Weshalb Sie eine IAM-Lösung benötigen…

Die Nachfrage nach Identity-&-Access-Management-Lösungen (IAM) hat in den vergangenen Jahren stark zugenommen, und es ist kein Ende in Sicht. Das Marktforschungsinstitut „MarketsandMarkets“ geht davon aus, dass sich der IAM-Markt von 2022 bis 2027 auf 25,6 Mrd. Dollar nahezu verdoppeln wird. Laut einer Studie von „Forrester Research“ wird ein großer Teil der Investitionen dabei in Cloud-IAM-Lösungen erfolgen. Das zeigt sich auch daran, dass vier von fünf IT-Verantwortlichen bereits ein cloudbasiertes Identity & Access Management eingerichtet haben oder dies in den kommenden zwei Jahren planen. Aber ist der Wechsel in die Cloud der Hauptgrund für das Wachstum im Bereich IAM, oder gibt es weitere Katalysatoren? Und weshalb sollte auch Ihre Organisation eine Identity-&-Access-Management-Strategie haben? In diesem Blogartikel wollen wir beleuchten, welche Gründe für eine IAM-Lösung sprechen können.

Identity & Access Management

Tools4ever ist seit mittlerweile über 20 Jahren ein etablierter Anbieter rund um das Identity & Access Management. Seitdem konnten wir beobachten, dass sich die Entscheidungsgründe für ein IAM geändert haben. Zunächst finden wir es jedoch wichtig, zu definieren, was eine IAM-Lösung ist:

Das Identity & Access Management umfasst Prozesse, Regeln und Systeme zur einheitlichen und sicheren Verwaltung der digitalen Identität von Nutzern in (hybriden-) Netzwerkumgebungen.

In diesem Sinne fasst es unterschiedliche Technologien wie Benutzereinrichtung, Service Automation und Zugangsmanagement zusammen. Diese wiederum nutzen Konzepte wie Identity Lifecycle Management, Workflow Management, Single Sign-On etc. Mit einem Identity & Access Management stellen Organisationen sicher, dass bestimmte Anwender zum richtigen Zeitpunkt berechtigten Zugriff auf genau definierte Anwendungen und Daten erhalten – dank Identifizierung, Authentifizierung und Autorisierung. Vor dem Zugang zu einem System müssen Anwender sich mit ihrem Benutzernamen identifizieren. Anschließend wird im Authentifizierungsprozess, z. B. über Passwort oder Token, überprüft, ob der Anwender die „Autorisierung“ für den Zugriff auf die gewünschten Informationen hat.

Wozu eine IAM-Lösung?

In der Definition von IAM spielen die Attribute „sicher“ und „einheitlich“ eine grundlegende Rolle. Vor allem die Vereinheitlichung hat schon zu umfangreichen Effizienzgewinnen und Kostensenkungen geführt. Aufgrund strengerer gesetzlicher Vorgaben ist aber auch der Compliance- und Sicherheitsaspekt immer wichtiger geworden. Den beiden Aspekten „sicher“ und „einheitlich“ widmen wir uns im Folgenden genauer und untersuchen, welche Herausforderungen dabei bestehen.

Effizienz und Kostensenkung

In einer Organisation werden oft unterschiedlichste Anwendungen genutzt, sowohl lokal installiert als auch in der Cloud, und mit jeweils eigenen Schnittstellen und Protokollen. Da die Anzahl der Cloud-Anwendungen stetig zunimmt, wird die Integration und Umsetzung organisationsübergreifender Sicherheitsmaßnahmen für die IT-Abteilung immer herausfordernder: Nahezu jede Anwendung hat eine eigene Benutzerverwaltung. So entstehen zahlreiche Identitäten-Silos. Und für IT-Abteilungen ist die Verwaltung dieser Benutzerkonten und Berechtigungen oft eine manuelle, fehleranfällige und zeitintensive Tätigkeit. Dies wirkt sich in Form negativer Benutzererlebnisse und geringerer Produktivität auf die Organisation aus.

