CRN-Interview mit Fabian Beutel von Securelink
»Aus IT-Sicht ist die Einführung einer IAM-Lösung kein Hexenwerk«
Mit CRN spricht Fabian Beutel, Lead Consultant IT-Security bei Securelink Germany, über typische Probleme in Projekten zur Einführung eines Identity und Access Managements (IAM) und erklärt, welche Features eine gute Lösung unbedingt mitbringen sollte.
CRN: Herr Beutel, was sind in Unternehmen aktuell die Treiber für eine Einführung von IAM-Lösungen?
Fabian Beutel: Unternehmen gleich welcher Größe haben seit langem immer mehr Schwierigkeiten, einen Überblick über Accounts, deren Zugriffe und die Berechtigungen in den verwendeten Applikationen zu behalten. So kann ein Mitarbeiter im Unternehmen gezwungen sein, sich für unterschiedliche Applikation eine eigene Kombination aus Benutzername und Passwort zu überlegen – die dann durch nicht einheitliche Vorgaben in Bezug auf Länge oder Komplexität des Passworts eher zu einer Abnahme als zu einer Steigerung der Sicherheit führen. Zudem sind die Unternehmen gezwungen, sich in Richtung Cloud-Applikationen zu öffnen, was zu neuen Anforderungen an die Authentifizierung führt.
Auch die Verwaltung von privilegierten und Shared Accounts stellt Unternehmen zunehmend vor Herausforderungen. Je mehr Berechtigungen ein Account hat, umso mehr gilt es, die Zugangsdaten sicher und verschlüsselt abzulegen und eine revisionssichere Verwaltung der Accounts zu gewährleisten. Gerade bei Shared Accounts, die es eigentlich gar nicht geben sollte, ist dies in der Regel nicht so einfach.
Die zunehmend hohe Anzahl von unterschiedlichen Benutzerverwaltungen, Authentifizierungsanforderungen wie Zwei-Faktor-Authentifizierung, Single Sign-on oder Identity Federation, aber auch Compliance-Anforderungen oder Self-Service-Portale, über die sich Anwender Berechtigungen für Anwendungen selbst beantragen können, sind ebenfalls starke Treiber, die dazu führen, dass sich Unternehmen mit der Einführung einer IAM-Lösung beschäftigen. Oft bringt ein IAM auch einen höheren Automatisierungsgrad, indem das User Provisioning und Deprovisioning schneller und möglichst fehlerfrei realisiert werden kann.
CRN: Handelt es sich um reine IAM-Projekte oder werden die Lösungen eher im Rahmen anderer Projekte mit eingeführt?
Beutel: Dies lässt sich nicht pauschal beantworten. Je nach Anforderung und Branche des Unternehmens kann es ganz vielfältige Anforderungen für die Einführung von IAM-Lösungen geben. Compliance-getriebene Unternehmen setzen reine IAM-Projekte um, wobei durch den Einsatz von Compliance- und Governance-Modulen der IAM-Lösungen die entsprechenden Anforderungen abgedeckt werden sollen. Es gibt aber auch Unternehmen, in denen durch eine starke Digitalisierung und hohe Akzeptanz von Cloud-Lösungen das IAM Projekt genutzt wird, um einen stärkeren Fokus auf die Identitäten und eine zentrale Kontrolle über die Identitäten, deren vielfältige Zugriffe und Berechtigungen zu bekommen. Darüber hinaus stellen sich Firmen heute auch die Frage, wie sie durch zentral verwaltete Accounts und Berechtigungen das Sicherheitsniveau im Unternehmen erhöhen können, wenn sich der Benutzer nicht mehr x-fach Kombinationen aus Benutzername und Passwort merken muss, sondern einen zentralen Benutzer mit starker Authentifizierung für vielfältigste Applikationen und Anwendungsfälle verwenden kann.
- »Aus IT-Sicht ist die Einführung einer IAM-Lösung kein Hexenwerk«
- »Teilweise wird die User Experience vernachlässigt«
- »Wichtig ist ein gutes Logging für die SIEM-Anbindung«
