Mit den richtigen Schritten zur zeitgemäßen Zugriffsverwaltung
2. Juli 2024Wie den Schiedsrichter beim Fußball betrachten viele Unternehmen das Thema Identity Management und Administration (IGA): Trifft der Schiedsrichter die richtigen Entscheidungen, wird es kaum honoriert. Leistet er sich Patzer am laufenden Band, wird das Spiel zu Nebensache und die Schiedsrichterleistung wird zum Hauptthema des Spiels. So wie es bei sportlichen Wettkämpfen nicht ausreicht, dass einfach nur irgendein Referee auf dem Platz steht, ist auch bei der IGA nicht das alleinige Vorhandensein einer Zugriffsverwaltung Garant dafür, dass alle kritischen Entscheidungen optimal getroffen werden.
Viele Unternehmen wiegen sich in Bezug auf ihre IGA-Lösungen in falscher Sicherheit. Wenn Unternehmen wachsen, werden auch Sicherheitsbedrohungen immer komplexer und schwieriger zu handhaben. Identity-Governance-Praktiken, die sich in der Vergangenheit bewährt haben, können heute überholt sein. CISOs müssen regelmäßige Bestandsaufnahmen machen und einen schonungslos objektiven Blick auf die eigene IGA werfen.
Es gilt sicherzustellen, dass sie alle Funktionen mitbringt, um den Zugriff auf Daten und Anwendungen zu gewähren oder zu entziehen und Identitäten davor zu schützen, dass Hacker sie kapern und das Netzwerk infiltrieren. Um zu checken, ob die eigene IGA-Lösung den Test der Zeit noch besteht, reichen die folgenden Kriterien:
- Ist die IGA-Lösung veraltet? Dann ist sie teuer und birgt unnötige Risiken. IT-Experten, die eine veraltete oder selbst entwickelte IGA-Lösung einsetzen, müssen sich deutlich mehr Sorgen über identitätsbezogene Bedrohungen machen. Im Allgemeinen gilt: Je älter eine Lösung, desto teurer ihre Wartung. Die TCO (Total Cost of Ownership) steigen dann mit der Zeit immer weiter an. Dieser Kostenanstieg ist größtenteils auf die Anzahl der Anpassungen zurückzuführen, die Unternehmen vornehmen müssen, um neue Anforderungen zu erfüllen, und auf den Aufwand, ein Altsystem langfristig zu pflegen. Software-Patches, die fortlaufende Entwicklungsunterstützung, die für die Integration jedes neuen Systems erforderlich ist, und die Programmierung, die es braucht, um der Lösung neue Arbeitsabläufe hinzuzufügen, tragen zu diesen Kosten bei. Oft ist es schwierig und teuer, die IGA-Funktionen von IAM-Plattformen eines einzelnen Anbieters zu aktualisieren und anzupassen, so dass eine konfigurierbare Best-of-Breed-IGA-Lösung meist die finanziell lukrativere Wahl ist.
- Nutzerkonten eliminieren, die übermäßigen Zugriff auf Systeme und Anwendungen haben. Unnötiger Zugriff auf Systeme und Anwendungen ist eine der Hauptursachen für Verletzungen der Identitätssicherheit, kompromittierte Benutzerkonten und den unbefugten Zugriff von Hackern auf sensible Daten. Eine strenge Identitätsprüfung, die schnelle Identifizierung und Sperrung verdächtiger Konten und die Erstellung von Compliance-Berichten können identitätsbezogene Risiken nur dann reduzieren, wenn der CISO sicher weiß, dass jeder Benutzer über die richtigen Zugriffsrechte verfügt, um seine Aufgaben zu erfüllen. Unternehmen benötigen eine moderne IGA, um Identitätslebenszyklen, Zugriffsanfragen, Provisioning, Rollen- und Richtlinienänderungen sowie die Reaktion auf Sicherheitsverletzungen in Echtzeit zu verwalten, wenn Sie übermäßig autorisierte Konten und unnötigen Zugriff verhindern wollen. Dies ist auch die wichtigste Voraussetzung für die Implementierung eines ausgereiften Zero-Trust-Sicherheitsmodells.
- Sicherstellen, dass IGA-Tools die Funktionalität für ein Zero-Trust-Modell bieten. IT-Organisationen, die ältere oder selbstentwickelte IGA-Tools verwenden, sind über identitätsbezogene Bedrohungen oft besorgter als Nutzer moderner IGA-Lösungen. Moderne IGA-Tools sind wesentlich effektiver bei der Verhinderung riskanter Vorgänge – seien es unnötig gewährte Zugriffe auf Systeme oder nicht-entzogene Berechtigungen von Konten. Die meisten Unternehmen verfügen über eine steigende Anzahl von Nutzern, die per Fernzugriff arbeiten, und herkömmliche und selbst entwickelte IGA-Lösungen haben Schwierigkeiten, diese Identitäten effektiv zu verwalten. Selbst in Unternehmen, die moderne IGA-Lösungen für alle Umgebungen implementiert haben, werden diese oft nicht nach Best-Practice-Frameworks verwaltet. Wer eine IGA-Altlösung verwendet, sollte sich an zeitgenössischen Best-Practices orientieren, einen Migrationsplan erstellen und beim neuen System sicherstellen, dass diese mit optimaler Funktionalität eingesetzt wird.
