Jede Website, jede App, jeder Online-Dienst mit einer Anmeldefunktion muss es seinen Nutzern ermöglichen, sich zu authentifizieren und ihnen Rechte und Privilegien zuzuweisen: entscheiden, was diese Nutzer tun dürfen, welche Daten sie lesen, schreiben, ändern und löschen dürfen.
Genau darum geht es beim Identitäts- und Zugriffsmanagement („IAM“, für „Identity and Access Management“ auf Englisch).
Warum Identitäts- und Zugriffsmanagement (IAM) so wichtig ist: Wenn es scheitert, bricht alles auseinander
Wir alle kennen die Hacker-Szenen aus Filmen: Ein Hacker, der versucht, auf ein Computersystem zuzugreifen, verwendet Namen oder E-Mail einer Person, die er vorgibt zu sein, "errät" dann das Passwort und voilà: er ist drin. Wenig später muss er sich möglicherweise erweiterte Rechte verschaffen oder einen Benutzer mit mehr Rechten auf dem System finden, das er kontrollieren will.
Auch wenn das eben „nur“ ein Film ist, zeigt es, warum IAM so wichtig ist: Wenn es versagt, bricht alles zusammen, und zwar auf katastrophale Weise. Benutzer können Identitäten stehlen, löschen oder neue erstellen. Und sie können Dinge tun, zu denen sie nicht in der Lage sein sollten: auf Geschäftsgeheimnisse zugreifen, Datensätze ändern, logische Bomben platzieren. Oder, was am häufigsten vorkommt, einfach Dinge auf Rechnung einer anderen Person kaufen.
IAM ist der zentrale Zugangspunkt zu allem, was mit einem System gemacht werden kann, zu allen gespeicherten Daten, zu allen möglichen Aktionen. Es ist wie ein Hausschlüssel plus Code für die Alarmanlage: Wenn das IAM nicht funktioniert, ist das gesamte System oder die Plattform sperrangelweit offen.
Was Identitäts- und Zugriffsmanagement (IAM) leisten muss
IAM ist ein weit gefasster und nicht sehr genau definierter Begriff. Daher werden oft andere Begriffe verwendet, die dasselbe bedeuten wie Identity and Access Management, kurz IAM, wie z. B. „Authentifizierungslösung“ oder „Benutzerverwaltung“. Es gibt verschiedene Arten von Untergruppen, z. B. besteht das Customer Identity and Access Management (CIAM) aus Diensten, die besonders wichtig für alle verbraucherorientierten Websites mit einem Login sind, während eine Unternehmenslösung nach innen auf das Intranet einer Organisation ausgerichtet sein wird.
Es gibt jedoch einige Dinge, die jede Lösung beherrschen sollte:
- Sie muss zentralisiert sein und mehrere Ressourcen und Subsysteme nahtlos miteinander verbinden.
- Unterstützung von Single Sign-On: Die Benutzer sollten mit einer einzigen Identität auf mehrere Teilsysteme zugreifen können.
- Sie muss Benutzer zuverlässig authentifizieren und sollte fortgeschrittene Authentifizierungsmethoden (z.B. Multifaktor) für Benutzer mit erweiterten Zugriffsrechten unterstützen.
- Sie müssen bequeme Selbstbedienungsmechanismen für die Benutzer bereitstellen (z. B. Ändern von Passwörtern).
- Sie sollte rollenbasierte Zugriffsrechte bieten: Die Zugriffsrechte sollten nicht jedes Mal von Grund neu definiert werden, sondern vordefiniert nur im benötigten Umfang vergeben werden („least-privilege/need-to-know“).
- Sie sollten in der Lage sein, komplexe Zugriffsregeln, die in der Organisation oder auf der Plattform existieren, abzubilden.
