Benutzerkonten und Zugangsrechte im Griff: IAM und PAM als digitale Türsteher

Die Frage, welche Benutzer mit welchen Rechten in ihrer Infrastruktur unterwegs sind, stellt viele Firmen vor Herausforderungen. Lösungen für Identity und Access Management (IAM) sowie Privileged Access Management (PAM) können die Verwaltung von Accounts vereinfachen und helfen, Sicherheitsrichtlinien besser durchzusetzen.

IAM als Chance für bessere Prozesse

Der Bedarf an einer zentralen Verwaltung von digitalen Identitäten und einer besonderen Absicherung für Accounts mit höheren Rechten ist also da, das Potenzial für den Channel groß. Viele Systemhäuser und IT-Dienstleister agieren aber noch zurückhaltend – nach Einschätzung von Albinger, weil das Thema komplex ist, nach Meinung von Westphal, weil Unternehmen die Projekte vielfach nur angedacht haben und noch keine festen Budgets eingeplant sind. Das könne sich aber schnell ändern.

Gebraucht wird dann neben grundlegendem Security-Wissen auch jede Menge Beratungskompetenz und Prozessverständnis, denn IAM- und PAM-Projekte betreffen nahezu alle IT-Systeme und alle Abteilungen eines Unternehmens. Hier gilt es, möglichst schon im Vorfeld, konkrete Ziele zu definieren und ein durchdachtes System aus Benutzer-Accounts und Benutzerrechten auszuarbeiten. »Wenn am Ende mehr Rollen als Mitarbeiter existieren, ist offenbar etwas falsch gelaufen«, sagt Michael Kleist, Regional Director DACH bei Cyberark. »Die richtige Mischung macht es – es wird sich nicht alles automatisieren lassen, aber in zu viele manuelle Tätigkeiten zurückzufallen, wäre natürlich auch kein Gewinn.«

Dabei hilft es natürlich, wenn man weiß, wie Administratoren arbeiten und wie Cyberkriminelle bei ihren Angriffen vorgehen. Ziel muss es sein, ein effizientes System aufzubauen, das sich nahtlos in die bestehende Landschaft einfügt und das mögliche Einfallstore abdichtet. »Dies schließt ein, dass Hersteller wie Partner über eine komplette Sicherheitsarchitektur sprechen, und nicht über ein Produkt und dessen Einführung«, so Kleist. Ähnlich sieht es Haase von One Identity, die hervorhebt, ein solches Projekt sei immer auch eine Chance: »Es geht bei IAM immer um die Umsetzung von Prozessen. Die Technik, also das IAM-System, kann das beste der Welt sein, wenn die Prozesse des Unternehmens nicht klar definiert und sinnvoll sind, erzielt man oft keinen Mehrwert oder scheitert komplett. Ein IAM-Projekt ist eine Chance, Prozesse zu überdenken und zu optimieren. Der Versuch, Althergebrachtes ungeprüft in eine neue Technologie umzusetzen, ist eine vertane Chance.«

Dem steht allerdings häufig die Realität entgegen. »Eine IAM-Implementierung wird in der Praxis oft durch existierende IT-Altlasten, fehlende Schnittstellen oder eine Vielzahl von User-Datenbanken sowie durch den Abstimmungsbedarf über Abteilungsgrenzen hinweg verzögert«, mahnt Dietrich und rät dazu, den Kunden seine meist umfangreiche Wunschliste aufteilen und mit Prioritäten versehen zu lassen. »In der Regel ist es besser, mit einer Applikation und wenigen Usern zu starten und hierfür die IAM-Funktionen zu integrieren. Erst später sind weitere Regeln, Rollen und Apps zu ergänzen«, so sein Ratschlag.