Zum Inhalt springen
Suchen
Deutsch
Glossar

Was ist Identity Access Management (IAM)?

Was ist Identity- und Access-Management (IAM)?

Identity- und Access-Management-Lösungen (IAM) stellen sicher, dass die richtigen Benutzer zur richtigen Zeit und aus dem richtigen Grund den richtigen Zugriff auf die richtigen IT-Ressourcen haben, damit sie ihre Arbeit erledigen können.

IAM-Software – kombiniert mit Identity Governance and Administration (IGA)-Lösungen – erweitert und definiert das Wer, Was, Wo, Wann, Wie und Warum des Technologiezugriffs. Indem Sie Ihre Unternehmens-IT-Strategie auf Ihrem Identity Access Management-Programm aufbauen, schaffen Sie eine Grundlage für die Verwaltung der Datenschutz- und Sicherheitsrisiken neuer Technologien.

Identitäts- und Zugriffsverwaltungsprogramme sind darauf ausgelegt, Datensicherheit und Privatsphäre zu schützen. Dieser Prozess beginnt mit der Benutzerauthentifizierung und -autorisierung – häufig mithilfe einer Single-Sign-On-Lösung, die eine Multi-Faktor-Authentifizierung beinhaltet – und weist dann mithilfe von Identitätsverwaltungslösungen (IDM) Zugriffsrechte auf Ressourcen zu, um den Zugriff kontinuierlich zu überwachen. IAM-Lösungen ermöglichen die Durchsetzung und Kontrolle von Zugriffsrechten mit „geringsten Privilegien“.

Screenshot 2024-04-11 um 7.44.23 Uhr

Identität und Zugriff sind zwei Teile, die regeln, wie Ihre Benutzer mit Daten und Anwendungen in Ihren Informationssystemen, Netzwerken, Datenbanken und Ihrer Software interagieren. Lassen Sie uns die Terminologie der Identitäts- und Zugriffsverwaltung genauer aufschlüsseln.

Was ist Identität?

In der Vergangenheit, vor der Digitalisierung und den Initiativen zur Geschäftstransformation, bestand die Identität ausschließlich aus menschlichen Benutzern wie Mitarbeitern oder Auftragnehmern vor Ort. Heute kann eine Identität jeder Mensch oder jede Maschine sein (IoT-Gerät, Cloud-Workloads, Code, Bot usw.), die mit Ihren IT-Systemen interagiert.

Beispielsweise ist ein Mitarbeiter vor Ort eine Art von Identität, die eine Reihe bestimmter Risiken birgt. Im Gegensatz dazu ist die Identität eines Remote-Mitarbeiters eine andere Art von Risiken. Die robotergestützte Prozessautomatisierung, Code, der Verwaltungsaufgaben mithilfe von Dienstkonten verwaltet, ist eine andere Art von Identität als ein Gerät des Internets der Dinge (IoT).

Was ist Access?

Nachdem Sie eine Identität für eine Person erstellt haben, müssen Sie festlegen, auf welche Ressourcen diese Identität zugreifen kann. Beispielsweise benötigt jede Identität, egal ob menschlich oder nicht, Zugriff auf die Ressourcen, die es ihr ermöglichen, ihre Aufgaben zu erledigen. Zugriff kann ohne Identität nicht möglich sein. Eine Identität ist jedoch nutzlos, wenn sie keinen Zugriff auf Ressourcen bietet.

Identitäts- und Zugriffsverwaltung (IAM) am Arbeitsplatz

Wenn Ihr Unternehmen die Anzahl der Ressourcen erhöht, erhöht sich auch die Anzahl der Anwendungen, für die Sie Ihre Benutzer autorisieren müssen. Angenommen, Sie verwenden ein freigegebenes Laufwerk für die Zusammenarbeit und ein Vertriebsunterstützungstool wie HighSpot. In diesem Fall benötigen die Mitglieder Ihres Vertriebsteams Zugriff auf mindestens zwei verschiedene Dienste. Wenn Sie weitere Software-as-a-Service (SaaS)-Anwendungen hinzufügen, erhöht sich die Anzahl der Tools, für die eine Authentifizierung erforderlich ist.

