff auf unterschiedlichen Ebenen, die von Faktoren wie Position, Betriebszugehörigkeit, Sicherheitsstufe und Projektverantwortung abhängen.
Nach der Authentifizierung der Benutzeridentität findet die Autorisierung statt. Das heißt, der Identität wird die passende Zugriffsebene zugewiesen. IAM-Systeme zielen darauf ab, dass Authentifizierung und Autorisierung bei jedem Zugriffsversuch korrekt und sicher ablaufen.
Die Bedeutung von IAM für Unternehmen
IAM ist wichtig für die Cybersicherheit, weil IT-Abteilungen damit den richtigen Balancefaktor erzielen: Wichtige Daten und Ressourcen bleiben für die Allgemeinheit unzugänglich, während einige Personen Zugriff erhalten. IAM unterstützt die Umsetzung von Kontrollmaßnahmen, die Mitarbeitenden und Geräten sicheren Zugriff gewähren und gleichzeitig externen Personen den Zugriff erschweren oder ganz verwehren.
Ein weiterer wichtiger Grund für IAM liegt darin, dass Cyberkriminelle ihre Methoden ständig weiterentwickeln. Raffinierte Angriffe wie Phishing-E-Mails sind eine der häufigsten Quellen für Hackerangriffe und Datenpannen, die auf Benutzer mit gültigen Zugriffsberechtigungen abzielen. Ohne IAM lässt sich nur schwer steuern, welche Person bzw. welcher Prozess Zugriff auf die Unternehmenssysteme erhält. Sicherheitsverletzungen und Angriffe können sich schnell ausbreiten, da zugriffsberechtigte Personen zum einen schwer zu erkennen sind und Zugriffsrechte kompromittierten Benutzern nicht ohne Weiteres entzogen werden können.
Auch wenn es keinen perfekten Schutz gibt, bieten IAM-Lösungen eine sehr gute Möglichkeit, Angriffe zu verhindern und ihre Auswirkungen zu minimieren. Anstatt bei einer Datenpanne den Zugriff für alle zu beschränken, nutzen viele IAM-Systeme die KI-gesteuerte Erkennung und Eindämmung von Angriffen, bevor sie zu einem größeren Problem werden.
Vorteile von IAM-Systemen
Das passende IAM-System bringt Unternehmen zahlreiche Vorteile.
Das richtige Zugriffsniveau für die richtigen Personen
Durch die Möglichkeit, zentralisierte Regeln und Zugriffsrechte festzulegen und durchzusetzen, erleichtert ein IAM-System Benutzern den Zugriff auf benötigte Ressourcen – ohne die Offenlegung vertraulicher Informationen, die sie ohnehin nicht benötigen. Dieses Prinzip wird als rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) bezeichnet. RBAC ist eine skalierbare Methode, um den Zugriff auf Personen zu beschränken, die gemäß ihrer Rolle Zugriffsrechte benötigen. Die Rollenzuweisung erfolgt auf der Grundlage fester Berechtigungen oder eigens definierter Einstellungen.
Unbegrenzte Produktivität
Genauso wichtig wie die Sicherheit sind die Produktivität und das Benutzererlebnis. So vielversprechend die Implementierung eines komplizierten Sicherheitssystems sein mag, um Sicherheitsverletzungen zu verhindern, so frustrierend ist es für Benutzer, wenn die Produktivität durch wiederholte Anmeldungen und Kennworteingaben gebremst wird. Mit IAM-Tools wie Single Sign-On (SSO) und einheitlichen Benutzerprofilen können Sie Mitarbeitenden sicheren Zugriff über mehrere Kanäle wie lokalen Ressourcen, Clouddaten und Anwendungen von Drittanbietern gewähren – alles ohne wiederholte Anmeldung.
Schutz vor Datenpannen
Kein Sicherheitssystem ist perfekt, aber der Einsatz von IAM-Technologie verringert das Risiko von Datenpannen erheblich. IAM-Tools wie MFA, kennwortlose Authentifizierung und SSO bieten einen komplexeren Identitätsschutz als Benutzername und Kennwort allein, denn diese können vergessen, weitergegeben und gehackt werden. Eine IAM-Lösung verringert dieses Risiko durch erweiterte Benutzeranmeldeoptionen. Sie fügt dem Anmeldeprozess eine zusätzliche Sicherheitsebene hinzu, die nicht so leicht gehackt oder durch unzulässige Weitergabe kompromittiert werden kann.
