Cybersecurity und Datensicherheit sind nicht erst seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in aller Munde – und das vollkommen zu Recht. Durch die ständig wachsende Digitalisierung ist die Menge an schützenswerten persönlichen und geschäftlichen Daten größer denn je. Leider jedoch nehmen wir Bedrohungen von außen oft viel intensiver wahr als Risiken aus dem Inneren. Doch deren Schadenspotenzial, ob mutwillig oder schlicht fahrlässig, ist mindestens ebenso hoch.

Das hausgemachte Problem stellt sich wie folgt dar: Oft wissen wir nicht, wer in einem Unternehmen Zugriff auf welche Ressourcen hat, welche Systeme überhaupt unternehmensweit existieren und ob die aktuell existierenden Zugänge und Rechte der einzelnen Personen überhaupt notwendig sind. Neben dem Missbrauch von innen öffnet man beispielsweise durch „tote Accounts“ gleichzeitig die Türen für Angriffe von außen. Laut einer Bitkom-Umfrage waren 75 Prozent der Unternehmen in Deutschland im Jahr 2019 von Datendiebstahl, Industriespionage oder Sabotage betroffen.

Unternehmen ohne ein IAM-System (Identity- und Access-Management) benötigen viele manuelle Schritte und Abstimmungen zwischen Personalabteilung (HR), Administratoren, Mitarbeitern weiterer Abteilungen und Vorgesetzen. Erforderliche Berechtigungen sind nicht vordefiniert, Rechte händisch erteilt und Passwörter für jede Anwendung separat vergeben. Die DSGVO setzt explizit eine Minimierung von Zugriffsrechten voraus und verlangt von Unternehmen den Nachweis ihrer Compliance. Hier trägt die Einführung eines IAM-Systems erheblich zur DSGVO-Konformität eines Unternehmens bei. Deshalb überrascht es nicht, dass seit dem dem Aufkommen des Themas DSGVO auch das Interesse an IAM-Lösungen stark gestiegen ist.

IAM-Systeme ermöglichen eine zentrale Verwaltung der Rollen und Accounts der Mitarbeiter, Partner oder Kunden und der damit verbundenen Rechte, die sie benötigen, um auf notwendige Daten, Dokumente und Accounts zuzugreifen. Damit lösen sie die manuelle und oft sehr fragmentierte Benutzeradministration ab. IAM-Lösungen können den gesamten Lifecycle (Onboarding, Wechsel, Offboarding) eines Nutzers, eine Audit-sichere Dokumentation der vergebenen Rechte und der damit verbundenen Vergabeprozesse sicherstellen. Zudem können sie Unternehmensprozesse abbilden, die durch eingebaute Sicherheitsprinzipien (Vier-Augen-Prinzip, Prinzip der geringsten Privilegien etc.) die Unternehmens-Compliance fördern.

Weniger manuelle Schritte dank IAM-Lösung

Die Reduzierung der manuellen Schritte durch den Einsatz eines IAM-Systems könnte dabei wie folgt aussehen: Ein neuer Mitarbeiter bekommt eine Rolle zugeteilt, mit der er die benötigten Rechten erhält. Weitere Berechtigungen beantragt er per IAM-Dashboard. Digitalisierte, automatisierte Prozesse und Genehmigungen erleichtern es, die Compliance-Regeln einzuhalten. Mitarbeiter sind so nicht nur ab dem ersten Tag einsatzbereit, sondern erhalten gleich von Beginn an die korrekten und notwendigen Berechtigungen.

Dabei sind IAM-Systeme nicht neu, und Systeme vieler verschiedener Anbieter sind seit vielen Jahren im Enterprise-Umfeld mal mehr, mal weniger zufriedenstellend im Einsatz. Klasische Anwender sind zum Beispiel Banken oder Versicherungen, die strengen Regularien unterliegen und daher dazu verpflichtet sind, ungeachtet der Hindernisse, Kosten oder negativen Seiten einer Lösung, solche Systeme zu nutzen. Kleinen und mittelständischen Unternehmen (KMU) dagegen blieb aus verschiedenen Gründen der Einsatz solcher Enterprise-Lösungen verwehrt.

Neue Mitarbeiter sind dank IAM-System nicht nur ab dem ersten Tag einsatzbereit, sondern erhalten auch von Beginn an die korrekten Berechtigungen. Bild: C-IAM

Enterprise-Lösungen sind oft sehr komplex, sowohl in ihrer programmatischen, häufig monolithischen Struktur als auch in ihrer Bedienung. Die Einführung einer Lösung, aber auch der fortlaufende Betrieb sowie Anpassungen erfordern leistungsstarke Hardware und ein Expertenwissen, das ein Unternehmen entweder im Haus aufbauen oder von externer Seite zukaufen muss. Dies ist aufgrund der Marktlage schwierig und kann damit hohe Kosten verursachen. So kann das notwendige Budget allein für die initiale Einführung und die damit verbundenen Anpassungen leicht auf einen kleinen bis mittleren Millionenbetrag anwachsen. Die Zeit- und Kostenintensität, die für Konzerne sicher im Bereich des Möglichen liegt, stellt für viele mittelständische Unternehmen ein KO-Kriterium dar. Wenn die Höhe der Investition und die darauffolgende Rentabilität primäre Entscheidungskriterien sind, liegt dieser Umstand im Mittelstand wie ein Bleifuß auf der Effizienzbremse.

