Bedeutung
IAM-Systeme enthalten alle nötigen Informationen zum Zutritt in ein Netzwerk bzw. in ein anderes Informationssystem. Sie sorgen dafür, dass ausschliesslich authentifizierte und autorisierte Benutzerinnen und Benutzer sowie Services darauf zugreifen können. Technisch handelt es sich – vereinfacht gesagt – um eine Datenbank, die elektronische Identitäten und digitale Zugriffsrechte verwaltet.
Ausgangslage
Identität ist eines der kritischsten Elemente der IT-Sicherheit. Nur autorisierte Nutzerinnen und Nutzer sowie technische Komponenten (Dienste) dürfen sich in einem Netzwerk innerhalb der gesetzten Rechte «frei bewegen» – dies zur Sicherheit der IT-Infrastruktur und der gespeicherten Daten.
Dafür sorgen IAM-Systeme verschiedener Hersteller, lokal, netzwerkübergreifend und in der Cloud. Abraxas betreibt ein eigenes, auf die öffentliche Verwaltung ausgerichtetes IAM-System, bisher als «SECURE Connect» bekannt. Die neueste Generation, das «Abraxas IAM», ist zuständig für die Authentifizierung und Autorisierung gegenüber den Applikationen und Services von Abraxas.
Das Abraxas IAM bietet einen modernen Identitätsprovider (IDP) und Möglichkeiten für die Provisionierung von Benutzerkonten und Berechtigungsgruppen in Umsystemen über den gesamten Lebenszyklus. Das Abraxas IAM bietet einen zentralen Identitätsverwaltungspunkt in Form eines Portals und Programmierschnittstellen an. Damit kann die Qualität und Richtigkeit der Identitätsdaten während des ganzen Lebenszyklus gewährleistet werden. Das Abraxas IAM schützt die Daten und Systeme von Kundinnen und Kunden bei der Nutzung der Services von Abraxas.
Geschichte
Bereits die ersten Mehrbenutzersysteme auf Grossrechnern führten einfache Benutzerkonten und Passwortmechanismen ein. Wenig überraschend erschienen die ersten IAM-Lösungen von IBM und Computer Associates (CA) bereits in den 1970er-Jahren für Grossrechnerumgebungen.
Ab den 1990er-Jahren entwickelten sich mit LDAP (Lightweight Directory Access Protocol) Verzeichnisdienste und mit Kerberos kam ein ticketbasiertes Authentifizierungssystem zum Einsatz. Moderne Lösungen wie das «Abraxas IAM» setzen allerdings auf RBAC (Role Based Access Control). Damit werden Berechtigungen rollenbasiert zugeordnet, das heisst, die Nutzenden bekommen Berechtigungen aufgrund ihrer Anstellung und ihrer Aufgaben. Zudem wird ein Identitätsprovider (IDP) angeboten, welcher tokenbasierte Authentisierung und Autorisierung für moderne Webapplikationen und Mobile Apps ermöglicht.
In den 2000er-Jahren entstanden die ersten kommerziellen IAM-Plattformen von IBM (Tivoli) oder CA (SiteMinder). Single Sign-on und rollenbasierte Zugriffskontrolle waren die nächsten Bausteine in der Entwicklung von IAM-Systemen. Seit 2010 sind immer mehr cloudbasierte Identitätslösungen auf den Markt gekommen, erlebten parallel dazu föderierte Logintechnologien wie SAML, OAuth 2.0 und später OpenID Connect ihren Aufschwung.
Deep Dive
IAM-Systeme bestehen im Wesentlichen aus folgenden Funktionsbereichen:
- Benutzerverwaltung: Anlegen, Ändern oder Löschen von Konten.
- Authentifizierung: Überprüfung des Nutzers, z. B. mit einem Passwort oder Zwei-Faktor-Authentifizierung, neuerdings auch mit Passkeys und Biometrie.
- Autorisierung: Festlegung der dem User zur Verfügung stehenden Ressourcen und Daten.
- Kontrolle und Überwachung: Protokollierung und Auditierung aller Zugriffe und des Netzverkehrs.
- Compliance: Unterstützung von Regulatorien und Datenschutzbestimmungen.