Datenverschlüsselung
Einer der Gründe, warum IAM die Unternehmenssicherheit so wirksam erhöht, liegt darin, dass viele IAM-Systeme Verschlüsselungstools anbieten. Dies dient dem Schutz vertraulicher Informationen, die an das Unternehmen gesendet bzw. vom Unternehmen übermittelt werden. Funktionen wie der bedingte Zugriff ermöglichen IT-Administratoren zudem, Zugriffsbedingungen wie Angaben zu Geräten, Standorten oder Echtzeitrisiken festzulegen. Somit sind Daten auch bei einer Sicherheitsverletzung geschützt, da sie nur unter bestätigten Bedingungen entschlüsselt werden können.
Geringer manueller Aufwand für IT-Personal
Durch die Automatisierung klassischer IT-Aufgaben sparen IAM-Systeme den IT-Abteilungen Zeit und Arbeit, da Benutzer selbstständig Kennwörter zurücksetzen, Konten entsperren und Zugriffsprotokolle zur Anomalieerkennung überwachen können. So kann sich IT-Fachpersonal auf andere wichtige Aufgaben konzentrieren, wie etwa die unternehmensweite Umsetzung einer Zero-Trust-Strategie. IAM ist ein wesentlicher Baustein von Zero Trust, einem Sicherheitsframework, das auf den Prinzipien expliziter Überprüfung, geringstmöglichen Zugriffsberechtigungen und der Antizipierung von Sicherheitsverletzungen beruht.
Verbesserte Zusammenarbeit und Effizienz
Nahtlose Zusammenarbeit zwischen Mitarbeitenden, Anbietern, Auftragnehmern und Lieferanten ist unerlässlich, um mit dem Tempo der modernen Arbeitswelt Schritt zu halten. IAM unterstützt dieses Ziel, indem es für sichere sowie schnelle und einfache Zusammenarbeit sorgt. IT-Administratoren können außerdem rollenbasierte automatisierte Workflows entwickeln, um Genehmigungsprozesse für Rollentransfers und neue Mitarbeitende zu beschleunigen. Das spart Zeit beim Onboarding.
IAM und Compliancevorschriften
Ohne ein IAM-System muss ein Unternehmen jede einzelne Entität mit Systemzugriff sowie die Umstände und den Zeitpunkt des Zugriffs manuell nachverfolgen. Dies macht manuelle Audits zu einem zeit- und arbeitsaufwändigen Prozess. IAM-Systeme automatisieren diesen Prozess, indem sie Audits und die Berichterstellung schnell und einfach gestalten. Mithilfe von IAM-Systemen können Unternehmen bei einem Audit nachweisen, dass der Zugriff auf vertrauliche Daten ordnungsgemäß gesteuert wird – eine wichtige Voraussetzung für viele Verträge und Bestimmungen.
Audits sind nur ein Baustein für die Einhaltung bestimmter regulatorischer Anforderungen. Viele Vorschriften, Gesetze und Verträge erfordern die Governance des Datenzugriffs und die Datenschutzverwaltung, und genau darauf sind IAM-Lösungen ausgelegt.
Mithilfe von IAM-Lösungen lassen sich Identitäten bestätigen und verwalten, verdächtige Aktivitäten erkennen und Vorfälle melden. All dies ist wichtig, um Complianceanforderungen wie das Know-Your-Customer-Prinzip, Verdachtsmeldungen in Bezug auf verdächtige Transaktionen und die "Red Flags"-Regel zu erfüllen. Auch schreiben Datenschutzstandards wie die EU-Datenschutz-Grundverordnung (DSGVO) oder der Health Insurance Portability and Accountability Act (HIPAA) und der Sarbanes-Oxley Act in den USA strenge Sicherheitsbestimmungen vor. Mit dem richtigen IAM-System lassen sich all diese Anforderungen mühelos einhalten.