Wie Datenschutz und Privatsphäre ins Spiel kommen
Diese Reihe von Funktionen zeigt, dass der IAM-Dienst der Schlüssel zum gesamten System ist: alle Daten, alle Identitäten, alles, was auf der Plattform getan werden kann. Wenn es also Mängel beim technischen Datenschutz gibt, ist das gesamte System nicht konform und kann leicht kompromittiert werden.
Aus diesem Grund widmet beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) dem IAM einen eigenen Abschnitt in seinem IT-Grundschutz-Kompendium (dort ORP.4 - Identity and Access Management).
- Erstens wird festgestellt, dass die Verantwortung für IAM auf der Führungsebene liegt (Abschnitt 3).
- Zweitens sollte der IAM-Dienst ein Kernnetzdienst sein (ORP.4 A18).
- Und drittens sollte der Dienst alle Kriterien erfüllen, die im umfassenden Teil des Kompendiums aufgeführt sind.
Für die meisten Dienste, die eine bestimmte Größe und Komplexität überschreiten, ist es fast unmöglich, alle diese Kriterien mit einer selbst entwickelten Lösung zu erfüllen. Dies gilt insbesondere für verteilte Systeme, die eine cloudbasierte IAM-Lösung erfordern. Es wird ein Provider benötigt, was im Sinne des Datenschutzes bedeutet: ausgelagerte Datenverarbeitung nach Art. 28 DSGVO (oder in einigen Fällen: gemeinsame Kontrolle, Art. 26 DSGVO).
Da es sich bei den Authentifizierungsdaten um personenbezogene Daten handelt und sie der Schlüssel für den Zugang zu noch mehr Daten sind, findet ein Datentransfer zum und vom IAM-Anbieter statt, der die komplexen Regeln der Datenschutz-Grundverordnung (DSGVO) auslöst.
- Der IAM-Anbieter muss sorgfältig ausgewählt werden, und die Gründe sollten dokumentiert werden.
- Eine Vereinbarung zur Datenverarbeitung im Auftrag (AVV oder englisch „DPA“ für „Data Processing Agreement“) ist zwischen den Parteien erforderlich.
- Datenübermittlungen in Drittländer/Länder ohne Angemessenheitsbeschluss sind nur mit angemessenen Garantien möglich.
- Ein Sonderfall sind Datentransfers in die USA. Hier besteht zwar ein Angemessenheitsbeschluss der EU-Kommission auf Grundlage des sogenannten EU-US Data Privacy Frameworks (DPF). Dieser ist aber noch nicht vom Europäischen Gerichtshof (EuGH) final begutachtet worden. Dieser hatte schon mehrere ähnliche Konstruktionen für unzureichend erklärt.
Erforderliche Maßnahmen
IAM-Systeme erhalten nicht immer die Aufmerksamkeit, die sie verdienen. Sie arbeiten unter der Haube, sind sehr technisch und werden daher oft als nicht sonderlich spannend wahrgenommen. Dennoch sind sie die Torwächter zwischen einem System und der Welt. Wenn sie schwach, kompromittiert oder einfach nicht konform sind, dann ist das gesamte System betroffen. Nochmals: IAM ist eine Aufgabe der Führungsebene.
Die gute Nachricht ist, dass die Wahl des richtigen Cloud-basierten IAM-Systems das Leben für das Unternehmen, die IT-Abteilung und die Benutzer gleichermaßen erleichtert. Gut definierte Rollen und einfach zu bedienende Self-Service-Schnittstellen minimieren den Verwaltungsaufwand und machen Prozesse transparent. Wartung und Weiterentwicklung werden an einen Anbieter ausgelagert, der zentral und effizient arbeitet und ständig die neuesten Entwicklungen in Technologie, Verwaltung und Gesetzgebung verfolgt.
Wir bei Engity sagen: So strukturiert man heute ein gutes und sicheres Unternehmen.
Hinweis: Dieser Beitrag wurde erstmals im März 2022 veröffentlicht und zuletzt im März 2024 aktualisiert und korrigiert.