Identity Access Management vs. Identity Governance and Administration

Lesezeit
3 Minuten
Bis jetzt gelesen

Identity Access Management vs. Identity Governance and Administration

03.04.2024 - 09:00
Veröffentlicht in:

Die IT-Sicherheit differenziert zwischen Identity Access Management (IAM) und Identity Governance and Administration (IGA). Beide sind für Sicherheit und Compliance essenziell, aber in ihren Funktionen leicht verwechselbar. Wer IAM und IGA differenzieren kann, dem bereiten Authentifizierung, Berechtigungsmanagement und Cyberangriffe weitaus weniger Kopfzerbrechen. Der Fachbeitrag klärt, wie sich IGA und IAM unterscheiden und warum beide Konzepte komplementär zu betrachten sind.

IAM fokussiert sich auf den Zugriff auf Informationen. Es besteht oft aus mehreren Technologien und ist für mehrere Geschäftsprozesse relevant. IAM gewährleistet, dass Personen oder Maschinen sich authentifizieren und durch den Nachweis ihrer Identität zeitgerecht und aus den richtigen Gründen Zugriff auf für sie relevante Ressourcen haben. Es spielt zudem eine zentrale Rolle bei der Erfüllung von Compliance-Richtlinien und dem Schutz gegen vielfältige Cyberrisiken.

IAM ermöglicht es einer Organisation, die Vertraulichkeit, Integrität und Verfügbarkeit von Systemen, Anwendungen und Daten in Echtzeit zu gewährleisten. Es ermöglicht die Einhaltung gesetzlicher Vorschriften und trägt dazu bei, das Risiko von IT-Bedrohungen, etwa Angriffe auf privilegierte Nutzerkonten, zu reduzieren. Das klassische Beispiel für die Effektivität eines IAM-Systems ist die Anforderung starker Authentifizierung im Fall eines Zugriffs auf sensible Daten samt einer Überprüfung, ob der Anmeldeversuch glaubwürdig ist (etwa ob er beispielsweise innerhalb des Unternehmensnetzwerks oder aus dem Home Office getätigt wird).

Was IGA ausmacht
Im Gegensatz hierzu liegt der Fokus eines Identity-Governance-Werkzeugs in der Verwaltung der Berechtigungen innerhalb der jeweiligen Systeme. IGA gewährleistet, dass die Mitarbeiter im Anschluss an die Anmeldung die für Ihre Arbeit notwendigen Berechtigungen effektiv nutzen können. Sie verwaltet Benutzerkonten und Berechtigungen digitaler Identitäten über alle Systeme und Anwendungen hinweg. Dies erstreckt sich von grundlegenden Joiner-, Mover- und Leaver-Szenarien über Anträge und Genehmigungen, beinhaltet aber auch Funktionstrennungsprüfungen, um Interessenskonflikten vorzubeugen, regelmäßige Rezertifizierungen der Berechtigungen, um das Need-To-Know-Prinzip einzuhalten und nicht zuletzt auditierbare Nachweise aktueller und historischer Berechtigungen.

Der umfangreiche Funktionskatalog schützt Unternehmensdaten effektiv und veranschaulicht kontinuierlich, welche Risiken sich aus Benutzerberechtigungen ergeben können. So werden aktive Konten von ausgeschiedenen Mitarbeitern, übermäßig berechtigte persönliche oder Accounts ohne bekannten Eigentümer sichtbar gemacht. Das ermöglicht Unternehmen eine fortwährende, transparente Risikosteuerung.

Das Kernelement von IGA ist die Automatisierung des Mitarbeiter-Lebenszyklus, insbesondere bei Eintritt in die Organisation, Abteilungswechsel oder nach Ausscheiden aus der Organisation. Durch die genaue Modellierung von Rollen, Regeln und Teams wird ein produktives Arbeiten ab dem ersten Tag, wie auch der umfassende Berechtigungsentzug unmittelbar nach dem Ausscheiden des Mitarbeiters ermöglicht. Diese Funktionen verbessern nicht nur die Effizienz der Identitätsverwaltung, sondern ermöglichen auch die wirksamere Nutzung anderer Identity-Management-Systeme.

IGA und IAM als komplementärer Ansatz
Die Betrachtung von IGA und IAM als komplementäre Werkzeuge wird in konkreten Angriffsszenarien deutlich. Während IAM durch Mechanismen wie Multifaktor-Authentifizierung die Wahrscheinlichkeit reduziert, dass ein Angriff Schaden anrichtet ist, wirkt sich IGA signifikant auf die Auswirkungen einer erfolgreichen Attacke aus. Der Angreifer findet weniger zu kompromitierende Accounts, erlangt durch diese Zugang zu weniger sensiblen Informationen, und wird durch manuell durchgeführte Berechtigungsänderungen schnell auffällig.

