Identitäts- und Zugriffsmanagement: Das sind die Unterschiede zwischen IAM, IGA und PAM

Foto: Orawan Lovatt – shutterstock.com

In der Begriffswelt des Identitäts- und Zugriffsmanagements (IAM – Identity and Access Management) fällt es leicht, den Überblick verlieren. Selbst Fachkundigen fällt es oft schwer, die einzelnen Teilbereiche und Akronyme abzugrenzen. IAM selbst ist zunächst eine Sammlung von Prozessen und Technologien, die Unternehmen bei der Verwaltung digitaler Identitäten und deren Zugriffsanfragen unterstützt. Im Allgemeinen lässt sich das IAM aber in drei grundlegende Funktionen unterteilen:

• Zugriffsverwaltung (AM – Access Management)

• Identitätsmanagement und -verwaltung (IGA – Identity Governance and Administration)

• Zugriffsmanagement für Benutzer mit hohen Zugriffsrechten (PAM – Privileged Access Management).

Die Idee des IAM ist es, die verschiedenen Teile zu verschmelzen, um einen sicheren Zugang für Endbenutzer zu ermöglichen. Diese Funktionen geben Sicherheitskräften mehr Möglichkeiten zur Überwachung und erlauben Kontrollen für die Einhaltung von Compliance- und Audit-Anforderungen. Auf diese Weise sind sie stets im Bilde darüber, wann Personen auf bestimmte Assets zugreifen, wie oft sie dies tun, welche Arten von Aktionen sie auf Systemen durchführen, von wo aus sie sich anmelden und zu welchen Zeiten sie sich anmelden.

Die Unterscheidung zwischen diesen drei Bereichen des IAM zeigt nicht nur den Mehrwert für die IT-Sicherheit, sondern auch, dass jeder dieser Teilaspekte viel Aufmerksamkeit und Sorgfalt erfordert. Wenn man zu nachlässig und leichtfertig mit den Funktionen umgeht, kann dies dazu führen, dass zu viele Zugangsberechtigungen erteilt werden, die nicht kontrolliert werden und im schlimmsten Fall von Cyberkriminellen missbraucht werden.

Lesetipp: IAM und PAM richtig einsetzen

Was ist Access Management?

Obwohl die zwei Begriffe IAM und AM nur ein Buchstabe trennt, handelt es sich bei AM bloß um einen der drei Teilaspekte von IAM neben IGA und PAM. Wo liegt also der genaue Unterschied?

Das Access Management ermöglicht es Unternehmen, den Zugang von Benutzern zu Systemen und Anwendungen im Netzwerk zu identifizieren, zu verfolgen, zu kontrollieren und zu verwalten. Ziel ist es, sicherzustellen, dass sich Benutzer sicher authentifizieren und anmelden können, um auf die für sie verfügbaren Anwendungen zuzugreifen. Die wichtigsten Aspekte zur Verifizierung einer Identität des Access Management sind die Multi-Faktor-Authentifizierung (MFA) und Single Sign-On (SSO). MFA kann über drei Möglichkeiten erfolgen:

• Mit einem Parameter, den nur der Nutzer kennt, zum Beispiel die Kombination aus Benutzername und Passwort.

• Mithilfe des Endgerätes, welches der Nutzer im Einsatz hat, zum Beispiel via Push-Nachricht an das Mobiltelefon.

• Über den Scan eines für den Nutzer biologisch einzigartigen Parameter wie den Fingerabdruck oder die Iris.

Ein Beispiel für AM wäre eine Finanzleiterin aus der Debitorenbuchhaltung, die sich bei einer entsprechenden App anmeldet, um den Status einer unbezahlten Rechnung zu prüfen. Zusätzlich zu Benutzername und Passwort muss sie den Zugang durch Eingabe eines Codes verifizieren, der per SMS an ihr Diensttelefon geschickt wird. Nach Eingabe des Codes erhält sie Zugang zum System und kann ihre Arbeit fortsetzen.

Eine ebenfalls bewährte, jedoch weniger sichere Methode, ist das Single Sign-On. SSO ermöglicht es Benutzern, sich einmal anzumelden und direkten Zugang zu allen arbeitsrelevanten Systemen und Anwendungen zu erhalten, ohne weitere Umwege.

Was ist Identity Governance and Administration?

IGA steht für Identity Governance and Administration und unterstützt Unternehmen bei der Regulierung des Zugriffs und der Berechtigungen in einer hybriden Umgebung. Dabei soll sichergestellt werden, dass jede Identität produktiv arbeiten kann, indem die richtigen Zugriffsrechte auf die jeweils wichtigen Geschäftsbereiche gewährt werden. Gleichzeitig soll das Prinzip des geringsten Privilegs (Least Privilege) eingehalten werden. IGA-Lösungen lassen sich in die Anwendungen und Daten eines Unternehmens integrieren, um Identitätsdaten zu erfassen, Zugriff zu gewähren und zu entziehen, rollen- und richtlinienbasierte Zugriffskontrollen zu implementieren und sicherzustellen, dass die Trennung von Aufgaben (Separation of Duties; SoD) durchgesetzt wird. Das soll gefährliche Kombinationen von Zugriffsrechten verhindern.

