10 Tatsachen über Identity and Access Management (IAM)
Wie setzt man IAM effizient im Unternehmen um? Wir zeigen, was sie bei Planung, Implementierung und Betrieb beachten sollten.
Was ist der Antrieb für Ihre IT-Initiativen? Die meisten Organisationen implementieren Technologien in dem Bestreben, besser zu werden, Mehrwert zu schaffen und ihre Mission besser zu erfüllen (man könnte auch sagen, um agiler zu werden). Im Endeffekt existiert die Technologie nur zu dem Zweck, den Menschen das Leben einfacher zu machen, die Angebote für externe und interne Kunden zu verbessern und schlussendlich den Weg zu den eigenen Zielen zu beschleunigen. Allerdings scheinen viele IT-initiativen heutzutage den Betrieb eher aufzuhalten und die Agilität zu verringern.
Durch die Brille der eigenen Ziele gesehen, wird die IT tatsächlich zu einem kontraproduktiven Element. Anders gesagt: wenn immer mehr externe Kräfte an der eigenen IT zerren, wird man in eine scheinbar endlose Abwärtsspirale mit immer größerer Komplexität, immer mehr Kontrollen sowie dem immer wieder mal auftauchenden Gespenst der Compliance hineingezwungen. Man muss außerdem Dinge tun, die alles immer nur noch komplexer machen. Aber wie gerät man überhaupt in diese Situation hinein?
Ohne Drumherum betrachtet ist festzustellen, dass man eigentlich versucht, Menschen Daten zu verschaffen, die sie brauchen. Das erfolgt mit den Werkzeugen, die erforderlich sind, um die Daten entsprechend zu bearbeiten. Doch Auditoren und interne Richtlinien erfordern, dass wir dafür sorgen, dass auch alles ordnungsgemäß abläuft. Man muss sicherstellen, dass die richtigen Anwender den richtigen Zugriff auf die richtigen Daten haben. Alles muss auf die richtige Art und Weise erfolgen und alle anderen „richtigen“ Leute müssen diese Zugriffsrechte kennen und entsprechend akzeptieren.
Max Waldherr, Manager Pre-Sales bei Dell Software
Das Identitäts- und Zugangsmanagement (englisch: Identity and Access Management, IAM) hilft dabei, sicherzustellen, dass alles mit rechten Dingen zugeht. IAM besteht jedoch nicht nur aus einem Element, sondern umfasst beispielsweise auch die Benutzer-Administration. Dazu gehört auch die Governance mit all ihren Implikationen über zahlreiche unterschiedliche Systeme und Benutzertypen hinweg, sowie die Risiken und Chancen, die mit dem mächtigen Superuser-/Administratorzugang einhergehen. Identity and Access Management ist ein bewegliches Ziel, das zur absoluten Grundlage für die meisten IT-Operationen geworden ist – schließlich geht es beim Identitäts- und Zugangsmanagement schlicht und ergreifend um Benutzer und deren Rechte. Dennoch gibt es beim IAM zahlreiche Implikationen für Benutzer und deren Rechte zu beachten – somit hat Identity and Access Management „viele Gesichter“.
Aus Erfahrung lassen sich ganz klar 10 Fakten für den effizienten IAM-Ansatz identifizieren:
1. Bei Security und Compliance gilt: der Weg ist das Ziel.
Gut, ich bin mir bewusst, dass das eigentlich eine offensichtliche Tatsache ist – aber deswegen ist es nicht weniger wahr. Beim Thema Security kommt oftmals ein punktueller Ansatz zum Einsatz, nach dem Motto „Wir müssen das System X absichern“ oder „Man muss die Bedrohung Y abwehren“. Jeder, der schon einmal ohne zugrundeliegende Strategie versucht hat an das Thema Security heranzugehen, findet sich in einem aussichtslosen Kampf wieder. In diesem Fall geht es nur noch um das Feuerlöschen ohne Aussicht auf dauerhaften Erfolg. Dasselbe gilt für die Compliance-Anforderungen.
Ich empfehle beim Thema Compliance und Security (und IAM ist ein Hauptbestandteil der Security) einen Ansatz, den ich gerne als „Vereinheitlichung“ bezeichne. Je besser es gelingt, folgendes zu realisieren, desto besser:
- einen einzigen Satz an Kontrollrichtlinien, die für alle Systeme gelten
- eine einheitliche Benutzeridentität, um den Zugriff auf Systeme und Daten entsprechend zu steuern
- einen einzigen Satz an Parametern, der den Zugang steuert und Benutzer definiert
- eine zentrale Warte für das Management, das denjenigen die Entscheidungsgewalt in die Hand legt, die wissen warum jemand auf etwas zugreifen sollte
Dieser vereinheitlichte Ansatz bedeutet, dass man zwar niemals fertig wird, aber dass für alle zukünftigen Eventualitäten eine Basis vorhanden ist. So ist sicherstellt, dass alle Bedrohungen von Anfang an ins Leere laufen.
