Schlechtes Identitätsmanagement führt regelmäßig zu Datendiebstählen. Angreifern gelingt es dabei, in den Besitz von Zugangsdaten zu kommen oder sich für jemand anderes auszugeben. Denn bei jeder Anmeldung an einem System stellt sich die entscheidende Frage: Sind Sie derjenige, der Sie vorgeben zu sein?
Helpdesk-Mitarbeiter kennen das: Ein Abteilungsleiter ruft an und bittet darum, dass sein neuer Mitarbeiter sofort alle notwendigen Zugriffsrechte bekommt. Niemand hat vorab daran gedacht, dass der neue IT-Kollege am ersten Tag nicht nur einen Arbeitsplatz, sondern auch einen Account mit Zugriffsrechten benötigt. Nun wird hektisch und überstürzt alles eingerichtet, und weil vielleicht sein Aufgabenumfang noch gar nicht klar ist, erhält er erst mal alle möglichen Zugriffsrechte. Später denkt allerdings niemand daran, die Rechte anzupassen und schließlich weiß niemand mehr genau, warum er welche Rechte überhaupt erhalten hat.
Unkontrollierte Vergabe von Zugriffsrechten
Ebenso häufig kommt es vor, dass ein Mitarbeiter oder eine Mitarbeiterin die Abteilung wechselt oder auf eine andere Position versetzt wird. Die bisherigen Zugriffsrechte nehmen die Personen dabei zumeist mit, auch wenn diese gar nicht mehr benötigt werden. Scheiden Mitarbeiter aus dem Betrieb aus, werden häufig die Zugangsrechte nicht entfernt, allein schon deswegen, weil zuständige Administratoren über solche Veränderungen im Unternehmen sehr oft nicht informiert werden.
Diese Beispiele zeigen, dass das Management digitaler Identitäten und die Verwaltung von Benutzerdaten für viele Unternehmen eine große Herausforderung darstellt. Es fehlt ein Überblick, wer welche Rechte benötigt. Über die Zeit ist in vielen Firmen aus unkoordinierter Account- und Rechtevergabe ein regelrechter Wildwuchs erwachsen. Die Vereinheitlichung und Zusammenführung der an unterschiedlichen Orten gespeicherten Zugangsdaten und -rechte wird dann zu einem aufwendigen Vorhaben.
Identity and Access Management verhindert Wildwuchs
Unternehmen setzen deshalb zunehmend Systeme für das Identitäts- und Zugriffsmanagement (Identity and Access Management, kurz IAM) ein. Eine Identität ist eine Sammlung von personenbezogenen Attributen, die eine individuelle Person identifiziert. Entsprechend den verschiedenen Aufgaben des Mitarbeiters kommen noch mehrere Rollen hinzu. Ein Rollenwechsel, etwa durch den Abteilungswechsel eines Mitarbeiters, muss mit einem Wechsel der Zugriffsrechte einhergehen. Um diese Entitäten zusammenzuführen, sind IAM-Systeme sehr hilfreich. Ein IAM sorgt dafür, dass personenbezogene Daten konsistent, aktuell und zuverlässig bereitgestellt werden können. Ein Identity-Management-System benötigt in einem Unternehmen viele Schnittstellen, etwa zum sogenannten Access Management, das beispielsweise für Portale die Zugriffsrechte verwaltet, Single Sign-on (SSO) ermöglicht oder Security Policies verwaltet.
IAM-Einführung ist aufwendig
Doch die Einführung eines IAM sollte nicht unterschätzt werden, es ist ein aufwendiges Vorhaben. Entgegen diverser Werbebotschaften sehen Experten den Aufbau eines funktionalen IAM-Systems als langfristige Aufgabe, die durchaus ein mehrjähriger Prozess sein kann. Am Anfang steht eine Analyse der Prozesse: Wer muss auf was zugreifen? Schon diese Frage stellt die meisten Unternehmen vor große Herausforderungen, doch die Antworten sind nicht nur für das Thema Zugriffssteuerung relevant. Abteilungen wie Personalwesen oder Buchhaltung sollten nicht vergessen werden. Der Trend zur Telearbeit verursacht durch Corona sowie die damit einhergehende zunehmende Cloud-Nutzung verschärft die Problematik
zusätzlich. Policies, also Richtlinien, sind elementarer Bestandteil eines IAM, allen voran eine Passwort-Policy. Auch die Verknüpfung der Rollen mit Pflichten, Verantwortungen, Privilegien und Rechten für den Zugriff auf Ressourcen bildet ein wesentliches Policy-Element.
Oft wird vergessen, auf Bedenken und Anliegen der Betroffenen zu hören. Werden diese aber nicht eingebunden, entstehen Probleme, weil beispielsweise Arbeitsprozesse übersehen wurden. Betroffene helfen sich dann selbst und versuchen, Zugriffsbeschränkungen zu umgehen oder nutzen Rechte von Kollegen. Dadurch entstehen neue Sicherheitsprobleme und die Vorteile eines IAM werden zunichtegemacht.
Autor: Uwe Sievers
