Security oder Usability? Was Axalon bei IAM mehr gewichtet
Wer darf eigentlich was im Unternehmen? Diese Frage regelt das Identity and Access Management – kurz IAM. Wie der heikle Balanceakt zwischen Sicherheit und Benutzerfreundlichkeit zu lösen ist, sagt Christoph Peter, CEO von Axalon.
Warum ist es von Vorteil, eine konkrete Identity-Lösung beziehungsweise -Strategie zu haben?
Christoph Peter: Durch die steigenden Compliance-Anforderungen und gestiegenen Risiken in einem hybriden Szenario ist ein IAM-Tool unerlässlich. Die Automatisierung von Standardprozessen bringt oft Verbesserungen beim Onboarding und garantiert eine saubere Abgrenzung beim Offboarding. Berechtigungen können zentral verwaltet, überprüft und gesteuert werden. Die in einem Unternehmen vorhandene Anwendungslandschaft verändert sich häufig, daher ist es wichtig, eine IAM-Strategie zu haben, um einerseits die Investitionskosten zu schützen und andererseits den damit aufgebauten Grundpfeiler in der IT-Security auch aufrechterhalten zu können. Schatten-IT und Cloud-Anwendungen, die man mal schnell eingerichtet hat, können ohne klare IAM-Strategie für ein Unternehmen schnell zu Sicherheitslücken werden.
Was muss eine IAM-Lösung alles können?
Wichtig sind: ein benutzerfreundliches UI, ein breites Spektrum an Konnektoren, um möglichst die wichtigen Anwendungen bedienen zu können; Integrationsmöglichkeiten in ITSM-Suiten als Bestellportal oder Implementationsschicht für manuelle Provisionierungen; ein mehrstufiges Berechtigungssystem mit Unterstützung von dynamischen Zuweisungen und Unterstützung bei der Verschachtelung, Rezertifizierungen von diversen Objekten und Zuweisungen – zyklisch oder eventgesteuert unter Berücksichtigung des Risikos –, um die «Bestätiger» nicht mit Unnötigem zu beschäftigen; sowie Intelligenz, um Muster zu erkennen und diese dem Anwender vorzuschlagen respektive Entscheide zu empfehlen.
Passwörter, Tokens, Smartcards? Wie sollten IAM-Lösungen die Nutzer idealerweise identifizieren?
Grundsätzlich sollte eine Lösung mehrere mögliche Varianten unterstützen, um Probleme, wie etwa ein vergessenes Passwort, Token oder eine Smartcard, die zuhause liegengelassen wurde, umgehen zu können. Dabei ist aber auch wichtig, die Möglichkeiten von bestehenden Authentifizierungen – wie AD-Anmeldung – mit nutzen zu können, um dem Enduser eine möglichst einfache Nutzung zu ermöglichen.
Was hat bei IAM Vorrang: Benutzerfreundlichkeit oder IT-Sicherheit?
Da IAM-Lösungen oft auch als zentrales Bestellportal (Kiosk) verwendet werden, zählt natürlich ein hohes Mass an Benutzerfreundlichkeit, und dies unabhängig von den eingesetzten Geräten. Jedoch darf die Sicherheit nicht darunter leiden, und die Zugänge und Verbindungen müssen nach aktuellen Standards geschützt, respektive verschlüsselt sein.
Welche Herausforderung stellen die Mitarbeiter dar, wenn es um ein gelungenes IAM geht?
Die klare Positionierung eines IAM-Tools ist oft ein ganz zentraler und eminent wichtiger Punkt für ein Unternehmen. Vorzugsweise wird in einer Firmenpolicy festgehalten, dass neu auszurollende Anwendungen die Themen Identitätsverwaltung und Autorisierung mit dem IAM-Team abgleichen müssen. Oft braucht es viel Überzeugungskraft, etablierte Prozesse und Ablaufe verändern zu können. Oft auch gerade weil die IAM-Tools standardmässig – ohne Customizing – einen anderen Ablauf vorgeben. Die Akzeptanz der Lösung hängt oft auch von der Benutzerfreundlichkeit der Oberfläche ab. Genügend Fachkräfte in diesem Bereich zu finden, ist auch nicht immer eine einfache Angelegenheit.
Wie wird sich das IAM-Geschäft im nächsten Jahr entwickeln?
Es tendiert alles zu mehr standardisierten (Cloud-)Lösungen mit mehr Intelligenz. Dies bringt neue Herausforderungen im Bereich von Identitäten für Bots über das Integrieren von Cloud-Diensten im Bereich von Identity und Access Management. Die wachsende Anzahl solcher Lösungen in einem Unternehmen bedarf eines intelligenten und agilen IAM-Werkzeugs, um die Kontrolle zu behalten. Daher sind wir der Meinung, dass sich das IAM-Geschäft weiter verstärken wird und an Wichtigkeit zunimmt, da es ein zentraler Grundpfeiler der IT-Security ist und bleibt.
Die Antworten der übrigen Podiumsteilnehmer:
Marc Burkhard, ITsense: "Ein fehlendes IAM wird immer mehr als Einfallstor für Datendiebstahl genutzt."
Marc Bütikofer, Ergon: "Ohne konkrete Strategie ist die Gefahr gross, dass ein unüberschaubares Flickwerk entsteht."
Markus Limacher, Infoguard: "Aus meiner Erfahrung ist ‚risikoorientiert’ der richtige Ansatz."
Cameron McNiff, Datastore: "Eine IAM-Lösung sollte sich nicht nur auf den Access-Teil konzentrieren."
Stephan Schweizer, Adnovum: "Um mangelnder Akzeptanz vorzubeugen, müssen Betroffene rechtzeitig geschult und informiert werden."
Volker Sommer, Sailpoint: "Viele Lösungen sind zu komplex gestaltet und finden deshalb keinen Anklang."
Apple präsentiert generatives KI-Modell OpenELM
IBM übernimmt Hashicorp
BBV Software Services hat einen neuen COO
Die Stimmen zu den Best of Swiss Web Awards 2024
Protonmail lanciert Dark Web Monitoring
Microsoft muss KI-Modell Wizard LM 2 zurückziehen
Hamster entrinnt dem Regenbogen-Labyrinth
TD Synnex listet Apple-Geräteverwaltungslösungen von Jamf
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