2. Probleme, die man nicht sieht kann man nicht lösen.
Eine direkte Konsequenz der inhärenten Komplexität der aktuellen IAM-Landschaft ist die extreme Bandbreite von Dingen, die kaputt gehen oder als Schwachstelle ausgenutzt werden können. Es wird ziemlich schnell klar, dass man es hier mit viel zu vielen zusammenhanglosen Faktoren zu tun hat, wenn:
- jeder einzelne Benutzer Dutzende Identitäten für ebenso viele Systeme besitzt
- jedes System dabei unterschiedliche Attribute oder Kontrollen innerhalb dieser Identitäten erfordert.
Es ist damit schlicht unmöglich alles zu kennen, worauf die Benutzer Zugriff haben. Das gilt ganz zu schweigen davon, was sie mit diesem Zugriff anstellen.
Je einheitlicher der IAM-Ansatz, desto einfacher lassen sich die Rechte und Aktivitäten der Nutzer nachvollziehen. Herkömmliche IAM-Ansätze begegnen der Komplexität mit noch mehr Komplexität. Der richtige Ansatz wäre jedoch, diese Komplexität zu verringern und die wichtigen Elemente zu vereinheitlichen. So gibt es weniger Orte an denen man suchen muss und die logische und nachvollziehbare Ergebnisse liefern. Mit einem solchen Ansatz wird sichergestellt, dass die Mitarbeiter ganz genau wissen, für wen sie die Verantwortung tragen.
3. Administratoren sind hilfsbereite Menschen – und genau da liegt das Problem.
Jeder kennt einen IT-Typen, der dafür sorgt, dass der Laden läuft. Stößt man bei der Arbeit auf Barrieren, reicht oftmals ein Anruf bei diesem Superhelden der IT und man bekommt genau das, was man braucht. Schließlich ist er derjenige, der das System managt und weiß wie alles funktioniert. Es ist jedoch problematisch, sich auf den „super-hilfsbereiten IT-Typen“ zu verlassen. Nicht alle Mitarbeiter sind gleich vertrauenswürdig. Manche suchen sogar nach Mitteln und Wegen, um Dinge zu tun, die ihre Kompetenzen überschreiten. Und die Auditoren suchen immer nach Auffälligkeiten, die leicht zu finden sind. Das wäre zum Beispiel auch unangemessener Zugriff (Verstoß gegen die Trennung von Aufgaben und Verantwortlichkeiten). Aber das ist nicht die Schuld des IT-Mannes. Er managt die Systeme und weiß nicht, wer in der Organisation was macht. Vor allem weiß der IT-Held nicht, wer was tun sollte. Die richtige Art mit Zugangsanfragen und Freischaltungen umzugehen (was ja letzten Endes die eigentliche Aufgabe des IT-Mitarbeiters ist) besteht darin, die Barrieren für Anfragen zu entfernen und die Kontrollen rund um die Entscheidungsfindung und die Freischaltung (bzw. das Provisioning) zu automatisieren. Stellen Sie sich einen IAM-Ansatz vor, bei dem der Benutzer schnell und unkompliziert den Zugang zur gewünschten Ressource anfragen kann. Diese Anfrage wird dann sofort und automatisch gegen die etablierte (und vereinheitlichte) Sicherheitsrichtlinie geprüft. Sie durchläuft alle erforderlichen Genehmigungsprozesse und der Nutzer wird automatisch sofort freigeschaltet, wenn alle Parameter entsprechend erfüllt sind. Stellen Sie sich weiterhin vor, dass dasselbe System das alles ohne IT-Eingriff erledigt und gleichzeitig die gesamte Transaktion vorhält. So bekommen die Benutzer den benötigten Zugang und der super-hilfreiche IT-Mitarbeiter kann seine eigentliche Aufgabe erfüllen.