- Die IGA muss bei Zugriffsrechten den Ist- und den Soll-Zustand nachweisen können. Verantwortliche müssen nachweisen können, dass Ihre Identity Governance-Strategie effektiv ist, auch wenn ihr Unternehmen neue Identitäten und Anwendungen einführt. Eine moderne IGA-Lösung sollte die Erstellung genauer Compliance-Berichte effizienter machen. Wenn Geschäftsprozesse komplexer werden, muss die IGA zudem bestimmen, wer Zugriff auf Daten und Anwendungen hat und wer nicht, doch vor allem muss sie diese Informationen jederzeit nachweisen können. Die Möglichkeit, jederzeit abbilden zu können, dass Benutzer nur über die notwendigen Zugriffsebenen verfügen, ist für jedes Compliance-Audit von entscheidender Bedeutung. Ebenso wichtig ist die Fähigkeit, eine konsistente und wiederholbare Berichterstattung zu gewährleisten.
- Individualisierte Best-of-Breed IGA statt IAM-Plattform. Viele Unternehmen, die moderne IGA einsetzen, entscheiden sich eher für individuelle IAM-Lösungen (z. B. IGA, PAM, CIEM, DAG, ITDR usw.) als für ein einzelnes Produkt, das viele IAM-Komponenten anbietet. Obwohl die Entscheidung für ein Einzelprodukt zunächst kostengünstiger ausfallen kann, hat das auch Nachteile. Erstens ist das Unternehmen dadurch an einen einzigen Anbieter gebunden, was einen Wechsel schwierig und teuer macht. Zweitens wird es komplizierter, externe Systeme hinzuzufügen, die das IAM bei Bedarf verbessern könnten. Schließlich ist das Unternehmen, wenn andere Produkte sich schneller weiterentwickeln, gezwungen, womöglich mit überholter Technologie zu leben, die die IAM-Leistung insgesamt beeinträchtigen und die Identitätsrisiken erhöhen kann.
- Das Wichtigste: Anpassungsfähigkeit ist Trumpf. Anpassungsfähigkeit muss absolute Priorität haben. Denn wenn man sich für eine individuelle IGA-Lösung entscheidet, die Best-of-Breed-Funktionen bietet, muss sie für andere Systeme und Anwendungen konfigurierbar sein, um die spezifischen Anforderungen des Unternehmens zu erfüllen. Bei der Evaluierung einer neuen Lösung suchen die meisten Führungskräfte und IT-Experten nach einem Konnektivitäts-Framework, das es ihrem Unternehmen ermöglicht, IGA in Echtzeit und ohne kostspielige Anpassungen auf ihre Assets anzuwenden. In der IT-Sicherheit hat sich deshalb zuletzt der Ansatz „Governance for Identity Fabric“ durchgesetzt: Dieser bietet die Konfigurierbarkeit, Konnektivität und Anpassungsfähigkeit, um nahtlos mit den bestehenden Anwendungen und Infrastrukturen eines Unternehmens und anderen IAM-Lösungen zu arbeiten. Darüber hinaus ermöglicht er Interoperabilität mit Unterstützungsfunktionen wie generativer KI, die zur Automatisierung des Identitäts- und Zugriffsmanagements in Echtzeit beitragen. SaaS-basierte Identity Fabric bietet schnellere Datenaufnahme, die Möglichkeit, Anwendungen schnell zu synchronisieren und ermöglicht Anwendern, Geschäftsprozesse kontinuierlich zu optimieren. Zu den Vorteilen zählen außerdem die zentralisierte Verwaltung und Governance-Unterstützung in dezentralisierten Umgebungen mit mehreren Zugriffspunkten unter Beibehaltung der Kontrollanforderungen und Leistungsniveaus.
CISOs, die die genannten sechs Punkte bei der Prüfung der hauseigenen IGA ganz oben auf die Checkliste setzen, bekommen ein klareres Bild davon, wo man sich auf dem Weg zur Sicherung von Identitäten und Assets und zur Schaffung eines ausgereiften, nachhaltigen Zero-Trust-Sicherheitsmodells befindet. Beginnt man mit einer modernen IGA-Lösung im Kontext von Governance for Identity Fabric, mindert dies identitätsbezogene Sicherheitsrisiken und versetzt IT-Teams in die Lage, Aufgaben im Unternehmen mit größtmöglicher Sicherheit zu erledigen.
Stephen Lowing ist Vice President Marketing von Omada.