Identity Lifecycle Management – das A und O der IT-Sicherheit

Von Audit bis zum Onboarding

Von unserem Gastautor Andrew Silberman, Direktor Produktmarketing bei Omada

[datensicherheit.de, 10.03.2023] Für Arbeitnehmer ein schlechter Ersteindruck, für Arbeitgeber ein Horrorszenario: Der erste Tag im Büro, aber nichts funktioniert. Der Firmenlaptop fährt hoch, aber der Zugriff wird beim ersten Anmeldeversuch verweigert. Als das Problem behoben ist, kommt die nächste Fehlermeldung: kein Zugriff auf den Firmenserver. Dasselbe gilt für den E-Mail-Posteingang und die Zeiterfassung. Ein erfolgreiches Onboarding sieht anders aus.

Andrew Silberman, Direktor Produktmarketing bei Omada, Bild: Omada

Schwierige Beantragung von Zugriffrechten

Um Zugang zu erhalten, müsste diese Person den Zugriff auf jede einzelne Ressource, auf die sie stößt, manuell beantragen, aber es können Stunden, Tage und Wochen vergehen, bis diese Person vollen Zugriff auf alles erhält, was sie braucht, um ein produktives Mitglied der Belegschaft zu sein. Auch für den Vorgesetzten kann es mühsam sein, all diese Zugriffe zu genehmigen und sich zu vergewissern, dass das neue Teammitglied alles hat, was es braucht. Auf der anderen Seite können auch neue Risiken entstehen, wenn ein Vorgesetzter Genehmigungen absegnet, die zu übermäßig vielen Freigaben führen können. Dies ist weder effizient noch sicher. Aber es gibt einen besseren Weg. Denn solche Prozesse können vollständig automatisiert werden, während Unternehmen gegen Cyberangriffe gewappnet sind und die Lösung hierfür heißt Identity Lifecycle Management (ILM).

Automatisiertes Onboarding durch vordefinierte Rollensätze

Im Idealfall werden Zugriffsrechte zugewiesen und gewährt, bevor sich ein neuer Mitarbeiter, ein externer Auftragnehmer, eine ausgelagerte IT-Abteilung usw. an seinem ersten Tag überhaupt bei den Unternehmensressourcen anmeldet. Dies ist die Grundlage für die Arbeit von ILM. Das Grundprinzip besteht darin, alle Zugriffsrechte automatisch zuzuweisen, sobald die Arbeit beginnt, aber auch zu regeln und sicherzustellen, dass die Person nicht mehr Zugriffsrechte anhäuft, als sie für ihre Produktivität benötigt. Im IT-Kontext spricht man hier auch von „Geburtsrechten“, die bei der Erstellung der Identität vergeben werden. Dazu gehören der Zugang zum E-Mail-Posteingang oder zu den Leistungen des Unternehmens, die Zeiterfassung und Anwendungen (wie Microsoft 365) für die tägliche Arbeit.

Umgekehrt werden bei einem internen Stellenwechsel oder beim Ausscheiden aus dem Unternehmen alle nicht mehr benötigten Berechtigungen (im Falle des Ausscheidens eines Mitarbeiters wären das alle) ohne manuellen Aufwand für das IT- oder Sicherheitsteam entzogen. Der Zugriff kann auch an einen Manager oder Kollegen delegiert werden, wenn jemand aus einer Rolle ausscheidet, damit der Geschäftsbetrieb aufrechterhalten werden kann. Da ILM alle drei möglichen Szenarien eines Positionswechsels innerhalb eines Unternehmens – Eintritt, Wechsel, Austritt – berücksichtigt, wird es auch als Joiner-Mover-Leaver-System bezeichnet.

Um ILM zu verstehen, ist es wichtig, zwischen Identitäten und Rollen zu unterscheiden. Eine Rolle ist ein zuvor definierter Satz von Privilegien und Berechtigungen, die entlang der verschiedenen Stellen, Abteilungen, Teams usw. in einer Organisation festgelegt werden. Eine Identität ist die Summe der verschiedenen Rollen, die eine Person innerhalb einer Organisation einnimmt. Die Identität umfasst jedoch auch Standardinformationen wie Name, Geburtstag, Adresse, Steuernummer usw. Nehmen wir zur Veranschaulichung einen Vertriebsmitarbeiter: Wenn ein neuer Mitarbeiter diese Stelle besetzt, wird ein ILM-System diese Person automatisch mit Zugriffsrechten auf alle Ressourcen ausstatten, auf die ein Vertriebsmitarbeiter typischerweise zugreifen muss, wie z. B. das CRM, Mailinglisten, Interessenteninformationen und mehr. Oft ist eine Aufgabe jedoch komplexer, als sie in einer Rolle zusammengefasst werden kann. Aus diesem Grund können Rollen kombiniert werden: Wenn ein Vertriebsmitarbeiter beispielsweise auch mit dem Marketingteam zusammenarbeitet, um ein Video mit Kundenreferenzen zu erstellen, muss er sowohl mit dem Presseteam als auch mit dem Videoproduktionsteam zusammenarbeiten und benötigt möglicherweise Zugriff auf die Dateien und Projekte, an denen sie in ihren jeweiligen Rollen beteiligt sind.