Mit modernen IAM-Lösungen verschiebt sich die Identitätsgrenze oder sie hebt sich sogar auf. Anders gesagt: Einer der grössten Vorteile von Föderationen besteht darin, dass Organisationen ihren eigenen Identitätsprovider verwalten und kontrollieren können. Seine Reichweite geht über die lokale Authentifizierung respektive über die Identitätsgrenze hinaus. Genau dorthin entwickelt sich das «Abraxas IAM»: Es wird dereinst als «Identity Broker» fungieren und Abraxas-Kunden mit deren eigenen Identitäten den Zugriff auf Services und Applikationen von Abraxas ermöglichen. Dies ermöglicht es beispielsweise, direkt mit dem kundeneigenen Windows-Login auf Abraxas-Services zuzugreifen.
Vermehrt halten Technologien wie Passkeys (FIDO2/WebAuthn) mit mobilen Devices als «Schlüssel» Einzug, ebenso automatisierte Systeme, die das Nutzerverhalten analysieren und bei Auffälligkeiten die Konsequenzen ziehen. Zero-Trust-Architekturen erlauben Zutritte nicht mehr generell, sondern kontextabhängig und bewerten das Risiko in Echtzeit (Risk Adaptive Access Control, RAdAC).
IAM-Technologien lassen sich dynamisch zusammenschalten (Identity Fabric) – ein ganzheitlicher Verwaltungsansatz in hybriden und Multi-Cloud-Umgebungen. So bietet sich ein einheitlicher Überblick über alle Benutzer:innen und deren Zugriffsberechtigungen. Darüber hinaus bewältigt eine Identity Fabric die heutigen Herausforderungen, indem sie einen sicheren, nahtlosen und kontrollierten Zugriff auf jeden Dienst gewährleistet.
Wirkung
IAM-Lösungen sind ein unverzichtbarer Bestandteil moderner Infrastrukturen. Sie garantieren Sicherheit, Effizienz und Compliance. Sensible Unternehmensdaten sind vor unbefugtem Zugriff und Cyberattacken sicher, Zugriffsrechte ermöglichen die Arbeit von jedem Endgerät und Standort aus.
Die wesentlichsten Vorteile einer modernen IAM-Lösung sind:
- Erhöhte Sicherheit: Nur autorisierte Nutzerinnen und Nutzer sowie Systeme erhalten Zugriff auf die geschützten Ressourcen. Die gewöhnlichen IT-Risiken wie Datenlecks und andere sinken.
- Automatisierung und Effizienz: Benutzerkonten und Zugriffsrechte werden automatisiert angelegt. Das reduziert Fehlerquellen und entlastet die IT-Abteilung.
- Granularer Zugriff: Die Zugriffsrechte lassen sich mit einem IAM fein abstimmen. Dabei werden beispielsweise Rollen, Abteilungen oder Projekte unterschieden. Somit erhält jeder nur die nötigsten Rechte.
- Compliance: Unternehmen können gesetzliche und regulatorische Vorgaben einhalten, indem das IAM Zugriffe dokumentiert und Audits erleichtert.
- Produktivität: Zugriffe durch Single Sign-on sind rasch möglich. Auch die Registrierung im Self Service erhöht die Effizienz. Mitarbeitende sind dank IAM produktiver.
- Kostensenkung: Automatisierung und weniger Supportaufwand senken die IT-Kosten.
Alle bisher erschienenen Buchstaben im digitalen ABC
-
A
wie Artificial Intelligence
Artificial Intelligence; abgek. AI,
engl. für dt. künstliche Intelligenz, abgek. KI -
B
wie Big Data
Big Data (von englisch big = gross und data = Daten)
-
B
wie Bug Bounty
Bug-Bounty-Programm (engl. sinng. Kopfgeld-Programm für Programmierfehler)
-
C
wie Cloud
Cloud, w.
-
C
wie CERT
CERT, Akronym für engl. Computer Emergency Response Team
-
D
wie Digitale Schweiz
1. Digitale Schweiz, w. (die digitale Transformation der Schweiz betreffend)
2. Nebenbedeutung: Teil des Markenversprechens von Abraxas. «Für die digitale Schweiz. Mit Sicherheit» -
D
wie DevOps
DevOps, Kofferwort für Development und Operations
-
E
wie E-ID
E-ID, w. (staatlich anerkannte, nationale elektronische Identität)
-
E
wie Entra ID
Entra ID, cloudbasierter Identitäts- und Zugriffsverwaltungsdienst von Microsoft; neue Bezeichnung für Azure AD.
