Identity Access Management (IAM) ist die Verwaltung von Benutzern, Konten und Berechtigungen in Systemen und Anwendungen. Das Ziel ist, diese Berechtigungen auf ein Minimum zu beschränken und rechtzeitig zu entziehen, sobald sie nicht mehr benötigt werden.
So können Gefahren wie Privilege Creep (User sammeln mit der Zeit zu viele Berechtigungen an) und Lateral Movement (Hacker bewegen sich anhand der Zugriffsrechte eines gekaperten Benutzerkontos im System weiter) verhindert werden. Allerdings: was genau ein solides IAM-Konzept beinhaltet und wie es umzusetzen ist, bleibt Unternehmen selbst überlassen.
Diese 5 IAM Best Practices bringen Ordnung ins Chaos
#1 Scopes festelgen & Richtlinien definieren Im ersten Schritt muss festgestellt werden, in welchen Bereichen das IAM-System zur Anwendung kommt: Welche Personen und Gruppen sollen damit verwaltet werden (Angestellte, externe Mitarbeiter, Kunden) und welche Ressourcen (Apps, Cloud-Dienste, Datenbanken, Netzwerke)? Definieren Sie Richtlinien, die für bestimmte Personen, Ressourcen und Gruppen gelten. Klassifizieren Sie Informationen und Dateien („vertraulich“, „streng vertraulich“, „öffentlich“) und bestimmten Sie, wer auf welche Dateien Zugriff haben darf und wer nicht.
#2 Role-based Access Control Anstatt Usern jede Berechtigung individuell zu erteilen, sollte die rollenbasierte Zugriffskontrolle (engl. Rolebased Access Control, RBAC) zur Anwendung kommen. Dabei werden Personen anhand von Attributen (Standort, Abteilungszugehörigkeit, Position) unterschiedlichen Gruppen zugeordnet und erhalten dann auf Grund dieser Zugehörigkeiten bestimmte Berechtigungen. Das spart nicht nur Zeit, sondern reduziert auch die Fehlerquote, die bei der Einzelvergabe entsteht.
Was genau ein solides IAM-Konzept beinhaltet und wie es umzusetzen ist, bleibt Unternehmen selbst überlassen.
Helmut Semmelmayer, tenfold Software GmbH
#3 Least-Privilege-Prinzip Das Prinzip der geringsten Privilegien (engl. Principle of Least Privilege, POLP) gibt vor, dass User nur auf jene Informationen, Dateien und Ordnern Zugriff erhalten dürfen, die sie für ihre Arbeit benötigen, und das zu jeder Zeit. Das heißt, Berechtigungen müssen sofort wieder entzogen werden, wenn sie nicht mehr benötigt werden (etwa bei Abteilungswechsel oder wenn eine Person aus dem Unternehmen ausscheidet). Das verhindert nicht nur eine Überberechtigung von Benutzern, sondern reduziert auch die Gefahr von verwaisten Benutzerkonten, die ebenfalls ein Sicherheitsrisiko darstellen.
#4 User Access Reviews Bei einem User Access Review werden in regelmäßigen Abständen die Zugriffsrechte aller Benutzer überprüft und gegebenenfalls entfernt, um Privilege Creep und verwaisten Benutzerkonten vorzubeugen.
#5 Workflows automatisieren Um das Least-Privilege-Prinzip umzusetzen und regelmäßige Access Reviews durchzuführen, sowie zur Berechtigungsvergabe mittels Rollen, müssen IT-Administratoren einen beachtlichen Anteil ihrer wertvollen Zeit und ihres Fachwissens aufwenden. Dabei lassen sich Tätigkeiten wie Useranlage, Berechtigungsvergabe, Passwort- und Datenänderungen mit geeigneten IAM-Tools einfach automatisieren. Das spart nicht nur Zeit und Tickets, sondern reduziert auch die Fehlerquote, die bei manueller Berechtigungsvergabe entsteht.