4. Im Gegensatz zu Ihnen haben die bösen Jungs nichts Besseres zu tun.
Die bösen Jungs haben es auf die Kronjuwelen Ihrer Organisationen abgesehen: die Daten, die Ihre Existenzgrundlage darstellen. Sie suchen dabei nach Schwachstellen in den Systemen und im Verhalten der Anwender. Dabei haben sie viel Zeit, Kreativität, und lieben die Jagd ebenso wie den Abschuss. Sie dagegen müssen ihren Job erledigen. Dazu gehören wahrscheinlich nicht die Überwachung jedes einzelnen Users und jedes Eingangspunktes auf verdächtige Aktivitäten. Die Bösen zielen dabei immer auf die einfachsten Ziele – macht man es Ihnen schwerer als nötig, ziehen sie weiter zum nächsten Ziel.
Selbstverständlich werden die normalen Sicherheitsmaßnahmen weiterhin benötigt: Firewalls, gute Passwort-Richtlinien, Shreddern von Dokumenten und so weiter. Jedoch lassen sich mit bestimmten Aspekten von Identity and Access Management die Chancen deutlich verbessern, wenn die Bösen kommen. Mit einigen grundlegenden IAM-Praktiken lässt sich Ihre Organisation um ein Vielfaches besser gegen Bedrohungen isolieren. So stellt zum Beispiel die Implementierung eines automatisierten, an den Bedürfnissen des Unternehmens ausgerichteten Provisioning (und De-Provisioning) sicher, dass es keinen unberechtigten Zugang gibt, der dann ausgenutzt werden kann. Die Eliminierung der Gefahren durch privilegierte Accounts, sowie die Implementierung eines Least-Privilege-Modells für den Administratorzugang schließt eine weitere große Lücke, da nahezu jeder Hack das Ausnutzen schlecht gesicherter Administratorenrechte umfasst. Auch simple Technologien wie Mehr-Faktor-Authentifizierung, Single Sign-On und die Überwachung der Benutzeraktivitäten sorgen für deutlich mehr Sicherheit.
5. Benutzer schreiben sich ihre Passwörter auf, können sie sich aber nicht merken
Das tun wir alle, auch wenn es die meisten von uns nicht gern zugeben. Wir müssen uns eine ganze Menge Passwörter merken, trotz unserer besten Bemühungen überall das gleiche starke Passwort zu verwenden. Was machen wir also? Wir schreiben uns alle auf und bewahren sie in einer Schublade, einem Post-It unter der Tastatur oder einer Notiz mit dem Namen „Passwörter“ auf unseren Smartphones auf. Die Gefahr dabei ist offensichtlich: Egal, wie regelkonform ein Benutzer provisioniert ist, wie gründlich man es überwacht und wie vereinheitlicht und stark die Security-Policy ist: fällt ein Passwort in die falschen Hände, dann ist das Spiel aus.
Einige relativ einfache Aspekte des IAM verbessern die Chancen erheblich, Sicherheitslücken durch Passwörter zu vermeiden. Auch hier gilt wieder der Ansatz der „Vereinheitlichung“. Wenn die Anwender statt Dutzender Passwörter nur ein einziges und sicheres Passwort haben, steigt die Wahrscheinlichkeit, sich dieses merken zu können (ohne es aufschreiben zu müssen). Single Sign-On (SSO)-Technologien ermöglichen die Nutzung eines einzigen Passworts über alle Systeme hinweg. Darüber hinaus entfällt die Peinlichkeit, bei der IT anzurufen und zugeben zu müssen, dass man das Passwort vergessen hat. Die Möglichkeit einer Passwortrücksetzung durch den Anwender macht außerdem das Leben für alle Beteiligten einfacher und sicherer. Zu guter Letzt erledigt sich das Problem der aufgeschriebenen Passwörter durch die Einführung eines zusätzlichen Faktors zur Authentifizierung.
6. Wenn man das Risiko von Bedrohungen durch Insider an der Stimmung der IT-Administratoren abzulesen versucht, dann hat man ein Problem.
Viele der verheerendsten und hochkarätigsten Sicherheitslücken in den vergangenen Jahren resultierten daraus, dass Insider privilegierte Zugänge missbrauchten. Manche Hacker stehlen dabei kritische Daten und veröffentlichen oder verkaufen sie. Andere legen Software-Zeitbomben, um Systeme zu zerstören. Wiederum andere handeln aus Rache, weil sie es „denen da oben“ mal so richtig zeigen wollen. Die Gemeinsamkeit bei allen solchen Zwischenfällen ist, dass jemand in einer Vertrauensposition einen privilegierten Zugang bekommen und missbraucht hat. In den betroffenen Organisationen hallt immer noch das Echo der Aussage nach „Ich vertraue meinen Mitarbeitern, sie würden das Unternehmen niemals vorsätzlich schädigen“.