Die meisten Organisationen verwalten ihre Identitätsdaten mit einem Active Directory, einem großen Datenspeicher, der alle ID-Informationen enthält. Nachdem das Verzeichnis erstellt wurde, verbinden sie es mit ihren Anwendungen und Umgebungen. Wenn Sie Best Practices für Identitäts- und Zugriffsverwaltung befolgen, möchten Sie auch die Multi-Faktor-Authentifizierung (MFA) integrieren. MFA erfordert, dass Ihre Benutzer mehr als eine der folgenden Authentifizierungsmethoden verwenden: etwas, das Sie wissen (Passwort), etwas, das Sie besitzen (Smartphone, Token) oder etwas, das Sie sind (Biometrie).

Sobald Identitäten eingerichtet sind, kann der Zugriff kompliziert werden. Beispielsweise kann ein Universitätsprofessor an Hochschulen mehrere Identitäten besitzen, die Zugriff auf unterschiedliche Ressourcen erfordern. Als Dozenten benötigen Professoren Zugriff auf vertrauliche Universitätsinformationen wie die Noten und Betreuer der Studenten. Mittlerweile gestatten viele Universitäten ihren Lehrkräften und Mitarbeitern auch, kostenlos an Kursen teilzunehmen. Als Studenten sollten Professoren nur Zugriff auf ihre Informationen haben, nicht auf die ihrer Kommilitonen.

Auswirkungen des Identitäts- und Zugriffsmanagements auf das Geschäft

Die zunehmende Zahl an Konten ist für IT-Administratoren eine große Belastung. Jedes Konto benötigt eine ID und eine Möglichkeit, seine eigenen Rechte innerhalb des Ökosystems zu authentifizieren. Die IAM-Risiken, die modernen IT-Infrastrukturen innewohnen, führen zu Sicherheits-, Datenschutz-, Betriebs- und Compliance-Risiken.

Informationssicherheitsrisiken

IAM-Risiken steigen, wenn Organisationen komplexe IT-Infrastrukturen aufbauen. Laut der Laut dem Untersuchungsbericht zu Datenlecks 2021 waren 34 % der Datenlecks interne Akteure. Darüber hinaus waren 15 % der Datenlecks auf den Missbrauch von Privilegien autorisierter Benutzer zurückzuführen. Der Bericht erläuterte, dass der Missbrauch von Privilegien eines der drei häufigsten Muster bei Datenlecks in den Branchen Finanzen und Versicherungen, Gesundheitswesen, öffentliche Verwaltung, Fertigung und Einzelhandel war.

Ein weiteres zu berücksichtigendes Informationssicherheitsrisiko betrifft den persönlichen Datenschutz – insbesondere die Kontrolle der Mitarbeiter über ihre persönlich identifizierbaren Informationen (PII). Die Personalabteilung benötigt beispielsweise möglicherweise Zugriff auf die Krankengeschichte eines Mitarbeiters. Dieser Mitarbeiter hat jedoch das Recht, die Informationen vor seinem Vorgesetzten geheim zu halten. Wenn Ihr Unternehmen Zugriff und Identität nicht effektiv verwaltet, verletzen Sie möglicherweise das Recht einer Person auf Privatsphäre.

Betriebsrisiko

IAM schützt Sie auch vor operativen Risiken wie Unterschlagung und Betrug. Organisationen können IAM verwenden, um die Funktionstrennung (Separation of Duties, SOD) zu verwalten. Beispielsweise sollte eine Person, die auf die Debitorenbuchhaltung zugreift, nicht auf die Kreditorenbuchhaltung zugreifen können. Wenn die Person auf beides zugreifen kann, kann sie ein gefälschtes Lieferantenkonto erstellen und unbeaufsichtigt vom Firmenbankkonto bezahlen.

