Der wirksame Schutz der eigenen Ressourcen liegt im ureigensten Interesse jedes Unternehmens – zumal die Bedrohungen für die Cyber-Sicherheit permanent zunehmen. Außerdem werden die gesetzlichen Bestimmungen, die Unternehmen mit Blick auf Compliance und Datenschutz erfüllen müssen, immer komplexer. Um diesen hohen Anforderungen gerecht zu werden, spielen die automatisierte Verwaltung von Identitäten sowie der kontrollierte Zugriff auf Daten und Anwendungen eine entscheidende Rolle. Wer sich mit diesen Themen beschäftigt, stößt unweigerlich auf eine Reihe von Begriffen und Abkürzungen, bei denen durchaus Verwechslungsgefahr besteht. Doch wofür stehen Kürzel wie IAM und IGA? Und wie lassen sich die Begrifflichkeiten voneinander abgrenzen?
Das Identity & Access Management befasst sich mit der Verwaltung von Identitäten und dem Zugriff auf Ressourcen in einer IT-Landschaft. Der Begriff bündelt die verschiedenen Prozesse und Technologien, die Unternehmen dabei unterstützen, digitale Identitäten und deren Zugriffsanfragen zu kontrollieren. Das Ziel ist es, den Zugriff auf Informationen und Ressourcen zu steuern sowie sicherzustellen, dass Benutzer nur auf diejenigen Daten zugreifen können, die für ihre jeweilige Rolle erforderlich sind. Für die Einhaltung von Compliance- und Audit-Anforderungen spielt das IAM eine elementare Rolle. Wichtige Aspekte zur Verifizierung einer Identität sind die Multi-Faktor-Authentifizierung (MFA) und das Single Sign-On (SSO). Dank SSO müssen sich Anwender nur einmal anwenden und erhalten direkten Zugang zu allen arbeitsrelevanten Systemen und Anwendungen.
Das Identity & Access Management beinhaltet drei grundlegende Funktionen:
Zugriffsverwaltung (Access Management)
Das Access Management ermöglicht Unternehmen, den Zugang von Benutzern zu Systemen und Anwendungen im Netzwerk zu identifizieren, zu verfolgen, zu kontrollieren und zu verwalten. Jeder Anwender soll sich sicher authentifizieren und anmelden können, um auf die für ihn relevanten Anwendungen zuzugreifen.
Identitätsmanagement und -verwaltung (Identity Governance & Administration, IGA)
Identity Governance & Administration (IGA) dient dazu, Identitätsdaten zu erfassen, Zugriff zu gewähren und zu entziehen sowie rollen- und richtlinienbasierte Zugriffskontrollen zu implementieren. Der Fokus richtet sich über das reine Management von Zugriffsrechten hinaus auch auf die Kontrolle, Überwachung und Durchsetzung von Identitätsrichtlinien.
Zugriffsverwaltung für Benutzer mit hohen Zugriffsrechten (Privileged Access Management, PAM)
Das Privileged Access Management (PAM) unterstützt Unternehmen bei der Verwaltung und Kontrolle erweiterter Zugriffsrechte für Benutzer, die in der gesamten IT-Umgebung einen erweiterten Zugriff benötigen. Eine PAM-Lösung identifiziert die Personen, Prozesse und Technologien, die privilegierten Zugriff benötigen, legt die erforderlichen Richtlinien fest und setzt diese um.
Bereits jeder der drei Teilaspekte des IAM für sich bringt Unternehmen erheblichen Nutzen, indem er die Sicherheit erhöht, die Geschäftsabläufe sowie die Produktivität der Mitarbeiter verbessert und die Compliance-Anforderungen für Audits erfüllt. Aus ihrem harmonischen Zusammenspiel ergibt sich ein noch größerer Mehrwert, da alle Identitäten einen einfachen, aber sicheren Zugang zu allem erhalten, was sie für ihre Arbeit benötigen.
Identity Governance & Administration ist eine Teildisziplin des Identity & Access Managements (siehe oben) und unterstützt Unternehmen bei der Regulierung des Zugriffs und der Berechtigungen in ihrer Systemlandschaft. Dabei geht IGA über das reine Management von Zugriffsrechten hinaus und bezieht sich auf die Kontrolle, Überwachung und Durchsetzung von Identitätsrichtlinien. Das Ziel ist es, Identitätsrisiken zu minimieren, die Einhaltung von Compliance-Richtlinien sicherzustellen und den gesamten Lebenszyklus der Identitätsverwaltung zu kontrollieren.
Jede Identität soll produktiv arbeiten können, indem die richtigen Zugriffsrechte auf die jeweils relevanten Geschäftsbereiche gewährt werden. Gemäß dem Least-Privilege-Prinzip soll jeder Anwender so wenige Zugriffsrechte wie möglich, aber so viele wie nötig bekommen. Diese Minimierung der Zugriffsrechte ist auch fester Bestandteil geltender Sicherheitsstandards und gesetzlicher Vorgaben wie der internationalen Norm ISO 27001 oder der EU-Richtlinie NIS 2. Wenn zu viele Zugriffsberechtigungen erteilt werden, stellt dies ein enormes Sicherheitsrisiko dar, weil Cyber-Kriminelle solche weitreichenden Berechtigungen missbrauchen und massiven Schaden anrichten können. Die Funktionstrennung (Segregation of Duties) verhindert gefährliche Kombinationen von Zugriffsrechten.
IGA schafft Transparenz, wer worauf zugreifen darf, und ist unverzichtbar, wenn es darum geht, unangemessene oder riskante Zugriffe zu verhindern. Mit einer effektiven IGA-Lösung lässt sich der Zugriff auf sensible Informationen kontrollieren, Identitätsdiebstahl verhindern und die Integrität der Unternehmensdaten wahren. IGA überwacht die Einhaltung von Sicherheits- und Datenschutzrichtlinien, die gesetzliche Vorschriften und Industriestandards erfordern, und schützt Unternehmen vor rechtlichen Konsequenzen und Imageschäden. Darüber hinaus entlastet die Automatisierung der Identitätsverwaltung die IT-Abteilung.
IAM und IGA sind keine gegensätzlichen Konzepte, sondern eng miteinander verknüpft. Beide Begriffe befassen sich damit, unautorisierten Zugriff auf Systeme und Daten zu verhindern. Als Teildisziplin des Identity & Access Management befasst sich Identity Governance & Administration mit der Steuerung, Nachvollziehbarkeit und Compliance digitaler Identitäten. IGA-Lösungen ermöglichen Unternehmen, automatisierten Zugriff auf eine ständig wachsende Zahl von technologischen Ressourcen zu gewähren und gleichzeitig potenzielle Risiken hinsichtlich Sicherheit und Compliance zu bewältigen. Minimiertes Risiko von Datenlecks, Einhaltung der gesetzlichen Vorschriften und höhere Effizienz in der Verwaltung von Benutzerzugriffen – aufgrund ihrer vielen Vorteile sind IAM und IGA aus der Sicherheitsstrategie von Unternehmen nicht mehr wegzudenken.