Was ist Identity Management?
Das Identity Management, auch ID Management und IDM genannt, bezeichnet eine Sicherheitslösung zur Überprüfung und Zuweisung von Berechtigungen für digitale Entitäten – seien es Menschen, Systeme oder Geräte. Das Identity Management umfasst die Erstellung, Verwaltung und Überprüfung dieser digitalen Identitäten und ihrer Attribute sowie die Zuordnung von Benutzerrechten und Einschränkungen zu bestehenden Identitäten.
Erfahren Sie mehr über die Möglichkeiten der erweiterten intelligenten Verwaltung von Identitäten.
Durch Identity Management können Administratoren mittels Identity Governance, Access Management und Directory Services sicherstellen, dass zur richtigen Zeit das richtige Maß an Zugriff gewährt wird. So bleiben IT-Systeme, Netzwerke und Daten vor unbefugtem und missbräuchlichem Zugriff geschützt.
Was ist eine digitale Identität?
Bei einer digitalen Identität handelt es sich um eine Reihe von Informationen über Personen, Unternehmen oder elektronische Geräte in einem Netzwerk oder online. Digitale Identitäten setzen sich aus einer beliebigen Anzahl von Merkmalen oder Datenattributen zusammen, wie z. B:
- Geburtstag
- Domain
- E-Mail-Adresse
- IP-Adresse
- Medizinische Vorgeschichte
- Suchaktivitäten im Internet (z. B. Browserverlauf, elektronische Transaktionen)
- Kaufhistorie oder -verhalten
- Sozialversicherungsnummer
- Benutzername und Passwort
Die wichtigsten Funktionen beim Identity Management
Das Identity Management in vernetzten Systemen und Netzwerken konzentriert sich auf drei zentrale Funktionen:
- Die Überprüfung, ob die einem Service oder einer Anwendung vorgelegten digitalen Zugangsdaten die Identität eines Benutzers bestätigen und ob dieser Benutzer zur Durchführung der angefragten Transaktion berechtigt ist.
- Die Beurteilung, ob ein Access Management System den Ergebnissen dieser Validierung ausreichend vertrauen kann, um den Zugriff auf die angeforderten Daten oder Dienste zu gewähren.
- Die Einschätzung, ob die von einer Website oder Webanwendung bereitgestellten Zugangsdaten das Unternehmen, die Institution oder die Behörde repräsentieren, mit der der Benutzer eine Transaktion durchführen möchte.
Funktionsweise des Identity Managements
Zunächst richtet ein Identity Management System für jede zu verwaltende Einheit eine digitale Identität ein. Danach werden die digitalen Identitäten mit dem Identity Management System administriert und während ihres gesamten Lebenszyklus gewartet, modifiziert und überwacht.
Mit Identity Management können auch Richtlinien erstellt und durchgesetzt werden, die die Zugriffsrechte steuern. Damit wird kontrolliert, welche Benutzer Zugriff auf welche Ressourcen, Geräte und Assets im Netzwerk haben. Mithilfe von Zugriffskontrollen verhindert das Identity Management den unbefugten Zugriff auf Ressourcen, wodurch die Sicherheit und Produktivität erhöht und Risiken und Schwachstellen gemindert werden.
Identity Management-Systeme überwachen kontinuierlich die Informationsquellen. Wenn sich in der Informationsquelle etwas ändert, liest das Identity Management System die neuen Informationen aus, verarbeitet sie neu, wendet Richtlinien an und gibt diese Informationen dann an andere Systeme weiter. Identity Management-Systeme verfügen in der Regel über eine Reihe von Regeln und Skripten, mit denen die Daten verarbeitet werden.
Identity Management vs. Access Management
Die Begriffe Identity Management und Access Management werden häufig, aber irrtümlicherweise, synonym oder gemeinsam verwendet. Das Identity Management dient jedoch der Bestätigung, dass eine Person wirklich die ist, für die sie sich ausgibt. Das Access Management hingegen bestimmt anhand von validierten Identitätsinformationen, welche Ressourcen ein Benutzer nutzen kann und wie.