Compliance-Risiken

Je nach Branche müssen Sie wahrscheinlich gesetzliche Compliance-Anforderungen erfüllen. Die meisten Vorschriften verlangen von Organisationen, den Zugriff auf Daten zu beschränken. Beispielsweise drohen einem Gesundheitsdienstleister gemäß dem Health Insurance Portability and Accountability Act (HIPAA) Geldstrafen zwischen 100 und 50.000 US-Dollar pro Verstoß.

Ein robustes IAM- und IGA-Programm kann für proaktive Bedrohungstransparenz und Risikominimierung sorgen und gleichzeitig dabei helfen, spezifischere Compliance-Kriterien verschiedener Bestimmungen zu erfüllen, darunter die folgenden häufig anzutreffenden neuen Gesetze.

Saviynt & Assured IGA Compliance-as-a-Service

Die IGA-Plattform von Saviynt bietet einen Kontrollaustausch mit über 200 sofort einsatzbereiten Kontrollmechanismen nach Regulierungs-, Industriestandard- und Serviceprovider-Standard. Wir bieten Konnektoren zu den am häufigsten genutzten Cloud-Service-Providern und -Anwendungen. Dieses reibungslose Onboarding ermöglicht Ihnen die Erstellung einer autoritativen, standardisierten Identitätsquelle mit fein abgestuften Berechtigungen im gesamten IT-Ökosystem.

Mit Saviynts Control Exchange verfügen Sie über 200 integrierte Steuerelemente, um Zugriff und Nutzung zu verfolgen, wichtige Leistungsindikatoren zu erstellen und die Compliance-Dokumentation zu optimieren.

Transparenz in Bezug auf Wer, Was, Warum und Wie

Saviynt ermöglicht es Unternehmen, unterschiedliche Identitäts-, Rollen- und Gruppendefinitionen in ihren lokalen, hybriden und Cloud-Infrastrukturen zusammenzuführen, um eine einzige, maßgebliche Identitätsquelle zu erstellen. Die Plattform lässt sich nativ in geschäftskritische IaaS- und SaaS-Produkte integrieren, und Unternehmen können den Zugriff über die grobkörnige Anwendungsebene hinaus beschränken und mithilfe feinkörniger Zugriffsberechtigungen bis auf die Ebene „Bearbeiten/Lesen“ vordringen.

Die Analysen von Saviynt optimieren den Anforderungs-/Überprüfungs-/Zertifizierungsprozess, indem sie sich an Richtlinienkontrollen anpassen. Die Plattform macht Benutzer auf anomale Anforderungen/Zugriffe aufmerksam, die von einem Administrator genehmigt werden müssen. Unsere peer- und nutzungsbasierten Analysen ermöglichen es Organisationen, Kontrollen mit „geringsten Privilegien“ aufrechtzuerhalten und SOD-Verstöße zu verhindern.

Häufig gestellte Fragen zum Identity and Access Management (IAM)

Was sind die IAM-Konformitätsanforderungen für den Health Insurance Portability and Accountability Act (HIPAA)?

Eine IAM-Lösung, die HIPAA-Standards erfüllt, muss Folgendes umfassen:

  • Schutz der Anmeldeinformationen durch Single Sign-On
  • Föderiertes Identitätsmanagement für eine vereinfachte Integration von Geschäftspartnern im Gesundheitswesen
  • Zentralisierte Zugriffssteuerung zur Kuratierung eines HIPAA-konformen Zugriffsmanagements in der gesamten Unternehmensinfrastruktur
  • Automatische Zugriffsprotokollierung gewährleistet die Einhaltung der HIPAA-Sicherheitsregeln, beispielsweise die Nachverfolgung des Zugriffs auf Patientendaten
  • Die automatische Berichterstellung erfolgt auf Grundlage der Protokollierung und wird zur einfacheren Prüfung der HIPAA-Sicherheitskonformität verwendet.

