Identity und Access Management (IAM), also die Verwaltung von Nutzeridentitäten und Zugriffsrechten, ist zentral für die IT-Sicherheit von Unternehmen. Auf fünf Eigenschaften sollten IT-Entscheider bei der Auswahl eines IAM-Diensts achten.

 

Anwendungen aus der Cloud, vernetzte Maschinen im Internet der Dinge, Mitarbeiter, die im Home Office oder von vielen unterschiedlichen Endgeräten aus arbeiten: Im Zuge der digitalen Transformation der Arbeitswelt müssen sich Unternehmen neuen Herausforderungen stellen. Denn die zunehmende Vernetzung und die höhere Anzahl an verwendeten Endgeräten steigert die Zahl der möglichen Einfallstore in die Unternehmensnetzwerke. Das Risiko von Schwachstellen steigt an – mit effizientem Identity und Access Management (IAM) können Unternehmen es wieder senken. Um die richtige Lösung zu finden, sollten Firmen auf fünf wichtige Merkmale achten:

 

1. Schnittstellen

Wer das Zugriffsmanagement innerhalb komplexer Multi-Cloud-Strukturen managen möchte, braucht einen IAM-Anbieter, der mit möglichst vielen Lösungen kompatibel ist. Entscheidend ist daher die Anzahl der Schnittstellen; im Fachjargon Konnektoren genannt. Diese rücken umso mehr in den Fokus, da IAM-Dienste verstärkt nicht nur Mitarbeiter, sondern auch externe Partner oder Kunden integrieren müssen. So greifen laut der IDG-Umfrage in Firmen mit installierter IAM-Software vor allem die Mitarbeiter intern (75 Prozent) oder extern (60 Prozent) auf Systeme ihres Unternehmens zu. Doch bereits in 42 Prozent der Firmen erhalten Geschäftspartner, Dienstleister und Zulieferer über IAM Zugang zum Netzwerk, in 23 Prozent der Fälle auch Kunden sowie Services über Machine-to-Machine-Kommunikation (M2M), also über das Internet of Things.

 

2. Datensicherheit und Datenschutz

Ab dem 25. Mai 2018 gelten innerhalb der Europäischen Union mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) deutlich strengere Vorgaben im Umgang mit personenbezogenen Daten. Eine einheitliche Struktur aller Zugangs- und Nutzerrechte hilft Unternehmen dabei, die neuen regulatorischen und Compliance-Anforderungen in Bezug auf Datenschutz zu erfüllen. Denn nur wer einen transparenten Blick auf alle Benutzer und deren Identitäten hat, kann Regeln wie jene aus der neuen DSGVO konsequent umsetzen. Gleichzeitig sollten Unternehmen den Standort ihres IAM-Diensts nicht vernachlässigen. Nur wer ihn aus deutschen Rechenzentren eines deutschen Anbieters bezieht, der das Rechenzentrum selbst betreibt, ist auf der sicheren Seite. So stellt die Deutsche Telekom etwa den IAM-Dienst ihres Partners OneLogin aus Rechenzentren in Sachsen-Anhalt bereit: Gehostet in der Open Telekom Cloud ist Datenschutz nach deutschem Recht gewährleistet.

 

3. Skalierbarkeit

IAM-Dienste aus der Cloud sind sehr flexibel. Unternehmen mit starker Mitarbeiterfluktuation können mit ihrer Hilfe schnell und unkompliziert neue Nutzer-Accounts anlegen oder nicht mehr benötigte abschalten. Daher sollten Unternehmen IAM-Anbieter auch hinsichtlich ihrer Skalierbarkeit bewerten.

 

4. Zwei-Faktor-Authentifizierung

Komfortabel auf alle nötigen Anwendungen zugreifen – das lohnt sich für Unternehmen nur, wenn die Sicherheit gewahrt bleibt. Hier nehmen IAM-Dienste eine Schlüsselrolle ein. Besonders sicher werden sie durch Zwei-Faktor-Authentifizierung. Hier haben deutsche Unternehmen stellenweise noch Nachholbedarf: Die Analysten von IDG fanden heraus, dass zwar 69 Prozent der befragten Firmen Multi-Faktor-Authentifizierung für die eigenen Mitarbeiter nutzen. Doch nur in 27 Prozent der Unternehmen müssen sich Geschäftspartner, Dienstleister und Zulieferer auf mehreren Wegen authentifizieren. Für ihre Kunden in Portalen oder eigenen Cloud-Anwendungen (SaaS) setzen lediglich 14 Prozent der Firmen auf die Multi-Faktor-Authentifizierung.

 

5. Plausibilitätsprüfung

Hochwertige IAM-Dienste führen zusätzlich automatisch Sicherheitschecks im Hintergrund durch, so genannte Plausibilitätsprüfungen. So schlagen Systeme wie OneLogin beispielsweise Alarm, wenn jemand versucht von einem Rechner in den USA auf einen Account zuzugreifen, während der eigentlich Zugriffsberechtigte gerade von seinem Büro in Deutschland aus eingeloggt ist. Auf diese Weise stellen Unternehmen sicher, dass nur Befugte Zugriff auf ihren Account und die damit verbundenen Systeme erhalten.

 

---

 

IAM-Systeme im Vergleich – Besser sparsam mit Konnektoren und Workflows umgehen

IAM als Schlüssel für die digitale Transformation

Sicherheitsaudit: Identity und Access Management (IAM) im Selbsttest

Wie man sicherstellt, dass ein IAM-Projekt erfolgreich ist

Das Internet der Dinge und IAM

Identity- und Access-Management – Messbare Vorteile durch IAM-Software