-
F
wie Firewall
Firewall, w.
engl. für Brandmauer -
F
wie Federated Machine Learning
Federated Machine Learning,
abgekürzt FML, engl. für föderiertes Lernen. -
G
wie Graphical User Interface
GUI, s. (Abk. für engl. Graphical User Interface)
-
G
wie GitOps
GitOps,
Kofferwort für Git (Versionskontrollsoftware) und Operations -
H
wie Hermes
Hermes, m.
1. Götterbote aus der griech. Mythologie, u. a. Gott des Handels, Begleiter der Toten in den Hades
2. frz. Familienunternehmen mit Sitz in Paris für Luxus-Modeartikel
3. Abk. für «Handbuch der Elektronischen Rechenzentren des Bundes, eine Methode zur Entwicklung von Systemen», offener Standard zur Führung und Abwicklung von IT-Systemen -
H
wie Hybrid Cloud
-
I
wie IoT
IoT, s.
Abk. für engl. Internet of Things -
I
wie IAM
IAM, s.
Abk. für engl. Identity and Access Management -
J
wie Java
Java, s.
1. kleinste der Grossen Sundainseln (Indonesien)
2. systemunabhängige Programmiertechnologie, besonders für Anwendungen im Internet -
K
wie Kubernetes
Kubernetes, m.
1. Steuermann (altgriechisch)
2. Container-Orchestrierungssystem (Software) -
L
wie Latenz
Latenz, f.
1. Vorhandensein einer noch nicht sichtbaren Sache
2. Zeit zwischen Reiz und Reaktion (Physiologie)
3. symptomfreie Zeit zwischen Ansteckung und Ausbruch einer Krankheit (Medizin)
4. Zeit zwischen Anfrage und Antwort (IT) -
M
wie Malware
Malware, f.
Software, die in Computersysteme eindringen und dort Störungen oder Schäden verursachen kann -
N
wie New Work
New Work, n. od. f.
engl. für Neue Arbeit
Gesamtheit der modernen und flexiblen Formen der Arbeit bzw. der Arbeitsorganisation -
O
wie Outsourcing
Outsourcing, n.
engl. für Auslagerung
Übergabe von Aufgaben und / oder Strukturen eines Unternehmens an externe Dienstleister -
P
wie Proxy
Proxy, m.
engl. für Stellvertreter
ein Vermittler von Anfragen in Computernetzwerken -
Q
wie Quantencomputer
Quantencomputer, m.
Aus Qubits und Quantengattern aufgebauter Computer, der die Gesetze der Quantenmechanik ausnutzt. -
R
wie Redundanz
Redundanz, f.
Zusätzliche technische Ressourcen als Reserve (Technik) -
S
wie Software-as-a-Service
SaaS, (ohne Artikel)
Kurzwort für englisch Software-as-a-Service = Software als Dienstleistung -
T
wie Transport Layer Security
TLS, m.,
Kurzwort für englisch Transport Layer Security (= Transportschicht-Sicherheit) -
U
wie USV
USV, w.,
Abk. für Unterbrechungsfreie Stromversorgung -
V
wie VPN
VPN, n.,
Abk. für engl. virtual private network = virtuelles privates Netzwerk -
W
wie White-Hat-Hacker
White-Hat-Hacker, m.
Ein White-Hat-Hacker (Oder White Hat, engl. für Weisser Hut) ist ein ethischer Hacker für Computersicherheit. -
X
wie XSS (Cross-Site-Scripting)
XSS, s.
Abk. für engl. Cross-Site-Scripting; dieses webseitenübergreifendes Scripting ist eine Angriffsmethode von Cyberkriminellen. -
Y
wie Y2K
Y2K,
Numeronym für das Jahr-2000-Problem, engl. Year und 2K für 2 Kilo = 2000 -
Z
wie z/OS
z/OS,
seit 2001 im Einsatz stehendes Betriebssystem für IBM-Grossrechner
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.
