Was ist Identity Governance and Administration (IGA)?
Identity Governance and Administration (IGA) ermöglicht Sicherheitsadministratoren die effiziente Verwaltung von Benutzeridentitäten und -zugriffen im gesamten Unternehmen. Sie verbessert die Transparenz von Identitäten und Zugriffsrechten und hilft dabei, die notwendigen Kontrollen zu implementieren, um unangemessenen oder riskanten Zugriff zu verhindern.
IGA kombiniert Identity Governance und Identity Administration. Bei der Identity Governance geht es um Transparenz, Aufgabentrennung, Rollenverwaltung, Attestierung, Analyse und Berichterstellung, während sich Identity Administration auf die Kontoadministration, die Administration von Anmeldeinformationen, die Provisionierung von Benutzern und Geräten sowie die Verwaltung von Berechtigungen bezieht.
Warum Sie IGA brauchen
In Unternehmen führt die zunehmende Digitalisierung zu einer höheren Zahl an Geräten, Benutzern und Daten in On-Premises- und Multi-Cloud-/Remote-Umgebungen. In solch komplexen IT-Ökosystemen ist es schwierig, Benutzeridentitäten und -Zugriffe effektiv zu verwalten. Wenn Benutzer übermäßigen oder unnötigen Zugriff auf Systeme, Anwendungen oder Daten erhalten, erhöht dies die Sicherheitsrisiken und Anzahl der Cyberbedrohungen, was Ihr Unternehmen anfällig für Cyberangriffe und Datenschutzverletzungen macht.
Mit IGA-Lösungen kann das Sicherheitspersonal den Benutzerzugriff sowohl auf On-Premises- als auch auf Cloud-basierte Systeme im Rahmen der Cloud-Governance nachverfolgen und kontrollieren. So stellt es sicher, dass die richtigen Benutzerkonten den richtigen Zugriff auf die richtigen Systeme haben, und kann unangemessenen Zugriff erkennen und verhindern. Durch das Implementieren der richtigen IGA-Kontrollen können Unternehmen Risiken minimieren und die Compliance einhalten.
Eine moderne Strategie für die Identitätssicherheit
Funktionen und Merkmale von IGA-Lösungen
Mit IGA-Lösungen können Unternehmen die Verwaltung des Lebenszyklus von Benutzeridentitäten präzise und effizient optimieren. Sicherheitsadministratoren können die Provisionierung und Deprovisionierung von Benutzerzugriffen während des gesamten Lebenszyklus automatisieren. Um diese Automatisierung zu ermöglichen, arbeiten IGA-Lösungen mit Prozessen für Identity and Access Management (IAM). Dies trägt auch dazu bei, Administratoren bei der Verwaltung von Berechtigungen zu unterstützen und die Compliance durch genaue Berichterstellung zu gewährleisten.
IGA-Systeme enthalten im Allgemeinen folgende Elemente der Identity Administration (IA):
1. Konnektoren für Integrationen
Mit Konnektoren können Sie IGA-Tools in Verzeichnisse und Unternehmenssysteme integrieren, die Informationen über Benutzer, ihre Anwendungen und Systeme sowie ihre Berechtigungen innerhalb dieser Systeme enthalten. Die Konnektoren lesen diese Daten, um zu verstehen, wer Zugriff worauf hat, und schreiben Daten, um neue Benutzer zu erstellen und ihnen Zugriff zu gewähren.
Damit kommen wir zum Federated Identity Management. Durch einen Verbund von Identitäten können autorisierte Benutzer mit denselben Anmeldeinformationen auf mehrere Anwendungen und Domänen zugreifen. Dabei wird die Identität eines Benutzers mit mehreren Identity-Management-Systemen verknüpft, damit dieser sicher und effizient auf verschiedene Anwendungen zugreifen zu kann.
2. Automatisierte Workflows zur Verwaltung von Zugriffsanfragen
Durch automatisierte Workflows können Benutzer einfacher Zugriff auf die Systeme beantragen, die sie für ihre Arbeit benötigen. Darüber hinaus können Administratoren auf einfache Weise das On- und Offboarding für Benutzer abwickeln, festlegen, welche Rollen welche Zugriffsebene auf Anwendungen und Systeme benötigen, und den Benutzerzugriff genehmigen.
3. Provisionierung
IGA optimiert die automatisierte Provisionierung und Deprovisionierung von Zugriffsberechtigungen auf Benutzer- und Anwendungsebene – sowohl für On-Premises- als auch für Cloud-basierte Ressourcen.
