Zeit für ein neues Identity Management

IAM und IAG stehen vor einem Umbruch. Eine reine Rezertifizierung reicht nicht, es müssen Änderungen im Verhaltensmuster von Benutzern erkannt werden.

In den vergangenen rund 20 Jahren hat sich Identity Management deutlich weiterentwickelt. Doch der heutige übliche Ansatz von Identity und Access Management/Governance mit Provisioning und Rezertifizierung reicht nicht mehr aus. Bedrohungen müssen umfassender und schneller erkannt werden, um schneller reagieren zu können.

Die Kerndisziplinen von Identity und Access Management/Governance (IAM/IAG) stehen vor einem erneuten Umbruch. In den frühen Tagen von IAM lag der Fokus auf technischen Lösungen zur Unterstützung von Administratoren. Meta-Directory-Dienste sorgten für eine automatische Synchronisation von Änderungen zwischen verschiedenen Verzeichnissen.

Martin Kuppinger,
KuppingerCole Research

Mit dem Einzug von Identity Provisioning wurden diese Lösungen um Workflows für die Beantragung von Genehmigung von Berechtigungen ergänzt. Die Unterstützung von rollenbasierter Berechtigungsvergabe (RBAC, Role-based Access Control) hielt ebenso Einzug wie erweiterte Reporting-Funktionen zur Unterstützung wachsender Compliance-Anforderungen. Der Hauptfokus war aber die korrekte Vergabe von Berechtigungen, also ein präventiver Ansatz.

Die nächste Evolutionsstufe waren Access-Governance-Lösungen, zu Beginn noch überwiegend als eigenständige Lösungen, die aber inzwischen häufig mit Provisioning-Produkten zu integrierten Gesamtlösungen verschmolzen sind und heute als „state-of-the-art“ von IAM/IAG gesehen werden. Hier kommt ein deutlich stärkerer „erkennender“ Fokus hinzu, „detective controls“ insbesondere in Form regelmäßiger Rezertifizierung.

Nur: Rezertifizierung alleine reicht nicht aus, um alle Bedrohungen durch fehlerhafte und missbräuchlich genutzte Zugriffsberechtigungen zu erkennen. Zudem sollte man sich bei der Rezertifizierung auf besonders kritische Bereiche konzentrieren, die häufiger und gründlicher überprüft werden sollte als wenig kritische Berechtigungen.

Der letztgenannte Aspekt wird seit geraumer Zeit von als Access Intelligence bezeichneten Lösungen adressiert, die Teil von Identity-Provisioning- und Access-Governance-Lösungen sind, teils aber auch als separate Tools angeboten werden. Solche Tools können beispielsweise Benutzer mit überdurchschnittlich vielen Berechtigungen oder ungewöhnlichen Berechtigungskombinationen identifizieren, so dass eine gezieltere Prüfung besonders riskanter Berechtigungen erfolgen kann.

Bedrohungen müssen umfassender und schneller erkannt werden, um schneller reagieren zu können.

Was aber auch Access Intelligence nicht beantwortet, ist die Frage, ob Berechtigungen auch so genutzt werden, wie es vorgesehen ist. Was, wenn ein Backup-Operator zwei Backups macht und eines davon zur Analyse mitnimmt? Was, wenn ein Sachbearbeiter nicht nur die Kundendatensätze mitnimmt, die er nutzen darf, sondern alle kopiert, auf die er Zugriff hat, um sie beispielsweise an deutsche Steuerbehörden zu verkaufen? Was, wenn ein Soldat alle Dokumente kopiert und auf Wikileaks stellt, die er erreichen kann? Oder was, wenn ein Account von einem Angreifer übernommen wurde und dieser damit ganz anders arbeitet als der eigentliche Besitzer?

Alle diese Situationen kann man nicht erkennen, wenn man nur Berechtigungen rezertifiziert. Nur wenn man Änderungen im Verhaltensmuster von Benutzern analysiert, kann man auch solche kritischen Situationen identifizieren. Gerade in Deutschland wirft das natürlich gleich die Frage danach auf, ob das zulässig und durchsetzbar ist. In Verbindung mit der Pseudonymisierung von Benutzern, durchdachten Genehmigungsprozessen für die Identifizierung von Benutzern bei erkanntem Missbrauch und einer engen Kooperation mit Betriebsrat und Datenschützern lautet die Antwort: Warum nicht?

Denn die Alternative dazu ist, wesentliche Risiken im Missbrauch von Berechtigungen zu ignorieren, womit man sich zumindest in einer Grauzone bezüglich der gängigen regulatorischen Anforderungen – man denke nur an das diffus definierte „angemessene Risikomanagement“ – befindet.

Klar ist: Rezertifizierung alleine reicht nicht mehr aus. Es ist zu wenig, bei einem Rezertifizierungsintervall von 12 Monaten im schlimmsten Fall erst nach 11 Monaten und 29 Tagen zu erkennen, dass jemand zu viele Berechtigungen hat und überhaupt nicht zu wissen, ob diese auch wie vorgesehen genutzt werden.

Über den Autor:
Als Gründer und Principal Analyst, betreut Martin Kuppinger den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er bereits mehr als 50 IT-Bücher geschrieben und gilt als bekannter Kolumnist und Autor für technische Artikel und Rezensionen in einigen der renommiertesten IT-Zeitschriften in Deutschland, Österreich und der Schweiz. Martin Kuppinger ist ebenfalls ein etablierter Referent und Moderator bei Seminaren sowie Kongressen und besitzt einen Bachelor in Economics. 

Sein Interesse an Identity Management stammt aus den 80er Jahren, als er viel Erfahrung in der Entwicklung von Software-Architekturen sammeln konnte. Im Laufe der Jahre kamen weitere Forschungsfelder wie Virtualisierung, Cloud Computing, allgemeine IT-Sicherheit und vieles mehr hinzu. Durch sein Wirtschaftsstudium gelingt es ihm, seine IT-Kenntnisse mit einer starken Business-Perspektive zu verbinden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close