Security Tipps
Grafik: KeyIdentity
Ursachen für die Unzufriedenheit mit dem IAM
Grafik: KeyIdentity

Gastartikel – Amir Alsbih, KeyIdentity

Neues IAM-Modell MIRA schont Ressourcen

Wachsen Unternehmen, verkompliziert sich die Verwaltung von Zugriffsrechten massiv. Das lähmt die Organisation und treibt Kosten in die Höhe. Ab einer gewissen Anzahl von Accounts schleichen sich falsche Berechtigungen ein; geringe Compliance und erhöhte Risiken sind die Folge. Diesem Dilemma widmet sich IT-Security-Experte Amir Alsbih mit seiner Firma KeyIdentity. Sie entwickelten eine sichere, flexible und skalierbare Lösung, die sichere IT-Strukturen und personelles Wachstum in Einklang bringt.

Identity-Access-Management (IAM) umfasst das Management von Identitäten, deren Authentifizierung im Unternehmensnetzwerk sowie die Autorisierung, Aktivitäten in verschiedenen Systemen durchführen zu dürfen. IAM betrifft somit alle Benutzer. Wer stand noch nicht vor dem Problem, fehlende Zugriffsrechte auf digitale Assets bei der zuständigen IT-Stelle erfragen zu müssen? Wer wartete nicht schon tage- oder wochenlang auf die beantragte Berechtigung? Die Realität des Identity-Access-Managements spiegelt sich ganz offensichtlich im folgenden Beispiel: Durchläuft ein Azubi im Laufe der Ausbildung mehrere Abteilungen, erhält er mehr und mehr Rechte, die er kurze Zeit später gar nicht mehr benötigt. Dennoch bleiben sie ihm unverändert zugeteilt. Auch das Klonen von Sonderrechten ist gang und gäbe. Kontrollmechanismen greifen nur oberflächlich oder gar nicht, denn wenn niemand den Soll-Zustand kennt, lassen sich Abweichungen davon nicht identifizieren. Dass Mitarbeiter nach Abteilungswechsel oder Verlassen des Unternehmens weiterhin Berechtigungen behalten, ist keine Seltenheit. Dem Missbrauch von Informationen und Daten sind dann Tür und Tor geöffnet.

IAM am Scheideweg

Laut IDG-Studie Identity- & Access-Management 2017 setzten zum Erhebungszeitraum nur 38 Prozent der befragten Unternehmen eine softwaregestützte IAM-Lösung ein. Es existiert erheblicher Nachholbedarf. Der Zustand der eingesetzten IAM-Systeme weicht erheblich vom Optimum ab. Richtlinien fehlen gänzlich oder widersprechen sich, Begründungen für Zugangsrechte sind schlecht oder gar nicht dokumentiert. Zudem existieren mehrere Quellen der Wahrheit für Schlüsselinformationen, sodass beispielsweise einerseits SAP HR und andererseits Active Directory als tonangebend gilt. Admins kämpfen ferner mit schlechter Usability und Flexibilität von IAM-Tools. Das führt dazu, dass Mitarbeiter in großen Unternehmen Wochen oder Monate auf die Erteilung von Rechten warten. Da Betroffene in dieser Zeit trotzdem produktiv sein wollen, entsteht Schatten-IT. Dabei findet abseits standardisierter und nachvollziehbarer IT-Strukturen die Verteilung und Verarbeitung schützenswerter Daten statt. Durch dieses Massenphänomen landen Daten ungesichert in Cloud-Umgebungen, wie das Accenture-Beispiel zeigt. 

Struktureller Wandel

Die Arbeitswelt verändert sich: Teamarbeit kommt ein immer höherer Stellenwert zu. Zudem findet ein weiterer Strukturwechsel auf technischer Ebene statt. Die Halbwertzeit von Tools der Unternehmens-IT verkleinert sich zusehends, denn das Streben nach Effizienz und nach einer besseren Marktposition treibt die Entwicklung ausgefeilter Technologien an. Ein stetiger Wandel in den Zugriffsberechtigungen folgt daraus und überfordert konventionelle, technokratisch angelegte IAM-Systeme. Aufgrund der hohen Komplexität kümmern sich in Konzernen nicht selten bis zu 150 Personen um den IAM-Betrieb. Die Klarheit, wer warum welche Rolle besitzt und worauf Zugriff hat, geht im Laufe der Zeit und mit steigender Mitarbeiterzahl meist verloren. Eine HR-Position in einem großen Unternehmen besitzt nicht selten 50 Rollen. Es herrscht keine Transparenz über die Rollenvergabe, geschweige denn ein systematisches Verständnis. Laut Ergebnissen des Ponemon Instituts äußern sich 51 Prozent der befragten Angestellten in Unternehmen frustriert über die Form der Vergabe von Benutzerrechten. 42 Prozent glauben nicht an die Existenz einer praktischen Anwendung für dieses Dilemma. Die bisherige Verteilung, Zuordnung und Rezertifizierung von Zugriffsrechten bereitet Mühe, verwirrt und folgt keiner festen Struktur.

Managed Identity Role Access

Abhilfe schafft eine solide User Access Governance, die die Provisionierung und Deprovisionierung von Rechten nach einer transparenten und klaren Struktur automatisiert und darlegt, wer wann warum welche Rechte besitzt. Mit MIRA – Managed Identity Role Access – steht dem Markt ein innovatives und skalierbares Tool zur Verwaltung rollenbasierter Zugriffsrechte zur Verfügung, das mit traditionellen IAM-Lösungen bricht und vorhandene Schmerzpunkte angeht. Ob IAM-Manager, Rollenmanager, Benutzer, Vorgesetzte, Admins oder Auditoren – MIRAs Logik erschließt sich allen Benutzergruppen und vereint Transparenz, Flexibilität, Skalierbarkeit und einen hohen Automatisierungsgrad. Implementierung und Betrieb gehen mit vertretbarem Aufwand leicht von der Hand. 