Gründe für die Notwendigkeit von Identity Management im Unternehmen
Den Überblick über die Identitätsinformationen für die vielen Benutzer in einem Unternehmensnetzwerk zu behalten, ist eine Herausforderung. Identity Management-Systeme bieten eine Lösung, die sowohl die Sicherheit als auch die Abläufe in einem Unternehmen verbessert.
Ein Identity Management-System schützt Unternehmen, indem es sicherstellt, dass nur authentifizierte Benutzer (d. h. Einzelpersonen oder Geräte) Zugriff auf die spezifischen Anwendungen, Komponenten und Systeme erhalten, für die sie berechtigt sind.
Identity Management-Systeme liefern IT-Administratoren außerdem eine zentrale Datenquelle, mit der sie den Zugriff von Benutzern auf Ressourcen einrichten, protokollieren und messen können, wenn diese dem Unternehmen beitreten oder es verlassen.
Darüber hinaus können IT-Teams mithilfe von Identity Management-Systemen Richtlinien für den Benutzerzugriff anwenden. So können zum Beispiel abhängige Bedingungen festgelegt werden, wie die Voraussetzung einer gesicherten Verbindung beim Zugriff auf sensible Informationen.
Die Vorteile des Identity Managements
Mit einem Identity Management-System lässt sich die Zeit bis zur Wertschöpfung verkürzen, da der Zugriff auf Unternehmensressourcen beschleunigt wird, was die Sicherheit und Produktivität verbessert. Sie ermöglichen es Administratoren zudem, viele Aufgaben im Zusammenhang mit Benutzerkonten zu automatisieren, wie z. B. das Onboarding neuer Benutzer und Geräte im Netzwerk und die rollen- und bedarfsabhängige Gewährung des Zugriffs auf die entsprechenden Systeme und Anwendungen.
Ein Identity Management-System bietet Administratoren granulare Zugriffsmöglichkeiten zur Anwendung des Least Privilege-Prinzips. Dadurch wird die Bewegungsfreiheit von Cyberkriminellen in Bezug auf Daten und Netzwerke eingeschränkt, falls Zugangsdaten durch Hacking, Phishing oder andere Malware kompromittiert wurden. Auch die Tragweite eines Ransomware-Angriffs kann so eingedämmt werden.
Zu den weiteren Vorteilen des Identity Managements gehören:
- Die Fähigkeit, über jede Plattform mit bestehenden digitalen Identitäten autorisierten Zugriff zu gewähren
- Zusätzliche Schutzebenen durch die einheitliche Anwendung von Richtlinien und Regeln für den Benutzerzugriff im gesamten Unternehmen
- Audit-Pfad aller Änderungen, damit Administratoren nachvollziehen können, wer was wann geändert hat
- Bessere Verwaltung der Systeme und des Datenzugriffs der Mitarbeiter
- Die Möglichkeit zur Erstellung von Gruppen, Replikation der Unternehmensstruktur sowie Provisionierung und Deprovisionierung von Services (z. B. virtuelle Websites)
- Zentrale Speicherung der digitalen Informationen eines Benutzers
- Kontinuierliche Kontrolle im Hinblick auf nicht genehmigte Zugriffe und Änderungen bei den Berechtigungen und Zugriffen von Benutzern, die eine Bedrohung darstellen könnten
- Erhöhte Mitarbeiterproduktivität durch schnelleres Onboarding
- Berichte mit Informationen zu Benutzerrechten und deren Zugriff auf die Systeme
- Self-Service-Schnittstelle für Benutzer zur Durchführung einer Reihe von Aufgaben, einschließlich der Zurücksetzung ihrer Passwörter, der Beantragung von Zugriff und der Überprüfung ihrer Konten auf Benutzernamen
- Vereinfachte Prozesse zur Änderung von Zugriffsberechtigungen für verschiedene Systeme bei Änderung der Rolle oder Funktion eines Benutzers
