6 Anzeichen, dass Ihre IAM-Strategie nichts taugt

Eine Vielzahl von Unternehmen hat im Laufe der letzten Jahrzehnte Strategien für das Identity & Access Management (IAM) entwickelt und umgesetzt. "Das fing mit dem Mainframe-Time-Sharing an - ist im Grunde also ein alter Hut", konstatiert Jay Bretzmann, Program Director für Sicherheitsprodukte bei IDC.

Dennoch bieten sich weiterhin zahlreiche Gelegenheiten, in Sachen IAM Fehler zu begehen. Insbesondere dann, wenn Anwender ihre IAM-Plattform aktualisieren möchten, vorzugsweise, um moderne IT-Implementierungen besser handhaben zu können.

6 Anzeichen untauglicher IAM-Strategien

Die folgenden sechs Anzeichen könnten darauf hindeuten, dass Ihre IAM-Strategie gerade scheitert.

1. Zugriff für Cyberkriminelle

Das Hauptziel einer IAM-Plattform besteht darin, legitimen Benutzern den Zugriff auf die von ihnen benötigten Ressourcen zu ermöglichen. Gleichzeitig gilt es, die bösen Jungs fernzuhalten. Ist das Gegenteil der Fall, stimmt etwas nicht. Dem "Data Breach Investigations Report" von Verizon zufolge kamen in der Hälfte aller Sicherheitsverletzungen gestohlene Anmeldedaten zum Einsatz - und in über 80 Prozent der Web-Application-Breaches.

Dabei versuchen Unternehmen meist erst einmal, vom bisherigen Nutzername-Passwort-Schema abzurücken und beispielsweise SMS-Einmalpasswörter einzuführen. Das bringe allerdings nicht viel, außer die Benutzer noch mehr zu verärgern, meint IDC Director Bretzmann: "Richtig gemacht, ist IAM viel mehr als nur Single Sign-On und Multifaktor-Authentifizierung. Es geht darum, die Vielfalt der Benutzer zu verstehen, die Zugang zu IT-Systemen beantragen. Und darum, ihre Konnektivitätsprobleme zu lösen."

Forrester-Analyst Andras Cser weißt darauf hin, dass im Unternehmensumfeld neben Mitarbeitern auch Geschäftspartner und Endkunden in den Geltungsbereich von IAM-Systemen fallen. Sie alle erforderten unterschiedliche Ansätze. "Geht es um Mitarbeiter, wenden sich Unternehmen oft an Identity-as-a-Service-Anbieter oder nutzen On-Premises-IAM-Systeme", so Cser." Letztere sind meiner Meinung nach immer noch leistungsfähiger und funktionsreicher als cloudbasierte Optionen. Für ihre Kunden steigen manche Unternehmen auch von Benutzername und Passwort auf Social Logins wie Google und Facebook um."

Eine weitere IAM-Zugangskategorie: Maschinenidentitäten. Laut einer Umfrage von Pulse und KeyFactor werden sie geringer priorisiert als Benutzeridentitäten. Dennoch sind 95 Prozent der befragten CIOs davon überzeugt, Maschinenidentitäten mit Hilfe ihrer IAM-Strategie schützen zu können. Dabei sollten Unternehmen auch die Tatsache berücksichtigen, dass sie die vielfältigen Benutzerarten auch in einer Vielzahl von Umgebungen schützen müssen: On-Premises, in der Cloud, SaaS, Mobile und im Home-Office.

2. Silo statt IAM-Plattform

Dem Gartner-Analysten Henrique Teixeira zufolge verwenden viele Unternehmen unterschiedliche Lösungen für Zugriffsmanagement, Identitätsverwaltung und -administration sowie Privileged Access Management. "Solche Silos verursachen Mehrarbeit. Außerdem gibt es oft Lücken zwischen den einzelnen Lösungen, die sich Angreifer zunutze machen können."

Allerdings gingen die Anbieter allmählich dazu über, einheitliche Systeme zu entwickeln, um dieses Problem zu lösen, erklärt Teixeira: "Okta und Microsoft haben zum Beispiel damit begonnen, konvergente Plattformen anzubieten. Wir bei Gartner gehen davon aus, dass bis zum Jahr 2025 etwa 70 Prozent aller IAM-Einführungen über solche Plattformen erfolgen." Kundenorientiertes IAM hinkt dem Gartner-Experten zufolge noch weiter hinterher: "Die meisten Unternehmen verwenden dafür maßgeschneiderte , selbstentwickelte Applikationen", so Teixiera. "Das kann problematisch werden, wenn es um Compliance und Datenschutz geht - und darum, die Infrastruktur gegen moderne Angriffsarten zu schützen."

3. Aggro-Rollout

Der Gedanke, eine IAM-Plattform könne alles auf einmal erledigen, ist verlockend. Dabei ließen sich Führungskräfte allzu oft enthusiastisch auf eine bestimmte Lösung - und die teils übertriebenen Werbeversprechen des Anbieters - ein, meint Forrester-Analyst Cser. "Das ist für viele Unternehmen problematisch. Wenn sie eine Access-Management-Lösung installieren und 300 Anwendungen innerhalb eines Tages in Betrieb nehmen müssen, wird das in der Regel ein Fehlschlag."

Als Alternative dazu empfiehlt der IAM-Experte, auf eine schrittweise Einführung zu setzen: "Der Versuch, alles auf einmal einzuführen, ist unrealistisch. Entgegen den Versprechungen der Anbieter müssen Unternehmen in der Regel mehr Anpassungs- und Orchestrierungsarbeit leisten, um ihre Anwendungen zu integrieren. Das gilt insbesondere dann, wenn ein moderner IAM-Ansatz die Neugestaltung interner Prozesse mit sich bringt."

