Im Blogartikel „Weshalb Sie eine Identity-&-Access-Management-Lösung benötigen“ haben wir untersucht, vor welchen Schwierigkeiten Unternehmen ohne IAM-Lösung stehen. Dabei haben wir die Bereiche Effizienz und Kostensenkung, Compliance-Vorgaben durch Gesetze und Rechtsvorschriften sowie Schutz vor Cybercrime und Datenlecks ermittelt. In den letzten beiden Blogbeiträgen ging es darum, welchen Beitrag eine (teil-)automatisierte Benutzer- bzw. Berechtigungsverwaltung leisten kann. Aber wie erhalten Ihre Mitarbeiter auf sichere Weise Zugang zu Anwendungen, ohne dass die Benutzerfreundlichkeit leidet? Und wie gehen Sie mit anderen Benutzergruppen um, die Zugriff auf Ihre IT-Infrastruktur benötigen? In diesem Blogbeitrag beschreiben wir, wie das Access Management Unternehmen in den oben genannten Bereichen unterstützen kann.

Eine Ebene Höher: Identity und Access Management

Wir haben bereits über die IAM-Technologien User Provisioning und Service Automation gebloggt, die dazu dienen, Benutzer(-daten) und Berechtigungen zu verwalten. Die Benutzereinrichtung kann basierend auf einem Quellsystem vollständig automatisiert werden, und die Service Automation lässt sich als semiautomatischer Ansatz beschreiben, der die Lücken füllt, die sich nicht komplett automatisieren lassen. Das dritte große Thema im Identity & Access Management ist die Zugangsverwaltung. Hier kommt das Modul des Access Management ins Spiel.

Access Management

Access Management – zu Deutsch Zugangsverwaltung – vereinfacht die Anmeldung von Nutzern an Anwendungen. Bei einer solchen Lösung brauchen sich die Nutzer nur einmal anzumelden und erhalten dann Zugang zu mehrere Anwendungen, für die sie sonst jeweils ein separates Benutzerkonto benötigten. Ohne Access Management würde sich ein Nutzer beispielsweise morgens im Active Directory oder Google Workspace anmelden. Anschließend wäre ein Login im Intranet und danach am CRM-System erforderlich. Und für den Urlaubsantrag? Klar, eine weitere Anmeldung. Und aus Sicherheitsgründen jedes Mal mit einem anderen Passwort. Das ist für die Anwender sehr umständlich, weshalb in der Praxis wohl durchaus dieselben Anmeldedaten für mehrere Anwendungen verwendet werden. Dann muss man sich zwar immer noch einzeln anmelden, aber braucht kein fotografisches Gedächtnis mehr, um sich diverse Passwörter mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zu merken. Diese Praxis ist jedoch leider auch für Hacker sehr praktisch, denn diese müssen nur noch eine einzige, schlecht abgesicherte Anwendung kompromittieren, um sich anschließend an sämtlichen Anwendungen anmelden zu können.

Eine Access-Management-Lösung ermöglicht somit Mitarbeitern, Partnern und Kunden den einheitlichen und sicheren Zugriff auf (Cloud-)Anwendungen.

Primärer Identity Provider

Beim Access Management wird ein sogenannter Identity Provider als zentraler Anmeldeort genutzt, der die einzelnen Anmeldungen ersetzt. Für Mitarbeiter bieten sich dazu die Anmeldedaten an, mit denen sie sich auch am Computer anmelden, z. B. ihr Benutzerkonto bei Microsoft (Azure) Active Directory oder – bei einem Chromebook – der Google-Workspace-Account. Dieses Konto wird dann zum primären Identity Provider des Mitarbeiters, und nach der Anmeldung erhält dieser Zugriff auf die Unternehmensanwendungen (auch als „abhängige Anwendungen“ bezeichnet). Mittlerweile arbeiten viele Organisationen nach dem Prinzip des primären Identity Providers für Mitarbeiter. Zugleich gibt es jedoch immer häufiger andere Benutzergruppen, die Zugriff auf die IT-Infrastruktur benötigen. Dazu zählen auch Kunden, die auf bestimmte Web-Apps zugreifen sollen, oder Studierende, die sich an ihrer digitalen Lernplattform anmelden wollen. In diesen Fällen können sich auch das CRM oder das Lernadministrationssystem (LAS) als primäre Identity Provider eignen.