Die einander verstärkenden Sicherheitsaspekte beider Komponenten lassen sich darüber hinaus durch eine hohe Benutzerfreundlichkeit signifikant steigern. Zu häufige Anfragen nach starker Authentifizierung können sich auch negativ auf die Produktivität auswirken. Daher sollten die vergebenen Berechtigungen möglichst effektiv und automatisch auf Basis des Tätigkeitsprofils oder auf Rollen basieren, die für die Mitarbeitenden einfach zu beantragen und gleichzeitig klar verständlich sind. Die kontinuierliche Anpassung des IGA an die sich dynamisch ändernde Systemlandschaft und Business-Anforderungen sind hierbei von immenser Bedeutung. Ein modernes KI-unterstütztes Role-Mining und Machine-Learning-Aspekte können hierbei ressourcenschonend unterstützen.

Der Ansatz "Governance for Identity Fabric" integriert nahtlos alle Komponenten, die dem Identity Management zugehörig sind: Von IAM über PAM (Privileged Access Management), und ITDR (Identity Threat Detection and Response) und natürlich IGA. Die Verknüpfung von Funktionen der gesamten IAM-Infrastruktur ermöglicht es, Informationen mit anderen IAM-bezogenen Werkzeugen zu teilen, aussagekräftige Analysen bereitzustellen und diese zur Verbesserung der Entscheidungsfindung zu nutzen.

Ein gutes Beispiel für den Anwendungsfall ist der Missbrauch einer Identität durch ein Leck in den Zugangsdaten. Angenommen, ein Hacker greift von einem geografisch ungewöhnlichen Ort aus auf Anwendungen und Systeme zu, der nicht zu dem Eigentümer der Identität passt. Für dieses Szenario gibt es Tools innerhalb der größeren IAM-Infrastruktur, die helfen können, dies zu erkennen. Die Entscheidung, was zu tun ist, wird dabei am besten durch Workflows und automatisierte Aktionen ermöglicht, um zuverlässig und zügig alle zugehörigen persönlichen und administrativen Konten zu sperren, die der jeweiligen Identität angehören. Die flexible und skalierbare Identitätsinfrastruktur verhindert Identitätsangriffe effektiv. Eine solche Herangehensweise erhöht nicht nur die Sichtbarkeit von Schwachstellen und Compliance-Verstößen, sondern schafft auch eine sicherheitsorientierte Identitätsverwaltung, die sich an verändernde Business-Anforderungen anpassen lässt.

Fazit
Die Unterscheidung und das Zusammenspiel von Identity Access Management und Identity Governance and Administration sind entscheidend für eine robuste Cybersecurity-Strategie. Während IAM sich auf die Bereitstellung und Prüfung der Benutzeranmeldung konzentriert, bietet IGA umfassende Kontrolle und Übersicht der digitalen Identitäten und Zugriffsrechte. Eine effektive Implementierung von IGA innerhalb der Identity-Management-Strategie hilft außerdem, Compliance-Anforderungen zu erfüllen, Schwachstellen zu minimieren und die Sicherheit der digitalen Infrastruktur zu stärken. "Governance for Identity Fabric" fokussiert sich auf das Zusammenspiel der Komponenten einer Identity-Management-Strategie, das wiederum die Sicherheitsarchitektur eines Unternehmens gegen Identitätsdiebstahl und andere Cyberbedrohungen wappnet, gleichzeitig aber die Verwaltung von Benutzeridentitäten und -zugängen vereinfacht.

ln/Thomas Müller-Martin, Global Partner Lead bei Omada

Ähnliche Beiträge

Elektronische Signaturen im Überblick - Unterschriftsreif

Faktisch sind verbindliche Rechtsgeschäfte mit digitalen Unterschriften in Deutschland bereits seit 1997 mit dem Inkrafttreten des Signaturgesetzes möglich. Von ein paar Ausnahmen abgesehen, ist das Thema allerdings bisher weder in der Wirtschaft noch in der Verwaltung so richtig angekommen. Das könnte sich jedoch mit der zunehmenden Verbreitung von Telearbeit bald ändern. Der Beitrag bietet einen Überblick der verschiedenen elektronischen Signaturen und zeigt insbesondere, wie sich die qualifizierte elektronische Signatur einsetzen lässt.

Sicherheit in Microsoft Azure (3)

Hybride Szenarien lassen sich je nach eingesetzter Technologie in der Cloud relativ schnell aufbauen. Dies ist etwa für Testszenarien interessant. Planen Sie aber, Teile Ihrer lokalen Infrastruktur dauerhaft auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. In der Cloud warten hier ganz neue Security-Aspekte – und das gleich auf verschiedenen Ebenen. Im letzten Teil des Workshops geht es unter anderem darum, wie Sie mit Microsoft Defender for Cloud für Sicherheit sorgen und warum Sie den Zugriff auf virtuelle Server einschränken sollten.

Sicherheit in Microsoft Azure (2)

Hybride Szenarien lassen sich je nach eingesetzter Technologie in der Cloud relativ schnell aufbauen. Dies ist etwa für Testszenarien interessant. Planen Sie aber, Teile Ihrer lokalen Infrastruktur dauerhaft auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. In der Cloud warten hier ganz neue Security-Aspekte – und das gleich auf verschiedenen Ebenen. Im zweiten Workshop-Teil schildern wir, wie Sie auf der Kommandozeile für den Security-Feinschliff sorgen und wie Sie den Azure-Login absichern.