apsec Tipps & Tricks: Identity & Access Management – Was Sie über IAM wissen müssen

Der Zugriff auf Onlinedienste, sei es Onlinebanking oder die Nutzung des Krankenkassenportals, ist für die meisten von uns selbstverständlich. Aber wie wird eigentlich gewährleistet, dass nur der Berechtigte Zugriff auf seine Daten hat? Identity & Access Management heisst die Lösung.

Großwallstadt, 26.02.2019

Identity & Access Management (IAM) hat sich in den letzten Jahren von einer häufig administrativen Lösung in den Bereich IT-Sicherheit und Compliance eines Unternehmens verlagert. Gerade durch die zunehmende digitale Veränderung von Unternehmen, insbesondere im Gesundheitswesen und der technischen Weiterentwicklung in der IT, gewinnt die Rolle von IAM immer mehr an Bedeutung. Sie wird zu einem zentralen Element von digitalen Geschäftsprozessen und digitalen Services.

Digitalisierung von Dienstleistungen: gestiegene Anforderungen an Kunden und Systeme

Mit eben dieser digitalen Veränderung rücken digitale Services wie z.B. Onlinebanking oder Onlinedienste von Krankenkassen für Kunden immer mehr ins Blickfeld. Diese Nutzer müssen verwaltet werden und sich selbst registrieren. Sie benötigen dafür Zugriff auf die zugehörigen Systeme bzw. Services. Darüber hinaus verändern sich die Geschäftsmodelle und damit verbunden auch die Partnerstrukturen bzw. die Vernetzung unter den einzelnen digitalen Services. Denn auch diese benötigen Zugriff auf die entsprechenden Systeme und Dienstleistungsangebote.

Customer Identity & Access Management: Zugriff für den Kunden

Mit diesen Veränderungen wird das Themenfeld Customer IAM (CIAM), welches das zukünftige Identity & Access Management prägt, immer wichtiger. Dabei dient das CIAM- System im Gegensatz zu einer klassischen IAM-Lösung nicht unternehmensinternen Zwecken, sondern ist an größere Kunden-/Nutzergruppen gerichtet und regelt die Zusammenarbeit zwischen Firmen bzw. anderen Diensten.

Eine CIAM-Lösung unterstützt bei der Verwaltung von zahlreichen Identitäten der Kunden, die auf digitale Services eines Unternehmens im Internet zugreifen. Eine solche CIAM-Lösung muss entsprechend skalierbar sein und eine leichte Bedienung, d.h. gute Usability mit sich bringen. Sie sollte zudem sichere Authentisierungen, wie beispielsweise der 2-Faktor-Authentisierung (2FA) enthalten. Von 2FA spricht man, wenn ein Identitätsnachweis des Kunden mit Hilfe der Kombination aus zwei unabhängigen Komponenten – wie beispielsweise der Zugang zum Geldautomaten mit Hilfe von Bankkarte und PIN – gefordert wird.

Die richtigen Voraussetzungen für ein funktionierendes System schaffen: die IAM – Infrastruktur

Besonders wichtig, gerade unter dem Gesichtspunkt der digitalen Transformation, ist die Unterstützung von bereits bestehenden und tagtäglich eingesetzten Schnittstellen-Standards, wie beispielsweise OpenID-Connect oder OAuth. Wird auf solch bestehende Standards zurückgegriffen, kann die Integration einer CIAM-Lösung recht einfach und ohne großen Zeit- und Kostenaufwand erfolgen. Daher sollten auch die digitalen Services, die an solch ein CIAM-System angebunden werden, diese Standards implementieren und nutzen. Diese Technologien helfen sowohl bei der Automatisierung bis hin zur Cyber-Sicherheit.

Dreh- und Angelpunkt: der Kunde

Dreh- und Angelpunkt beim CIAM ist der Kunde: man muss ihn kennen und registrieren. Er muss mit denen von ihm genutzten Identitäten verknüpft werden. Des Weiteren muss gesteuert werden, wann er auf welchen Dienst zugreifen oder welche Transaktionen er durchführen darf. Die Anforderungen an eine IAM Infrastruktur ist daher vielfältig. Unverzichtbar ist es, eine Struktur zu schaffen, die steuert, wer mit welcher Authentifizierung was machen darf. Des Weiteren muss die Infrastruktur helfen, zu erkennen, ob Missbrauch vorliegt. Dies ist notwendig, um den Kunden optimal bedienen und um Sicherheitsrisiken vermeiden zu können. Sie ist aber auch erforderlich, um regulatorische Anforderungen und Anforderungen an Datenschutz und Privacy erfüllen zu können.