Identity und Access Management
Die Absicherung von Zugangsrechten, Berechtigungen und Identitäten ist komplex. Materna erläutert in diesem Sonderthema, warum eine Identity und Access Management (IAM)-Lösung die Sicherheit in Organisationen deutlich erhöht. Wir stellen die verschiedenen Bausteine vor, aus denen sich eine IAM-Lösung zusammensetzt.
Management Summary
Die Sicherheit erhöhen
Trotz aller Automatisierung in der IT spielt der Mensch noch immer die wichtigste Rolle. Menschen nutzen IT-Anwendungen, um Informationen abzurufen, zu ändern, zu löschen oder zu übertragen. Je nach Art der IT-Anwendung benötigen unterschiedliche Personen differenzierte Berechtigungen und Verarbeitungsmöglichkeiten.
Das Angebot an Identity und Access Management-Lösungen ist sehr vielfältig und sie sind je nach Einsatz sehr unterschiedlich zugeschnitten: Stehen Governance-Aspekte im Fokus? Sollen Identitäten von internen und externen Mitarbeiter*innen oder von Kunden administriert werden? Sollen Zugänge zu klassischen IT-Systemen („on premise“) oder auf Cloud-Lösungen eingerichtet werden? Auch muss entschieden werden, ob die Lösung eigenständig oder durch einen Dienstleister betrieben werden soll und ob sie in der eigenen IT-Landschaft installiert oder aus einem fremden Rechenzentrum oder der „Cloud“ bezogen werden soll. Die Analysten von Gartner unterscheiden hier zwischen Lösungen für „Identity Governance and Administration“ und „Access Management“.
Was ist überhaupt eine Identität?
Lassen Sie uns zunächst den Begriff „Identität“ definieren. Nach der Norm ISO/IEC 24760-1 ist eine (digitale) Identität ein „Satz von Attributen“, der zum Beispiel einer Person zugeordnet ist.
Ein Beispiel soll dies verdeutlichen: Sascha Müller ist ein neuer Mitarbeiter in der Buchhaltung der Firma „Muster Org“. Der IT-Administrator legt für ihn Datensätze in verschiedenen Systemen mit unterschiedlichen Attributen an. Im Active Directory erhält er das Konto „smueller“. Hier werden die Kontaktinformationen und Gruppenzuordnungen gespeichert. Mit dem Login „P4711“ und dem zugehörigen Kennwort greift Sascha im Intranet auf seine digitale Gehaltsabrechnung zu. Mit dem Login sascha.mueller@muster.org nutzt er im Internet einen Cloud-Service, um Büromaterial zu bestellen. Die Person Sascha Müller hat also in drei Systemen jeweils eine andere digitale Identität. Drei Identitäten als Beispiel sind noch überschaubar. In der Praxis liegt die Anzahl aber regelmäßig deutlich höher.
Das Identity Management (IDM) ordnet alle digitalen Identitäten jeweils eindeutig einer (natürlichen) Person zu. Nur so kann eine Organisation nachhalten, wer insgesamt welche Zugänge und Berechtigungen hat und wem protokollierte Aktivitäten zuzuordnen sind. Damit erfüllen Organisationen Compliance-Anforderungen, wie z. B. die Trennung bestimmter Funktionen oder Berechtigungen (Segregation of Duties = SoD). Auch technische Accounts und Service-Konten werden dabei den jeweiligen verantwortlichen Personen zugeordnet.
Primäre Aufgabe des IDM ist es, Personen eindeutig zu identifizieren. Weder darf eine Person mehrfach angelegt werden, z. B. mit unterschiedlichen Schreibweisen ihres Namens, noch dürfen zwei unterschiedliche Personen, z. B. aufgrund von Namensgleichheit, zu einer Identität zusammengefasst werden.
Kopplung mit dem HR-System
Organisationen sollten das Identity Management auf verlässlichen, geprüften Personendaten aus anderen Bereichen aufsetzen, z. B. auf den Bestandsdaten der Personalabteilung. Eine Kopplung von HR und Identity Management hat das Ziel, Identitäten zeitgerecht anzulegen, zu aktivieren und bei Unterbrechungen bzw. Ausscheiden aus der Organisation wieder zu deaktivieren. Bedeutsam sind neben einer verlässlichen technischen Kopplung vor allem übergreifende Prozessabläufe und ein gemeinsames Verständnis von Daten. Die IT benötigt Daten der neuen Mitarbeiter*innen ggf. bereits weit vor ihrem ersten Arbeitstag, um IT-Equipment zu beschaffen und rechtzeitig bereitzustellen. Das bedeutet aber auch, dass die HR-Abteilung neue Mitarbeiter*innen im Personalsystem rechtzeitig und in der erforderlichen Datenqualität anlegen muss. Entscheidend ist, dass das Datenfeld „erster Arbeitstag“ verbindlich befüllt wird, um Bestellungen auszulösen und Konten anzulegen.
