Das Identity-Management-Pendel: Identity Security mindert das Zugriffsmanagement-Risiko
Es ist noch gar nicht so lange her, dass es üblich war, Identity Management als Compliancetool und Enablement-Tool für große Unternehmen zu betrachten. Dieser Markt wurde vom Standpunkt der Compliance aus geschaffen. Seitdem hat SailPoint die Entwicklung im Identity-Management zu dem geführt, was sie heute ist: Die Basis für Sicherung, Schutz und Befähigung des modernen, digitalen Cloud-Unternehmens. Heute dreht sich ein großer Teil des Identity Managements um Sicherheit und Risikominimierung. Identity Security ist zum neuen Perimeter oder zur „Firewall“ für die Unternehmen geworden. Identity Management umfasst nun gleichermaßen die Sicherheit von Identitäten und die Risikominimierung sowie das Zugriffsmanagement und Access Management. Diese Entwicklung setzt sich fort und wurde durch die Ereignisse der letzten Jahre noch beschleunigt.
Und hier wird es interessant!
In unserer Welt der Identity Security geht es darum, Zugriff zu ermöglichen und Unternehmen überall zu schützen. Dabei gibt es kein entweder/oder. Beim Zugriffsmanagement (manchmal auch als „IAM“ oder Identity and Access Management bezeichnet) geht es schlicht um die Gewährung von Zugriff. Es geht darum, Mitarbeiter mit den Anwendungen und Systemen zu verbinden, die sie benötigen, um ihre Arbeit schnell und effizient zu erledigen. Doch da endet es auch schon: bei der Verbindung von Mitarbeitern mit Apps. Auch wenn dies ein wichtiger Schritt ist, fragen sich Unternehmen nun: „Wie sichere ich diesen Zugriff ?“, „Wie weiß ich, welcher Mitarbeiter wann was macht?“ und „Wie sichere ich sensible Geschäftsdaten gegen Risiken ab?“
Dies unterstreicht das Konzept der „dunklen Seite“ des Zugriffsmanagements, denn die Freigabe des Zugriffs schafft viele unbeabsichtigte Risikofaktoren. Man kann es sich als Pendel vorstellen: Auf der Identity-Security-Seite geht es um die Minderung von Risiken, und auf der anderen, „dunklen“ Seite steht das Access Management, das mit jeder geöffneten Tür Risiken schafft, wenn der Zugriff ungesichert und unkontrolliert ist.
Das Identity-Management-Pendel schwingt nach links: Access Management
Mit dem Access Management können Unternehmen ihren Mitarbeitern den Zugriff gewähren, den sie für ihre Arbeit benötigen. Ein ziemlich wichtiges Tool also, nicht wahr? Und das ist es auch, denn die moderne Belegschaft muss auf jeden Fall auf Technologien zugreifen können, um in ihrer Rolle effektiv zu sein. Das heutige Cloud-Unternehmen basiert auf Technologie. Und genau darum geht es bei der digitalen Transformation – um die Einführung einer Reihe von Technologien, die das Cloud-Unternehmen voranbringen. Indem man den Mitarbeitern jedoch die Tür öffnet, um ihnen Zugriff auf all diese Technologien zu gewähren, die sie heute für ihre Arbeit nutzen, ist das Access Management inzwischen von einem Sicherheitsfaktor zu einem Risikofaktor für das Unternehmen geworden.
Ohne Identity Security können Unternehmen Technologien nicht sicher nutzen. Einfach ausgedrückt: Ein Unternehmen kann seinen Mitarbeitern keinen gefahrlosen Zugriff auf Technologien gewähren, ohne angemessene Sicherheitskontrollen zu implementieren. Wem sollte Zugriff gewährt werden? Darf dieser Zugriff gewährt werden? Wie lange benötigt der Mitarbeiter diesen Zugriff? Diese Fragen kann ein Unternehmen nicht beantworten, wenn Identity Security nicht die Grundlage bildet.
