Was ist Identity Access Management (IAM)?

Identity Access Management (IAM) ist ein Framework, mit dem das IT-Team den Zugriff auf Systeme, Netzwerke und Ressourcen anhand der Identität des jeweiligen Benutzers kontrollieren kann. IAM besteht aus zwei Hauptkomponenten:

1. Identitätsverwaltung: Überprüft die Identität des Benutzers anhand der Informationen in einer Identitätsverwaltungsdatenbank.

2. Zugriffsverwaltung: Bestätigt die Zugriffsrechte auf verschiedene Systeme, Anwendungen, Daten, Geräte und andere Ressourcen anhand der Identität des anfragenden Benutzers.

Dies sind die Kernfunktionen eines IAM-Tools:

• Zuweisung einer Identität für jeden einzelnen Benutzer
• Authentifizierung der Benutzer
• Autorisierung des korrekten Zugriffs auf relevante Ressourcen
• Überwachung und Verwaltung von Identitäten in Abhängigkeit von Veränderungen im Unternehmen

Warum ist IAM wichtig?

In der digitalen Welt stehen Unternehmen unter erheblichem Druck, ihre Infrastruktur, Ressourcen und Daten ausreichend zu schützen. Gleichzeitig müssen sie gewährleisten, dass autorisierte Benutzer, die Zugang zu verschiedenen (cloudbasierten und lokalen) digitalen Ressourcen benötigen, ihre Arbeit reibungslos und ohne separate Authentifizierungssysteme sowie Identitätsspeicher erledigen können.

Zudem wird die IT-Umgebung durch die zunehmende Zahl an vernetzten Geräten und den Trend zum standortunabhängigen Arbeiten immer komplexer. Dennoch müssen die Unternehmen sicherstellen, dass alle Benutzer nahtlos und effizient die richtigen Zugriffsrechte erhalten.

IAM-Lösungen unterstützen Unternehmen bei der Optimierung und Automatisierung der identity access management und ermöglichen detailliertere Zugriffskontrollen sowie Berechtigungen. Mit einer IAM-Lösung muss das IT-Team nicht mehr manuell Zugriffskontrollen vergeben, Berechtigungen überwachen und aktualisieren oder Konten deprovisionieren. Außerdem können Unternehmen Single Sign-On (SSO) nutzen, um die Identität eines Benutzers zu authentifizieren und ihm mit nur einem Anmeldedatensatz Zugriff auf mehrere Anwendungen und Websites gewähren.

Wie unterscheidet sich IAM von der Identitätssicherheit?

Genau genommen ist IAM eine Verwaltungslösung und keine Sicherheitslösung. Durch die Verwaltung digitaler Identitäten kann IAM zwar die Beschränkung des Ressourcenzugriffs unterstützen, allerdings sind die dazugehörigen Richtlinien, Programme und Technologien in der Regel nicht vorrangig als Sicherheitslösung angelegt.

Beispielsweise können IAM-Technologien, mit denen Identitäten zur Bereitstellung von SSO- oder MFA-Funktionen (Multifaktor-Authentifizierung) gespeichert und verwaltet werden, identitätsbasierte Angriffe nicht in Echtzeit erkennen und verhindern. Ebenso sind IAM-Lösungen zwar ein wichtiger Teil der allgemeinen Identitätsstrategie, sie bieten jedoch normalerweise keinen umfassenden Überblick über Endgeräte, andere Geräte und Workloads sowie über Identitäten und das Verhalten der Benutzer.

Gleichzeitig ist Identitätssicherheit kein Ersatz für IAM-Richtlinien, -Programme und -Technologien. Sie soll vielmehr IAM mit erweiterten Funktionen zur Bedrohungserkennung und -prävention ergänzen und verbessern. Sie verbessert die dringend benötigte Sicherheit für jedes Benutzerkonto – egal ob Mitarbeiterkonto, Service Account oder privilegiertes Konto – und minimiert Sicherheitsrisiken im Active Directory (AD), das allgemein als das schwächste Glied in der Cyberabwehr eines Unternehmens gilt.

Identitätssicherheit und IAM sind zwar wichtige Funktionen der Sicherheitsarchitektur, allerdings sind die Technologien nur zwei Elemente in einer breiter angelegten Sicherheitsplattform. Um ein Höchstmaß an Schutz zu gewährleisten, müssen Unternehmen eine umfassende Cybersicherheitsstrategie entwickeln, die Endgerätesicherheit, IT-Sicherheit, Cloud-Workload-Schutz und Container-Sicherheit umfasst. Die Identitätssicherheitslösung und das IAM-Tool sollten ebenso in die Zero-Trust-Architektur integriert werden.