Unternehmen im Gesundheitswesen profitieren von der Implementierung von IAM-Lösungen, die Föderation, Single Sign-On-Sicherheit, zentral verwaltete Berechtigungen und automatisierte Protokollierung umfassen. Verwaltungstransaktionen werden durch effektiv verwaltete Rechte und ordnungsgemäße Kontokündigung weniger kompliziert. Darüber hinaus ermöglicht die automatisierte, detaillierte Protokollierung HIPAA-Auditoren die Überprüfung der Einhaltung der Richtlinien für elektronische Medien.

Was sind die IAM-Konformitätsanforderungen für den Gramm-Leach-Bliley Act (GLBA)?

Eine IAM-Lösung kann die Bestimmungen der Safeguards Rule proaktiv angehen und die GLBA-Konformität durch Folgendes verbessern:

  • Rollenbasiertes Management, um den Zugriff über Benutzerrollen statt über direkte Benutzerzuweisung sicherzustellen
  • Kontrollen zur Aufgabensegmentierung, um riskante Zugriffssituationen zu vermeiden
  • Automatisierte Bereitstellung und Deaktivierung von Benutzern bei Rollen- und Stellenwechsel des Personals
  • Berechtigungsverwaltung zur Beschränkung der Berechtigungen, sodass ein Benutzer nur auf das zugreifen kann, was er zur Erledigung seiner Arbeit benötigt.
  • Mehrstufige Authentifizierung zum Schutz der Daten bei kompromittierten Benutzerkennwörtern.

Organisationen, die gegen GLBA verstoßen, müssen mit erheblichen Geldstrafen rechnen. Bei Verstößen gegen GLBA-Sicherheitsbestimmungen drohen Einzelpersonen nicht nur Geldstrafen, sondern auch Gefängnisstrafen, wenn sie Sicherheitsvorkehrungen ignorieren oder vorsätzlich umgehen. Die Durchsetzung von GLBA obliegt der Federal Trade Commission (FTC).

Was sind die IAM-Konformitätsanforderungen für den Family Educational Rights and Privacy Act (FERPA)?

Zu den FERPA-Konformitätsanforderungen, die eine IAM-Lösung erfüllen sollte, gehören:

  • Föderierte Infrastruktur, die berechtigten Nichtuniversitätsangehörigen den Zugriff auf relevante Bildungsunterlagen ermöglicht.
  • Mittel, mit denen Studierende den Zugriff auf ihre Bildungsdaten an Dritte delegieren können.
  • Genaue und vollständige Protokollierung von Benutzern mit Zugriff auf Studentendaten einschließlich Zeitstempeln.
  • Automatisiertes Reporting liefert prüfungswürdige Nachweise für das Zugriffsmanagement.

Die FERPA-Konformität beinhaltet das Recht eines Studenten, den Zugriff auf seine Verzeichnisinformationen einzuschränken, auch wenn es sich um öffentliche Informationen handelt. Die FERPA-Bestimmungen ermöglichen berechtigten Studenten außerdem, ihren Eltern die Berechtigung zum Zugriff auf Bildungsunterlagen zu erteilen oder zu entziehen. Die Möglichkeit, die Zugriffsverwaltung einfach zu verwalten und zu verfolgen, ist der Schlüssel zur Einhaltung des Datenschutzgesetzes. IAM-Lösungen, die die Konten berechtigter Studenten und ihrer Eltern sowie des Schulpersonals und der Lehrkräfte zentral verwalten und abgleichen, müssen sicherstellen, dass Kontrollen vorhanden sind, die den Zugriff auf Studentenunterlagen angemessen einschränken.

Was sind die IAM-Compliance-Anforderungen für den Sarbanes-Oxley Act (SOX)?