Darüber hinaus können Unternehmen mit IGA-Lösungen den Zugriff durch sogenannte Umfragekampagnen zertifizieren. Diese regelmäßigen Befragungen der Mitarbeiter stellen sicher, dass Personen, die nicht mehr benötigte Anmeldedaten haben, diese entzogen werden oder neue Berechtigungen erteilt werden, sofern sie sie für ihre Arbeit unbedingt benötigen. Auf diese Weise können Institutionen gültige Berechtigungen prüfen und bestätigen oder entziehen, um so das Prinzip der geringsten Privilegien anzuwenden: Jeder soll so wenige Zugriffsrechte wie möglich, aber so viele wie nötig erteilt bekommen. Diese Umfragen sind besonders für anstehende Audits von großer Bedeutung, da die Prüfer nicht nur die Zugriffsprivilegien, sondern auch die Historie über deren Erteilung streng kontrollieren. In diesem Fall müssen Begründungen geliefert werden, warum bestimmte Mitarbeiter auf womöglich nicht-arbeitsrelevante Daten zugreifen können.

Diese Umfragen helfen jedoch auch dabei, sogenannte verwaiste Konten zu verhindern. Dabei handelt es sich um Benutzerkonten, hinter denen keine Mitarbeiter mehr stehen, die aber unter dem Radar fliegen und möglicherweise mit vielen Privilegien ausgestattet sind – ein lukratives Ziel für Hacker. IGA bietet auch Echtzeit-Dashboarding und -Reporting, sodass Unternehmen bei Audits die Einhaltung der Vorschriften nachweisen können.

Wir bleiben bei dem Beispiel der Finanzfachfrau, welche die Gehaltsabrechnung prüfen muss: Nehmen wir an, diese Person war früher in der Kreditorenbuchhaltung tätig und ist jetzt für die Debitorenbuchhaltung zuständig. Es wäre ein Risiko, sowohl im Hinblick auf die Sicherheit als auch auf die Einhaltung der Vorschriften, wenn diese Person weiterhin Zugriff auf die Kreditorenbuchhaltung hätte. Dies würde eine gefährliche Kombination von Zugriffsrechten bedeuten, falls ihr Konto gestohlen werden sollte, da ein Eindringling mit diesen Rechten das Geld transferieren und Beweise darüber verschwinden lassen könnte. Eine funktionierende IGA würde der Mitarbeiterin daher, sobald sie ihre neue Position beginnt, automatisch die Berechtigung für die Kreditorenbuchhaltung entziehen.

Was ist Privileged Access Management?

PAM unterstützt Unternehmen bei der Verwaltung und Kontrolle erweiterter Zugriffsrechte für Benutzer, die in der gesamten IT-Umgebung einen erweiterten Zugriff benötigen. PAM-Tools stellen sicher, dass diese kritischen Benutzer und Identitäten, die Zugriff auf Domänenebene oder administrativen Zugriff benötigen, überwacht und kontrolliert werden. Dies beginnt bei der Verwaltung von Anmeldeinformationen und Geschäftsgeheimnissen und stellt sicher, dass Passwörter in sicheren digitalen Tresoren aufbewahrt, regelmäßig geändert und nur bei Bedarf aufgerufen werden. Zu den weiteren Kontrollen gehört die Verwendung eines sicheren Bastion Jump Servers, der die privilegierte Sitzung von der Workstation des Endbenutzers trennt, da diese eher mit Malware infiziert werden kann. Dadurch wird sichergestellt, dass der Endpunkt mit privilegierter Identität keine Schwachstelle darstellt. Ergänzt wird dies durch die Endpunktverwaltung, um lokale administrative Berechtigungen auf jedem Endpunkt zu entfernen.

Betrachten wir zur Veranschaulichung ein letztes Mal das Beispiel. Nehmen wir an, die Finanzmitarbeiterin sperrt sich selbst aus ihrer virtuellen Workstation aus und benötigt die Hilfe eines IT-Administrators, um wieder Zugang zu erhalten. Da sich der IT-Administrator Zugang zur Workstation verschaffen muss, wird dieser Zugang überwacht und aufgezeichnet, um sicherzustellen, dass dieser Superuser nicht mehr als nötig tut und dies nicht länger als nötig.

Lesetipp: Die 7 besten Passwortmanager

Tools für mehr Sicherheit, Produktivität und Compliance

IAM als Oberbegriff dieser drei Säulen umfasst nicht nur die Autorisierung beim Login, die AM bietet, sondern auch den Verwaltungsaspekt von IGA, das heißt: die Einrichtung von Leitplanken und die Transparenz, wer auf was zugreifen darf. Ergänzt werden beide Säulen durch strengere Kontrollen, wie die Sitzungsaufzeichnung oder die erweiterten Zugriffsrechte, die mit PAM einhergehen.

Für sich genommen bietet jedes dieser Tools bereits einen enormen Nutzen für Unternehmen: Sie erhöhen die Sicherheit, verbessern die Geschäftsabläufe sowie die Produktivität der Mitarbeiter und erfüllen die Compliance-Anforderungen für Audits. Im Tandem haben die drei Lösungen dann einen noch größeren Wert, da AM-, IGA- und PAM-Tools, wenn sie richtig eingesetzt werden, allen Identitäten einfachen, aber sicheren, Zugang zu allem bieten, was sie für ihre Arbeit benötigen, ohne die Abwehr zu beeinträchtigen. Für Identitäten mit höherem Risiko, zum Beispiel Administratoren auf Domänenebene und Ressourcen, wie Active Directory und Cloud-Verwaltungsportale, können und sollten jedoch zusätzliche Kontrollen eingebaut werden. Somit lässt sich zusammenfassen, dass AM, IGA und PAM Unternehmen helfen, ihre IAM-Gesamtstrategie erfolgreich umzusetzen und IT-Sicherheit, Produktivität und Compliance zu gewährleisten. (ms)

Tipp: Sie möchten regelmäßig über Cyberangriffe und weitere Security-Themen informiert werden? Dann abonnieren Sie doch unseren kostenlosen Newsletter.