Um den Superuser-Account kommt man nicht herum, wohl aber um die mit gängigen Praktiken verbundenen Risiken. Oftmals geben Organisationen das allmächtige Administrator-Passwort an alle Mitarbeiter heraus, die es eventuell benötigen. So will man sicherzustellen, dass kritische IT-Aufgaben effizient und schnell erledigt werden können. Der bessere Ansatz besteht jedoch darin, dass Passwort niemandem zu geben und stattdessen eine Art „Safe“ für Zugangsrechte zu erstellen. Der Safe vergibt das Passwort automatisch je nach Richtlinie und mit kompletter Transparenz über die zugehörigen Aktivitäten. Darüber hinaus ist es ratsam, möglichst ein Least-Privilege-Modell einzuführen, bei dem Teile des vollständigen Administratorzugangs an verschiedene Administratoren vergeben werden. Das muss so erfolgen, dass die einzelnen Administratoren gerade die richtigen Rechte erhalten, um ihre Aufgaben zu erledigen – nicht mehr und nicht weniger.
7. Die Verlagerung eines Workflows in die Cloud sorgt nicht magisch für bessere Definitionen und besseres Verständnis.
Die Cloud ist toll! Damit wird das Business so viel agiler – schließlich ermöglicht sie den deutlich schnelleren Rollout von Technologien und die Verlagerung vieler IT-Ausgaben von den Kapitalkosten in die Betriebskosten. Nur weil etwas in der Cloud ist bedeutet das nicht, dass weniger Sicherheitsmaßnahmen wie bei IAM vor Ort erforderlich wären. Im Gegenteil, viele der kritischen Aspekte von gutem Identitäts- und Zugangsmanagement werden noch wichtiger wenn sie nicht mehr in der unmittelbaren eigenen Kontrolle liegen. Das gilt insbesondere für vereinheitlichte, unternehmensorientierte und policy-basierte Workflows.
Die Cloud ist ebenfalls ein Bereich, in dem der Ansatz der “Vereinheitlichung” dabei hilft, die gängigsten Fallstricke zu umgehen. Werden diese Kontrollaspekte des IAM von der betriebswirtschaftlichen Seite anstatt von der IT-Seite vereinheitlicht, automatisiert und gesteuert, ist das Betriebsmanagement vor Ort oder in der Cloud viel besser steuerbar. Ich rate dazu, bei zukünftigen IAM-Planungen die Fähigkeit der Lösung in Betracht zu ziehen, Daten und Applikationen in der Cloud abzudecken. Warum sollte man sich die doppelte Mühe machen, nur weil etwas in der Cloud ist?
8. Wenn Sie Ihr IAM-Projekt vor mehr als sechs Monaten definiert haben, ist es wahrscheinlich nicht mehr auf dem neuesten Stand.
Wie zuvor erwähnt: IAM ist ein bewegliches Ziel. Ich kann nicht mehr zählen, wie oft ich Organisationen darüber sprechen gehört habe, dass sie schon im fünften Jahr ihres IAM-Plans stehen und von der Erreichung der ursprünglichen Ziele noch meilenweit entfernt sind. IAM war jahrelang die Welt der hochgradig individualisierten Lösungen, die für jede Organisation, deren Technologien und speziellen Benutzerstamm maßgeschneidert wurden. Das Problem dabei: wenn die Definitionen im Jahr Null erfolgen, die Lösung für Jahr Drei geplant wurde und dann (mehr oder weniger) im Jahr Fünf zum Einsatz kam, in keiner Weise mehr die aktuellen Anforderungen des Jahres Fünf erfüllt.
Mein Ratschlag lautet, mit einer generellen strategischen Philosophie an IAM heranzugehen, der die Lösung nicht an eine spezifische Lösung oder einen speziellen Technologieanbieter bindet. Suchen Sie nach Lösungen, die schnell implementierbar sind, um aktuelle Probleme zeitnah zu lösen. Behalten Sie dabei immer den Blick auf das, was die Zukunft bringen könnte. Stellen Sie sicher, dass sie sich nicht an Technologie binden, die noch vor Projektende obsolet wird. Suchen Sie stattdessen nach modularen und integrierten Lösungen, die die nötige Flexibilität mitbringen, um alle Aspekte des IAM zu ändern, ohne dabei die Grundlage zu zerstören.
9. Wenn man die Führungskräfte schon nicht dazu bringt ein Tool für X zu verwenden, wie überzeugt man sie dann, fünf davon zu nutzen?
