Adnovum: IAM-Strategie – Wie Sie sie mit Identity Fabrics optimieren
Digitale Identitäten sind heute Alltag und eine zunehmende Herausforderung für die Sicherheit von Unternehmen. Ein klassisches IAM gilt zwar als wirksame Sicherheitsmassnahme, vermittelt aber keinen Überblick über das grosse Ganze. Genau hier kommen Identity Fabrics ins Spiel.
Von Olivier Pallière, Principal IAM Engineer, Adnovum und Christian Egli, IAM Architect, SBB
Im Jahr 2024 ist die Prüfung der digitalen Identität zu einem festen Bestandteil unserer Online-Aktivitäten geworden, sei es beim einfachen Kauf von Schuhen oder bei komplexen Geschäftsvorgängen. Klassische Ansätze für das Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) tun sich jedoch schwer, mit den Anforderungen einer nahtlosen Migration, verschiedenen Identitätsquellen und unterschiedlichen Arbeitsabläufen Schritt zu halten. Es ist deshalb höchste Zeit für Unternehmen, auf eine bahnbrechende Lösung zu setzen: Identity Fabrics.
In diesem Artikel führen wir die wichtigsten Anzeichen auf, die Ihnen zeigen, wann die Zeit reif ist, in Ihrem Unternehmen eine Identity Fabric einzuführen. Wir zeigen ebenso, wie das gelingt. Wir gehen nicht nur auf die Motivation, die Herausforderungen und die Vorteile ein, die mit einer Identity Fabric verbunden sind. Wir vermitteln auch ein gutes Verständnis der besonderen Merkmale, die Identity Fabrics von klassischen IAM-Lösungen unterscheiden.
Was ist eine «Identity and Access Management»-Strategie?
Eine «Identity and Access Management»-Strategie bildet einen strukturierten Rahmen für Richtlinien, Prozesse und Technologien, die Unternehmen einsetzen, um digitale Identitäten und deren Zugriffe auf Unternehmensressourcen zu verwalten.
In der zunehmend digitalen Welt ist IAM ein wichtiges Sicherheitselement für ein Unternehmen. Denn es hilft, sensible Daten und Systeme vor unbefugtem Zugriff zu schützen. Bekanntlich sind kompromittierte Anmeldedaten von Benutzern das häufigste Ziel von Angreifern.
Eine IAM-Strategie besteht aus den folgenden Schlüsselkomponenten bzw. Säulen:
- Authentifizierung
Bei der Authentifizierung wird eine Identität überprüft. Das geschieht in der Regel anhand von Anmeldedaten wie Benutzername und Passwort. Heute wird sie durch zusätzliche Faktoren zur Multi-Faktor-Authentifizierung ergänzt. - Autorisierung
Bei der Autorisierung wird den Benutzerinnen der Zugriff auf die Ressourcen gewährt, die sie benötigen, um ihre Aufgaben und Zuständigkeiten wahrzunehmen. - Zugangsverwaltung
Zugangsverwaltung oder Access Management beschreibt die fortlaufende Überwachung und Verwaltung von Benutzerberechtigungen. Sie umfasst nicht nur die Gewährung und den Entzug von Zugriffsrechten, sondern auch die Überprüfung der Benutzeraktivitäten, um mögliche Sicherheitsrisiken zu erkennen und zu mindern. - Identity Governance
Identity Governance bedeutet, dass Identitäten während ihres gesamten Lebenszyklus verwaltet und gepflegt werden, vom Onboarding bis zum Offboarding. Dazu gehören die Bereitstellung und der Entzug von Zielkonten, die Verwaltung von Benutzerattributen sowie die Gewährleistung, dass die Benutzerinformationen im IAM-System stets korrekt und aktuell sind.
Eine IAM-Strategie hat erhebliche Vorteile: z.B. verringert sie das Risiko von Datenschutzverletzungen, verbessert so die Compliance, dank der Automatisierung die Effizienz und letztlich die Produktivität.
Wie entwickelt man eine IAM-Strategie?
Wie bei allen Elementen der Unternehmensarchitektur erfolgt auch die Entwicklung einer IAM-Strategie in einem iterativen Prozess. Er sollte aus den folgenden Schritten bestehen:
- Definieren Sie Ihre IAM-Ziele
Definieren Sie die Ziele, die das Unternehmen erreichen will, sowie die spezifischen Anforderungen an die Einhaltung von Vorschriften und an die Sicherheit. Ebenso, wie diese sich in die allgemeine Sicherheitslage und das Risikomanagement des Unternehmens einfügen sollen. - Machen Sie eine Bestandesaufnahme aller Assets
Ermitteln Sie dazu Ihre Vermögenswerte («Assets»), Anwendungen, Dienste und Datenspeicher. - Ermitteln Sie Ihre Nutzerinnen und Nutzer
Bestimmen Sie, wer auf welche Assets zugreifen muss, und kategorisieren Sie die Nutzerinnen anhand ihrer Rollen und Verantwortlichkeiten. Die Nutzerinnen sind nicht auf Mitarbeiter oder eine bestimmte Personengruppe beschränkt. Es kann sich auch um Partner, externe Mitarbeiter oder Kunden handeln, die alle unterschiedliche Bedürfnisse aufweisen. Identitäten für technische Nutzer fallen ebenfalls darunter. Diese machen einen grossen Teil der Identitätsdaten aus, die verwendet werden in einer Applikation mit Mesh-Architektur, bei der die Dienste sicher kommunizieren müssen. - Definieren Sie die IAM-Funktionen
Definieren Sie auf der Grundlage Ihrer Benutzerinnen und Assets die Funktionen, die Ihr Unternehmen benötigt, um die gesteckten Ziele zu erreichen. - Erstellen Sie einen Plan für die Einführung
Der Plan dient als Wegweiser für die Integration der Technologien, die zu Ihren Anforderungen passen. - Setzen Sie die Strategie um
- Analysieren Sie die Wirksamkeit der Strategie, passen Sie sie an und fahren Sie mit der Umsetzung fort.