Manuelle Anpassungen

Neue Mitarbeiter benötigen Benutzerkonten für zahlreiche Systeme und Anwendungen, jeweils mit entsprechenden Berechtigungen für ihre Rollen. Aber das ist nicht alles. Ändern sich die Aufgaben oder Funktionen eines Mitarbeiters, dann müssen auch die Berechtigungen erweitert oder angepasst werden. Und nicht zu vergessen: Manche Rechte sollten auch wieder entzogen werden, um eine „Rechteanhäufung“ zu vermeiden. Oder ändern sich persönliche Angaben durch eine Heirat? Wird ein abteilungsübergreifendes Projekt eingerichtet, das den temporären Zugriff auf Finanzdaten erfordert, der anschließend unbedingt wieder entzogen werden sollte? Ein weiteres häufiges Szenario sind Mitarbeiter, die die Firma verlassen, woraufhin alle zugehörigen Benutzerkonten und -rechte entfernt werden sollten.

Dies sind einige Beispiele für Situationen, die eine Anpassung der Benutzerkonten und -berechtigungen erfordern. Solche Anpassungen müssen stets korrekt und vor allem unmittelbar erfolgen. Dabei sind viele Ebenen und Informationsflüsse zu beachten: von der Vorgesetzten, der einen Bewerber einstellt, über die Personalabteilung, die die Daten ins HRM-System eingibt, bis zur IT-Abteilung, die sich um die erforderliche IT-Ausrüstung kümmert. Solch komplexe Prozesse lassen sich nur äußerst schwierig effizient und effektiv ausführen, wenn sie manuell erfolgen.

Beeinträchtigung von Benutzerfreundlichkeit und Produktivität

Für Ihre Mitarbeiter ist eine solche manuelle Änderungsverwaltung gleichbedeutend mit einem negativen Benutzererlebnis. Gerade in Zeiten, wo gute Mitarbeiter schwer zu bekommen sind, sollte das Onboarding reibungslos verlaufen, um die Produktivität ab dem ersten Tag zu garantieren. Wenn es zu lange dauert, bis Mitarbeiter auf die erforderlichen Informationen für ihre Tätigkeiten zugreifen können, oder wenn sie mit einer großen Vielzahl an Benutzerkonten und Anmeldedaten konfrontiert sind, führt dies zu Frustration und verminderter Leistungsfähigkeit. Mit einer händischen Benutzer- und Autorisationskontrolle ist es enorm schwer, einerseits effiziente IT-Prozesse und ein gutes Benutzererlebnis zu gewährleisten, andererseits aber keine Abstriche bei der Sicherheit und Zugriffskontrolle zu machen.

Zu viele Helpdesk-Tickets

Eine Untersuchung von Gartner ergab, dass 30–50 % aller Helpdesk-Anfragen vergessene Passwörter und die Aktivierung von Benutzerkonten betreffen. Diese relativ simplen, repetitiven Aufgaben beanspruchen enorm viel Zeit im Servicecenter und können durchaus mit 40 € Kosten pro Ticket zu Buche schlagen. Und solange das Problem noch nicht behoben ist, kann der betroffene Mitarbeiter seiner Arbeit nicht nachgehen. Aufs Jahr gerechnet entstehen dadurch hohe Kosten für die IT-Abteilung und die gesamte Organisation. Die Schuld lässt sich allerdings kaum den Mitarbeitern zuweisen, denn wer kann sich wirklich Dutzende verschiedene Benutzernamen und Passwörter merken, die mindestens 8 Zeichen haben müssen, aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen und darüber hinaus regelmäßig geändert werden sollen – und das auf verschiedenen Endgeräten?