Das Identity-Management-Pendel schwingt nach rechts: Identity Security
Das bringt uns zur anderen Seite des Pendels – der Seite, die Unternehmen bei der Risikominderung hilft, nämlich zur Identity Security.
Wenn Identity Security das Fundament des heutigen Cloud-Unternehmens bildet, haben IT- und Sicherheitsteams plötzlich einen umfassenden Überblick über die gesamte Belegschaft, unabhängig davon, ob diese im Büro sitzt oder aus der Ferne arbeitet. Dank dieser Transparenz verfügt das Unternehmen nun über die Informationen, die es benötigt, um den gesamten Zugriff seiner Mitarbeiter einzusehen und nachzuvollziehen. Auf Basis dieser Informationen wird außerdem die Automatisierung und Beschleunigung des sicheren Zugriffsmanagements sowie der Berechtigungen auf alle Geschäftssysteme, Daten und Cloud-Dienste ermöglicht. Entscheidend ist, dass es nicht nur um die Bereitstellung von Zugriff geht, sondern um die Bereitstellung eines sicheren Zugriffs, der das Unternehmen schützt und keine neuen Gefahrenquellen eröffnet. Im Identity-Management-Kontext sind das Zugriffsmanagement und das Access Management hilfreiche Compliancetools.
Stellen Sie sich ein Unternehmen als Rennwagen vor.
Das Unternehmen rüstet sich, um seine Ziele für das neue Jahr zu erreichen; es nimmt Fahrt auf und gewährt seinen Mitarbeitern Zugriff, damit sie vom ersten Tag an unter allen Umständen produktiv arbeiten können. Plötzlich muss das Unternehmen auf die Bremse treten, denn ein Sicherheitsvorfall ist aufgetreten. Doch der Rennwagen war nur zum Fahren konzipiert – er hat keine Bremsen. Dieses Szenario tritt ein, wenn ein Unternehmen nur über Zugriffsmanagement bzw. Access Management verfügt: Es kann zwar schnell sein, es gibt jedoch kein Sicherheitsprotokoll, um bei Bedarf auf die Bremse zu treten.
Hier kommt Identity Security ins Spiel, denn sie ermöglicht sowohl das Gas geben als auch das Bremsen. Die Sicherheitsmaßnahme soll sicherstellen, dass der gewährte Zugriff von Anfang an sicher ist und nicht erst im Nachhinein berücksichtigt wird. Unternehmen können nicht einfach Geschwindigkeiten von 100 km/h erzielen und dann plötzlich wenden. Es sind Sicherheitsmaßnahmen erforderlich, die jedes Szenario berücksichtigen.
Besonders in der Pandemiesituation wurde die Gewährung des Zugriffs auf Technologien, die den Mitarbeitern das Arbeiten von überall aus ermöglichten, als geschäftskritisch angesehen. Dadurch wurde der „Rennwagen-Effekt“ erst möglich. Es zeigte sich schnell, dass die Zugriffsgewährung heute eine strenge Aufsicht und Sicherheit erfordert; also auch das Bremsen bzw. Identity Security sowie ein wirksames Zugriffsmanagement und Access Management. Heute gibt es ein neues Bewusstsein für das Risiko des Zugriffs auf Technologien, wenn er nicht richtig gesichert ist, z. B. mithilfe eines wirksamen Identity Managements.
Dies ist der entscheidende Unterschied, den Unternehmen auf der ganzen Welt jetzt erkennen und verstehen: Ohne Identity Security und Identity Management ist ihr Unternehmen weder sicher aufgestellt, noch sind ihre Vermögenswerte umfassend geschützt. Mit Identity Security sind sie hingegen bestens gerüstet, um Gas zu geben, aber gegebenenfalls auch auf die Bremse zu treten, um die Risiken der explosionsartigen Zunahme des Zugriffs auf Technologien im gesamten Unternehmen zu mindern.
Daher meine Frage: Auf welcher Seite des Pendels sollte Ihr Unternehmen sein?