Allerdings wird eine IT-Landschaft durch die Verwendung mehrerer Identity Provider für unterschiedliche Nutzergruppen komplexer, denn es gibt zahlreiche abhängige Anwendungen, die nur einen bestimmten Identity Provider unterstützen. Das heißt, eine Anwendung kann nicht zugleich eigenen Mitarbeitern wie auch Studierenden oder Kunden über mehrere Identity Provider Zugang gewähren. Wenn Sie also beispielsweise eine abhängige Anwendung für Ihre Mitarbeiter mit Azure verknüpfen, dann benötigen auch alle anderen Mitarbeiter einen Azure-Account. Eine vollwertige Access-Management-Lösung hat in solchen Fällen eine wichtige Funktion als „Adapter“ zwischen mehreren Identity Providern und den abhängigen Anwendungen. Jede Benutzergruppe erhält über ihren eigenen Identity Provider Zugang zum Access-Management-System, welches seinerseits den Zugriff auf die jeweiligen IT-Ressourcen gewährt. Falls in einer Organisation noch kein Identity Provider eingerichtet ist, kann die Access-Management-Lösung selbst auch als Identity Provider fungieren. Diese Option wird u. a. häufig für den Zugang externer Personen genutzt, denn so entfällt eine weitere teure Lizenz, die nur zum Anmelden benötigt würde.

Zugangsportal

Mit einer Access-Management-Lösung kann sich jede Benutzergruppe also auf eigene Art und Weise authentifizieren. Nach der Authentifizierung bietet die Software ein zentrales Zugangsportal mit sämtlichen verfügbaren Anwendungen, für die der Benutzer Zugriffsrechte hat. In einer cloudbasierten Lösung ist dieses Portal standardmäßig integriert, wobei viele Organisationen auch bereits eigene „Startportale“ haben und daher kein zusätzliches Benutzerportal benötigen. Access-Management-Lösungen wie z. B. HelloID bieten ein derartiges Zugangsportal daher stand-alone an, oder alternativ als Widget zur nahtlosen Integration in eine bestehende Intranet- oder SharePoint-Online-Umgebung. Diese Flexibilität vermeidet „Portalmüdigkeit“ und sorgt für mehr Benutzerfreundlichkeit, denn es wird nur noch ein Portal für Neuigkeiten aus der Organisation, betriebliche Regelungen und den Zugang zu den benötigten Anwendungen benötigt.

Neben der Benutzerfreundlichkeit verbessert ein solches Portal auch die Informationssicherheit. Immer mehr Anwendungen sind nicht mehr lokal installiert, sondern werden über die Cloud bereitgestellt. Das Desktopsymbol wird ersetzt durch die URL einer Cloudanwendung. Das ist einerseits für Benutzer unpraktisch, andererseits anfällig für Phishing-Angriffe: Ein kleiner Tippfehler in der URL oder ein Klick auf einen manipulierten Link in einer Mail kann zu bösartigen Kopien der Anwendungen führen, die vom Original kaum zu unterscheiden sind. Dieses Risiko kann stark vermindert werden, wenn der Aufruf von Anwendungen über einen strukturierten Desktop erfolgt.

Single Sign-On

Single Sign-On (SSO) bezeichnet die Funktionalität, die es Benutzern ermöglicht, nach einmaliger Authentifizierung (mit dem primären Benutzerkonto) Zugang zu allen Unternehmensanwendungen zu erlangen. Wie erwähnt, steht in den meisten Access-Management-Lösungen ein Portal zur Verfügung, von dem aus sich alle (Web-)Anwendungen aufrufen lassen. Dank Single Sign-On können diese Anwendungen einfach per Klick gestartet werden – die automatische, sicher Authentifizierung an der Anwendung erledigt die Access-Management-Lösung.