4. Berechtigungsverwaltung
Sicherheitsadministratoren können festlegen und verifizieren, was Benutzer in verschiedenen Anwendungen und Systemen tun dürfen. So können beispielsweise einige Benutzer Daten hinzufügen oder bearbeiten, während andere nur Daten anzeigen dürfen. Einige wenige können auch die Berechtigung haben, Daten zu löschen.
IGA-Systeme enthalten in der Regel folgende Elemente für Identity Governance (IG):
Funktionstrennung (Segregation of Duties, SoD)
Um Fehler zu vermeiden und Betrug vorzubeugen, können Sicherheitsteams Regeln erstellen, die verhindern, dass einer einzelnen Person riskante Zugriffs- oder Transaktionsrechte gewährt werden. SoD-Kontrollen verhindern beispielsweise, dass ein Benutzer sowohl ein Unternehmenskonto einsehen als auch Geld auf fremde Konten überweisen kann, sei es aus Unachtsamkeit oder zu böswilligen Zwecken. Diese SoD-Kontrollen sollten nicht nur innerhalb einer bestimmten Anwendung, sondern auch systemweit und in anderen Identity Access Management Anwendungen vorhanden sein.
Überprüfung von Zugriffen
IGA-Lösungen optimieren den Prozess der Überprüfung und Verifizierung des Benutzerzugriffs auf verschiedene Anwendungen und Ressourcen. Sie vereinfachen auch den Entzug des Zugriffs, z. B. wenn ein Benutzer das Unternehmen verlässt.
Und genau hier kommt Strong Authentication ins Spiel. Mit dieser leistungsstarken Authentifizierung schützen Sie Ihre Computersysteme und/oder Netzwerke, indem Sie die Identität von Benutzern mithilfe von zwei verschiedenen Faktoren verifizieren.
Rollenbasiertes Access Management
Bei der Role-Based Access Control (rollenbasierten Zugriffskontrolle, RBAC) wird der Zugriff der Benutzer entsprechend ihrer Rolle festgelegt, sodass sie nur auf die Informationen zugreifen können, die sie für die Erfüllung ihrer Aufgaben benötigen. Durch das Verhindern unnötiger Zugriffe – insbesondere auf sensible Daten – erhöht RBAC die Unternehmenssicherheit und verhindert Datensicherheitsverletzungen.
Analyse und Berichterstellung
Diese IGA-Lösungen bieten umfassende Transparenz, protokollieren die Benutzeraktivitäten und ermöglichen es dem Sicherheitspersonal, Sicherheitsprobleme oder -risiken zu erkennen, und lösen in Hochrisikosituationen Alarme aus. Sie können auch Sicherheitsverbesserungen vorschlagen, Bereinigungsmaßnahmen einleiten, Richtlinienverstöße bearbeiten und Compliance-Berichte erstellen.
Die Vorteile von IGA
1. Einfachere Lebenszyklusverwaltung für Benutzeridentitäten
Wenn sich die Benutzerzuordnungen innerhalb des Unternehmens ändern, etwa weil ein Mitarbeiter in eine andere Abteilung wechselt oder das Unternehmen verlässt, ändern sich auch die Zugriffsanforderungen. Mit IGA lassen sich diese Änderungen ganz einfach verwalten, von der Provisionierung bis zur Deprovisionierung. IGA erleichtert durch die Verwaltung von Kennwörtern, Berechtigungen und Zugriffsanfragen auch die Kontrolle von Benutzern, Geräten, Netzwerken und anderen IT-Ressourcen.
2. Nachverfolgung gefährlicher Zugriffsanfragen
Ein IGA-System bietet eine zentrale Genehmigungsstelle, über die Benutzer ganz einfach die Zugriffe beantragen können, die sie für ihre Arbeit benötigen. Und Administratoren können so einfach Berechtigungen verwalten, verdächtige Aktivitäten nachverfolgen und erkennen sowie potenzielle Angreifer am Zugriff auf Unternehmenssysteme oder -daten hindern.
3. Berichterstellung für verbesserte Sicherheit und Compliance
Durch detaillierte Berichte und Analysen können IT-Administratoren die Vorgänge in der Enterprise-Umgebung verstehen und Probleme oder Risiken schnell erkennen. So können sie Probleme beheben, um geschäftskritische Ressourcen zu schützen. Außerdem können Administratoren dank der Datenzentralisierung Zugriffsberichte auditieren, um Compliance-Anforderungen zu erfüllen.
