IAM fokussiert sich auf den Zugriff auf Informationen. Es besteht oft aus mehreren Technologien und ist für mehrere Geschäftsprozesse relevant. IAM gewährleistet, dass Personen oder Maschinen sich authentifizieren und durch den Nachweis ihrer Identität zeitgerecht und aus den richtigen Gründen Zugriff auf für sie relevante Ressourcen haben. Es spielt zudem eine zentrale Rolle bei der Erfüllung von Compliance-Richtlinien und dem Schutz gegen vielfältige Cyberrisiken.

IAM ermöglicht es einer Organisation, die Vertraulichkeit, Integrität und Verfügbarkeit von Systemen, Anwendungen und Daten in Echtzeit zu gewährleisten. Es ermöglicht die Einhaltung gesetzlicher Vorschriften und trägt dazu bei, das Risiko von IT-Bedrohungen, etwa Angriffe auf privilegierte Nutzerkonten, zu reduzieren. Das klassische Beispiel für die Effektivität eines IAM-Systems ist die Anforderung starker Authentifizierung im Fall eines Zugriffs auf sensible Daten samt einer Überprüfung, ob der Anmeldeversuch glaubwürdig ist (etwa ob er beispielsweise innerhalb des Unternehmensnetzwerks oder aus dem Home Office getätigt wird).

Was IGA ausmacht
Im Gegensatz hierzu liegt der Fokus eines Identity-Governance-Werkzeugs in der Verwaltung der Berechtigungen innerhalb der jeweiligen Systeme. IGA gewährleistet, dass die Mitarbeiter im Anschluss an die Anmeldung die für Ihre Arbeit notwendigen Berechtigungen effektiv nutzen können. Sie verwaltet Benutzerkonten und Berechtigungen digitaler Identitäten über alle Systeme und Anwendungen hinweg. Dies erstreckt sich von grundlegenden Joiner-, Mover- und Leaver-Szenarien über Anträge und Genehmigungen, beinhaltet aber auch Funktionstrennungsprüfungen, um Interessenskonflikten vorzubeugen, regelmäßige Rezertifizierungen der Berechtigungen, um das Need-To-Know-Prinzip einzuhalten und nicht zuletzt auditierbare Nachweise aktueller und historischer Berechtigungen.

Der umfangreiche Funktionskatalog schützt Unternehmensdaten effektiv und veranschaulicht kontinuierlich, welche Risiken sich aus Benutzerberechtigungen ergeben können. So werden aktive Konten von ausgeschiedenen Mitarbeitern, übermäßig berechtigte persönliche oder Accounts ohne bekannten Eigentümer sichtbar gemacht. Das ermöglicht Unternehmen eine fortwährende, transparente Risikosteuerung.

Das Kernelement von IGA ist die Automatisierung des Mitarbeiter-Lebenszyklus, insbesondere bei Eintritt in die Organisation, Abteilungswechsel oder nach Ausscheiden aus der Organisation. Durch die genaue Modellierung von Rollen, Regeln und Teams wird ein produktives Arbeiten ab dem ersten Tag, wie auch der umfassende Berechtigungsentzug unmittelbar nach dem Ausscheiden des Mitarbeiters ermöglicht. Diese Funktionen verbessern nicht nur die Effizienz der Identitätsverwaltung, sondern ermöglichen auch die wirksamere Nutzung anderer Identity-Management-Systeme.

IGA und IAM als komplementärer Ansatz
Die Betrachtung von IGA und IAM als komplementäre Werkzeuge wird in konkreten Angriffsszenarien deutlich. Während IAM durch Mechanismen wie Multifaktor-Authentifizierung die Wahrscheinlichkeit reduziert, dass ein Angriff Schaden anrichtet ist, wirkt sich IGA signifikant auf die Auswirkungen einer erfolgreichen Attacke aus. Der Angreifer findet weniger zu kompromitierende Accounts, erlangt durch diese Zugang zu weniger sensiblen Informationen, und wird durch manuell durchgeführte Berechtigungsänderungen schnell auffällig.

Die einander verstärkenden Sicherheitsaspekte beider Komponenten lassen sich darüber hinaus durch eine hohe Benutzerfreundlichkeit signifikant steigern. Zu häufige Anfragen nach starker Authentifizierung können sich auch negativ auf die Produktivität auswirken. Daher sollten die vergebenen Berechtigungen möglichst effektiv und automatisch auf Basis des Tätigkeitsprofils oder auf Rollen basieren, die für die Mitarbeitenden einfach zu beantragen und gleichzeitig klar verständlich sind. Die kontinuierliche Anpassung des IGA an die sich dynamisch ändernde Systemlandschaft und Business-Anforderungen sind hierbei von immenser Bedeutung. Ein modernes KI-unterstütztes Role-Mining und Machine-Learning-Aspekte können hierbei ressourcenschonend unterstützen.

Der Ansatz "Governance for Identity Fabric" integriert nahtlos alle Komponenten, die dem Identity Management zugehörig sind: Von IAM über PAM (Privileged Access Management), und ITDR (Identity Threat Detection and Response) und natürlich IGA. Die Verknüpfung von Funktionen der gesamten IAM-Infrastruktur ermöglicht es, Informationen mit anderen IAM-bezogenen Werkzeugen zu teilen, aussagekräftige Analysen bereitzustellen und diese zur Verbesserung der Entscheidungsfindung zu nutzen.

Ein gutes Beispiel für den Anwendungsfall ist der Missbrauch einer Identität durch ein Leck in den Zugangsdaten. Angenommen, ein Hacker greift von einem geografisch ungewöhnlichen Ort aus auf Anwendungen und Systeme zu, der nicht zu dem Eigentümer der Identität passt. Für dieses Szenario gibt es Tools innerhalb der größeren IAM-Infrastruktur, die helfen können, dies zu erkennen. Die Entscheidung, was zu tun ist, wird dabei am besten durch Workflows und automatisierte Aktionen ermöglicht, um zuverlässig und zügig alle zugehörigen persönlichen und administrativen Konten zu sperren, die der jeweiligen Identität angehören. Die flexible und skalierbare Identitätsinfrastruktur verhindert Identitätsangriffe effektiv. Eine solche Herangehensweise erhöht nicht nur die Sichtbarkeit von Schwachstellen und Compliance-Verstößen, sondern schafft auch eine sicherheitsorientierte Identitätsverwaltung, die sich an verändernde Business-Anforderungen anpassen lässt.

Fazit
Die Unterscheidung und das Zusammenspiel von Identity Access Management und Identity Governance and Administration sind entscheidend für eine robuste Cybersecurity-Strategie. Während IAM sich auf die Bereitstellung und Prüfung der Benutzeranmeldung konzentriert, bietet IGA umfassende Kontrolle und Übersicht der digitalen Identitäten und Zugriffsrechte. Eine effektive Implementierung von IGA innerhalb der Identity-Management-Strategie hilft außerdem, Compliance-Anforderungen zu erfüllen, Schwachstellen zu minimieren und die Sicherheit der digitalen Infrastruktur zu stärken. "Governance for Identity Fabric" fokussiert sich auf das Zusammenspiel der Komponenten einer Identity-Management-Strategie, das wiederum die Sicherheitsarchitektur eines Unternehmens gegen Identitätsdiebstahl und andere Cyberbedrohungen wappnet, gleichzeitig aber die Verwaltung von Benutzeridentitäten und -zugängen vereinfacht.

ln/Thomas Müller-Martin, Global Partner Lead bei Omada