- Einheitliche Identität zur Anmeldung bei verschiedenen Systemen, wodurch nicht mehr mehrere Benutzer-IDs und Passwörter für unterschiedliche Systeme erforderlich sind
- Optimiertes Identity Management für Kunden, Partner, Lieferanten und Geräte
- Unterstützung des gesamten Lebenszyklus einer Identität
- Benachrichtigung der Benutzer über Änderungen an ihren Berechtigungen oder Konten
Worauf Sie bei Identity Management-Software achten sollten
Bei der Auswahl einer Identity Management-Software ist es wichtig, dass Sie sich im Vorfeld die Zeit nehmen, Ihre grundlegenden Bedürfnisse zu ermitteln. Diese sind von Unternehmen zu Unternehmen unterschiedlich, im Folgenden finden Sie jedoch einige Schlüsselbereiche, die Sie bei der Auswahl einer Identity Management-Lösung berücksichtigen sollten und die als Leitfaden dienen können.
Industrie
Grundlegende Identity Management-Systeme sind für viele Unternehmen ausreichend. Einige Branchen haben jedoch besondere Anforderungen und so sind einige Lösungen auf verschiedene Branchen zugeschnitten (z. B. Gesundheitswesen und Finanzdienstleistungen) und beinhalten Funktionen, die auf deren spezielle Bedürfnisse zugeschnitten sind (z. B. Compliance, erweiterte Sicherheit und geografisch verstreute Benutzerbasis).
On-Premise- vs. Cloud-Bereitstellung
Cloud-basierte Identity Management-Lösungen sind für die meisten Unternehmen zum Standard geworden. Manche benötigen jedoch ausschließlich On-Premise- oder hybride Optionen. Sie müssen sich also unbedingt über die verschiedenen Einsatzmöglichkeiten, ihre Stärken und den verfügbaren Support informieren.
Größe des Unternehmens
Die Anforderungen an eine Identity Management-Software variieren je nach Größe des Unternehmens, damit die Funktionen und Tools auf IT-Umgebungen, Geschäftsstandorte, Benutzerstandorte und Workloads abgestimmt werden können. Eine weitere wichtige Überlegung in Bezug auf die Größe ist das zu erwartende Wachstum. Wenn ein Unternehmen mit erheblichem Wachstum rechnet, sollte es sich für ein Identity Management-System entscheiden, das mit den sich ändernden Anforderungen Schritt halten kann.
Support-Anforderungen
Zunächst sollten Sie sich über die Bereitstellung und Implementierung des Supports Gedanken machen. Anbieter von Identity Management-Lösungen sollten danach beurteilt werden, welche Unterstützung sie anbieten und inwieweit diese den Anforderungen des Unternehmens gerecht wird. Nach der Inbetriebnahme des Systems muss es kontinuierlich gewartet und überwacht werden. Das Unternehmen muss daher entscheiden, ob dies intern erledigt werden soll oder ob dafür die Unterstützung des Anbieters erforderlich ist.
Benutzerbasis
Bei der Beurteilung eines Identity Management-Systems sollte auch die Benutzerbasis eines Unternehmens berücksichtigt werden. Denken Sie zum Beispiel darüber nach, ob die menschlichen Benutzer auf Mitarbeiter beschränkt sind oder ob auch externe Benutzer wie Auftragnehmer, Kunden und Partner dazugehören. Nicht-menschliche Benutzer (z. B. Geräte, Anwendungen, Cloud-Speicher) sind ebenfalls zu berücksichtigen.
Notwendige und nützliche Funktionen
Bei der Auswahl einer Identity Management-Software müssen Sie unbedingt Prioritäten bei den Funktionen setzen. Während die meisten Anbieter ein grundlegendes Leistungspaket anbieten, unterscheiden sich die erweiterten Funktionen oft.
