Security oder Usability? Was Infoguard bei IAM mehr gewichtet
Wer darf eigentlich was im Unternehmen? Diese Frage regelt das Identity and Access Management – kurz IAM. Wie der heikle Balanceakt zwischen Sicherheit und Benutzerfreundlichkeit zu lösen ist, sagt Markus Limacher, Head of Security Consulting bei Infoguard.
Warum ist es von Vorteil, eine konkrete Identity-Lösung beziehungsweise -Strategie zu haben?
Markus Limacher: Identity und Access Management (IAM) ist von zentraler Bedeutung für verschiedenste Kernthemen der Cybersecurity, beispielsweise Mobile oder Cloud Computing, Social Media, Data Loss Prevention, Compliance Requirements usw. Aber auch die Durchsetzung von Datenschutzvorgaben und dem damit verbundenen "Need-to-know-Prinzip" sind ohne IAM schwierig. Um die Sicherheit und Einhaltung von Vorschriften zu gewährleisten, müssen diese Zugriffe zudem überwacht und geschützt werden. All dies ist ohne eine IAM-Strategie und entsprechende Lösungen undenkbar.
Was muss eine IAM-Lösung alles können?
Die ganzheitliche IAM-Strategie umfasst Identitäts- und Zugriffsmanagementlösungen für alle Benutzergruppen – Mitarbeitende, Kunden, Lieferanten, Partner etc. – über den gesamten Lebenszyklus hinweg und berücksichtigt Systeme sowie Plattformen – sei es in der Cloud oder On-Premise. Ausserdem ruft IAM auch das Thema Compliance auf den Plan. Die Lösung muss auf immer komplexer werdende und sich schnell ändernde Datenschutzbestimmungen und Branchenvorgaben flexibel adaptiert werden können. Eine IAM-Lösung übernimmt die Bewirtschaftung von Benutzern und Rollen, die Benutzeridentifikation, die Zuweisung von Rollen, die Integration in die zu schützenden Systeme und Anwendungen sowie die Aufzeichnung und das Reporting von Benutzeraktivitäten. Eine IAM-Lösung muss aber auch die Data Governance sicherstellen. Wenn wir dann noch Customer-IAM in die Betrachtung einbeziehen, kommen weitere Themen hinzu wie Multi-Channel-Fähigkeit, Selfservice oder gar Signierung einer Transaktion im E-Banking-Umfeld.
Passwörter, Tokens, Smartcards? Wie sollten IAM-Lösungen die Nutzer idealerweise identifizieren?
Eine ideale Authentisierung eines Benutzers berücksichtigt dessen Bedürfnisse – einfach, schnell, unkompliziert –, aber ebenso die maximal notwendigen Sicherheitsvorgaben und die damit einhergehenden Risiken. Es ist also situativ, welche Sicherheitselemente zum Einsatz kommen – und nicht selten ist es mehr als nur ein einzelnes Element.
Was hat bei IAM Vorrang: Benutzerfreundlichkeit oder IT-Sicherheit?
Benutzerfreundlichkeit und Sicherheit sind wichtige Kriterien, die es abzuwägen gilt. Aus meiner Erfahrung ist jedoch "risikoorientiert" der richtige Ansatz. Dafür wird es im einen oder anderen Fall Abstriche in der Benutzerfreundlichkeit oder auch bei der Sicherheit geben – je nach aktueller Risikoeinschätzung. Deshalb ist die risikobasierte Authentifizierung ein sehr benutzerfreundlicher Ansatz. Hierbei werden nicht bei jedem Zugriff auf Daten, IT-Ressourcen und -Services zwingend mehrere Faktoren abgefragt, sondern der Kontext des Zugriffs wird berücksichtigt. Je nach Tätigkeit und Zugriff des Users, wie beispielsweise an bekannten Orten und auf bekannte Systeme, zu üblichen Uhrzeiten oder auf nicht klassifizierte Daten, sinkt das Risiko. Dadurch kann auf zusätzliche Faktoren verzichtet werden.
Welche Herausforderung stellen die Mitarbeiter dar, wenn es um ein gelungenes IAM geht?
IAM muss fortlaufend auf die sich verändernden Risiken, Bedürfnisse und Anwendungsfälle adaptiert werden können. Für den User müssen die Prozesse effizient und transparent sein. Wenn die eingesetzte IAM-Lösung langsam, kompliziert und nicht benutzerfreundlich ist, suchen Menschen nach schnelleren, besseren Alternativen. Es gilt: So sicher wie nötig und so benutzerfreundlich wie möglich.
Wie wird sich das IAM-Geschäft im nächsten Jahr entwickeln?
Der Trend geht in Richtung "integriertes IAM". Wie so vieles verlagert sich auch IAM verstärkt in die Cloud. Least Privilege ist hier das Schlüsselwort. Dabei haben User nur Zugriff auf Daten, IT-Ressourcen und -Services, wenn sie diese für ihre aktuelle Tätigkeit benötigen.
Die Antworten der übrigen Podiumsteilnehmer:
Marc Burkhard, ITsense: "Ein fehlendes IAM wird immer mehr als Einfallstor für Datendiebstahl genutzt."
Marc Bütikofer, Ergon: "Ohne konkrete Strategie ist die Gefahr gross, dass ein unüberschaubares Flickwerk entsteht."
Cameron McNiff, Datastore: "Eine IAM-Lösung sollte sich nicht nur auf den Access-Teil konzentrieren."
Christoph Peter, Axalon: "Die Akzeptanz der Lösung hängt oft auch von der Benutzerfreundlichkeit der Oberfläche ab."
Stephan Schweizer, Adnovum: "Um mangelnder Akzeptanz vorzubeugen, müssen Betroffene rechtzeitig geschult und informiert werden."
Volker Sommer, Sailpoint: "Viele Lösungen sind zu komplex gestaltet und finden deshalb keinen Anklang."