Cloud-Integration und KI: Neue Wege im Identity Access Management
Detlef Sturm ist Senior Business Consultant bei Beta Systems, verfügt über mehr als 20 Jahre Erfahrung im Bereich Identity and Access Management (IAM) und war unter anderem für die Entwicklung von Access Intelligence Lösungen verantwortlich. Seine aktuellen Schwerpunkte liegen im Berechtigungsdesign, insbesondere in den Bereichen Role Mining und Role Engineering.
Im Interview hat Detlef mit uns über IAM im Cloud und KI Zeitalter gesprochen.
Mehr Erfahrungsaustausch rund um Cybersecurity, Cloud und KI gibt es auf dem Confare #CIOSUMMIT Salzburg, bei dem zahlreiche hochkarätige IT-Entscheider*innen Erfahrungen, Meinungen und Wissen teilen. Ihre erfolgreichen IT-Projekte werden hier bei der Confare LivinIT Trophy ausgezeichnet … Einreichen oder Nominieren geht hier: Confare Livin IT Trophy für IT-Teams und Projekte!
Wie haben sich die Anforderungen an IAM-Lösungen aufgrund der zunehmenden Digitalisierung und der Verlagerung in die Cloud in den letzten Jahren verändert?
Die Verlagerung in die Cloud erfordert, dass IAM-Lösungen wie Garancy nicht nur innerhalb der Unternehmensgrenzen, sondern über verschiedene Plattformen und Umgebungen hinweg funktionieren. Zudem erhöht sich die Komplexität durch die Vielzahl an Diensten und Anwendungen, die eine Integration in die IAM-Software erfordern. Die Sicherheit und das Management von Accounts müssen über die herkömmlichen Grenzen von IT-Systemen hinaus erweitert werden, um sowohl On-Premise- als auch Cloud- und Hybrid-Anwendungen sowie extern und intern administrierte Systeme einzuschließen.
Den Wunsch, auch das IAM-System selbst in die Cloud zu verlagern, stellen wir selbstverständlich bei unseren Kunden fest. Sogar sehr große Konzerne, die im stark regulierten Umfeld agieren, verfolgen mitunter langfristig eine „Cloud First“-Strategie. Wir sind diesem Wunsch nachgekommen und bieten unsere Lösung als in Deutschland gehostetes und betriebenes Garancy@Cloud an.
Grundsätzlich wird ein IAM-System im Hybrid-Modus eingesetzt. Das heißt, es muss sowohl IT-Systeme in der Cloud als auch in der On-Premise-Welt verwalten. Bei unternehmenskritischen On-Premise-Systemen stellt sich die Frage, ob das IAM-System in der Cloud oder On-Premise installiert werden sollte. Eine Installation in der Cloud erfordert eine sichere Anbindung an die On-Premise-Welt mit meist höheren Anforderungen, für die wiederum entsprechende Fachkenntnisse nötig sind.
Bei der Nutzung von (verschiedenen) Cloud-Anwendungen liegt der Fokus zunächst auf dem Identitätsmanagement. Die großen Cloud-Plattformen wie Azure, AWS und Google Workspace investieren viel in die Bereitstellung und Verwaltung von anwendungsübergreifenden Identitäten. Alle Identitäten, ob anwendungsübergreifend oder -intern, müssen eindeutig Personen – internen und externen Mitarbeitenden oder z. B. Gästen – zugeordnet werden können. Daraus ergeben sich grundsätzliche Fragen: Wer hat Zugriff auf welche Daten in einer Anwendung? Auf welche Daten in welcher Anwendung hat eine bestimmte Person Zugriff? Die Fragen zeigen, dass nicht nur das „Wer“ (Identität), sondern auch das „Was“ (Datenzugang) betrachtet werden muss. Insbesondere in der verteilten Cloud-Welt ist es daher wichtig, neben dem Identitätsmanagement (entspricht dem „I“ im IAM) auch das Berechtigungsmanagement (entspricht dem „A“ im IAM) sicherzustellen.
Dies setzt nach wie vor ein gutes Rollenmodell (RBAC) voraus, bestehend aus nachvollziehbaren Business-Rollen für die Nutzung in den Fachbereichen sowie Applikationsrollen, die von den Datenverantwortlichen verantwortet werden. Der Einsatz von Rollen wird sogar noch an Bedeutung gewinnen, um die Anforderungen aus dem Umfeld der Access Governance (IAG) umsetzen zu können.
Welche Rolle spielen neue Technologien wie Künstliche Intelligenz (KI) und Maschinelles Lernen (ML) im Identity Access Management?
