Security First: Identity & Access Management

Autor – Thomas große Osterhues, Senior Manager Produktmanagement, Beta Systems Software AG

Account-Informationen, Passwörter, Konfigurationen oder Zugangsberechtigungen für Mitarbeiter, Business-Partner und Kunden – ein automatisiertes Identity & Access Management (IAM) administriert sämtliche Prozesse zentral und richtet diese außerdem sicher und nachvollziehbar über verschiedene Systeme und Plattformen hinweg ein.

In diesem Artikel soll der Frage nachgegangen werden, welchen Grundanforderungen moderne IAM-Systeme genügen müssen ‒ eine „einfache“ Vergabe von Berechtigungen ist, auch unter Sicherheitsaspekten, heute bei weitem nicht mehr ausreichend. Auch wichtige Aspekte der Governance müssen dabei berücksichtigt werden.

Umfassendes Anforderungsprofil für moderne IAM-Systeme

Ein modernes IAM-System sollte über klassisches Provisioning und Single-Point-of-Administration hinausgehen und folgende wesentliche Komponenten aufweisen:

Security Provisioning
Das Security Provisioning stellt Arbeitsmittel und Ressourcen für das Access Management bereit und sichert damit die Kosteneffizienz der Administrationsvorgänge. Die Provisioning Engine setzt Benutzerinformationen aus HR-Systemen, Unternehmens-Directories und Organisationsdatenbanken automatisch in Zugriffsrechte in den angebundenen Zielsystemen um. Alle wichtigen Informationen sind durch ein gezieltes Security-Management effektiv zu schützen. Die freigegebenen Zugriffsberechtigungen werden automatisch in die angebundenen Zielsysteme provisioniert – unabhängig davon, ob automatisierte HR-Daten-Importe oder genehmigte Workflow-Prozesse diese generieren. Interne und gesetzliche Sicherheitsrichtlinien lassen sich so über alle Plattformen und Systeme hinweg durchsetzen.

Governance
Hohe Effizienzsteigerungen bietet ein IAM-System durch automatisierte HR-Daten-Importe. Diese Importe können bereits mit Regeln verbunden werden, so dass der User beim Import automatisch mit Basisberechtigungen ausgestattet ist. So ist es beispielsweise möglich, Kostenstellen oder Organisationseinheiten als Auslöser für die Regeln zu nutzen. Diese Governance-Funktionen ermöglichen es, wichtige Compliance-Regeln einzuhalten und darüber hinaus Transparenz und Nachvollziehbarkeit bei den Zugriffsberechtigungen zu schaffen.

User Management
Ein weiterer wichtiger Bestandteil ist das User Management. Es ermöglicht Anwendern, Berechtigungen manuell oder über einen Workflow anzulegen. Zusätzlich stehen Self-Service-Funktionen zur Verfügung, beispielsweise Berechtigungsanträge oder Password Reset. Die Berechtigungsanträge werden dann in einem mehrstufigen Genehmigungsprozess freigegeben.

Rollenmanagement
Per Rollenmanagement können Modelle oder Konzepte in Form von Rollenhierarchien umgesetzt werden (RBAC). Mit der Lösung SAM Enterprise von Beta Systems beispielsweise lassen sich Verantwortliche (Rollen-Owner) direkt in SAM Enterprise oder über Workflow-Prozesse definieren. Risikobehaftete Rollen können markiert, bewertet und analysiert werden. Die Lösung unterstützt außerdem eine Policy-kontrollierte Berechtigungsvergabe einschließlich der Anlage von SoD-Regeln (Segregation of Duties). Durch das Bündeln von Zugriffsrechten zu Benutzerrollen unterstützt ein IAM-System den gesamten Rollenlebenszyklus eines Unternehmens und ermöglicht einen umfassenden und zugleich übersichtlichen Einblick in vorhandene oder beantragte Berechtigungsrollen. Zu erfassen sind unliniierte Rollen-Hierarchien, dynamische Rollen, SoD-Regeln sowie Role-Mining-Daten. Dies optimiert den Rollenfindungsprozess im Unternehmen, verknüpft organisatorische und technische Benutzerinformationen und entwickelt dynamische und statische Rollen für die automatische Berechtigungserteilung.