Anhand einer nach Prioritäten geordneten Funktionsliste können Sie Identity Management-Systeme ausschließen, die Ihren Anforderungen nicht gerecht werden, und alternative Optionen besser einordnen. Dies sind einige Kategorien und Funktionen, nach denen Sie bei der Beurteilung eines Identity Management-Systems Ausschau halten sollten:
Administration
- Möglichkeit der Massenbearbeitung von Benutzern und Berechtigungen
- Automatisierte Provisionierung für vorhandene und neu angeschaffte Cloud- und On-Premise-Anwendungen
- Einfach zu erlernende und zu benutzende Konsolen und Tools für Betrieb, Überwachung und Wartung
- Self-Service-Passwortverwaltung, damit Benutzer Passwörter ohne Unterstützung der IT einrichten und ändern können
Authentifizierung und Zugriff
- Möglichkeit der Mehrfachanmeldung bei verschiedenen Systemen, einschließlich Legacy-Anwendungen, Cloud-Anwendungen, Netzwerkressourcen und Servern
- Integrierte oder unterstützte Authentifizierungstechnologien (z. B. Einmalpasswörter, Biometrie, wissensbasierte Authentifizierung, Keycards, handybasierte Token)
- Ein positives Benutzungserlebnis bei der Authentifizierung, einschließlich bei der Bereitstellung der Zugangsdaten
- Externer Zugriff (z. B. durch Kunden, Partner) für Benutzer innerhalb oder außerhalb des Unternehmensnetzwerks
Identity-Verzeichnisse
- Cloud-basiertes Verzeichnis mit allen Benutzernamen und Attributen
- Unterstützung von „Application-as-Profile-Master“ – das Verzeichnis betrachtet das Profil des Benutzers in einer Anwendung als fortlaufende Datenquelle für das Profil dieses Benutzers, und Änderungen an einem Profil in der Master-Anwendung lösen Änderungen an dem Profil in anderen Anwendungen aus.
- Vielfalt und Qualität der Integrationen mit Identity Repositories (z. B. Active Directory, LDAP)
Plattform
- Möglichkeit zur Anpassung der Benutzeroberfläche
- Zuverlässigkeit des Cloud-basierten Service (d. h. minimale Ausfallzeiten)
- Optimale Performance auch bei hohen Workloads
- Skalierbarkeit zur Unterstützung einer steigenden Benutzeranzahl
- Anbieter befolgt angemessene Sicherheitsprotokolle und verfügt über entsprechende Zertifizierungen
- Bereitstellung von vorgefertigten und anpassbaren Berichten zur Betriebsverwaltung
- Protokollierungsfunktionen zur Unterstützung von Audit-Anforderungen
- Möglichkeit der Funktion als Identity-Anbieter für externe Service-Anbieter
- Browserübergreifende Unterstützung für browserbasierte Anwendungen
- APIs zur Unterstützung von Integrationen mit Cloud- und On-Premise-Anwendungen
Provisionierung
- Stakeholder und Manager können beantragte Zugriffsänderungen auf Basis eines definierten Workflows genehmigen oder ablehnen
- Zugriff auf mehrere Anwendungen kann datenbasiert beendet werden
- Automatisierte (d. h. intelligente) Erstellung von Konten und Zugriffsrechten, Änderung und Aufhebung für On-Premise- und Cloud-Anwendungen
- Beidseitige Profilsynchronisierung für konsistente Profilattribute in verschiedenen Anwendungen bei Änderungen im Provisionierungssystem oder in der Anwendung
- Funktionen zur Richtlinienverwaltung, mit denen Administratoren Zugriffsrichtlinien erstellen und Richtlinienkontrollen während des gesamten Anfrage- und Bereitstellungsprozesses anwenden können
- Umwandlung von Profilattributen: Wandelt Profilattribute für alle zu aktualisierenden Systeme in das erforderliche Format um