Neue Technologien haben für uns bei Beta Systems einen hohen Stellenwert. Wir fahren jedoch eine bedachte Herangehensweise beim Befolgen von Technologietrends mit disruptivem Charakter, da ein IAM-System sicherheitsrelevant ist und langfristig eingesetzt wird. Dementsprechend ist es wichtig, diese Technologien bis ins kleinste Detail zu testen und beim Kunden zu validieren, bevor sie zur Anwendung kommen. Überall dort, wo ein Anwender viele Entscheidungen innerhalb der IGA oder des Auditings treffen muss, sehen wir mit Garancy Anwendungsfälle für KI und ML. So sind wir hinsichtlich KI in der Explorationsphase, unseren Kunden bei der Rezertifizierung von Nutzerrechten unterstützend zur Seite zu stehen oder auch schon im Beantragungsprozess Handlungsempfehlungen auszusprechen, die mit Hilfe von Künstlicher Intelligenz erstellt werden. Speziell die Risikoanalyse in Echtzeit während einer Authentifizierung – manuell oder automatisiert initiiert – wird durch die Forderungen von NIS2 wichtig. Auch im Bereich Role Mining zur Optimierung und Erstellung des Rollenmodells testen wir eine KI- und ML-unterstützte Verarbeitung von Rollen und Rollenvorschlägen, damit anwendende Unternehmen wertvolle Zeit bei der Implementierung und Pflege ihres IAM-Systems sparen.
Eine Software besteht aus vielen Komponenten wie Bibliotheken, Tools und Prozess-Snippets. Diese Bestandteile werden in der Software Bill of Materials (SBOM) dokumentiert. Eben jene SBOM sorgt für neue regulatorische Anforderungen, z. B. nach BSI TR-03183, an die Auslieferung unserer Software und eröffnet uns Entwicklungspfade für KI- und ML-gestütztes Vulnerability Management, das im Rahmen einer firmeninternen Observability-Plattform innerhalb von Garancy interessant ist.
Inwiefern unterstützt Automatisierung Unternehmen dabei, ihre IAM-Prozesse effizienter und sicherer zu gestalten?
Automatisierung bietet Unternehmen zahlreiche Vorteile bei der Effizienzsteigerung und Sicherheit ihrer IAM-Prozesse. So lassen sich zum Beispiel wiederkehrende Aufgaben – wie etwa die Vergabe, die Umstrukturierung und der Entzug von Berechtigungen (Joiner, Mover, Leaver) auf Basis von Rollen und unter Zugrundelegung von Daten aus der Personaldatenbank – weitestgehend automatisieren. Verlässt beispielsweise eine Person das Unternehmen, werden dieser automatisiert alle Rechte in angeschlossenen Systemen entzogen und alle Accounts gelöscht. So werden Sicherheitsrisiken erheblich minimiert.
Garancy führt täglich einen automatisierten Soll-Ist-Abgleich mit angeschlossenen Systemen durch, für den Parameter definiert werden können. Aufgrund dieser Einstellungen kann eine Entscheidung gefällt werden, in welche Richtung der Abgleich stattfinden soll. Entweder kann das IAM-System oder das jeweilige IT-System als Korrekturhoheit definiert werden. Eine weitere, effizienzsteigernde Automatisierungsmöglichkeit ist der Abgleich von SoD-Policies (Segregation of Duties). Dies entlastet die Compliance-Abteilung, da etwaige Verstöße (SoD Violations) erkannt und beispielsweise zur Freigabe weitergegeben werden können.
Zudem ermöglicht die Automatisierung eine größere Kontrolle und stärkere Einbeziehung der Fachbereiche mittels eines Rollenmodells, das als Brücke zwischen IT-basierten Systemen und der Aufgabenperspektive in den Fachbereichen dient. Des Weiteren unterstützen automatisierte Antrags- und Genehmigungsprozesse, einschließlich übersichtlicher Optionen und „smarter“ Rollenkataloge, eine effektive Verwaltung von Zugriffsrechten. Automatische Analysen von möglichen Abweichungen vor Vergabe und bestehenden Abweichungen nach Vergabe erhöhen die Sicherheit innerhalb der IT-Infrastruktur. Diese proaktiven Maßnahmen helfen, Risiken zu minimieren und Compliance-Anforderungen zuverlässig zu erfüllen.
Wie stellen Sie sicher, dass Ihre IAM-Lösung den ständig wechselnden regulatorischen Anforderungen und Standards in verschiedenen Branchen gerecht wird?