Die SOX-Sicherheitsstandards fordern geprüfte und dokumentierte interne Kontrollen für die Erstellung von Finanzberichten und zum Schutz der Datenintegrität der in diese Berichte einfließenden Buchhaltungsinformationen. Zu den IAM-Lösungen, die die SOX-Compliance-Anforderungen erfüllen, gehören:

  • Zentralisierte Verwaltung des Zugriffsmanagements und der Identitätsverwaltung.
  • Durchsetzung von Richtlinien zur Funktionstrennung (SoD).
  • Regelmäßige Audits zur Überprüfung der Benutzerrechte und Berechtigungen in der gesamten Infrastruktur
  • Automatische Protokollierungs- und Tracking-Tools, die klare Berichte für Compliance-Audits erstellen

SOX berücksichtigt sowohl physische als auch digitale Aufzeichnungen, sodass IAM ein integraler Bestandteil der Compliance ist. Der Schlüssel zur Einhaltung der SOX-Anforderungen ist jedoch die Fähigkeit, bei Bedarf Nachweise für ein Audit zu erstellen. Durch die Automatisierung von IAM-Aktivitäten, einschließlich der Bereitstellung und Aufhebung der Benutzerbereitstellung, granularer bedingter Zugriffskontrollen und der Implementierung genauer Zugriffsprotokollierung und Nutzungsverfolgung verbessern Unternehmen ihre Sicherheitslage und verringern das Risiko von Datenverletzungen.

Was sind die IAM-Konformitätsanforderungen für den California Consumer Privacy Act (CCPA)?

IAM-Lösungen, die zur Erfüllung der CCPA-Konformitätsanforderungen hinsichtlich Datenschutz und Datensicherheit beitragen, müssen Folgendes umfassen:

  • Identitätsverwaltungsfunktionen, die einzelne Verbraucher mit ihren Daten- und Datenschutzanforderungen verknüpfen
  • Access Governance, um sicherzustellen, dass ein Unternehmen weiß, wo die Daten gespeichert sind und wer darauf zugreifen kann
  • Starke Authentifizierung, einschließlich Multi-Faktor-Authentifizierung, um die Weitergabe an nicht autorisierte Benutzer zu verhindern
  • Zentralisierte Verwaltung des Zugriffsmanagements und der Identitätsverwaltung.

Ein Schlüsselfaktor des CCPA ist, dass Verbraucher die Kontrolle über ihre Privatsphäre und persönlichen Daten haben und das Recht haben, die Erfassung oder den Verkauf ihrer Daten zu verweigern oder zu widerrufen. Dies weist zwar Parallelen zum Datenschutz und zur DSGVO auf, unterscheidet sich jedoch in der Durchsetzung. Bei der DSGVO können Verstöße bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes kosten, je nachdem, welcher Betrag höher ist. Beim CCPA hingegen werden Bußgelder pro Verstoß verhängt, die auf 250.000 US-Dollar pro Verstoß begrenzt sind.

  • Was sind die IAM-Konformitätsanforderungen für den New York SHIELD Act?

IAM-Lösungen, die den Datensicherheitsstandard NY SHIELD Act erfüllen, sollten Folgendes umfassen:

  • Automatisierte Bereitstellung und Deaktivierung von Benutzern bei Rollen- und Stellenwechsel des Personals
  • Berechtigungsverwaltung zur Beschränkung der Berechtigungen auf das Mindestmaß
  • Föderiertes Identitätsmanagement zur Vereinfachung der Integration und Nachverfolgung von Geschäftspartnern
  • Mehrstufige Authentifizierung, um den Diebstahl von Anmeldeinformationen für den unbefugten Zugriff auf Daten zu erschweren.

Die Einhaltung der SHIELD-Vorschriften erfordert, dass ein Unternehmen das Risiko einer Cybersicherheitsverletzung minimiert oder die finanziellen Auswirkungen kostspieliger Benachrichtigungen über Verstöße in Kauf nimmt. Die Implementierung einer robusten IAM-Lösung schützt nicht nur proaktiv, sondern verbessert auch die allgemeine Sicherheitslage von Unternehmen, gewährleistet die Einhaltung der Vorschriften und minimiert Risiken.