Passwort-Management
Darüber hinaus sollte ein IAM-System über ein Passwort-Management verfügen. Es dient dem sicheren und einfachen Zugriff von Computern auf verschiedene IT-Plattformen oder Anwendungen in verteilten Systemen. Es erhöht damit die Sicherheit und senkt die Betriebskosten bei der Verwaltung von Benutzerpasswörtern und dem systemweiten Zugriff in modernen IT-Umgebungen. Gleichermaßen sorgt es für mehr Produktivität am elektronischen Arbeitsplatz beispielsweise durch Self-Service-Funktionen für Endanwender, die z. B. Berechtigungsanträge via Web selbst auslösen. Anwender können über eine intuitive Web-Oberfläche ihre Passwörter in Übereinstimmung mit den Sicherheitsrichtlinien des Unternehmens selbst zurücksetzen und versehentlich gesperrte Accounts ohne Helpdesk reaktivieren.
Im Hintergrund wandelt jeweils ein integrierter, vollständig webbasierter Workflow-Prozess Berechtigungsanträge schnell in einen genehmigten Zugriff um. Jede Änderung wird über eine Vielzahl von Plattformen und Sicherheitssystemen synchronisiert und gewährleistet die Übereinstimmung der Passwörter mit den Inhaltsvorgaben auf dem IAM-System.

Komponenten für moderne IAM-Systeme (Quelle. Beta Systems)
Komponenten für moderne IAM-Systeme (Quelle. Beta Systems)

Anbindung von Applikationen essenziell

Zudem ist es unabdingbar, dass eine große Anzahl an Zielplattformen unterstützt wird, sei es für Standardsysteme oder für eigenentwickelte Individuallösungen. Jede Applikation sollte sich problemlos in die Security-Architektur eines Unternehmens integrieren lassen und die jeweils aktuellste Version der Standard-Zielsysteme (z. B. SAP, Lotus Notes, Microsoft AD oder RACF) unterstützen und dafür möglichst eine Standardschnittstelle zur Verfügung stellen.

Individuelle Systeme können durch unterschiedliche Toolboxes angebunden werden, die diesen Prozess deutlich vereinfachen und beschleunigen.

Berechtigungsvergabe über automatisierte Workflows

Heutzutage stellt der Workflow von IAM-Systemen in vielen Unternehmen einen unverzichtbaren Baustein in der Compliance-Policy dar. Die durch Workflow-Systeme gewonnene Prozesssicherheit, Transparenz und Nachvollziehbarkeit ebenso wie die Flexibilität und Leistungsfähigkeit der Workflow-Systeme sind aus heutigen IT-Konzeptionen nicht mehr wegzudenken.

In den Bereichen Berechtigungsvergabe, Berechtigungsentzug und Berechtigungsänderung gewinnen businessorientierte Genehmigungs-Workflows rasant an Bedeutung. Dass Mitarbeiter die richtigen Zugangsberechtigungen zur richtigen Zeit besitzen, verantworten immer mehr die Fachabteilungen eines Unternehmens. Ein IAM-System bietet hierfür zahlreiche Workflow-gestützte Antrags- und Genehmigungsprozeduren. Was aber sollte ein solcher IAM-Workflow leisten? Er muss die (Business-)Sprache des Endanwenders in den Fachabteilungen sprechen. Nur so wird er von der ersten Anwendung an als Entlastung wahrgenommen. Er führt den Anwender intuitiv durch den Prozess und beherrscht die Gratwanderung zwischen Standardisierung auf der einen und Flexibilität auf der anderen Seite.

Berechtigungsworkflows auch für Ausnahmeprozesse

Ein Workflow standardisiert gleichartige Arbeitsabläufe, normalerweise gibt es dabei eine Vielzahl von statischen Anträgen und vordefinierten Genehmigungsstufen. Doch trotz dieser Statik muss ein IAM-Workflow ein Höchstmaß an Flexibilität bieten, um möglichst vielen Situationen im täglichen Geschäftsbetrieb gerecht zu werden. Schließlich sind gerade die Ausnahmen, die Eskalationen und die Sonderfälle die bekannten „Zeitfresser“. Workflows steuern diese Ausnahmeprozesse durch intelligente Eskalation, Delegation und nicht zuletzt durch die Möglichkeit von Ad-hoc-Änderungen während der Laufzeit. Diese Flexibilität und Anpassungsfähigkeit beschleunigt den Einsatz in der Praxis. Der Arbeitsfluss wird durch Besonderheiten oder Fehlerquellen nicht unterbrochen, sondern lösungsorientiert fortgesetzt. Die automatisch mitlaufende lückenlose Dokumentation gewährleistet die vollständige Nachvollziehbarkeit aller Aktivitäten.

Durch den Einsatz von IAM-Workflows gewinnen Unternehmen Kontrolle und Transparenz über ihre Geschäftsprozesse im Berechtigungsmanagement. Die verantwortlichen Akteure haben die Möglichkeit, in der Prozessübersicht alle Aktivitäten zu sehen und gegebenenfalls einzugreifen. Dadurch lassen sich Richtlinien bezüglich des Zugriffs auf Applikationen unternehmensweit durchsetzen.