Auf diese Weise müssen sich Benutzer nicht mehr zahlreiche URLs, Benutzernamen und Passwörter merken. Einmal am primären Konto anmelden reicht aus. Das ist nicht nur benutzerfreundlich, sondern verbessert auch die Sicherheit. Aus Sicherheitsgründen sollte pro Anwendung ein separates Passwort verwendet werden, damit die Auswirkungen der Kompromittierung eines Passworts auf eine Anwendung begrenzt bleiben. In der Praxis fällt es vielen schwer, sich diese unzähligen, unterschiedlichen Passwörter zu merken. Es gibt zwar sogenannte Passwort-Manager, aber die sind häufig unpraktisch zu bedienen. So entscheiden sich viele Anwender letztendlich für einfach zu erratende Passwörter, notieren sie sich oder müssen sie stattdessen häufig zurücksetzen lassen, weil sie sie vergessen. Oder sie verwenden nun doch dasselbe Passwort für mehrere Anwendungen, trotz allen dabei bestehenden Risiken, Das Single Sign-On löst all diese Probleme und Risiken auf einen Schlag.

Multi-Faktor-Authentifizierung

Ist Single Sign-On wirklich sicherer? Schließlich können Angreifer, die das Passwort erlangen, anschließend auf alle Anwendungen zugreifen! Das ist eine gute Frage, und wir werden erläutern, weshalb SSO wirklich sicherer ist. Vergleichen Sie es mit einem Haus. Wenn Sie eine „normale“ Haustür haben, wollen Sie vielleicht auch die einzelnen Zimmertüren mit einem Schloss sichern. Das klingt zwar sicher, aber wahrscheinlich dauert es nicht lange, bis Sie die Zimmertüren nicht mehr jedes Mal abschließen oder die Schlüssel einfach stecken lassen. Bequemlichkeit siegt über Sicherheit.

Gleiches gilt für den IT-Zugangsschutz. Anstelle der verschlossenen Zimmer (jeweils eine Anwendung mit eigenem Login) entscheiden Sie sich für eine spezialisierte Access-Management-Lösung als besonders sichere Außentür Ihres IT-Hauses. Der Access-Management-Anbieter sorgt dafür, dass der Zugangsschutz stets aktuell ist und kein ungeschützter Zugriff auf die einzelnen Anwendungen möglich ist. Allerdings reichen Benutzername und Passwort nicht aus, um garantiert zu wissen, ob eine Anmeldung tatsächlich von einer berechtigten Person erfolgt. Schließlich können diese Angaben ausspioniert oder per Phishing, Social Engineering oder Brute-Force-Angriff erlangt worden sein. An dieser Stelle kommt die Multi-Faktor-Authentifizierung (MFA) ins Spiel:

Die Multi-Faktor-Authentifizierung fügt dem Anmeldevorgang einen oder mehrere Schritte hinzu. Dadurch wird der Faktor „Wissen“ (das Passwort) ergänzt um die Faktoren „Besitz“ oder „Identität“. Zum Besitz zählt beispielsweise das Smartphone mit einer Authentifizierungs-App oder sogenannte Yubikeys, die man am Schlüsselbund tragen kann. Die Überprüfung der Identität erfolgt zum Beispiel über biometrische Merkmale wie Fingerabdruck oder Iriserkennung. Die Erweiterung der üblichen Benutzername-Passwort-Kombination um einen solchen zusätzlichen Faktor macht es für Angreifer sehr viel schwieriger, ein Benutzerkonto zu kompromittieren. Natürlich wird die Authentifizierung dadurch etwas komplizierter, aber es vereinfacht die Anmeldung an den einzelnen Anwendungen und verbessert das generelle Benutzererlebnis.

