caution danger information safety

Investitionen in IAM-Lösungen laufen ins Leere

Alan Radford, Regional CTO One Identity, fordert die Zentralisierung von Sicherheitsprozessen und erläutert dabei die Vorteile einer einheitlichen Plattform für die Verwaltung von Zugriffsberechtigungen und Identitäten.

Es ist unbestreitbar eine Tatsache, dass moderne Unternehmen für ihre Zugriffskontrollen unterschiedliche Identitätsmanagement-Tools und dadurch fragmentierte Lösungen verwenden. Dies geschieht, um eine steigende Zahl digitaler Identitäten oder digitaler Profile, die auf Unternehmensdaten und -anwendungen zugreifen, überhaupt noch bewältigen zu können. Das wiederum hat zu einer ausufernden Zahl von Identitäten geführt: Jedes System verwaltet oftmals seine eignen Identitäten, was wiederum die Cybersicherheit insgesamt schwächt und Unternehmen anfälliger macht.

Identitäts-Wildwuchs und identitätsbasierte Angriffe hängen zusammen

Eine aktuelle Umfrage hat ergeben, dass 52 Prozent der befragten Unternehmen über 10.000 digitale Identitäten verwalten und 96 Prozent unterschiedliche Tools für das Identitätsmanagement einsetzen. Dabei nutzen 41 Prozent mindestens 25 verschiedene Systeme zur Verwaltung von Zugriffsrechten. Mehr Tools bedeuten aber nicht zwangsläufig mehr Sicherheit: 89 Prozent der befragten Unternehmen wurden im letzten Jahr trotzdem Opfer eines identitätsbasierten Cyberangriffs. Die Untersuchung hat aber noch einen weiteren Befund zutage gefördert: 70 Prozent der Unternehmen geben an, dass sie für Identitätsmanagement-Tools zahlen, die sie nicht aktiv nutzen.

Für deutsche Unternehmen sieht das Bild ähnlich aus. 28 Prozent der befragten Unternehmen verwalten zwischen 5.000 und 10.000 Identitäten, 21 Prozent sogar zwischen 10.000 und 50.000. Aus Sicht von 72 Prozent der Befragten ist diese Zahl gerade in den beiden letzten Jahren dramatisch (6 Prozent), signifikant (23 Prozent) oder mindestens bemerkenswert (43 Prozent) angestiegen – verglichen mit der Zeit vor der Corona-Pandemie. Auch die deutschen Unternehmen investieren stark im Bereich Identity Management. 90 % nutzen dazu Active Directory Management, 64 % Access Management (AM), 50 % Privileged Access Management (PAM) und immer noch 30 % setzen auf Identity-as-a-Service-Plattformen. Allerdings verwenden längst nicht alle deutschen Unternehmen sämtliche der Identity Management Tools und Lösungen, in die sie investiert haben. Das sagen stolze 44 Prozent. Rund ein Viertel räumt sogar ein, wichtige Tools nicht oder noch nicht einzusetzen.

Diese fehlgeleiteten Investitionen haben nicht nur direkten Einfluss auf die allgemeine Sicherheitslage, sondern auch auf die Produktivität. Wenn Firmen so viele unterschiedliche IAM-Tools einsetzen, entstehen dadurch Lücken in der Abdeckung. Das kostet Zeit und Geld, weil IT-Abteilungen gezwungen sind ihre Arbeit doppelt und über mehrerer Systeme hinweg zu verrichten. 46 Prozent sagen, dass IT-Administratoren zu viel Zeit mit der Verwaltung von Redundanzen verbringen und dass sie zu viele Tools verwalten müssen, um fundierte Fachkenntnisse für jedes von ihnen zu erwerben.

Das liegt aber nicht an den Tools allein. Die Einführung unterschiedlicher IAM-Tools führt fast zwangsläufig dazu, dass Unternehmen zur Verwaltung einzelner Säulen ihrer Zugriffskontrolle verschiedene Lösungen einsetzen müssen. Jede dieser Säulen hat ihre eigenen Herausforderungen und Regeln. Ganz zu schweigen davon, dass viele dieser Systeme in ihren eigenen Silos stecken und kaum (wenn überhaupt) interoperabel sind.

Diese fragmentierte Herangehensweise, verbunden mit der fortschreitenden digitalen Transformation, hat das Risiko von Angriffen erhöht, die sich auf ein Ausnutzen der reichlich vorhandenen Anmeldeinformationen und Identitäten stützen. Daher sollten Unternehmen ihre Verteidigungsmaßnahmen genauer unter die Lupe nehmen und auf dieser Basis ihre Herangehensweise grundlegend ändern. Jedenfalls, wenn sie ihren Sicherheitslevel tatsächlich verbessern wollen.

IAM-Lösungen sollten sich mit der Bedrohungslandschaft weiterentwickeln

Der bisherige Sicherheitsumfang reicht nicht aus, um die oft weltweit verteilten Vermögenswerte eines Unternehmens, Mitarbeiter, Auftragnehmer, Partner, Lieferanten, zu schützen. Die neue, verteilte Normalität hat den Radius für potenzielle Sicherheitsverletzungen längst vergrößert. Die wachsende Zahl von Identitäten verschärft das Problem weiter.