Prozesse können auf diese Weise wesentlich besser gesteuert und kontrolliert werden, zugleich verkürzt die digitale Abbildung der Prozesse die Durchlaufzeiten. Mithilfe von Eskalationsregeln lassen sich definierte Zeiträume für die Bearbeitung von Aufgaben festlegen und Termine durch E-Mail-Benachrichtigungen sichern. Jeder Vorgang wird mitgeschrieben und verbessert damit die Dokumentation ohne zusätzlichen Aufwand. Neue Aufgaben sowie Vorgänge gehen den Mitarbeitern automatisch per E-Mail zu. Dies verbessert deutlich den Informationsfluss zwischen Mitarbeitern, Abteilungen und Standorten und optimiert somit auch die Prozessqualität.

Anbindung von Applikationen und Berechtigungsworkflows unterstützen IAM-Prozesse (Quelle. Beta Systems)
Anbindung von Applikationen und Berechtigungsworkflows unterstützen IAM-Prozesse (Quelle. Beta Systems)

Governance entscheidend für Berechtigungsmanagement

Immer wichtiger wird zudem das Thema Governance im Berechtigungsmanagement – auch als Access Governance bezeichnet. Es beschreibt die Übernahme von mehr Verantwortung durch die Fachabteilungen zur Absicherung wichtiger Geschäftsressourcen. Die Überwachung der Zugriffsaktivitäten der Mitarbeiter im Unternehmen wird bereits bei der Freigabe von Zugriffsberechtigungen und durch die regelmäßige Überprüfung (Rezertifizierung) vorhandener Rechte streng kontrolliert. Durch eine Vielzahl workflowgestützter Antrags- und Genehmigungsprozeduren schafft ein IAM-System damit höchste Transparenz und Kontrolle über GRC-relevante Security-Prozesse.

Access Governance verlagert die Verantwortung und Entscheidungsbefugnis zur Vergabe von Zugriffsrechten in die Fachabteilungen. Der Business-Process-Workflow der Beta Systems Software AG stellt beispielsweise geschäftsorientierte Prozesse bereit, mit denen sich leistungsfähige und revisionssichere Anforderungsworkflows implementieren lassen. Der „Need to know“-Grundsatz und mehrdimensionale Genehmigerstrukturen können für Anforderungsprozesse bis auf die Ebene einzelner Benutzer hinuntergebrochen werden.

Analysewerkzeuge kontrollieren Berechtigungslandschaft

Um einen tiefen Einblick in ihre Berechtigungslandschaft und deren zugrundeliegenden Organisationsstrukturen zu erhalten, benötigen Unternehmen leistungsstarke Analysefunktionen. Hier setzt Access Intelligence als weitere IAM-Komponente an. Auf der Grundlage bewährter BI-Methoden (Business Intelligence) liefern Analysen und Reports sämtliche sicherheitsrelevanten Informationen, wie die Anzahl an Rollen, Gruppen, Accounts oder Zielsystemen pro Benutzer.

Die aus den Analysen gewonnenen Informationen bilden wiederum das Fundament für effektive Governance-Maßnahmen im gesamten Unternehmen, die sich unmittelbar zur Analyse und Aufbereitung der in den User-Provisioning-Systemen generierten Daten nutzen lassen.

Fazit

Die angeführten Grundkomponenten moderner IAM-Systeme zeigen, dass es mit der einfachen Vergabe von Berechtigungen an Benutzer heute nicht mehr getan ist. Die zusätzlichen Governance-Anforderungen müssen Unternehmen durch neue Verfahren im Berechtigungsmanagement abbilden. Leistungsstarke IAM-Systeme binden deshalb Fachabteilungen mit ein und verschaffen eine am Geschäftsprozess ausgerichtete und verständliche Sicht auf Identitäten und deren Rechte.

Dafür müssen sie um businessorientierte Strategien erweitert werden: Security Provisioning, User und Policy Management, Mechanismen zur Automatisierung und Analysefunktionen im Rahmen einer Compliance-gerechten Access Governance sind die Faktoren, auf die es hierbei ankommt. Letztere führen das Thema noch einen Schritt weiter und bilden die Grundlage dafür, auch alle Phasen des Risikomanagements rund um die Vergabe und Verwaltung von Zugriffsrechten zu unterstützen: von der Risikobewertung und dem Risikomonitoring bis hin zur präventiven Risikosteuerung. Mit risikobasierten Access Intelligence-Funktionen deckt modernes IAM entscheidende Sicherheitslücken auf und beugt jeder Form von Missbrauch vor.

www.betasystems-iam.de

Thomas große Osterhues, Senior Manager Produktmanagement bei der Beta Systems Software AG in Berlin, dem größten unabhängigen europäischen Anbieter von Identity & Access Management-Lösungen (IAM) für Unternehmen. Seit fast 30 Jahren unterstützt Beta Systems seine Kunden aus den Bereichen Finanzdienstleistungen, Fertigung, Handel und IT-Dienstleistungen mit Softwareentwicklung und Support „Made in Germany“.