Cyber Security und Datensicherheit sind nicht erst seit der Einführung der Datenschutzgrundverordnung (DSGVO) in aller Munde und das vollkommen zu Recht. Durch die wachsende Digitalisierung unserer Daten und Prozesse, ist die Menge an schützenswerten persönlichen und geschäftlichen Daten größer denn je. Leider jedoch nehmen wir Bedrohungen von außen oft viel intensiver wahr als Risiken aus dem Inneren deren Schadenspotenzial, ob mutwillig oder schlicht fahrlässig, mindestens ebenso hoch ist.

Das hausgemachte Problem stellt sich dabei wie folgt dar: Oftmals wissen wir nicht, wer in einem Unternehmen zu welchen Ressourcen Zugriff hat, gar welche Systeme überhaupt unternehmensweit existieren und ob die aktuell existierenden Zugänge und Rechte einzelnen Personen überhaupt notwendig sind. Abhilfe schaffen da Identity- und Access-Management-Systeme (IAM-Systeme).

Sie ermöglichen eine zentrale Verwaltung der Rollen und Accounts der Mitarbeiter, Partner oder Kunden und der damit verbundenen Rechte, die sie benötigen um auf notwendige Daten, Dokumente und Accounts zuzugreifen und lösen damit die manuelle und oftmals sehr fragmentierte Benutzeradministration ab. IAM-Lösungen können den gesamten Lifecycle (On-boarding, Wechsel, Off-boarding) eines Nutzers, eine Audit-sichere Dokumentation der vergebenen Rechte und der damit verbundenen Vergabeprozesse sicherstellen, sowie Unternehmensprozesse abbilden, die durch eingebaute Sicherheitsprinzipien (4-Eyes principle, principle of least privilege, etc.) die Unternehmens-Compliance fördern.

Die DSGVO fordert explizit eine Minimierung von Zugriffsrechten und verlangt von Unternehmen den Nachweis ihrer Compliance und hier trägt die Einführung eines IAMs erheblich zur DSGVO-Konformität eines Unternehmens bei. Daher ist es nicht überraschend, dass seitdem das Thema „DSGVO“ auf der Agenda steht, auch das Interesse an IAM-Lösungen stark gestiegen ist.

IAM-Systeme sind nicht neu: Systeme verschiedener Anbieter sind seit vielen Jahren im Enterprise-Umfeld mal mehr, mal weniger zufriedenstellend im Einsatz. Diese Unternehmen sind zum Beispiel Banken oder Versicherungen, die strengen Regularien unterliegen und daher dazu verpflichtet sind, ungeachtet der Hindernisse, Kosten oder negativen Seiten einer Lösung, solche Systeme zu nutzen. Kleinen und mittelständischen Unternehmen (KMU) dagegen blieb aus verschiedenen Gründen der Einsatz solcher Enterprise-Lösungen verwehrt.

Enterprise-Lösungen sind oftmals sehr komplex, sowohl in ihrer programmatischen oftmals monolithischen Struktur, als auch in ihrer Bedienung. Die Einführung einer Lösung, aber auch der fortlaufende Betrieb sowie Anpassungen, erfordern leistungsstarke Hardware und ein Expertenwissen, das entweder im Haus aufgebaut werden muss, oder von extern dazugekauft wird, was aufgrund der Marktlage nicht einfach ist und damit sehr kostenintensiv werden kann. So kann das notwendige Budget allein für die initiale Einführung und die damit verbundenen Anpassungen leicht auf einen kleinen bis mittleren Millionenbetrag anwachsen. Die Zeit- und Kostenintensität, die für Konzerne sicherlich darstellbar ist, stellt für viele mittelständische Unternehmen ein KO-Kriterium dar. Wenn die Höhe der Investition und die darauffolgende Rentabilität primäre Entscheidungskriterien sind, so liegt dieser Umstand im Mittelstand wie ein Bleifuß auf der Effizienzbremse.

Wie wird IAM für den Mittelstand attraktiv?

Allerdings gibt es auch IAM-Anbieter, deren Alternativen zu Enterprise-Lösungen sich im Rahmen ganzheitlicher Sicherheitskonzepte aus Ihren Nischen heraus begeben. Anbieter von Lösungen im Zuge von Software-as-a-Service (SaaS) oder Identity-as-a-Service (IdaaS) stellen mit ihren IAM-Systemen passgenaue Cloud-Lösungen zur Verfügung, die schnell eingeführt und kosteneffizient betrieben werden können.

Standardisierung in den Prozessen und in den Prozessformaten ermöglichen es den Unternehmen, die Entwicklungszeit zur Anpassung dieser deutlich zu verkürzen und von Spezialisten der eingesetzten IAM-Lösung unabhängig zu machen. Dabei bleibt Ihnen die Freiheit erhalten, die Lösungen ganz individuell nach den Unternehmensanforderungen anzupassen.
Ein Identity- und Access-Management System ist dabei weit davon entfernt für das durchschnittliche Unternehmen off-the-shelf nutzbar zu sein, da sich Unternehmen zu sehr in ihren Anforderungen unterscheiden. Was es jedoch leisten kann ist, oft genutzte Lösungen bereit zu stellen und die Anpassung und Neuentwicklung möglichst Kundenfreundlich zu gestalten.