Eine weitere häufige Ursache für Anfragen beim IT-Helpdesk sind Probleme mit Berechtigungen: Jemand hat keinen Zugriff auf eine bestimmte Anwendung. Oder jemand hat zwar Zugriff, aber nicht genügend Berechtigungen in der Anwendung. Oder für die  Mitarbeit an einem Projekt wird eine Netzwerkfreigabe benötigt. 90 % dieser Anfragen landen beim Helpdesk, denn man weiß doch, dass die „dafür zuständig“ sind. Nur woher weiß der Helpdesk, ob eine Anfrage ausgeführt werden darf, oder ob die Person am Telefon tatsächlich die anfragende Person ist? Da müssen zunächst die Vorgesetzten gefragt werden. Dann vergeht Zeit, bis die Anfrage bestätigt ist, dies im IT-Service-Management erfasst ist, anschließend der Mitarbeiter informiert wird und schließlich die zulässigen Berechtigungen erteilt werden können. Dieser gesamte Prozess ist fehleranfällig und zeitintensiv.

Teure Softwarelizenzen

Etwa ein Drittel des durchschnittlichen IT-Budgets wird für On-Premise- und SaaS-Softwarelizenzen aufgewendet. Dazu zählen teure Expertenanwendungen wie Microsoft Visio oder Adobe Creative Suite. Diese Lizenzen werden üblicherweise auf Einzelanwenderbasis berechnet. Es ist jedoch belegt, dass jedes Jahr Lizenzbeträge in Milliardenhöhe verfallen. Dass hier ein großes Potential an Kosteneinsparungen liegt, indem nur die benötigten Lizenzen verteilt werden, liegt auf der Hand. Auch bei Software, die nur sporadisch genutzt wird, kann eine IAM-Lösung sehr nützlich sein, indem eine Zugangsberechtigung immer nur temporär erteilt und anschließend wieder entzogen wird.

Compliance-Vorgaben, Gesetze und Rechtsvorschriften

Die gesetzlichen Vorschriften sind in den letzten Jahren immer strenger geworden, sodass Organisationen in die Pflicht sind, den Zugriff auf ihre Kunden- und Unternehmensdaten auf korrekte und sichere Weise zu regeln. Das bekannteste Beispiel hierfür ist die Datenschutz-Grundverordnung (DSGVO). Heute müssen Organisationen klare Regeln und Prozesse eingerichtet haben, um den Zugriff auf Informationen zu kontrollieren und die Informationen hinreichend abzusichern. Auf diese Aspekte achten Auditoren ebenso penibel wie die Datenschutzbehörden.

Anhäufung von Rechten und kollidierende Zugriffsrechte

Beim Thema Zugriffsrechte haben viele Organisationen Schwierigkeiten. Dabei ist das Erteilen einer Berechtigung eher das kleinere Problem, denn Benutzer melden sich schließlich, wenn sie Zugriff brauchen. Umgekehrt liegen die Dinge anders. Ein Anwender wird nicht sofort angeben, wenn er zu viele Zugriffsrechte hat. Infolgedessen werden einmal erteilte Berechtigungen nicht wieder rückgängig gemacht. Mögliche Szenarien sind zum Beispiel: Ein Anwender benötigt für ein Projekt vorübergehend die Software Visio, wird Mitglied im Betriebsrat oder wechselt auf eine neue Position. Neben einer Anhäufung von Rechten kann es aber auch zu noch gefährlicheren Situationen kommen, nämlich durch sogenannte kollidierende oder auch „toxische“ Berechtigungen. Ein klassisches Beispiel ist der Mitarbeiter, der Rechnungen sowohl freigeben als auch begleichen darf.

Im Laufe der Zeit können Benutzer Berechtigungen erlangen, die sie eigentlich nicht haben sollten, allein weil sich niemand darum kümmert. Auch Vorgesetzte nicht, denn diesen ist üblicherweise mehr daran gelegen, dass die Mitarbeiter ihre Arbeit erledigen können, als dass sie stets alle Berechtigungen im Blick haben – wenn sie denn überhaupt von solchen Fehlberechtigungen wissen.

