Identity Governance and Administration: Identitätsverwaltung gibt es nicht von der Stange

Foto: FAMILY STOCK – shutterstock.com

Die gestiegene Relevanz von Homeoffice-Arbeitsplätzen hat die Verlagerung von Daten in die Cloud beschleunigt und damit die Anzahl der digitalen Identitäten erhöht. Als Identität versteht man im Identity Management eine Person, welche über Benutzerkonten, Rollen und Zugriffsrechte verfügt. Diese Berechtigungen ermöglichen die möglichst effektive tägliche Arbeit.

Sie bergen jedoch auch Gefahren. Ein Überfluss an Zugriffsrechten oder Identitäten öffnet Hackern gleich mehrere Türen, um schützenswerte Informationen zu stehlen. Dabei kann ein einzelner gekaperter Account mit umfangreichen Zugriffsprivilegien bereits ausreichen, um große Schäden anzurichten. Wer unachtsam Daten und Arbeitsabläufe in die Cloud migriert, kann schnell signifikante Risiken hervorrufen und in regulierten Branchen damit einhergehende Compliance-Probleme bekommen.

Für den zentralen Überblick aller Vorgänge und Benutzerkonten im Netzwerk spielt deshalb Identity Governance and Administration (IGA) eine entscheidende Rolle. Mit ihrer Hilfe können die Zugriffsrechte und Rollen streng nach Compliance verwaltet werden. Gerade dynamische Anpassungen bei Positionswechseln, die Verwaltung der Konten externer Mitarbeiter oder der effektive Berechtigungsentzug pünktlich am letzten Arbeitstag stellen relevante Momente im Identity-Lebenszyklus dar.

Somit stellt IGA sicher, dass jeder Mitarbeiter im Netzwerk das tun darf, was er soll – nicht mehr, nicht weniger. Diese Aufgabe braucht jedoch dauerhafte Justierung, Anpassungen der Firmenstruktur, sowie Beachtung hinzukommender Anwendungen, Gesetze und Regularien. Identity Management ist daher mehr als laufendes Programm denn als einmaliges Projekt zu verstehen.

Lesetipp: Das sind die Unterschiede zwischen IAM, IGA und PAM

Projektplan erstellen

Am Anfang steht die Priorisierung: Was ist für den täglichen Betrieb des Unternehmens am wichtigsten? Welche sind die bedeutendsten Geschäftsanwendungen, die verwaltet werden müssen? Welche Zugriffsrechte brauchen die verschiedenen Abteilungen? Wo liegen möglicherweise sogenannte verwaiste Konten – mit Zugriffsrechten ausgestattete Nutzerprofile, die nicht mehr verwendet werden und ein IT-Risiko darstellen? Sie fliegen oft unter dem Radar.

Auf dieser Grundlage kann man aufbauen, um im nächsten Schritt womöglich Künstliche Intelligenz (KI) oder Maschinelles Lernen (ML) einzubauen. Dagegen zu versuchen, IGA auf einen Schlag zu implementieren, ist so, als würde man laufen wollen, bevor man gehen kann.

In Bezug auf KI ist es ratsam, ihren Einsatz für die intelligente Unterstützung von Zugriffsanfragen zu erwägen. KI oder ML kann auch helfen, Rollen innerhalb der Organisation automatisiert und intelligent zu definieren. Dies erlaubt es, Rezertifizierungsprozesse massiv zu verschlanken, benutzerfreundlicher und somit aussagekräftiger zu machen.

Bei Rezertifizierungen handelt es sich um regelmäßig stattfindende Kampagnen, bei denen Zugriffsrechte auf ihre Aktualität geprüft werden, um das für viele Unternehmen vorgeschriebene Need-To-Know-Prinzip einzuhalten. Insbesondere für Audits sind diese Kampagnen wichtig, da für die Prüfer stets nachvollziehbar sein muss, wer zu welchem Zeitpunkt welche Zugriffsrechte besitzt und warum.

Schritt für Schritt gehen

Während die Einführung von IGA von außen gesehen zügig voranschreitet, besteht sie tatsächlich aus vielen kleinen Einzelschritten. Auf dem Weg zur voll implementierten IGA-Lösung ist ein sogenanntes Minimum Viable Product (MVP) empfehlenswert. Dabei handelt es sich um eine funktionsfähige Grund-Version einer Lösung, die schnell die bestehenden Probleme löst. Anschließend führt man funktionale Releases ein und skaliert die Lösung auch in die Breite.

Durch zusätzliche angebundene Systeme und Unternehmensbereiche wird die Nutzerverwaltung effektiv und benutzerfreundlich beschleunigt. Über die Implementierung von Joiner-Mover-Leaver-Szenarien wird zudem zeitnah die Einhaltung aller Vorschriften gewährleistet.

Dies befähigt ein Unternehmen, weitere Schritte hin zur voll funktionalen IGA-Lösung zu gehen. so lassen sich beispielsweise Interessenskonflikte unterbinden oder auf die ebenfalls hoch sicherheitsrelevanten technischen Identitäten ausdehnen.

IGA ist der Schlüssel zu vielen Initiativen

Homeoffice und hybride Arbeitsmodelle haben zu einem sprunghaften Anstieg digitaler Identitäten beigetragen, was wiederum zu einer nicht minder großen Menge an Tools zur Sicherung der Unternehmensdaten geführt hat. Einen zentralen Überblick dieser Identitäten zu haben, ist der Schlüssel zu vielen Initiativen und Bedingung vieler Reglementierungen.

Sobald ein Hacker ein Nutzerkonto gekapert hat, das umfangreiche seitliche Bewegungen im Netzwerk ermöglicht, sind Firmen- und Kundendaten sowie die Reputation der eigenen Organisation in Gefahr. Es gibt jedoch kein Universalprodukt von der Stange. Identity Governance and Administration muss individuell an jede Organisation angepasst werden. (jm)