Um die Schritte und sich dabei darstellenden Hürden eines IAM Projektes aufzuzeigen, betrachten wir nun ein Fallbeispiel aus der Praxis. Das Unternehmen hat 500 Identitäten (Mitarbeiter), die verwaltet werden sollen. Im vorliegenden Fall sind dies die Mitarbeiter des Unternehmens, könnten aber auch zum Beispiel Partner oder Kunden sein. Der Zugang all dieser Identitäten zu den Zielsystemen soll mithilfe des IAM-Systems geregelt werden.

Zielsysteme sind all diejenigen Systeme, die an das IAM angeschlossen sind und die von diesem provisioniert werden, aber auch z.B. ein HR-System, welches lediglich lesend angeschlossen wird. Unser betrachtetes Unternehmen hat 10 solcher Systeme, die angeschlossen werden sollen, darunter Standard-Systeme wie Active Directory, LDAP, Relationale Datenbanken oder auch proprietäre Systeme, deren Anbindung eine neu zu entwickelnde Schnittstelle benötigt.

Aktuell werden die Rechte über Gruppen in AD vergeben, sollen zukünftig durch ein Rollenkonzept ersetzt werden. Zudem sollen die Unternehmensprozesse im IAM abgebildet werden. Diese reichen von einfachen Prozessen zum Urlaubsantrag oder zurücksetzen des Passwortes bis hin zu mehrstufigen Vergabeprozessen für die Beantragung und Bewilligung von Rollen. Jeder der oben genannten Schritte beinhaltet eine gewisse Komplexität und inhärentes Konfliktpotenzial innerhalb der Firma.

Quelle: C-IAM GmbH
Allein die Definition der Workflows kann ohne klare Zuständigkeiten und ein gemeinsames Ziel der Stakeholder endlos in die Länge gezogen werden und damit die Kosten in die Höhe treiben. Darum benötigt die Einführung eines IAM eine gründliche Vorbereitung und intensive Planung, bietet andererseits aber auch die Möglichkeit die Prozess- und Rechtelandschaft des Unternehmens von Grund auf zu bereinigen.

Unternehmen ohne ein IAM-System benötigen viele manuelle Schritte und Abstimmungen zwischen HR, Administratoren, Mitarbeitern aller weiteren Abteilungen und Vorgesetzen. Benötigte Berechtigungen werden zunächst definiert, Rechte händisch erteilt und Passwörter für jede Anwendung vergeben. Mit Einsatz eines IAM-Systems sind diese manuellen Schritte deutlich reduziert. Der Mitarbeiter bekommt eine Rolle zugeteilt, mit der er bereits die benötigte Liste an Rechten erhält.

Quelle: C-IAM GmbH
Weitere Berechtigungen beantragt der Mitarbeiter zentral über das IAM-Dashboard. Durch digitalisierte und automatisierte Prozesse und Genehmigungen werden die Compliance-Regeln eingehalten und Mitarbeiter arbeiten ab dem ersten Tag mit den richten Berechtigungen.

Grenzen der Sicherheit

Ein IAM-System bietet bei korrekter und vollständiger Umsetzung einen Rahmen, in dem wir uns bewegen können und sollten, um so die Konformität unserer Prozesse sicherzustellen. Was dennoch bleibt, ist der Risikofaktor Mensch. Eine zwingende Genehmigung zur Voraussetzung der Vergabe von Rechten oder eine Rezertifizierung von bestehenden Berechtigungen verfehlen ihren Zweck, wenn sie, wie die meisten AGBs, einfach so abgenickt und weggeklickt werden.

Die zentral gesteuerte Provisionierung macht auch keinen Sinn, wenn die Vergabeprozesse umgangen werden könnten. Wenn der Kollege beim Zusammentreffen an der Kaffeemaschine nach einem Zugang auf eine Maschine fragen und diesen erhalten kann, wird die vermeintliche Sicherheit untergraben.

IT-Sicherheit vs. Benutzerfreundlichkeit

Oftmals müssen wir zwischen Sicherheit und Benutzerfreundlichkeit abwägen, bspw. bei der Nutzung von 2-Faktor-Authentifizierung. Diese bedeutet zwar einen weiteren Zwischenschritt des Nutzers, ist aber in manchen Bereichen absolut notwendig. Daher gilt es das Sicherheitsbedürfnis von Fall zu Fall zu prüfen, um zu entscheiden, wo erhöhte Sicherheit notwendig ist und wo es Prozesse zulassen, die Benutzerfreundlichkeit zu erhalten.

Der Nichteinsatz eines IAM-Systems öffnet z. B. durch Dead Accounts die Türen für Hacker. Nach eigenen Angaben waren 75% der Unternehmen in Deutschland im Jahr 2019 von Datendiebstahl, Industriespionage oder Sabotage betroffen (Umfrage Bitkom). Dies erklärt den Trend hin zum IAM-Einsatz. Mittelständischen Unternehmen muss aber klar sein, dass ein IAM-System hinsichtlich der aufgezeigten Risiken kein Allheilmittel ist, sondern vielmehr ein Teil im Werkzeugkasten, das zur Sicherheit des Unternehmens beiträgt.

Dr. Babak Ahmadi

C-IAM GmbH