Softline Group // Blog // Post

Identity & Access Management (IAM) – Datenschutzkonform nach EU-DSGVO

Identity & Access Management (IAM) – für die meisten lediglich der Oberbegriff für den physischen und digitalen Zugriff auf unternehmenseigene Ressourcen. Was versteckt sich genau hinter dem Themengebiet und wie kann es Ihren Datenschutz und Ihre Konformität gegenüber der Europäischen Datenschutzgrundverordnung (EU-DSGVO) in erheblichem Maße positiv beeinflussen.

Spricht man im Umfeld der Informationstechnik von einer Identität, so bezeichnet es die Kombination aus Eigenschaften und Rollen, welche einem Objekt zugeordnet sind. Objekte müssen nicht zwangsläufig durch eine Person repräsentiert werden, sondern können im Informationsverbund auch Geräte oder Räume darstellen. Zum Beispiel bildet sich eine Identität (Max Mustermann) aus dem Zusammenhang von Eigenschaften (Geschlecht/ Alter etc.) und zugeordneten Rollen (Mitarbeiter/ Betriebsratsmitglied).

Identitäten, die in einem Informationsverbund vergeben sind, benötigen die entsprechenden Zugänge und Zugriffe (engl. Access) auf Ressourcen. Das Access Management regelt demnach beispielsweise folgende Fragen und verwaltet somit Zugriffs- und Zugangsmöglichkeiten:

  • Wer oder was darf auf welche Dateien zugreifen?
  • Wer darf wann und wie lange Zutritt zu meinen Büroräumen haben?
  • Wer darf welchen Rechner im Unternehmen nutzen?

Damit Arbeitnehmer die ihnen zur Verfügung gestellte Hardware nutzen können, werden im einfachsten Fall beim Systemstart der Benutzername sowie ein Passwort abgefragt. Erweitert man die Authentifizierung um einen Faktor, also beispielsweise einen Mitarbeiterausweis, erhöht man auf diesem Wege in erheblichem Maße die Sicherheit gegenüber einem unautorisierten Zugriff auf unternehmenseigene Ressourcen.

Grundsätzlich wirkt sich Identity & Access Management auf die Informationssicherheit und auf viele weitere datenschutztechnische Aspekte positiv aus. Jedem IAM-Vorhaben liegt dabei ein passgenau auf das Unternehmen abgestimmtes Konzept zugrunde. Im Hinblick auf die EU-DSGVO ist beispielsweise zu hinterfragen, wer in den IAM-Prozess aufgenommen wird: Die Daten einer Bewerbung können direkt im IAM-Prozess berücksichtigt werden. Sobald der Bewerber wenige Monate später Auskunft über die Erfassung seiner personenbezogenen Daten einfordert, kann dank der frühzeitigen Aufnahme der Daten in das unternehmenseigene IAM eine exakte Aussage getroffen werden, wann die Daten hinterlegt wurden. Für die klassische IAM-Struktur spielte dies bisher eine eher untergeordnete Rolle. In Anbetracht der EU-DSGVO sowie der aktuell geltenden Datenschutzanforderungen sollten jedoch frühzeitig Prozesse geschaffen werden, welche nachfolgende Aktionen im Umfeld der Identitätsverwaltung vereinfachen oder zumindest vorbereiten. Mit geringem Aufwand sind bemerkenswerte Fortschritte realisierbar. Ein IAM stellt nicht nur ein Tool zur Verwaltung dar, sondern unterstützt auch andere Prozesse im Unternehmen bzw. vereinfacht diese. Im Falle einer Einstellung des Bewerbers in das Unternehmen muss beispielsweise lediglich die Rollenvergabe geändert werden.

IAM ist kein einmaliges Vorhaben, sondern besteht aus voneinander abhängigen und kontinuierlichen Prozessen zur Wahrung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Durch Unterstützung eines entsprechenden Tools können Prozesse effektiv und mit geringem administrativen Aufwand verwaltet und gesteuert werden. Das schwedische Unternehmen Nexus bietet hierfür Lösungen an, die von der digitalen Zugriffs- und physischen Zugangskontrolle über den gesamten Identitäts-Lebenszyklus hinweg reichen.

Während in den üblichen Anwendungsfällen eine Authentifizierung an Geräten oder Diensten per Username und Passwort erfolgt, wird für Lösungen mit besonders hohen Sicherheitsanforderungen fast ausschließlich eine Identifizierung per zertifikatsbasierter PKI-Smartcard gefordert. Bei dem zweistufigen Verfahren muss der Anwender im Besitz der PKI-Smartcard und im Wissen über die persönliche PIN sein.

Die Methode stellt aber nicht nur einen doppelten Schutz dar. Denn darüber hinaus bietet die PKI-Smartcard mit der Speicherung eines digitalen Zertifikates auf dem jeweiligen Token einen weiteren bedeutenden Mehrwert. Das Zertifikat weist die Echtheit des Smartcard-Besitzers nach und beinhaltet private Schlüssel zur Verschlüsselung vertraulicher Daten. Um dem Verlust der Smartcard vorzubeugen, besteht die Möglichkeit einer Zwei-Faktor-Authentifizierung mittels virtueller Smartcard. Diese emuliert alle Funktionen einer physischen Smartcard und schließt im gleichen Atemzug das Risiko eines Kartenverlustes aus. Voraussetzung hierfür ist die Verwendung eines Trusted-Platform-Modules, welches als eigenständiger Prozessor auf dem Mainboard eingebaut wird.

Ein derart hoher Sicherheitsstandard in der Unternehmensumgebung bedarf in der Regel eines intensiven administrativen Aufwandes. Während mit Nexus Prime eine flexible und skalierbare IAM-Plattformlösung abgebildet wird, unterstützt das Hybrid Access Gateway zahlreiche Funktionen der Multifaktor-Authentifizierung und digitale Signaturen. Damit diese Lösungen vertraulich verwendet werden können, wird mittels der Nexus-PKI ein umfassendes Zertifikatsmanagement sichergestellt und der Kreis zu einem ganzheitlichen Identity and Access Management geschlossen.

Nexus setzt auf innovative Lösungen und bietet dem Endanwender die Möglichkeit, das Smartphone als zweiten Faktor zur Authentifizierung zu nutzen. Nexus Personal Mobile, verfügbar für Android und iOS, bietet zahlreiche nutzerfreundliche Möglichkeiten als Authentifizierungsverfahren. Neben der Generierung eines One-Time-Passwortes (OTP)  unterstützt es bspw. auch die Verwendung des Fingerprints sowie der Apple Face ID. Sicherheit, Usability und Trends gehen in diesem Falle ausnahmsweise tatsächlich Hand in Hand.

Markus Böhme & Nico Beißig | Tags: Identity & Access Management, Informationssicherheit, Datenschutz, Authentifizierung, Public Key Infrastructure, PKI, EU-Datenschutzgrundverordnung, EU-DSGVO, GDPR