Softline Group // Blog

Identity & Access Management: User-managed vs. Risk-based

Nutzt man ein Identity und Access Management (IAM), das sich klassisch am Run – Build – Act – Check -Prinzip (RBAC) orientiert, ist die Rechtevergabe im Unternehmen strukturiert, dokumentiert und nachvollziehbar, aber leider auch relativ unflexibel. Hat ein Nutzer beispielsweise nur die Rechte Word und Excel zu nutzen, muss aber kurzfristig eine Präsentation erstellen, ist ein Anruf beim Administrator oder dem Help-Desk unvermeidbar. Dort muss dann entschieden werden, ob das Recht (PowerPoint zu nutzen) nur für den betroffenen Nutzer oder für eine seiner Businessrollen erteilt wird. Beides kann das strikte Prinzip des RBAC aufweichen und erzeugt Arbeitsaufwand beim Help-Desk oder dem IT-Support.

Der Ansatz des User-managed IAM spricht dem Nutzer mehr Kontrolle und Verantwortung innerhalb des IAM zu, was seine Produktivität erhöhen und den Aufwand für die IT-Abteilung verringern soll. Nutzer können beim User-managed IAM Benutzerrechte selbstständig, meist über ein entsprechendes Web-Interface, beantragen. Entsprechend des Compliance Frameworks lassen sich solche Anträge oft automatisch überprüfen und genehmigen. Nur wenn die Anfrage nicht dem Compliance Framework entspricht, wird sie von einem Vorgesetzten kontrolliert und manuell bewertet. Besonders der Zeit- und Arbeitsaufwand von alltäglichen Anfragen an die IT (z. B. vergessene Passwörter) können so reduziert werden.

Datenschutz wird oft als weiterer Grund genannt, den Nutzer in den Mittelpunkt des IAM zu stellen. Die Transparenz die IAM bei der Vergabe von (Zugriffs-) Rechten liefert, kann beim Umgang mit personenbezogenen Kundendaten – besonders bei Online-Diensten – großes Vertrauen der Nutzer erzeugen. Der User-managed Access-Standard (UMA) definiert die Pflichten beider Parteien, die an UMA-konformen Interaktionen teilnehmen. Ziel hierbei ist es, den Nutzern die Möglichkeit zu geben, eigene Richtlinien für Zugriffe auf ihre Daten aufzustellen, Rechte auf ihre eigenen Daten zu vergeben oder zu verweigern, oder Rechte an den Daten anderer zu beantragen.

Der Nutzer benötigt zur richtigen Zeit alle notwendigen Berechtigungen und Zugriffe auf Systeme und Anwendungen um seine Aufgaben erfüllen zu können. Mit dem User-Managed IAM kann er sich die dafür notwendigen Berechtigungen selbst beschaffen. Allerdings kann ein solcher Ansatz auch zu Fehlern führen: Wenn Nutzer unsichere Geräte einsetzen möchten oder sich den Zugriff auf Daten oder Anwendungen gewähren, die sie nicht haben sollten. Ein entgegengesetzt ausgerichtetes Prinzip des IAM, welches dies verhindern kann, ist das Risk-based IAM.

Beim Risk-based IAM werden die Risiken betrachtet die von einem Zugriff, einem System, einer Berechtigung, oder einem Nutzer ausgehen. Mögliche Faktoren für die Risikobewertung können die IP-Adresse, der Standort oder der Sicherheitsstatus eines Gerätes sein, von dem der Zugriff erfolgt. Es kann aber auch betrachtet werden, wie sensibel die angefragten Daten oder wie geschäftskritisch das System ist, zu dem der Zugriff verlangt wird. So ist es möglich, einem Nutzer Rechte zu gewähren, wenn er sich im Firmennetzwerk befindet, ihm diese Rechte aber zu entziehen, wenn er sich von seinem Privatrechner ins Firmennetz einwählt und es sich um kritische Informationen handelt.

Die kontinuierliche Überprüfung von Berechtigungen stellt höhere Anforderungen an das IAM. Es wird nicht mehr nur der Nutzer und das angefragte Objekt betrachtet, sondern auch die Umstände unter denen der Zugriff erfolgt. Der User darf hierbei in seiner Arbeit nicht behindert werden. Somit muss all dies im Idealfall – gemeinsam mit der abschließenden Bewertung – in Echtzeit erfolgen.

Risk-based und User-managed IAM verfolgen unterschiedliche Ansätze und können sich gerade deshalb auch ergänzen. So ist denkbar, dass Berechtigungsanfragen eines Users nur genehmigt werden, wenn sie ein bestimmtes Risiko nicht überschreiten. Je nach Risikobewertung des Risk-based-Ansatzes kann ein Vorgesetzter oder ein IT-Leiter mit der Beurteilung betraut oder die Anfrage gänzlich abgelehnt werden. Auch die Entscheidung jedes Nutzers, ob er seine Daten freigeben möchte, kann durch die automatische Risikobewertung unterstützt werden.
In der Praxis wird deshalb IAM sowohl mit Risk-based, als auch mit User-managed Aspekten umgesetzt, um nachvollziehbar konsistent und flexibel zu sein und trotzdem die Risiken für den Geschäftsbetrieb auf ein Minimum zu reduzieren.

Marko Kastner | Tags: Identity & Access Management, User-managed IAM, Risk-based IAM