Identitätsverwaltung

In IAM-Systemen werden Benutzeridentitäten durch verschiedene Methoden authentifiziert – eine davon ist Single Sign-On (SSO).

Bei SSO wird für jeden Benutzer eine einzige digitale Identität erstellt. Mit den Anmeldedaten, die dieser Identität zugeordnet sind, erhält er Zugriff auf alle genehmigten Systeme, Anwendungen, Geräte oder Ressourcen innerhalb des Active Directory, ohne dass er Benutzernamen und Kennwort speziell für diese Ressource noch einmal eingeben muss.

Die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) sind die bekannteste SSO-Funktion. Diese Funktion wurde von Microsoft entwickelt und bietet sicheren authentifizierten Zugriff auf alle Domänen, Geräte, Webanwendungen oder Systeme im Active Directory des Unternehmens sowie auf genehmigte Drittanbietersysteme.

Während viele Unternehmen eine SSO-Funktion intern entwickeln, haben sich andere für einen IDaaS-Anbieter (Identity-as-a-Service) entschieden – also ein cloudbasiertes Abonnementmodell für IAM. Wie jedes „As-a-Service“-Modell ist auch IDaaS häufig eine sinnvolle Option, da die Auslagerung von IAM-Services möglicherweise kostengünstiger ist und sich leichter umsetzen lässt. Zudem ermöglicht es effizientere Abläufe, als durch die interne Entwicklung der Funktion möglich wären.

Zugriffsverwaltung

Das IAM-System muss nicht nur Benutzeridentitäten bestätigen, sondern den Benutzern auch den passenden Zugriff gewähren. Dies sind einige Strategien für sicheren Zugriff, die Unternehmen wählen können:

Zero Trust

Zero Trust ist ein Sicherheits-Framework, in dem alle Benutzer – innerhalb oder außerhalb des Unternehmensnetzwerks – authentifiziert, autorisiert und fortwährend auf ihre Sicherheitskonfiguration und -lage hin validiert werden müssen, bevor ein Anwendungs- und Datenzugriff erlaubt oder bestätigt wird.

Bei der Implementierung dieses Frameworks kommen hochentwickelte Technologien wie risikobasierte Multi-Faktor-Authentifizierung, Identitätsschutz, Endgerätesicherheit der nächsten Generation sowie robuste Cloud-Workload-Technologie zum Einsatz, um die Benutzer- oder Systemidentität zu kontrollieren, den Zugriff zum jeweiligen Zeitpunkt abzuwägen und die Systemsicherheit aufrechtzuerhalten. Darüber hinaus müssen bei Zero Trust auch Überlegungen hinsichtlich der Verschlüsselung von Daten, der Sicherung von E-Mails sowie der Kontrolle der IT-Hygiene von Assets und Endgeräten angestellt werden, bevor eine Verbindung mit Anwendungen zugelassen wird.

Least-Privilege-Prinzip

Das Least-Privilege-Prinzip (Principle of Least Privilege, POLP) ist ein Konzept und Verfahren zur Gewährleistung der Computersicherheit, bei dem Benutzern lediglich die Zugriffsrechte eingeräumt werden, die sie für die Ausübung ihrer Tätigkeit benötigen. Mit POLP wird sichergestellt, dass nur autorisierte Benutzer, deren Identität verifiziert wurde, über die Berechtigungen zum Ausführen verschiedener Tätigkeiten innerhalb bestimmter Systeme, Anwendungen, Daten und anderen Ressourcen verfügen.

POLP gilt weithin als eines der effektivsten Verfahren zur Stärkung der Cybersicherheit von Unternehmen, da es ihnen die Kontrolle und Überwachung des Netzwerk- und Datenzugriffs ermöglicht.

Zugriffsrechteverwaltung (PAM)

Zugriffsrechteverwaltung (Privileged Access Management, PAM) ist eine Cybersicherheitsstrategie, bei der es vor allem um den Schutz der Administratorkonten geht.

Identitätssegmentierung

Identitätssegmentierung ist eine Methode, um Benutzerzugriff auf Anwendungen bzw. Ressourcen anhand von Identitäten zu beschränken.

Multifaktor-Authentifizierung (MFA)

Multifaktor-Authentifizierung (MFA) ist eine Sicherheitsfunktion, die dem Benutzer erst Zugriff gewährt, nachdem er seine Identität mit einer oder mehreren Methoden zusätzlich zum Benutzernamen und Kennwort bestätigt hat. Zu diesen Methoden gehören zum Beispiel Sicherheitscodes, die per SMS oder E-Mail verschickt werden, Sicherheitstoken einer Authentifizierungs-App oder biometrische Identifizierungsmerkmale.

