Vorgehen und Fallstricke: Von statischem zu dynamischem IAM
Ludwig Fuchs, CEO Nexis GmbH
Effizientes und sicheres Verwalten von Mitarbeiterzugriffen auf sensible Applikationen und Daten ist eine der größten Sicherheitsherausforderungen für heutige Unternehmen. Internationale Regulierungen und Zertifikate wie Basel III, SOX 2002 oder die ISO 27000 Familie zusammen mit internen Guidelines zwingen Unternehmen dazu, Aktionen innerhalb der Systeme zu auditieren und zu kontrollieren.
Gleichzeitig unterstreichen aktuelle Entwicklungen wie cloudbasierte Dienste oder Bring-Your-Own-Device (BYOD) in Unternehmensinfrastrukturen die Notwendigkeit von sicherem Account- und Berechtigungsmanagement.
Aus diesen Anforderungen hat sich das RBAC (Role-based Access Control) - Paradigma für IAM entwickelt, um die Effizienz der Nutzerverwaltung zu erhöhen und IT-Sicherheitsrisiken zu reduzieren. Jedoch führt die Anwendung von rollenbasierter Zugriffskontrolle im IAM zu einem großen Administrationsaufwand. Wachsende Anzahlen von veralteten Rollen, kompliziertes Rollenmanagement und hohe Zeit und Ressourcenkosten für die Einführung von Geschäftsrollen (eine wissenschaftliche Studie ergab Kosten von über 2.000.000$ für Unternehmen mit 10.000 Mitarbeitern bei gleichzeitiger Dauer von 18 Monaten) sind jedoch Nachteile bei rollenbasierter Benutzerverwaltung und können Unternehmen in ein Rollenchaos stürzen.
Aus diesen Gründen vermehren sich in letzter Zeit die Rufe nach einer dynamischeren IAM Infrastruktur. Immer mehr Unternehmen bilden mit dynamischen Zugriffskontrollregeln die automatische Verteilung und den automatischen Entzug von Mitarbeiterberechtigungen in ihrem zentralen IAM System ab.
Folgende Punkte werden diskutiert:
- Organisation
- Lebenszyklen der Attributverwaltung
- Policy-Lifecycle
- Migrationsplanung
- Vorbereitungs- und Implementierungsphase
- Überwachungsphase
- Use Cases
- Abteiliungsübergreifende Abstimmung
- Dynamisches IAM und IT-Sicherheit