Es drohen Ransomware & Co.! Warum Identity & Access Management für Unternehmen wichtig ist

Wieso ist IAM wichtig für Ihr Unternehmen? Wer einen Blick auf den aktuellen Status der IT-Sicherheit wirft, kann die Gründe erahnen. Der frühere FBI-Direktor Robert Mueller hat es auf den Punkt gebracht: „I am convinced that there are two types of companies: Those that have been hacked and those that will be.” Übertreibt Mueller? Keineswegs, wenn man sich die Zahlen aus Deutschland ansieht: So hat eine Umfrage unter deutschen Unternehmen ergeben, dass in 2021 Cyberangriffe bei fast 9 von 10 Unternehmen Schäden verursacht haben – Schäden, die sich auf horrende 223,3 Milliarden EUR beliefen.

Identity & Access Management (IAM) ist hier ein wehrhaftes Werkzeug für Unternehmen, die ihre Daten in Sicherheit sehen möchten. Mittelstand Heute erklärt Ihnen, was es mit Identity & Access Management auf sich hat und was Ihr Unternehmen beim Einstieg beachten sollte.

Ransomware, Phishing & Co.: Wie Cyberangriffe Ihre Daten bedrohen

Ein weitläufig bekannt gewordener Ransomware-Angriff war der von Wanna-Cry. Zehntausende Rechner verschiedener Unternehmen wurden lahmgelegt, es entstand erheblicher Schaden. Bei einer Ransomware-Attacke werden Daten des angegriffenen Unternehmens verschlüsselt und der Zugang zu ihnen versperrt. So können die Angreifer beispielsweise ein Lösegeld fordern. 96 Prozent der deutschen Unternehmen sehen in Ransomware auch für die Zukunft eine erhebliche Bedrohung für ihre IT-Sicherheit.

Ransomware-Schutz ist allerdings nicht mehr die einzige Notwendigkeit (lesen Sie in diesem Beitrag alles über weltweite Cyberangriffe) – Ihre Daten sollten auch von innen geschützt werden. Immer häufiger werden statt der klassischen Malware-Attacken bevorzugt Social Engineering oder Identitätsdiebstahl, also soziale Attacken, verwendet. Spoofing, das Vortäuschen vertrauenswürdiger Identitäten, ist auf dem Vormarsch.

Hier kommt IAM ins Spiel: IAM kann dafür sorgen, dass interne Verbreitungen eingedämmt werden. Ohne IAM kann es passieren, dass Hacker durch Phishing- und Spoofing-Attacken in Ihr System gelangen. Diese erhalten dann in nur 48 Stunden Zugriff auf Domain Admins. Im schlimmsten Fall wird der Angriff erst viele Monate später erkannt – und das alles nur dank einer einzigen kompromittierten digitalen Identität.

Stefan Schnaus, IAM-Experte beim Business-IT-Dienstleister All for One Group: "Eine einzige kompromittierte digitale Identität reicht aus, um verheerenden Schaden anzurichten!" - Bild: All for One Group

Ohne IAM: Wo liegen die Schwachstellen getrennter Prozesse?

Wie wir zuletzt in diesem Beitrag ausführlicher beschrieben haben, gibt es fünf Gründe, die in verschiedenen Konstellationen dazu führen, dass IAM in Ihrem Unternehmen noch nicht großgeschrieben wird. Diese fünf Gründe sind typischerweise:

• Bequemlichkeit: Ihre Mitarbeiter sollen so schnell wie möglich ihrer Arbeit nachgehen können. Wenn sie eine Berechtigung oder einen Zugang benötigen, werden Anfragen oft möglichst schnell abgearbeitet, ohne eine Kontrollinstanz zu befragen.
  
  
• Historie: Gefestigte Prozesse sind oft nur schwierig aufzubrechen. Wenn Accounts und Berechtigungen „schon immer“ in den Zuständigkeitsbereich der IT gefallen sind, ist eine Änderung ein anstrengender Prozess, vor dem viele zurückschrecken werden.
  
  
• Komplexität von IT/ Schatten IT: Oftmals fehlt eine ausreichende Dokumentation in der eigenen IT-Abteilung. Accounts werden lieber nicht gelöscht, da nicht ganz sicher ist, ob diese noch benötigt werden.
  
  
• Fehlende Ressourcen: Wie hoch wird Identity Management in Ihrem Unternehmen priorisiert? Oft ist das Thema bereits auf der internen Roadmap vorhanden. Wenn der Aufwand allerdings als zu hoch eingestuft wird, wird die Einführung entsprechender Prozesse immer wieder vertagt.
  