IAM-Technologien und -Tools
IAM-Lösungen und eine Vielzahl von Technologien und Tools ergänzen sich, um eine sichere Authentifizierung und Autorisierung auf Unternehmensebene zu ermöglichen:
- Security Assertion Markup Language (SAML) – SAML ist die Voraussetzung für SSO. Nachdem ein Benutzer erfolgreich authentifiziert wurde, benachrichtigt SAML andere Anwendungen darüber, dass der Benutzer als Entität bestätigt wurde. SAML ist deshalb so wichtig, weil es über verschiedene Betriebssysteme und Computer hinweg funktioniert und somit in verschiedenen Kontexten sicheren Zugriff gewährt.
- OpenID Connect (OIDC) – OIDC ergänzt das Autorisierungsframework 0Auth 2.0 durch einen Identitätsaspekt. Dabei werden Token mit Benutzerinformationen zwischen Identitäts- und Dienstanbieter ausgetauscht. Diese Token können verschlüsselt sein und Angaben wie Namen, E-Mail-Adresse, Geburtsdatum oder ein Foto des Benutzers enthalten. Token eignen sich besonders für Dienste und Apps, was OIDC für die Benutzerauthentifizierung in Onlinespielen, sozialen Medien und Apps interessant macht.
- System for Cross-Domain Identity Management (SCIM) – SCIM unterstützt Unternehmen bei der standardisierten Verwaltung von Benutzeridentitäten, da es für mehrere Anwendungen und Lösungen (Anbieter) eingesetzt werden kann.
Anbieter fordern unterschiedliche Informationen zu Benutzeridentitäten an. Mit SCIM ist es möglich, eine Benutzeridentität in einem IAM-Tool zu erstellen, das in die Anbieterlösung integriert ist. So wird dem Benutzer Zugriff gewährt, ohne dass er ein separates Konto anlegen muss.
IAM-Implementierung
IAM-Systeme wirken sich auf jede Abteilung und jeden Benutzer aus. Deshalb bedarf es vor der Implementierung einer sorgfältigen Planung, damit eine IAM-Lösung erfolgreich bereitgestellt werden kann. Es ist sinnvoll, zunächst die Anzahl der Benutzer zu ermitteln, die Zugriff benötigen, sowie die im Unternehmen verwendeten Lösungen, Geräte, Anwendungen und Dienste aufzulisten. Anhand dieser Listen lassen sich IAM-Lösungen vergleichen, um sicherzustellen, dass sie mit der IT-Umgebung des Unternehmens kompatibel sind.
Als Nächstes müssen die verschiedenen Rollen und Situationen definiert werden, die vom IAM-System abgedeckt werden müssen. Dieses Framework wird zur Architektur des IAM-Systems und bildet die Grundlage für die IAM-Dokumentation.
Ein weiterer wichtiger Aspekt der IAM-Implementierung ist die langfristige Roadmap der Lösung. Während das Unternehmen wächst und expandiert, ändern sich die Anforderungen an ein IAM-System. Durch eine zukunftsorientierte Planung wird sichergestellt, dass die IAM-Lösung auf die Unternehmensziele abgestimmt und auf langfristigen Erfolg ausgelegt ist.
IAM-Lösungen
Da der Bedarf an Lösungen für sicheren plattform- und geräteübergreifenden Ressourcenzugriff zunimmt, gewinnt IAM zunehmend an Bedeutung und Dringlichkeit. Unternehmen benötigen eine effektive Methode, um Identitäten und Berechtigungen auf Unternehmensniveau zu verwalten, was schließlich die Zusammenarbeit erleichtert und die Produktivität steigert.
Um den Sicherheitsstatus im Unternehmen zu stärken, empfiehlt sich die Implementierung einer IAM-Lösung, die sich in das bestehende IT-Ökosystem einfügt und Technologien wie KI nutzt, um IT-Administratoren die unternehmensweite Überwachung und Verwaltung des Zugriffs zu erleichtern. Um zu erfahren, wie Microsoft den sicheren Anwendungs- und Ressourcenzugriff, geschützte und bestätigte Identitäten, Zugriff nach dem Prinzip der geringstmöglichen Berechtigungen und einen einfachen Anmeldevorgang sicherstellt, sollten Sie sich über Microsoft Entra und weitere Microsoft Security-Lösungen informieren.