- Funktionen zur Rollenverwaltung, mit denen Administratoren Rollen mit zugehörigen Authentifizierungsrechten einrichten können
- Angefragter Benutzerzugriff auf eine Anwendung wird automatisch provisioniert, wenn die geltenden Richtlinien erfüllt werden (d. h. Self-Service-Zugriff)
System- und Anwendungsunterstützung
- Benutzer können von ihrem eigenen Gerät aus auf Unternehmensanwendungen zugreifen, sofern die Unternehmensrichtlinien dies zulassen
- Mobile Fähigkeiten für verschiedene Mobilgeräte-Betriebssysteme
- Single Sign-On für native und Cloud-Anwendungen
- Standardintegrationen für die meisten gängigen Cloud- und On-Premise-Anwendungen
Identity Management und Datensicherheit
Da Identity Management-Systeme die Zugangsdaten der Benutzer eines Unternehmens verwalten, muss die Lösung unbedingt die internen Sicherheitsanforderungen erfüllen. Dadurch wird sichergestellt, dass die Sicherheitsstandards gemäß den Unternehmensprotokollen eingehalten und die Compliance-Anforderungen erfüllt werden.
Bei der Beurteilung von Identity Management-Tools ist es wichtig, dass diese Tools ungewöhnliches Benutzerverhalten, das auf schädliche Aktivitäten hindeuten kann, erkennen können.
Dies umfasst die Überwachung der Systeme auf Änderungen der Zugriffsrechte und die Möglichkeit, Benutzer von den Systemen auszuschließen, falls anomale Aktivitäten festgestellt werden.
Identity Management und Compliance
Ein Identity Management-System sollte die Compliance-Anforderungen erfüllen, wobei einige mehr Funktionen haben als andere.
Wenn ein Unternehmen umfassenden Compliance-Standards unterliegt, sollten Sie prüfen, welche Vorschriften die Identity Management-Lösung unterstützen kann. Das ist besonders für global agierende Unternehmen wichtig.
Identity Management und Eindämmung von Cyberrisiken
Governance- und Verwaltungsprozesse sind zentrale Bestandteile von Programmen und Prozessen zur Minderung von Cyberrisiken. Diese Funktionen sollten in jeder Identity Management-Lösung vorhanden sein. Dazu gehört auch, dass sie Transparenz über alle Anwendungen und Benutzerzugriffe bieten. Außerdem sollte die Quelle unbefugter Zugriffe oder Richtlinienverstöße ermittelt werden können.
Identity Management-Software kann auch durch die Automatisierung des Lebenszyklus-Managements Cyberrisiken mindern, z. B. durch den automatischen Entzug von Zugriffsrechten, wenn ein Benutzer nicht mehr mit dem Unternehmen verbunden ist, oder durch die Änderung von Zugriffsrechten, wenn sich die Rolle eines Benutzers ändert.
Ein solides Identity Management stärkt die Sicherheitslage des Unternehmens
Die primäre Aufgabe des Identity Management-Systems besteht darin, sicherzustellen, dass nur authentifizierte Benutzer auf bestimmte Anwendungen, Systeme und IT-Umgebungen zugreifen können. Identity Management-Systeme mit umfangreichen Automatisierungsfunktionen können die Sicherheit noch weiter erhöhen, indem sie das Risiko im Zusammenhang mit Zugriffsrechten verringern.
Durch die Automatisierung von Richtlinien werden menschliche Fehler im Zusammenhang mit dem Onboarding, der Beendigung und der Änderung von Zugriffen vermieden. So kann das Identity Management Sicherheitslücken deutlich verringern, die Sicherheit erhöhen und die Produktivität steigern, indem es die unvermeidlichen Leerlaufzeiten durch manuelle Prozesse eliminiert.