Wer Mitarbeiter, Anwendungen und Daten gleichermaßen schützen will, muss den beschriebenen Radius verkleinern. Identitätssicherheit spielt dabei eine zentrale Rolle. Allerdings sollten sich Firmen von traditionellen, fragmentierten IAM-Ansätzen verabschieden und auf ein konvergentes Identitätsmanagement, also einen einheitlichen Ansatz für eine Identitätsplattform setzen.

IT- undSicherheits-Experten beschränken sich beim Verwalten von Zugriffsrechten natürlich nicht nur auf Identity Access Management (AM). Dazu kommen Lösungen für die Identity Governance und Administration (IGA), Privileged Access Management (PAM) sowie Active Directory Management und Security (ADMS).

Das Manko: Nicht selten behandeln Firmen jeden dieser Bereiche separat. Das führt zu Inkonsistenzen, die Angreifer problemlos ausnutzen. Der skizzierte fragmentierte Ansatz hat also offensichtlich ausgedient. Eine einheitliche Plattform für die Verwaltung von Zugriffsberechtigungen und Identitäten, die IGA, AM, PAM und ADMS zusammenführt, kommt der Sicherheitsstrategie zugute, weil er die beschriebenen Lücken schließt.

Konsolidierung und Konvergenz: Mehr Sicherheit durch einen ganzheitlichen Ansatz

Die gute Nachricht ist, dass Unternehmen durchaus gewillt sind, ihre Identitätssicherheit zu verbessern, und sie erkennen die negativen Auswirkungen unterschiedlicher Identitätstools auf ihr Geschäft. Satte 90 Prozent der Befragten wollen ihre Sicherheits- oder Identitätsmanagement-Tools konsolidieren. Von diesen 90 Prozent plant über die Hälfte, das noch innerhalb dieses Jahres zu tun. Mehr als die Hälfte (54 %) der Befragten ist außerdem der Meinung, dass eine einheitliche Identitätsplattform für das Zugriffs- und Identitätsmanagement die dahingehende Unternehmensstrategie verbessern würde.

Dazu sind die folgenden Schritte hilfreich:

  • Einen ganzheitlichen Ansatz verfolgen: Die Vereinheitlichung aller Identitäten optimiert die Transparenz und schafft Übersicht.
  • Automatisierte Prozessorchestrierung nutzen: Planen und optimieren Sie eine möglichst reibungslose Verwaltung von Identitäten und Privilegien. Das trägt dazu bei, den gesamten Prozess zu straffen und Fehler zu vermeiden.
  • Bemühen Sie sich um weiterführende Erkenntnisse und Analysen: Zuverlässige Analysen unterstützen Firmen dabei, aufkommende Bedrohungen frühzeitig zu erkennen und adäquat darauf zu reagieren.
  • Verfahren anpassen: Die Fähigkeit, sich schnell auf Veränderungen einzustellen und zu reagieren, ist immens wichtig. Zu den Einflussfaktoren zählen Benutzerrollen und -zuständigkeiten, Veränderungen innerhalb der Infrastruktur und neuartige beziehungsweise sich entwickelnde Bedrohungen.
  • Kontinuierliche Validierung und Überprüfung von Identitäten: JederBenutzer sollte überprüft werden, bevor eine Zugangsberechtigung vergeben wird. Man muss nicht nur wissen, wer der Benutzer ist, sondern auch worauf er Zugriff haben sollte und wie lange.

Fazit

Angriffe, die auf dem Diebstahl von Zugangsdaten basieren, betreffen inzwischen so gut wie jede Branche, und es gibt keine Anzeichen dafür, dass sich das in nächster Zeit ändern könnte. Neun von zehn Unternehmen waren im letzten Jahr von einem identitätsbasierten Angriff betroffen, wobei fast 70 Prozent der Unternehmen Opfer eines Phishing-Angriffs wurden. Mehrere, zugriffsabhängige Identitätsmanagement-Tools einzusetzen ist aus den geschilderten Gründen keine optimale Lösung.

Ein einheitlicher Ansatz ist nicht nur in Sachen Cybersicherheit die bessere Wahl. Die Zentralisierung der Sicherheitsprozesse wirkt sich positiv auf die betriebliche Effizienz aus und verbessert Prüf- und Compliance-Verfahren. Gleichzeitig zähmt dieses Vorgehen den ausufernden Wildwuchs bei Identitäten und treibt die digitale Transformation eines Unternehmens voran.

Nur wenn sich die Denkweise von Sicherheitsexperten, von einem disparaten, toolbasierten hin zu einem plattformbasierten Ansatz ändert, können Unternehmen die Abwehr von identitätsbasierten Bedrohungen signifikant verbessern.

Unser Autor

Alan Radford, Regional CTO One Identity

Alan Radford ist als Global Identity and Access Management Strategist bei One Identity tätig. Seine Expertise umfasst insbesondere die BereicheUnified Security Platforms, Identity Governance, Privileged Access und Access Management.