Eine enge Kopplung mit dem Personalsystem bietet weitere Vorteile: Anhand der zu besetzenden Stellen kann die IT festlegen, welche Rollen die neuen Mitarbeiter*innen haben und welche Berechtigungen sie dafür benötigen. Neue Mitarbeiter*innen arbeiten vom ersten Tag an produktiv, weil alle erforderlichen IT-Systeme freigeschaltet sind.
Die Kopplung mit dem Personalsystem sollte keine Einbahnstraße bleiben. Bei einer bidirektionalen Kopplung erhält die Personalabteilung Informationen aus dem IDM-System, die zum Beispiel erst im Laufe der Betriebszugehörigkeit entstehen oder sich außerhalb des HR-Systems ändern, wie z. B. Telefonnummern, E-Mail-Adressen und Raumnummern.
Wechseln Mitarbeiter*innen die Abteilung oder verlassen die Organisation, stellt die enge Kopplung zwischen HR und IDM sicher, dass die IT die Konten und Berechtigungen rechtzeitig anpassen bzw. deaktivieren kann.
In vielen Organisationen arbeiten neben dem eigenen Personal auch häufig projektbezogen externe Mitarbeiter*innen. Werden diese nicht im Personalbereich verwaltet, muss eine weitere Datenquelle sicherstellen, dass alle externen Mitarbeiter*innen von Anfang an bekannt sind und ihre Benutzerkonten rechtzeitig zum Ende eines Projektes deaktiviert oder gelöscht werden.
Automatische Provisionierung
Eine weitere Aufgabe des Identity und Access Managements ist es, Zugänge und zugehörige Berechtigungen automatisiert anzulegen, also zu provisionieren, und bei Bedarf wieder zu deprovisionieren.
Wie das funktioniert, schauen wir uns anhand der Abläufe des Beispiels von Sascha Müller an. Das HR-System erfasst seine Daten und übergibt sie an das IAM. Das AD-Konto „smueller“ wird angelegt und am ersten Arbeitstag aktiviert. Sascha Müller erhält automatisch alle notwendigen Zugänge und Berechtigungen für das Buchhaltungssystem, den Abteilungs-SharePoint und Laufwerksfreigaben. Das Login „P4711“ für die digitale Gehaltsabrechnung wird eingerichtet, das E-Mail-Konto mit der Adresse sascha.mueller@muster.org automatisch angelegt und der Zugang zum Cloud-Service wird freigeschaltet. Das alles passiert fehlerfrei, pünktlich und ohne manuelles Zutun.
Das klingt wie Magie, beruht aber darauf, dass vorab festgelegte Regeln präzise steuern, welche Personen welche Zugänge und Berechtigungen erhalten. Entsprechend werden auch Regeln für Konfliktfälle aufgestellt, um auch diese weitgehend automatisiert zu entscheiden. Wenn zum Beispiel „smueller“ schon vergeben ist, könnte das AD-Konto des neuen Kollegen „smueller2“ heißen. Für Login-Kennungen lassen sich solche Konflikte vermeiden, indem das IAM eine Kennung mit einer eindeutigen Unterscheidungsnummer generiert und keine Kennung mit Namensbestandteilen, also z. B. „MA004711“ für internes Personal (die Ziffernfolge enthält hier die Personalnummer) und „X0123456“ für externes Personal. Weitere Regeln legen fest, wie E-Mail-Adressen erzeugt und dabei Konflikte gelöst werden. Konflikte lassen sich niemals ganz vermeiden. Komplexe Fälle erfordern nach wie vor den Eingriff der IAM-Administration, aber die Zahl der Fälle lässt sich deutlich reduzieren.
Beantragen und freigeben
Über einen Self-Service können Mitarbeiter*innen im IAM weitere Zugänge und Berechtigungen beantragen oder Berechtigte damit beauftragen. In den Workflow eingebunden ist beispielsweise die Freigabe durch die im System hinterlegte Führungskraft oder andere Ressourcen-Verantwortliche. Wurde der Workflow erfolgreich durchlaufen, ist die neue Berechtigung automatisch zum beantragten Stichtag einsatzbereit.
Ergänzend können häufig nachgefragte Zugänge und Berechtigungen gebündelt werden zu einer sogenannten rollenbasierten Berechtigungsvergabe. Liegt keine Dokumentation über die benötigten Rollen vor, kommt das sogenannte Role Mining zum Einsatz. Das bedeutet, dass mit fortgeschrittenen Methoden die real vergebenen Berechtigungen durchsucht werden, und es wird ermittelt, welche Personengruppen welche Berechtigungen typischerweise haben und wie sie sich von anderen unterscheiden. Die IT kann dann geeignete Rollen identifizieren, die den überwiegenden Teil aller Berechtigungen übersichtlich und sicher vergeben.