Seien wir ehrlich: der Erfolg (oder das Scheitern) eines jeden IAM-Projekts hängt heute direkt von der Begeisterung der Führungskräfte ab, die dafür bezahlen und nur einen kleinen Teil davon benutzen müssen. Sie wollen was sie wollen und wann sie es wollen. Außerdem wollen sie es so, dass es für sie schwierig zu erklären ist, sie es aber erkennen wenn sie es sehen. Weiter oben haben wir die Probleme mit der Komplexität besprochen, wenn doppelte Aktivitäten auf unterschiedlichen Systemen mit verschiedenen Tools und oftmals unter kräftiger Mitwirkung der IT durchgeführt werden müssen. Das ist das Erbe der herkömmlichen IAM-Plattformen und der plattform- bzw. aufgabenspezifischen Tools.
Die Vereinheitlichung des IAM (Identität, Policy, Workflow, Attestierung etc.) mit Hinblick darauf, was Führungskräfte tun müssen, warum und wie sie dies gern tun möchten, ist schon die halbe Miete. Nehmen wir mal den Fall der Re-Zertifizierung von Zugängen, auch als „Attestierung“ bekannt. Die Auditoren fordern von den Führungskräften die regelmäßige „Attestierung“ der Zugangsrechte aller Mitarbeiter. Das bedeutet normalerweise jede Menge Gespräche mit den IT-Mitarbeitern, die viele Tools zur Sammlung vieler Informationen nutzen. Die sind für die Führungskraft bei der Attestierung der Zugänge allerdings vollkommen nutzlos. Stellen Sie sich vor, eine Führungskraft hätte ein simples Dashboard, auf dem alle Mitarbeiter im eigenen Verantwortungsbereich ersichtlich sind. Sie hat eine komplette Übersicht, wer auf was Zugriff hat, einschließlich Historie, Ausnahmen und Verstößen. Sind Sie der Meinung, Ihre Führungskräfte würden ein solches Tool verwenden? Das ist die Welt des modernen IAM.
10. Effizienz und Sicherheit unter einen Hut zu bringen, ist äußerst schwierig. Der Schwierigkeitsgrad hängt dabei direkt proportional von der Komplexität Ihrer Umgebung ab.
Es ist ein ewiger Kampf. „Soll ich sicher sein, oder soll ich effizient sein?” leider lautet die Antwort natürlich stets: „Beides!“ Doch wie in diesem Artikel besprochen, stellt ist die heute übliche Komplexität ein Risikofaktor für Sicherheit und Effizienz. Man kann entweder in Sicherheit oder in operative Effizienz investieren, aber beides zusammen geht nicht. Oder etwa doch?
Die Eliminierung der Komplexität – oder zumindest die weitest gehende Reduzierung – erhöht die Chancen ganz erheblich, Sicherheit und Effizienz gleichermaßen zu erreichen. Mit Reduzierung der Komplexität ist nicht gemeint, sich in eine vollständig homogene Umgebung hineinzuzwingen. Ich meine damit die Suche nach Bereichen, in denen Redundanz unnötig ist. Wie viele Passwörter hat ein normaler Benutzer? Wie viele separate Workflows gibt es, um einen Anwender über alle Systeme hinweg zu provisionieren? Wie viele Rollen können mit jedem Nutzer verknüpft werden? Wie viele ähnliche Policies gibt es in den verschiedenen Systemen? Durch die weitest mögliche Vereinheitlichung dieser IAM-Komponenten wird die Sicherheit zum natürlichen Nebenprodukt, dicht gefolgt von der Effizienz.
Fazit
Das sind also meine 10 universellen Wahrheiten über IAM. Hieraus ergeben sich einige gemeinsame Themen:
- Reduzierung der Komplexität.
- Entscheidungsgewalt über Zugänge in den richtigen Händen.
- Vereinheitlichung derjenigen Aspekte von IAM, die alles steuern.
- Weitestgehende Automatisierung.
Ich möchte Ihnen ans Herz legen, Ihr nächstes IAM-Projekt einmal durch die Brille dieser Wahrheiten zu betrachten.
Über den Autor: Max Waldherr ist als Manager in der Pre-Sales Organisation bei der Dell Software GmbH tätig, die unter anderem Lösungen für Identity and Access Management im Angebot hat. Zuvor war er als Product Manager für den Bereich Active Directory bei Quest Software Inc. (jetzt Teil von Dell) beschäftigt und für die strategische und operative Planung in den genannten Bereichen verantwortlich. Bevor Max Waldherr im Jahr 2000 zu Quest Software kam, war er als Unternehmensberater weltweit tätig. Er studierte Volkswirtschaftslehre an der Universität Passau und hat diverse Zertifizierungen in den Bereichen Produkt- und Projektmanagement erlangt.
