Hybride IT-Landschaften und hybride Arbeitsmodelle sind heute die Norm und werden es auch in Zukunft bleiben. Die meisten Unternehmen nutzen mittlerweile einen Mix aus On-Premises- und Cloud-Systemen, auf die Mitarbeiter mit verschiedenen Endgeräten und von verschiedenen Standorten aus zugreifen. Security-Verantwortliche stehen damit vor der Herausforderung, diese enorm gestiegene Anzahl an Zugangswegen kontinuierlich abzusichern – ohne Anwender mit aufwändigen Authentifizierungs-Mechanismen zu überfordern. Dafür ist eine durchdachte Identity and Access Management-Strategie (IAM) unverzichtbar.
Hybride Umgebungen machen alles komplexer
Früher waren Applikationen nur innerhalb des Unternehmensnetzwerkes zugänglich. Zugriffskontrollen fanden im zentralen Rechenzentrum statt und erfolgten meist mit einem Sicherheitsschlüssel oder Zertifikat. Im Cloud-Zeitalter können Mitarbeiter ihre Anwendungen dagegen direkt über ihren Webbrowser nutzen, nachdem sie ihren Benutzernamen und ihr Passwort eingegeben haben. Diese einfache Form der Authentifizierung ist leichter zu knacken – insbesondere, wenn schwache Passwörter zum Einsatz kommen. Cyberkriminelle wissen das und stehlen bevorzugt Identitäten. Denn solche Angriffe sind viel erfolgversprechender, als in eine Applikation einzubrechen. Von einem kompromittieren Nutzerkonto aus können die Hacker dann in aller Ruhe Netzwerke ausspionieren, Daten abgreifen und Schaden anrichten. Oft bleiben sie dabei wochen- oder sogar monatelang unbemerkt.
Multifaktor-Authentifizierung im Zusammenspiel mit IAM
Um die Sicherheit zu erhöhen, ist Multifaktor-Authentifizierung (MFA) unverzichtbar. Anwender müssen dann neben ihrem Passwort mindestens einen zweiten Nachweis für ihre Identität erbringen, bevor sie auf eine Applikation zugreifen dürfen. Das kann zum Beispiel ein biometrisches Merkmal wie ein Fingerabdruck sein, ein Push-Code oder ein Software Token. Dadurch wird es für Angreifer erheblich komplizierter, ein Nutzerkonto zu kapern. MFA darf Mitarbeitern jedoch nicht das Leben schwer machen. Wenn Anwender für jeden Cloud Service ein mehrstufiges Authentifizierungs-Verfahren durchlaufen müssen, führt das schnell zu Frustration und bremst die Produktivität aus. Hier kommt IAM (Identity and Access Management) mit Single Sign-On ins Spiel.
In einem IAM können Administratoren den Nutzern eindeutige Identitäten zuweisen und festlegen, wer auf welche Daten zugreifen und welche Aktivitäten durchführen darf. Die Verwaltung und Umsetzung erfolgt dann automatisiert. Die IAM-Lösung bündelt somit Systeme zur Multifaktor-Authentifizierung (MFA) unter eine Oberfläche, sodass sich Anwender nur noch einmal per Single-Sign-On anmelden müssen. Anschließend können sie die angebundenen Applikationen und Cloud Services sicher nutzen, für die sie berechtigt sind. Außerdem überwacht und dokumentiert das IAM alle Aktivitäten eines Nutzers. Dadurch lässt sich jederzeit genau nachvollziehen, wer wann auf welche Daten zugegriffen hat. Für Security Audits oder den Abschluss einer Cyberversicherung ist ein IAM daher Pflicht.
IAM ist mehr als nur Technik
Die Einführung eines IAM ist alles andere als trivial und erfordert ein strategisches Vorgehen. Dabei geht es nicht nur um die Wahl der geeigneten Technik, sondern auch um Geschäftsprozesse. Unternehmen müssen eine Governance aufstellen, die regelt, wie die beteiligten Stakeholder und Geschäftseinheiten IAM implementieren und überwachen. Diese sollte von allen Entscheidungsträgern gebilligt werden. Zum Beispiel sind klare Regeln wichtig, wie man Identitäten erstellt, verwaltet und löscht. Auch für die Administration von Passwörtern und die Überwachung von Benutzeraktivitäten müssen Richtlinien und Standards definiert werden. Außerdem brauchen Unternehmen ein Konzept, wie sie die Mitarbeiter über die IAM-Politik informieren und diese entsprechend schulen. Nach der Einführung sollten sie die IAM-Lösung regelmäßig überwachen und prüfen, ob sie noch den aktuellen Anforderungen entspricht.
Lassen Sie sich von IAM-Profis unterstützen!
Wir von indevis helfen Ihnen gerne dabei, Ihre IAM-Strategie aufzusetzen, die passenden Tools auszuwählen und zu betreiben. Unsere Spezialisten kennen die verschiedenen technischen Möglichkeiten und wissen, wie man diese am besten in eine bestehende IT-Landschaft integriert. Letzteres wird umso komplexer, je mehr Cloud Services ein Unternehmen bereits im Einsatz hat. Deshalb ist es empfehlenswert, bereits bei der Einführung einer Cloud Applikation an IAM und MFA zu denken. Kommen Sie gerne für eine Beratung auf uns zu!