IAM für den Mittelstand attraktiv machen

Glücklicherweise gibt es auch IAM-Anbieter, deren Alternativen zu Enterprise-Lösungen sich im Rahmen ganzheitlicher Sicherheitskonzepte langsam aus ihren Nischen herausbewegen. SaaS- und IDaaS-Anbieter (Software/Identity as a Service) stellen mit Cloudlösungen zur Verfügung, die sich schnell einführen und kosteneffizient betreiben lassen. Standardisierung in den Prozessen und in Prozessformaten ermöglicht es den Unternehmen, die Entwicklungszeit zur Anpassung deutlich zu verkürzen und von Spezialisten der IAM-Lösung unabhängig zu machen. Dabei bleibt die Freiheit erhalten, die Lösungen individuell an Unternehmensanforderungen anzupassen. Ein IAM-System ist dabei weit davon entfernt, für das durchschnittliche Unternehmen „ab Werk“ nutzbar zu sein, da sich Unternehmen zu sehr in ihren Anforderungen unterscheiden. Was es jedoch leisten kann, ist, oft genutzte Lösungen bereitzustellen und die Anpassung und Neuentwicklung möglichst anwenderfreundlich zu gestalten.

Um die Schritte und dabei auftretenden Hürden eines IAM-Projekts aufzuzeigen, betrachten wir nun ein Fallbeispiel aus der Praxis. Das Unternehmen hat 500 Identitäten (Mitarbeitern), die es zu verwalten gilt. Im Beispiel sind dies die Mitarbeiter des Unternehmens, es könnten aber auch Partner oder Kunden sein. Der Zugang all dieser Identitäten zu den Zielsystemen soll per IAM-System geregelt sein. Zielsysteme sind all diejenigen Systeme, die an das IAM angeschlossen sind und die dieses provisioniert, aber auch zum Beispiel ein HR-System, das lediglich lesend angeschlossen ist.

Unser Beispielunternehmen hat zehn solcher Systeme, darunter Standardsysteme wie Active Directory, LDAP, relationale Datenbanken oder auch proprietäre Systeme. Deren Anbindung erfordert Schnittstellen, die man neu entwickeln muss. Aktuell vergibt das Unternehmen die Rechte über Gruppen im AD, diese will es durch ein Rollenkonzept ersetzen. Zudem will man die Unternehmensprozesse im IAM abbilden. Diese reichen von einfachen Prozessen zum Urlaubsantrag oder Zurücksetzen des Passwortes bis hin zu mehrstufigen Vergabeprozessen für die Beantragung und Bewilligung von Rollen.

Jeder der oben genannten Schritte beinhaltet eine gewisse Komplexität und inhärentes Konfliktpotenzial innerhalb des Unternehmens. Allein die Definition der Workflows kann sich ohne klare Zuständigkeiten und ohne ein gemeinsames Ziel der Stakeholder endlos in die Länge ziehen und damit die Kosten in die Höhe treiben. Darum benötigt die IAM-Einführung eine gründliche Vorbereitung und intensive Planung. Zugleich bietet es aber auch die Möglichkeit, die Prozess- und Rechtelandschaft eines Unternehmens von Grund auf zu bereinigen.

Grenzen der Sicherheit

Ein IAM-System bietet bei korrekter und vollständiger Umsetzung einen Rahmen, in dem man sich bewegen kann und sollte, um die Konformität der Prozesse sicherzustellen. Was dennoch bleibt, ist der Risikofaktor Mensch. Eine zwingende Genehmigung zur Voraussetzung der Vergabe von Rechten oder eine Rezertifizierung bestehender Berechtigungen verfehlen ihren Zweck, wenn man sie, wie die meisten AGBs, einfach so abnicken und wegklicken kann. Die zentral gesteuerte Provisionierung ergibt keinen Sinn, wenn sich die Vergabeprozesse umgehen lassen. Kann ein Kollege beim Zusammentreffen an der Kaffeemaschine nach einem Zugang zu einer Maschine fragen und diesen erhalten, schafft dies lediglich vermeintliche Sicherheit.

Oft ist zwischen IT-Security und Benutzerfreundlichkeit abzuwägen, etwa bei der Nutzung der Zwei-Faktor-Authentifizierung. Diese bedeutet zwar einen Zwischenschritt des Nutzers, ist aber in manchen Bereichen absolut notwendig. Daher gilt es, das Sicherheitsbedürfnis von Fall zu Fall zu prüfen, um zu entscheiden, wo erhöhte Sicherheit notwendig ist und wo es die Prozesse zulassen, die Benutzerfreundlichkeit zu erhalten.

Mittelständischen Unternehmen muss daher klar sein, dass ein IAM-System hinsichtlich der aufgezeigten Risiken kein Allheilmittel ist. Vielmehr ist es als ein notwendiges Teil im Werkzeugkasten zu betrachten, das zur Sicherheit eines Unternehmens beiträgt.

Dr. Babak Ahmadi ist Geschäftsführer von C-IAM, c-iam.com.