Berechtigungen befristen und überprüfen
Immer wieder kommt es in Organisationen zum berüchtigten Azubi-Effekt. Hierbei durchlaufen Auszubildende verschiedene Abteilungen und erhalten dort entsprechende Zugänge und Berechtigungen. Im Laufe ihrer Ausbildung sammeln sie immer mehr Rechte, die womöglich beim Wechsel zwischen den Abteilungen nicht wieder deaktiviert wurden. Dieser Effekt tritt nicht nur bei Auszubildenden auf. Die Zugriffsrechte müssen grundsätzlich beim Wechsel von Mitarbeiter*innen innerhalb einer Organisation angepasst werden.
Berechtigungen, die nicht auf Dauer ausgelegt sind, sollten von Anfang an befristet werden. IAM-Systeme automatisieren die Einrichtung und den Entzug befristeter Berechtigungen und stoßen auch eventuelle Verlängerungen rechtzeitig an. Wichtig ist es, dauerhaft vergebene Berechtigungen regelmäßig zu überprüfen, inwiefern sie noch im Einsatz sind. In einigen Branchen ist das aufgrund regulatorischer Anforderungen geläufige Praxis und ohne ein IAM-System ist die Überprüfung sehr aufwendig. Ein IAM-System automatisiert diese Vorgänge und erhöht auch noch die Sicherheit der Organisation.
Authentisierung: Passwörter und mehr
Um die eingerichteten Zugänge und Berechtigungen zu nutzen, melden sich Anwender*innen am jeweiligen System mit ihrer Benutzerkennung und dem Passwort an. Sie alle kennen das Problem, wenn für unterschiedliche Systeme Logins und Passwörter vergeben und sicher verwahrt werden müssen. Entweder ähneln sich die Passwörter sehr stark oder sie landen schlimmstenfalls auf einem Zettel in der Schublade.
Ein Single-Sign On (SSO) erleichtert Anwender*innen das Anmelden und verbessert die Sicherheit. Einmal im Netzwerk authentisiert, z. B. durch das Active Directory, erfolgen weitere Anmeldungen automatisiert ohne Zutun der Anwender. Je seltener Anwender ein Passwort eingeben müssen, desto weniger kann es ausgespäht oder abgefangen werden.
SSO bedeutet nicht unbedingt, dass die Passwörter der Benutzer automatisiert weitergegeben werden. Fortgeschrittene Verfahren melden Nutzer sicher an Zielsystemen an und kommen ganz ohne Passwörter aus, wie z. B. die Authentifizierungsdienste Kerberos, SAML, OAuth bzw. OpenID Connect und SQRL.
Bei Nutzung von SSO erhöht sich natürlich die Bedeutung der primären Anmeldungen am Benutzergerät, da diese alle weiteren Türen öffnet. Biometrische Verfahren, wie z. B. Fingerabdruck-Scanner und Face-ID, und fortgeschrittene Multi-Faktor-Authentisierungsverfahren (MFA) sichern die Anmeldung zusätzlich ab. Hier kommen Smartcards oder USB-Token kombiniert mit der Eingabe einer geheimen PIN zum Einsatz. Beliebt sind auch Token bzw. Apps, die z. B. alle 30 Sekunden ein sogenanntes OneTime-Password (OTP) neu berechnen. Nur wer das OTP-Token oder die App besitzt, kann die richtige Zeichenfolge eingeben.
Bei mangelhafter Passwort-Qualität erraten Kriminelle oftmals Internet-Passwörter einfach nur durch Ausprobieren oder sie stehlen Anmeldedaten gleich massenhaft, indem sie Sicherheitslücken bei Anbietern ausnutzen. Ist das Passwort die einzige Hürde zur Anmeldung, schützt nichts mehr vor dem Missbrauch der Anmeldedaten. Ein zweiter Faktor schafft Absicherung. Aber MFA sichert nicht nur die primäre Anmeldung ab. Bei Zugängen mit erhöhten Sicherheitsanforderungen kann MFA neben der SSO-Anmeldung auch noch zusätzlich eine zweite Authentisierung verlangen.
Föderierte Identitäten
Häufig werden Identitäten von einem Service-Anbieter genutzt, aber von einer anderen Organisation verwaltet. Wir sprechen dann von Föderierten Identitäten (federated identities). Im privaten Umfeld registrieren sich Anwender*innen beispielsweise mit ihrem Facebook-, Google- oder Amazon-Account auf der Webseite eines weiteren Web-Anbieters.