Unternehmen, die eine IAM-Aktualisierung vornehmen, empfiehlt Cser, die Gelegenheit zu nutzen, um zunächst die Prozesse zu vereinfachen und zu rationalisieren: "Das ist wie bei einem physischen Umzug: Bestehendes Chaos wird nicht implementiert. Wenn man von einem Ort zum anderen umzieht, möchte man erst einmal ausmisten und nicht den Mist ins neue Zuhause mitnehmen."

4. Getrennte Systeme

"IAM ist ein Eckpfeiler für jedes Sicherheits- und IT-Programm", meint Rohit Parchuri, CISO beim Onlinemarketingunternehmen Yext. "Ohne IAM haben andere Sicherheitskontrollen einen geringeren Geschäftswert und können ihr volles Potenzial nicht ausschöpfen. Sie müssen wissen, welche User und Assets in Ihrem Portfolio sind, bevor Sie diese schützen können. IAM bietet sowohl die Sichtbarkeit als auch die Funktionen, um das zu bewerkstelligen."

Der Chief Information Security Officer hat Erfahrung im Umgang mit Problemen bei der IAM-Einführung: "Bei einer früheren IAM-Implementierung haben wir in der Anfangsphase ein paar Dinge versäumt. Das größte Problem war, dass Autorisierung und Authentifizierung als separate Einheiten behandelt wurde. Mit einem separaten Autorisierungsserver mussten wir bei Authentifizierungs- und Autorisierungsverfahren zwischen zwei verschiedenen Systemen hin und her springen." Das habe die Gesamtbetriebskosten in die Höhe getrieben und das Team zusätzlich mit der Verwaltung zweier getrennter Einheiten belastet, so der Sicherheitsentscheider.

5. Authentifizierung mit Mut zur Lücke

Ein weiteres Problem, mit dem der Yext-CISO konfrontiert war, bestand darin, dass einige interne Systeme nicht katalogisiert waren und auf lokaler Basis funktionierten: "Durch die lokale Authentifizierung fehlte Transparenz in Bezug auf Sitzungsmanagement sowie On- und Offboarding-Praktiken. Diese Aufgaben sollten von unserem IAM-Tool bewältigt werden, was in der Praxis aber nicht der Fall war."

Entdeckt wurde der Fehler bei einem Testlauf der Asset-Management-Software. "Wir stellten fest, dass die Anwendungen, die in unserer Konfigurationsmanagement-Datenbank vermerkt waren, nicht vom IAM-Tool erfasst waren", erzählt Parchuri. "Außerdem konnten wir feststellen, dass das IAM-Tool die Berechtigungsvalidierung an lokal bereitgestellte On-Premises-Systeme auslagerte, obwohl diese im IAM-Tool als Einheit existierten."

Bei der Behebung des Problems sei jedoch die größte Herausforderung gewesen, herauszufinden, ob IAM-Tool und interne Tools mithilfe von Security Assertion Markup Language (SAML) oder Cross-Domain Identity Management (SCIM) integriert werden können, so der Manager.

6. Sichtbarkeitsprobleme

Probleme bereitet in vielen Fällen auch die Integration verschiedener IAM-Plattformen, weiß Luke Tenery, Partner beim Beratungsunternehmen StoneTurn: "Wenn Sie zu viele Identity-Management-Systeme betreiben, wird es schwierig, Beziehungen zwischen Sicherheitsanomalien zu finden. Das ist ein Problem." Bei vielen Cyberangriffen würden beispielsweise E-Mails kompromittiert. Wenn dieselbe digitale Identität beispielsweise auch für den Zugriff auf ein Salesforce-System verwendet werde, stelle das einen weiteren Angriffsvektor dar, der unter Umständen erst mit erheblicher Verzögerung entdeckt würde, so Tenery: "Je länger der Krebs im Körper ist, desto mehr Zeit hat er, Schaden anzurichten."

Tenery berichtet von einem selbst erlebten Fall, in dem Bedrohungsakteure auf diese Weise eine Salesforce-Datenbank kompromittieren konnten. Diese wurde für ein Loyalty-Programm eines großen Hospitality-Unternehmens genutzt und enthielt Millionen von Kundendatensätzen.

Um solche Fehler zu vermeiden, rät der Manager dazu, eine ganzheitliche Sicht auf das Identity & Access Management einzunehmen, der das gesamte Unternehmen einbezieht: "Es kann ein mühsamer Prozess sein, das zu bewerkstelligen. Aber es gibt Plattformen, die Unternehmen dabei unterstützen, ihre IAM-Funktionen zu konsolidieren."

Im Fall von Office 365 und Salesforce seien direkte Integrationen verfügbar - und selbst wenn das nicht möglich sei, gebe es fortschrittliche Tools, die maschinelles Lernen und Künstliche Intelligenz nutzten, um das zu automatisieren, meint Tenery und ergänzt: "Außerdem gibt es auch noch Tools von Drittanbietern, wie Obsidian Security, auf die unser Unternehmen setzt. Dabei handelt es sich um eine Plattform, die verschiedene Formen der Automatisierung und des maschinellen Lernens nutzt, um Identitätsverknüpfungen zu identifizieren, Sicherheitsanomalien zu erkennen und Identitätsrisiken zu managen."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.