Es wird deutlich, dass ILM Teil der wichtigsten Aspekte des Zugangsmanagements ist: Access Management (AM), das Multi-Faktor-Authentifizierung und Single Sign-On ermöglicht, und Identity Governance and Administration (IGA) – die Verwaltung und Konfiguration des Zugangs.

ILM hilft bei Audits und verhindert finanzielle Einbußen aufgrund von Zugangsproblemen

So schnell wie Zugriffsrechte vergeben werden, müssen sie aber auch wieder entzogen werden können, denn wie alle Lösungen aus dem Bereich des Access- und Identity-Managements dienen sie nicht nur der Rationalisierung der Arbeitsprozesse von IT- und Sicherheitsspezialisten, sondern auch der Einhaltung von Compliance-Anforderungen und Gesetzen. So ist das nachweisliche Entfernen von Zugängen, wenn sie nicht mehr benötigt werden, ein Schlüssel, um Audits unbeschadet zu überstehen. Die denkbaren Verstöße sind dabei vielfältig: Ein Mitarbeiter verlässt das Unternehmen, kann aber theoretisch noch auf seinen Firmenlaptop, sein E-Mail-Postfach oder seine Kundendaten zugreifen.

Jedes inaktive Konto, das noch über sensible Zugriffsrechte verfügt, wird als verwaistes Konto bezeichnet und ist aus Sicht der Compliance ein No-Go. Diese Konten können Hackern als Steigbügel in das Unternehmensnetzwerk dienen, da sie oft unter dem Radar der Sicherheitsteams fliegen, die den Zugang von Personen, die nicht mehr im Unternehmen arbeiten, nicht mehr überwachen. Einmal gekapert, haben die Täter die gleichen Zugriffsrechte wie der ehemalige Mitarbeiter und können sich seitlich im Netzwerk bewegen, bis sie ihr gewünschtes Ziel erreichen. Eine ILM-Lösung hebt die Inhaberschaft solcher Konten automatisch auf oder weist sie neu zu, dezimiert damit die Gefahrenquelle und erfüllt gleichzeitig die bestehende Nachweispflicht: Denn die Zuweisung und der Entzug von Rechten müssen dokumentiert und begründet werden und bei Audits auf Nachfrage von Prüfern nachgewiesen werden.

Eine ILM-Lösung verhindert auch Produktivitätseinbußen. Denken Sie beispielsweise an einen Leiharbeiter, der 1.000 Euro pro Woche verdient, aber eine Woche lang keinen Zugriff auf E-Mails, Software und Anwendungen hat. Auch die Kostenfaktoren von Legacy-Lösungen sollten nicht unterschätzt werden. Einige Unternehmen ohne automatisiertes ILM arbeiten immer noch mit Excel-Tabellen oder komplexen, selbst entwickelten Lösungen, in denen gewährte und entzogene Zugriffsrechte manuell eingegeben werden. Eine haarsträubende Lösung, die unübersichtlich ist und sich auf den (leider fehlerhaften) Faktor Mensch verlässt. Eine unregelmäßig gepflegte Tabelle kann für ein Unternehmen bereits schwerwiegende Sicherheitsmängel bedeuten, die dazu führen, dass Mitarbeiter entweder zu viele Berechtigungen erhalten, was zu Sicherheitsrisiken führt, oder zu wenige, was Produktivitätsverluste bedeutet. Eine ILM-Lösung hingegen entlastet nicht nur die Administratoren, sondern kann mithilfe von Analysen und KI auch anzeigen, wenn jemand eine Berechtigung über einen längeren Zeitraum nicht genutzt hat, und diesen Zugriff dann widerrufen. Darüber hinaus kann es den Zugang von Mitarbeitern, die in Elternzeit gehen oder vorübergehend ihren Arbeitsplatz verlassen, automatisch deaktivieren, während der Zugang einer anderen Person zugewiesen wird, und ihn bei deren Rückkehr wieder reaktivieren.

Die rechte Hand der Compliance

Identity Lifecycle Management schlägt somit mehrere Fliegen mit einer Klappe: Es macht die manuelle Pflege von Zugriffsrechten überflüssig, schließt den menschlichen Faktor in der Zugriffsverwaltung aus und verteilt die Rechte automatisch an zuvor definierte Rollen und Kontexte. Gleichzeitig ist diese Lösung die rechte Hand der Compliance und eine unverzichtbare Unterstützung bei Audits. Sie spart Transaktionskosten, schließt Einfallstore über verwaiste Benutzerkonten und verhindert Verluste durch zugangsbezogene Betriebsstörungen.

Weitere Informationen zum Thema:

datensicherheit.de, 02.06.2019
One Identity-Umfrage: IAM-Praktiken schwierig umzusetzen