Im beruflichen Kontext können sich z. B. Mitarbeiter*innen mit ihrem AD-Login bei externen Cloud-Services anmelden, mit denen ihr Arbeitgeber kooperiert. Das ist sehr vorteilhaft für den Service-Anbieter: Er kümmert sich nicht weiter um die Identitätsverwaltung und Details wie Registrierung, Abmeldung, Authentifizierung und das Zurücksetzen von Passwörtern. Die Kontrolle der Identitäten verbleibt vollständig bei der nutzenden Organisation. Neues Personal kann unmittelbar zugreifen, ausgeschiedene Mitarbeiter*innen sind direkt deaktiviert und können nicht mehr auf Dienste zugreifen. Der Service-Anbieter hat zu keinem Zeitpunkt einen Zugriff auf Anmeldedaten oder Passwörter. Die Anmeldung leitet die Benutzer an eine Anmeldeseite ihres eigenen Arbeitgebers weiter. Der Cloud-Service-Anbieter wird lediglich über den Erfolg oder Misserfolg der Anmeldung informiert. Auf technischer Ebene kommen hier standardisierte Protokolle zum Einsatz, wie zum Beispiel SAML V2, OAuth 2.0 und OpenID Connect sowie Produkte wie Microsofts Active Directory Federation Services (ADFS).
Diese Art der Anmeldung ist nicht damit zu verwechseln, dass der Nutzer*innen zwar seine E-Mail-Adresse als Login verwendet, aber beim Service-Anbieter ein eigenes Konto mit einem hoffentlich abweichenden Passwort angelegt hat. Hier handelt es sich um eine separate digitale Identität. Die E-Mail-Adresse ist für Anmeldungen aus zwei Gründen äußerst beliebt: Sie ist weltweit eindeutig und kann für ein einfaches Verfahren zum Zurücksetzen von Passwörtern verwendet werden.
Customer Identity & Access Management
Beim Customer Identity & Access Management (CIAM) geht es darum, Identitäten von einer hohen Anzahl von Kunden effizient zu verwalten und ihnen den Zugriff auf ein Portal oder einen Webshop zu ermöglichen. Auch hier finden sich gegebenenfalls föderierte Identitäten, weil es für Kunden einfacher ist, sich mit dem eigenen Facebook- oder Google-Account anzumelden, anstatt ein weiteres Konto anzulegen und zu verwalten. Die Herausforderung ist, dass eine CIAM-Lösung viele Anmeldungen schnell und performant abarbeiten muss, um den Webshop hochverfügbar zu halten. Neben selbst entwickelten, möglichst an etablierten Standards orientierten Lösungen tummeln sich am Markt viele spezialisierte Anbieter für CIAM-Lösungen.
Privileged Access Management
Ein weiterer wichtiger Aspekt ist das Privileged Access Management (PAM). Hier geht es um die Verwaltung und Absicherung privilegierter Zugänge, wie z. B. Administrator-Konten (Super-User, Domänen-Admins, lokale Administratorkonten etc.), Notfallkonten (auch „Break Glass Account“ genannt, damit auch ansonsten nicht privilegiertes Personal im Notfall kontrolliert mit erhöhten Rechten agieren kann), privilegierte Logins per ssh oder rdp auf sensible Systeme und privilegierte Anwender („Stornoberechtigung“, Freigaben von erheblichem Wert).
In den Bereich des PAM fallen auch privilegierte automatisierte Zugriffe von Maschinen oder Services auf kritische Zielsysteme und Ressourcen. Diese sind unter Umständen besonders kritisch, weil Anmeldedaten häufig im Klartext in Skripten hinterlegt sind und Organisationen die Passwörter der technischen Accounts nur selten bis nie ändern.
Wichtig ist es, alle privilegierten Zugänge zu identifizieren, geeignet abzusichern und eine PAM-Lösung einzusetzen. Ein Ansatz ist z. B., kritische Systeme so zu platzieren, dass sie nur über ein spezielles PAM-Access-Gateway erreichbar sind. Die privilegierten Benutzer*innen melden sich an diesem PAM-Gateway an, die Autorisierung für den gewünschten privilegierten Zugriff wird geprüft und die Verbindung hergestellt. Im Idealfall erfolgt auch die Anmeldung am Zielsystem direkt über das Gateway, das auch Logins und Passworte verwaltet und nach Vorgaben ändert, sodass sie den einzelnen Benutzer*innen gar nicht mehr bekannt sind. Bei Bedarf werden die Zugriffe auf die Zielsysteme protokolliert und kontrolliert. Hierbei ist die gesetzliche Situation in Europa und Deutschland zu beachten, wie z. B. Datenschutz und Mitwirkungsrechte von Betriebsrat oder Personalrat.
Hier hilft Materna
Gesetzliche und regulatorische Anforderungen