4. Flexibler Zugriff erhöht die Benutzerproduktivität
Mit robusten IGA-Lösungen können Unternehmen sicher Remote-Zugriffe gewähren und kontrollieren, um die Business Continuity aufrechtzuerhalten und gleichzeitig Verstöße zu verhindern. Dank dieser Flexibilität können Mitarbeiter von überall aus arbeiten und so ihre Produktivität und Leistung steigern.
5. Unterstützt die Skalierbarkeit des Unternehmens
IGA-Lösungen unterstützen zentralisierte Richtlinien und automatisierte Arbeitsabläufe, die dazu beitragen, die Betriebskosten zu senken, sicherzustellen, dass Mitarbeiter auf die benötigten Ressourcen zugreifen können, Risiken zu verringern und die Compliance zu verbessern. All diese Vorteile bieten Unternehmen eine organische Skalierbarkeit, die mit manuellen Prozessen oder begrenztem Einblick in Benutzer, Identitäten und Systeme nicht möglich wäre.
Weitere Informationen finden Sie im Bericht „2022 KuppingerCole Leadership Compass for Identity Governance and Administration“:
Warum ist Compliance wichtig?
Gesetzliche Vorschriften sollen Benutzer und/oder Daten schützen und das Vertrauen zwischen verschiedenen Einrichtungen stärken. So wurde beispielsweise die Datenschutz-Grundverordnung (DSGVO) ins Leben gerufen und in den USA der Health Information Portability and Accountability Act (HIPAA) verabschiedet, um die Gesundheitsdaten von Benutzern zu schützen. Das Gesetz verpflichtet Organisationen des Gesundheitswesens, geeignete Schutzmaßnahmen zu ergreifen, um die Sicherheit und den Schutz von Patientendaten zu gewährleisten.
In ähnlicher Weise musste durch den Sarbanes-Oxley Act (SOX) die Finanzbuchhaltung und -auditierung in börsennotierten Unternehmen verbessert werden. Ziel ist es, das Vertrauen in die Finanzinformationen der Unternehmen zu stärken und Betrug zu verhindern. Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Regelwerk, das Anforderungen an Sicherheitsverwaltung, Richtlinien und Verfahren zum Schutz der Kreditkartendaten von Kunden festlegt.
Es ist wichtig, dass Unternehmen alle für sie geltenden Vorschriften einhalten, um gerichtliche Konsequenzen oder Bußgelder aufgrund von Compliance-Verstößen zu vermeiden. Durch Compliance können sie außerdem das Vertrauen ihrer Kunden gewinnen und ihr Geschäft ausbauen. Compliance bedeutet auch, dass sie über die nötigen Kontrollen verfügen, um ihre Systeme und Daten zu schützen, was sie vor Cyberangriffen und Datenschutzverletzungen bewahrt.
Wie unterscheidet sich IGA von IAM?
IGA ist eine Unterkategorie von Identity and Access Management (IAM). IGA-Systeme bieten jedoch zusätzliche Funktionen, die über standardmäßige IAM-Lösungen hinausgehen und bei der Bewältigung gängiger IAM-Herausforderungen helfen.
So ist zum Beispiel der unangemessene und/oder veraltete Zugriff auf Unternehmensressourcen ein häufiges Problem bei IAM. Eine dezentrale Belegschaft, zeitaufwendige Provisionierungsprozesse, schwache BYOD-Richtlinien (Bring Your Own Device) und strenge Compliance-Anforderungen sind einige weitere Herausforderungen beim Identity Management. Diese Probleme erhöhen das Sicherheitsrisiko und erschweren die Einhaltung der gesetzlichen Vorschriften. Unternehmen können diese Herausforderungen jedoch bewältigen, indem sie ihre Identity-Management-Lösungen mit IGA stärken.
Mit IGA können Unternehmen die Arbeitsabläufe für Zugriffsgenehmigungen automatisieren und Risiken reduzieren. Außerdem können sie IAM-Richtlinien definieren und durchsetzen und Benutzerzugriffsprozesse auditieren, um Compliance-Berichte zu erstellen. Aus diesem Grund nutzen viele Unternehmen IGA, um die in DSGVO, HIPAA, SOX und PCI DSS festgelegten Compliance-Anforderungen zu erfüllen.