Conditional Access

Bis vor kurzem waren Anwendungen nur vom Unternehmensnetzwerk aus zugänglich, und die Endgeräte im Netzwerk waren Eigentum der Organisation. Cloud-Anwendungen dagegen sind prinzipiell von jedem Ort der Welt und jedem Gerät aus erreichbar. Das macht es für IT-Abteilungen schwieriger, den Zugriff auf Dokumente und Daten zu verwalten. Die Conditional-Access-Funktion einer Access-Management-Lösung sorgt dafür, dass Organisationen genau wissen und steuern können, wer wann und wo Zugriff erhält.

Zu diesem Zweck dienen Richtlinien, die bestimmen, welche Benutzer(-gruppen) unter welchen Voraussetzungen Zugriff auf eine Anwendung haben dürfen. Beispiel: Aus dem Unternehmensnetzwerk heraus darf man sich tagsüber am Finanzsystem anmelden. Dieselbe Person darf das hingegen nachts über ihr Smartphone nicht mehr. Jeder Zugriffsversuch wird vom Access-Management-System auf vorhandene Zugriffsregeln geprüft. Diese Regeln umfassen stets eine Bedingung und eine entsprechende Aktion. Zwei Beispiele:

  • Eine einfache Regel: „Wenn sich ein Benutzer am Zugangsportal anmelden möchte, muss dies mittels Multi-Faktor-Authentifizierung geschehen.“
  • Eine komplexere Regel: „Wenn sich ein Benutzer von außerhalb des Unternehmensnetzwerks anmelden möchte und keine leitende Funktion hat, wird ihm mittels MFA Zugang zum Portal gewährt, und mittels Single Sign-On zu seinen Anwendungen. Und wenn der Benutzer anschließend auf eine Finanzanwendung zugreifen möchte, ist dafür die erneute Verwendung einer Authentifizierungs-App erforderlich.“

Die Bedingungen in diesen Regeln sind die Rolle der Person, das genutzte Netzwerk sowie die verwendete Anwendung. Weitere mögliche Bedingungen wären die Uhrzeit, der Standort oder die IP-Adresse des Nutzers oder das verwendete Endgerät bzw. der verwendete Browser. Darüber hinaus lassen sich mehrere Bedingungen und mögliche Aktionen in Regeln kombinieren, um die Datensicherheit in der Cloud präzise nach Wunsch anzupassen und zu gewährleisten.

Einhaltung von Compliance Richtlinien und Vorschriften dank Access-Management-Lösung

Für immer mehr Organisationen wird die Erfüllung der Vorgaben aus ISO 27001, dem internationalen Standard für Informationssicherheits-Managementsysteme, sehr wichtig. Häufig ist die Compliance bereits Voraussetzung für die Zusammenarbeit mit einem Kunden. Für Behörden und Gesundheitseinrichtungen in den Niederlanden gelten konkret die Normen BIO und NEN 7510, die auf der Richtlinie ISO 27001 basieren. Und selbstverständlich müssen Organisationen die Vorgaben der Datenschutz-Grundverordnung zum Schutz personenbezogener Daten einhalten.

Auf dem Weg zur Compliance mit diesen Richtlinien zur Informationssicherheit und zum Datenschutz spielt das Identity & Access Management eine zentrale Rolle, insbesondere dessen Funktionen wie Single Sign-On, Multi-Faktor-Authentifizierung und Conditional Access. Mit einer Kombination aus benutzerfreundlichen und zugleich sicheren Lösungen für die Zugangskontrolle werden unsichere Behelfslösungen vermieden. Und eine weitere Stärke einer zentralen Access-Management-Lösung ist die Reporting-Funktion, d. h. sämtliche Zugriffsversuche und anderen Handlungen werden an zentraler Stelle protokolliert. So lässt sich einfach nachvollziehen, wer wann welche Anwendung aufgerufen hat.

Geschrieben von:

Ali Özdogan

Senior Consultant IAM/SAP & HelloID

Ali Özdogan ist als Senior Consultant IAM/SAP seit mehr als 10 Jahren fester Bestandteil von Tools4ever. Er studierte Computer Engineering an der Galatasaray University in Istanbul und später an der RWTH in Aachen und ist unser Spezialist für Cloud-Access-Management mit HelloID.