Was ist der Unterschied zwischen IAM und IGA?

Ich bin und Verwaltung der Identitätsverwaltung (IGA) klingt vielleicht ähnlich, aber es gibt bemerkenswerte Unterschiede. Gartner merkt an: „IGA unterscheidet sich von IAM dadurch, dass es Organisationen nicht nur ermöglicht, IAM-Richtlinien zu definieren und durchzusetzen, sondern auch IAM-Funktionen zu verbinden, um Audit- und Compliance-Anforderungen zu erfüllen.“ Genauer gesagt konzentriert sich IAM auf Provisioning und Deprovisioning, während IGA die Steuerung und Verwaltung von IAM-Richtlinien und relevante Berichte für Compliance-Zwecke ermöglicht.

Was sind die IAM-Konformitätsanforderungen für den Family Educational Rights and Privacy Act (FERPA)?

Zu den FERPA-Konformitätsanforderungen, die eine IAM-Lösung erfüllen sollte, gehören:

  • Föderierte Infrastruktur, die berechtigten Nichtuniversitätsangehörigen den Zugriff auf relevante Bildungsunterlagen ermöglicht.
  • Mittel, mit denen Studierende den Zugriff auf ihre Bildungsdaten an Dritte delegieren können.
  • Genaue und vollständige Protokollierung von Benutzern mit Zugriff auf Studentendaten einschließlich Zeitstempeln.
  • Automatisiertes Reporting liefert prüfungswürdige Nachweise für das Zugriffsmanagement.

Die FERPA-Konformität beinhaltet das Recht eines Studenten, den Zugriff auf seine Verzeichnisinformationen einzuschränken, auch wenn es sich um öffentliche Informationen handelt. Die FERPA-Bestimmungen ermöglichen berechtigten Studenten außerdem, ihren Eltern die Berechtigung zum Zugriff auf Bildungsunterlagen zu erteilen oder zu entziehen. Die Möglichkeit, die Zugriffsverwaltung einfach zu verwalten und zu verfolgen, ist der Schlüssel zur Einhaltung des Datenschutzgesetzes. IAM-Lösungen, die die Konten berechtigter Studenten und ihrer Eltern sowie des Schulpersonals und der Lehrkräfte zentral verwalten und abgleichen, müssen sicherstellen, dass Kontrollen vorhanden sind, die den Zugriff auf Studentenunterlagen angemessen einschränken.

Was sind die IAM-Konformitätsanforderungen für die Datenschutz-Grundverordnung (DSGVO)?

Eine robuste IAM-Lösung, die die DSGVO-Anforderungen hinsichtlich Datenschutz und -sicherheit erfüllt, muss Folgendes umfassen:

  • Zugriffsverwaltung
  • Zugriffsverwaltung
  • Genehmigung
  • Authentifizierung (einschließlich Multi-Faktor-Authentifizierung)
  • Identitätsmanagement (IDM)
  • Identitätsverwaltung

Der Schlüssel zur Erfüllung der DSGVO-Anforderungen ist der Datenschutz. Verbraucher haben weiterhin das Recht, die Erfassung ihrer Daten abzulehnen oder zu widerrufen. Eine IAM-Lösung, die den Benutzerzugriff auf Kundenidentitätsinformationen und personenbezogene Daten überwacht, reicht nicht aus. Zur Einhaltung der DSGVO muss eine IAM-Lösung alle Zugriffe auf erfasste personenbezogene Daten verfolgen und die Zugriffsrechte sowohl auf der Grundlage organisatorischer Änderungen als auch relevanter Kundenpräferenzen aktualisieren.

Ressourcen

Leitfaden für Käufer von Identity Governance- und Administrationslösungen

Einkaufsführer erhalten
E-Book

Privileged Access Management

Lösungsleitfaden abrufen
Lösungshandbuch

Saviynt für Lieferantenzugriffsverwaltung

Lies jetzt
Lösungshandbuch