Benutzerkonto kopieren statt Prinzip der minimalen Rechte

In vielen Organisationen ist es gar nicht unüblich, neue Benutzer einfach nach dem Motto „vorhandenen Benutzer kopieren“ zu erstellen. Das widerspricht jedoch den Vorgaben von Richtlinien wie ISO 27001 und 27002, oder DSGVO, die das Prinzip der minimalen Rechte („Least Privilege Principle“) fordern. Das bedeutet, dass Nutzer nur auf die Anwendungen und Informationen zugreifen dürfen sollen, die sie für ihre Arbeit benötigen, und keinesfalls mehr. Teil der Vorgaben ist außerdem, dass die IT-Abteilung die Umsetzung dieser Anforderungen nachweisen kann und entsprechende Protokolle führt. All das ist mit manuellen Prozessen kaum zu leisten. Hier kommen Lösungen für ein einheitliches Identity & Access Management ins Spiel.

Schutz vor Cybercrime und Datenlecks

Beinahe täglich lesen wir von Hackerangriffen, Ransomware-Angriffen und Datenlecks. Die Cyberkriminalität floriert, und die Angreifer werden immer professioneller und führen zunehmend groß angelegte Angriffe auf Unternehmen aus, um sensible Informationen und personenbezogene Daten zu erlangen. Erfolgreiche Angriffe und Datenlecks kosten die Betroffenen viel Geld. Die erste Folge sind direkte Verluste, weil der Geschäftsbetrieb unterbrochen ist, wie z. B. beim jüngsten Ransomware Angriff auf MediaMarkt. Dazu kommen aber auch noch hohe Strafen der Datenschutzbehörden, wenn festgestellt wird, dass Organisationen keine ausreichenden Schutzmaßnahmen eingerichtet haben oder einen Datenschutzvorfall zu spät melden. Und was natürlich ebenfalls schwer wiegt, sind enttäuschte Kunden und ein geschädigter Ruf. Es ist also von essentieller Bedeutung, Cyberangriffe und Datenverluste zu vermeiden.

Fehler sind menschlich

Menschliche Fehler lassen sich nicht zu 100 % verhindern. Trotz Sicherheitstrainings klickt vielleicht doch einmal ein Anwender auf einen bösartigen Link, ein neuer Mitarbeiter erhält versehentlich bestimmte Administratorenrechte, die ein Kollege in ähnlicher Funktion besitzt, oder es wird vergessen, das Benutzerkonto eines ausgeschiedenen Mitarbeiters zu löschen. Eine IAM-Lösung kann die Risiken und Folgen einer Kompromittierung begrenzen, indem starke Authentifizierungsmethoden, eine Begrenzung der Rechte und das zeitnahe Schließen von (verwaisten) Benutzerkonten umgesetzt werden. Zudem verhindert sie den unbefugten Zugriff auf sensible Unternehmensdaten von innen und außen gleichermaßen.

Wann ist eine IAM-Lösung etwas für Sie?

In diesem Artikel wurden die häufigsten Probleme beschrieben, die Organisationen ohne (gut funktionierende) IAM-Lösung haben. Erkennen Sie sich darin wieder? Dann könnte Ihre Organisation von einer IAM-Strategie profitieren. Im nächsten Blogbeitrag legen wir detailliert dar, wie eine Identity-&-Access-Management-Lösung für mehr Sicherheit, Compliance und Einheitlichkeit sorgen kann. Wenn Sie jetzt schon mehr wissen wollen, dann laden Sie unser Whitepaper „Identity as a Service“ herunter oder kontaktieren Sie uns für eine kostenfreie Demo!

Geschrieben von:

Ali Özdogan

Senior Consultant IAM/SAP & HelloID

Ali Özdogan ist als Senior Consultant IAM/SAP seit mehr als 10 Jahren fester Bestandteil von Tools4ever. Er studierte Computer Engineering an der Galatasaray University in Istanbul und später an der RWTH in Aachen und ist unser Spezialist für Cloud-Access-Management mit HelloID.