  
• Falsche Sicherheit: Es ist oft ein Fehlschluss zu denken, das eigene Unternehmen sei schon sicher genug. Oder zu klein für einen Angriff. Oder dass wirklich bekannt ist, wer welche Zugänge besitzt.
  

Auch wenn Ihr Unternehmen diese Schwachstellen nicht besitzt, kann eine manuelle Identitätsverwaltung ohne Governance trotzdem Schwachstellen aufzeigen. Nehmen wir an, eine Zurückverfolgung wird notwendig: Hat ein Personalchef die Verantwortung für Zugänge ausschließlich der IT-Abteilung übertragen, entsteht ein hoher administrativer Aufwand.

Stellen Sie sich einmal die folgende Frage: Was passiert bei dem Austritt oder Abteilungswechsel von Mitarbeitenden? Oft sind es nämlich verwaiste Accounts – also Zugänge von ehemaligen Mitarbeitenden –, die die ideale Angriffsfläche für Cyberkriminalität bieten. Wie kann nun IAM hier helfen? Und wie muss ein IAM aufgebaut sein sein?

IAM und Personalwesen: Wo liegen die Vorteile zentraler Verknüpfungen?

Mit dem richtigen IAM werden IT und Personalmanagement miteinander verknüpft. In einem idealen System für IAM generieren personelle Änderungen automatische Abfragen zu Berechtigungen und Accounts. Solche Abfragen können im IAM zum Beispiel sein:

• Neue Mitarbeitende treten in das Unternehmen ein. Welche Berechtigungen sind notwendig?
  
  
• Mitarbeitende wechseln die Abteilung. Sind alle bisherigen Berechtigungen für die Erfüllung der neuen Aufgaben noch notwendig?
  
  
• Mitarbeitende gehen in Elternzeit oder ein Sabbatical. Was bedeutet das für die Berechtigungen?
  
  
• Mitarbeitende nehmen nach längerer Abwesenheit ihre Tätigkeit wieder auf. Brauchen sie jetzt andere Berechtigungen?
  
  
• Mitarbeitende verlassen das Unternehmen. Alle Berechtigungen werden gelöscht.

Die automatischen Abfragen können durch eine IAM Cloud gesteuert werden. Das hat einige Vorteile: Unternehmen können genau und einfach nachverfolgen, wer eigentlich welche Rechte besitzt. Die Verantwortung zur Freigabe der Zugriffsberechtigungen liegt somit auch im Fachbereich. Ein weiterer Vorteil sind User-Benefits wie zum Beispiel Single-Sign-Ons.

Oftmals existiert in einem Unternehmen weder eine ideale noch die zuvor aufgezeigte katastrophale Ausgangslage. Deshalb sind individuelle Lösungen für das IAM gefragt. Je nach Situation und Zielbild sollten Sie sich genau überlegen, welche Strategie zum IAM die richtige für Ihr Unternehmen ist.

Die Drei wichtigsten Schritte zum erfolgreichen Identity & Access Management

Wie also kann Ihr Unternehmen mit IAM in die richtige Richtung gehen? In der Regel bieten sich für den Einstieg in das Identity Access Management drei Schritte an:

1. Am Anfang jedes IAM steht eine werteneutrale Prozessanalyse Ihres Unternehmens. Vielleicht haben Sie bereits bestimmte Prozesse im Identity Management, die weiterentwickelt werden sollen. Oder Sie wünschen sich eine detaillierte Dokumentation Ihrer Systemlandschaft. Ein weiterer wichtiger Punkt, der oftmals übersehen wird, sind Compliance-Anforderungen. Möchten Sie für Ihr Identity Management SAP-Software nutzen? Viele Unternehmen nutzen eine solche Software, weshalb hier spezifische Lösungen vonnöten sind.
   
   
2. Im Anschluss an die Analysephase setzen Sie Prioritäten und erstellen eine Roadmap für das Identity Access Management. Hier werden zum Beispiel Workflows genauer untersucht. Externe Anbieter brauchen zudem besondere Sicherheitskonzepte. IAM für Microsoft wäre hier ein Beispiel, sollte Ihr Unternehmen die beliebten Applikationen wie Word oder Excel nutzen. Aber auch Self-Services und Access Management sind zwei der vielen weiteren Punkte, die in diesem Schritt auftauchen können.
   
   
3. Ob es zum Abschluss eine Optimierung bereits bestehender Prozesse wird, oder eine Neueinführung vonnöten ist, ist natürlich individuellen Ergebnissen geschuldet. Sie haben es in der Hand. Durch eine zentrale Verknüpfung von IT-Prozessen und Personalwesen können Sie sich mit IAM optimal vor Cyberangriffen schützen.
   

Quelle Aufmacherbild: lassedesignen/stock.adobe.com