Damit unsere IAM-Lösung stets den regulatorischen Anforderungen und Standards gerecht wird, setzen wir bei Garancy auf eine flexible Architektur und auf regelmäßige Software-Aktualisierungen. Während Grundpfeiler wie das „Need to Know“-Prinzip und SoD Bestand haben werden, veröffentlichen wir inzwischen halbjährlich eine neue Version unserer Software, die den neuesten Anforderungen gerecht wird. Zudem lässt sich Garancy in hohem Maße an die jeweiligen Kundenanforderungen anpassen. So können wir maßgeschneiderte Lösungen für verschiedene Branchen mit spezifischen Compliance-Anforderungen bieten. Neue Regulatoriken, wie z. B. NIS2, DORA oder BSI TR-03183, werden von unserem Produktmanagement-Team nach daraus resultierenden Anforderungen gescreent, demensprechend gewichtet und dann in die Garancy-Roadmap übernommen.
Welche Herausforderungen gibt es bei der Implementierung von IAM-Systemen, und wie überwindet man sie erfolgreich?
Eine der größten Herausforderungen bei der Implementierung ist die Integration in die bestehende IT-Landschaft. Viele Unternehmen haben eine heterogene IT-Infrastruktur mit einer Mischung aus alten Systemen und neuen Technologien. Die Überwindung dieser Herausforderungen erfordert eine sorgfältige Planung, das Verständnis der bestehenden IT-Architektur und ein flexibles Design der IAM-Lösung, um das System an verschiedene Technologien anzupassen.
Zudem stellt die intrinsische Motivation der einzelnen Unternehmensbereiche und Fachabteilungen, bei der Implementierung mitzuwirken, eine Herausforderung dar. Die transparente Kommunikation über die Wichtigkeit des IAM-Systems für die Compliance ist oftmals ein guter Hebel. Das Herausstellen der Vorteile kann ebenfalls dabei helfen, die Motivation zur Mitwirkung zu steigern, und eine erfolgreiche Einführung somit fördern. Zu diesen Vorteilen zählen die Verbesserung der Sicherheit, Effizienzsteigerung und Zeitersparnis bei der Verwaltung von Benutzern und damit einhergehende Kostenersparnisse oder die Vereinfachung durch Unterstützung bei Audits, die die Implementierung eines solchen Systems im Allgemeinen mitbringt.
Für die erfolgreiche Implementierung eines IAM-Systems gibt es unterschiedliche Ansätze: Um den Workload für Fachpersonal wie IT und Berechtigungsexperten zu reduzieren, bietet sich die Implementierung eines Basis-IAM-Systems mit geringem Individualisierungsgrad an, das alle Kernanforderungen der Zugriffsverwaltung abdeckt. Bei komplexen und historisch gewachsenen Berechtigungsstrukturen, insbesondere im Active Directory, ist hingegen eine Konsolidierung oder ein komplettes Neuaufsetzen des Systems empfehlenswert. Dies sollte Teil einer umfassenden IAM-Strategie sein, die auf eine effiziente und sichere Verwaltung der Zugriffsrechte abzielt.
Wie sieht für Beta Systems die Zukunft des Identity Access Managements aus und welche Rolle wird Automatisierung dabei spielen?
Automatisierung spielt bereits eine zentrale Rolle, um Sicherheitsprozesse zu straffen und effizienter zu gestalten. Wir sehen eine wachsende Bedeutung von maschinellem Lernen, um anormale Zugriffe bzw. Anhäufungen von Rechten zu erkennen und präventive Sicherheitsmaßnahmen zu ergreifen. Der Einsatz dieser Technologien ist ein entscheidender Schritt, um weiterhin eine fortschrittliche Sicherheitslösung zu bieten, die sowohl proaktiv als auch adaptiv ist, um auf die Herausforderungen der Industrie 4.0 optimal zu reagieren. Zudem spielen, wie zuvor bereits erwähnt, eine durch Automatismen unterstützte Einführung des Rollenmodells und auch KI-unterstützte Vergabe von Basisrechten sowie wirklich smarte Antrags-und Genehmigungsprozesse und die Erkennung von Abweichungen eine Rolle.
Welche Ratschläge würden Sie Unternehmen geben, die ihre IAM-Prozesse modernisieren und für zukünftige Herausforderungen rüsten wollen?
Unternehmen, die ihre IAM-Prozesse modernisieren möchten, sollten sich auf ein standardisiertes Vorgehen bei Aufgaben konzentrieren, um die Sicherheit zu erhöhen und Fehler zu minimieren. Es ist wichtig, eine Lösung zu wählen, die flexibel, anpassbar und skalierbar ist, um den individuellen Unternehmensanforderungen, zukünftigen Herausforderungen und technologischen Entwicklungen gerecht zu werden. Denn wenn Ihr Unternehmen eine performante Steigerung über alle Unternehmensbereiche zeigt, sollte Ihr IAM-System entsprechend mitwachsen. Eine regelmäßige Überprüfung sowie Updates der Sicherheitsrichtlinien und Compliance-Anforderungen sind ebenfalls entscheidend, um die Sicherheit kontinuierlich zu gewährleisten.