Weiterführende Informationen zu Microsoft Security
Microsoft Entra
Vertrauen Sie auf eine Reihe von Identitäts- und Netzwerkzugriffslösungen in Ihrer Multicloud-Umgebung, um Identitäten und Ressourcen zu schützen
Azure Active Directory
Schützen Sie Identitäten und Daten, und vereinfachen Sie gleichzeitig den Zugriff. Azure AD wird zu Microsoft Entra ID
Microsoft Entra ID Governance
Schützen, überwachen und prüfen Sie den Zugriff auf wichtige Ressourcen.
Microsoft Entra External ID
Ermöglichen Sie Kunden und Partnern den sicheren Zugriff auf beliebige Apps.
Microsoft Entra ID Protection
Blockieren Sie die Übernahme von Identitäten in Echtzeit.
Microsoft Security
Schützen Sie sich vor Cyberbedrohungen – mit einer Lösung für kleine, mittelständische und große Unternehmen sowie private Nutzer.
Häufig gestellte Fragen
-
Die Identitätsverwaltung bezieht sich auf die Verwaltung der Attribute, die dem Identitätsnachweis eines Benutzers dienen. Die Attribute sind in einer Datenbank für die Identitätsverwaltung gespeichert. Zu diesen Attributen zählen Name, Position, zugewiesener Arbeitsplatz, Vorgesetzter, direkt unterstellte Mitarbeitende und eine Nachweismethode, über die das System die vorgebliche Identität einer Person bestätigen kann. Die Nachweismethoden basieren u. a. auf Mobiltelefonnummern und persönlichen E-Mail-Adressen.
Durch die Zugriffsverwaltung wird geregelt, worauf der Benutzer nach der Identitätsüberprüfung zugreifen darf. Diese Zugriffssteuerungen basieren z. B. auf Rollen, Sicherheitsstufen, Qualifikationsgrad oder individuellen Einstellungen.
-
Durch die Identitäts- und Zugriffsverwaltung wird sichergestellt, dass nur die richtigen Personen Zugriff auf die Daten und Ressourcen eines Unternehmens erhalten. Es handelt sich um eine Cybersicherheitsmaßnahme, mit der IT-Administratoren den Zugriff auf Unternehmensressourcen einschränken können, sodass nur Personen mit entsprechendem Bedarf zugriffsberechtigt sind.
-
Ein Identitätsverwaltungssystem ist eine Datenbank, in der Identifizierungsmerkmale zu Personen und Geräten gespeichert sind, die Zugriff auf die Daten und Ressourcen eines Unternehmens benötigen. Die Datenbank enthält Attribute wie Benutzernamen, E-Mail-Adressen, Telefonnummern, Vorgesetzte, direkt unterstellte Mitarbeitende, zugewiesene Arbeitsplätze, Qualifikationsgrad und Sicherheitsstufe. Anhand dieser Attribute wird bestätigt, ob ein Benutzer die vorgebliche Identität besitzt. Ein Identitätsverwaltungssystem muss laufend aktualisiert werden, während Personen hinzukommen bzw. das Unternehmen verlassen, Rollen sich verändern sowie Projekte anlaufen oder abgeschlossen werden.
-
Die Software für die Identitäts- und Zugriffsverwaltung bietet Tools, mit denen Unternehmen die Identität von Personen und Geräten bei einem Anmeldeversuch bestätigen können. Sie stellt sicher, dass bestätigte Benutzer Zugriff auf die richtigen Ressourcen erhalten. Es handelt sich um eine zentrale Methode für den Identitätsnachweis, die Zugriffsverwaltung und die Meldung von Sicherheitsverletzungen.
-
IAM ist ein wichtiger Baustein für das Cloud Computing, denn heute reichen Benutzernamen und Kennwörter nicht mehr aus, um ein Unternehmen vor Sicherheitsverletzungen zu schützen. Kennwörter können gehackt, weitergegeben oder vergessen werden. Außerdem sind viele Unternehmen so groß, dass sie Zugriffsversuche nicht mehr manuell verwalten und überwachen können. Mit einem IAM-System können Sie ganz einfach Identitätsattribute auf dem neuesten Stand halten, den Zugriff rollenbasiert gewähren und einschränken sowie Anomalien und Sicherheitsverletzungen kennzeichnen.
Microsoft folgen