Neuer semantischer Ansatz

Zu MIRAs Hauptaufgaben zählt, die Agilität der Unternehmensstruktur aufrechtzuerhalten. Hier zeigt sich der innovative Ansatz: Entscheider definieren jede Rolle genau einmal. Sie entsteht durch die Zuordnung einer Reihe von Aktivitäten. Die Rolle "Entwickler" umfasst so zum Beispiel Aktivitäten zum Schreiben von Code, Testen und Bereitstellen desselbigen. Die Kombination der Rolle mit dem Team führt für den Benutzer zur Bereitstellung der Zugriffsrechte auf die richtigen Assets. Im konservativen Modell müsste ein Administrator die Rolle manuell anlegen und provisionieren. Im nichttechnokratischen Modell vergibt das System die Berechtigung automatisch entsprechend der Aktivitäten. Das Vier-Augen-Prinzip bleibt zur Kontrolle gewahrt, denn sowohl Teamleiter als auch Vorgesetzter erteilen oder verweigern die Genehmigung. MIRA verfolgt das Konzept der minimalen Berechtigungsverteilung und vermeidet toxische Kombinationen: Die Kombination von Autorisierungen, wie Kreditorenrechnung erfassen und Zahlung veranlassen, wird beispielsweise ausgeschlossen. Je nach Branche herrschen unterschiedliche Rollenverteilungen, denn nicht jede Firma beschäftigt zum Beispiel einen Forschungsleiter. Doch etwa 80 Prozent aller Strukturen sind vorhersagbar und für die restlichen Positionen erarbeitet das IAM-Team schlüssige Rechte-Muster. Im Rahmen der Rezertifizierungsprozesse bestätigen oder modifizieren Manager schnell und nachvollziehbar die Vergabe von Zugangsrechten. 

Fuß von der Bremse

MIRA reduziert die Komplexität und den Personalbedarf in IT-Abteilungen, arbeitet zielgerichtet und effektiv. Eine potenzielle Kostenersparnis von bis zu 20 Prozent kann durch Einführung eines zukunftsfähigen, agilen IAMs gelingen. Die IT-Personalkosten sinken und die unproduktiven Zeiten, in denen User auf Berechtigungen warten, gehören der Vergangenheit an. Vorher gebundene Admins stellt das Modell frei für Aufgaben mit realem Mehrwert. Wenn ein IAM-System Bremsklotz-Attitüden ablegt, arbeitet es im Einklang mit dem betrieblichen Wachstum!

Dr. Amir Alsbih ist CEO von KeyIdentity und spezialisiert auf Identity- und Access-Management-Lösungen. Der Doktor der Ingenieurwissenschaften im Fach Informatik und ehemalige IT-Sicherheitschef der Haufe Gruppe hat über 15 Jahre Berufserfahrung in der IT-Security-Branche. An der Albert-Ludwigs-Universität Freiburg lehrte er angewandte Informationssicherheit und IT-Forensik.

Mehr Artikel zum Thema: Security Tipps

Mit CASB sicher in der Cloud

Cloud Computing boomt. Die Vorteile der Wolke sprechen für...

Weiterlesen

Marx macht die Cloud sicherer

Irene Marx steigt ab sofort als Area Manager Alpine beim...

Weiterlesen

Freundsberger folgt auf Marx

Cyber-Security-Anbieter Fortinet hat einen neuen...

Weiterlesen

6 Schritte zur Automatisierung mit RPA

Im digitalen Zeitalter kämpfen immer noch viele Unternehmen...

Weiterlesen

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen

Security ist nichts Starres

Welche Bedrohungen der IT-Sicherheit stehen bei...

Weiterlesen

Sieben IT-Risiken, an die niemand denkt

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen

Management von Hybrid- und Multi-Cloud: Hürden erfolgreich nehmen

Alle Daten in die Public Cloud auslagern? Das war vor gut...

Weiterlesen

So funktioniert erfolgreiche Führung

Im Leadership-Training von Austrian Standards vermittelt die...

Weiterlesen

Chatbots – Digitale Assistenten als Umsatztreiber

Chatbots verändern das Service-Management und Marketing im...

Weiterlesen

"Unsere Krypto-Software muss sicher und zuverlässig sein"

Kryptowährungen spielen eine immer größere Rolle, sind daher...

Weiterlesen

Zugriff verweigert. Bitte geben Sie ihr Passwort ein.

Citrix Austria Country Manager Wolfgang Mayer über den...

Weiterlesen

Modernes Arbeiten - Quo vadis?

Modernes Arbeiten ist zum Schlagwort unserer Arbeitswelt...

Weiterlesen

Automation Voraussetzung für Cloud-Erfolg

Automation ist der entscheidende Faktor, der den...

Weiterlesen

Stress führt zum Datentod

Laut einer Umfrage der Datenretter von Kroll Ontrack sind...

Weiterlesen

Konica Minolta lädt zum OPEN House

Konica Minolta lädt zum Tag der offenen Tür. Den Start macht...

Weiterlesen

Managed Security vs. Crime as a Service

IT-Sicherheit ist nicht rein digital, sondern hat auch...

Weiterlesen

it-sa mit neuen Rekorden

Die it-sa verzeichnet zur diesjährigen zehnten Ausgabe neue...

Weiterlesen

Max Schrems: "Fehlinterpretationen der DSGVO"

Die Datenschutzbehörde ist seit dem "Startschuss" für die...

Weiterlesen