Risikobasierte Authentifizierung (RBA)

Risikobasierte Authentifizierung (RBA), auch als adaptive Authentifizierung bezeichnet, ist ein Sicherheitsprotokoll, bei dem Benutzer ihre Identität nur in besonders riskanten oder ungewöhnlichen Situationen per MFA bestätigen müssen, zum Beispiel wenn sie sich von einem neuen Gerät oder anderen Standort aus anmelden.

Rollenbasierte Zugriffsverwaltung (RBAC)

Bei der rollenbasierten Zugriffsverwaltung (RBAC) werden Benutzern Zugriffsrechte automatisch aufgrund ihrer Position im Unternehmen oder ihrer Zugehörigkeit zu einer bestimmten Gruppe oder Funktion gewährt.

Absichern Ihrer IAM-Implementierung

IAM ist ein Teil der allgemeinen IT-Umgebung und Cybersicherheitsarchitektur eines Unternehmens. Daher muss die Technologie in andere Systeme und Lösungen integriert werden, einschließlich der Identitätssicherheitslösung und der Zero-Trust-Architektur.

AD-Sicherheit

Einer der wichtigsten Aspekte der IAM-Implementierung ist die Active Directory-Sicherheit oder kurz: AD-Sicherheit. Diese spielt bei der allgemeinen Unternehmenssicherheit eine besondere Rolle, weil das Active Directory den gesamten Systemzugriff des Unternehmens steuert. Eine effektive AD-Verwaltung hilft dem Unternehmen, Anmeldedaten, Anwendungen und vertrauliche Daten vor nicht autorisierten Zugriffen zu schützen. Und mit zuverlässigen Sicherheitsmaßnahmen hindert AD böswillige Benutzer, ins Netzwerk einzudringen und Schäden anzurichten.

Die beste Lösung zur Überwachung von Kompromittierungen im Active Directory ist ein Überwachungssystem für Ereignisprotokolle. Die Überwachung der Aktivitäten in diesen Protokollen ermöglicht also die Aufdeckung der Kompromittierungen, bevor es zu Schäden kommt.

Bei der Überwachung der Ereignisprotokolle sollten Sie nach Anzeichen für folgende verdächtige Aktivitäten Ausschau halten:

• Aktivitäten privilegierter Konten: Häufig nutzen die Angreifer eine Berechtigungsschwachstelle aus und versuchen, eine Rechteausweitung vorzunehmen, also die Berechtigungen eines kompromittierten Benutzerkontos zu erweitern. Alternativ machen sich die Angreifer durch Aktivitäten eines privilegierten Benutzerkontos außerhalb der Betriebszeiten oder durch einen plötzlichen Anstieg an Datenzugriffen des Benutzerkontos bemerkbar.
• Anmeldungsfehler: Wiederholte Fehler bei der Anmeldung bei einem Konto können ein Hinweis darauf sein, dass Bedrohungsakteure Zugriff erlangen wollen.
• Remote-Anmeldungen: Häufig versuchen böswillige Benutzer, per Fernzugriff auf Ihr System zuzugreifen. Sollten Sie eine Anmeldung über eine IP-Adresse sehen, die von einem anderen Land oder Standort stammt, kann dies darauf hindeuten, dass Ihr Active Directory kompromittiert wurde.

Implementieren von identity access management

Dies sind die ersten Schritte zur Implementierung:

• Festlegen der wichtigsten Ziele für die IAM-Lösung
• Prüfen vorhandener und veralteter Systeme, um Lücken in der existierenden Architektur zu identifizieren
• Bestimmen der wichtigsten Verantwortlichen, die die Erfassung von Identitäten und Definition von Benutzerzugriffsregeln unterstützen können
• Erfassen aller Benutzergruppen; sollte so detailliert wie nötig erfolgen
• Ermitteln aller Benutzerzugriffszenarien und Definieren entsprechender Regeln; dabei müssen Cloud-Ressourcen sowie Unterschiede zwischen Zugriffen in Cloud-Umgebungen und in lokalen Systemen berücksichtigt werden
• Berücksichtigen von Integrationspunkten mit anderen Sicherheitssystemen oder -protokollen (z. B. Zero-Trust-Lösung oder Identitätssicherheitssystem)

Die Zukunft von IAM

Analysen des CrowdStrike Falcon OverWatch-Teams belegen, dass 80 % aller Kompromittierungen auf Identitätsmissbrauch zurückgehen. Bei diesen raffinierten Angriffen wird häufig die herkömmliche Cyberangriffskette gemieden. Stattdessen werden direkt kompromittierte Anmeldedaten eingesetzt, um laterale Bewegungen zu ermöglichen und größere Angriffe mit katastrophalem Ausmaß zu starten.

Durch diese Schwachstelle und die wachsende Zahl an Remote-Verbindungen sind Unternehmen einem höheren Risiko durch identitätsbezogene Angriffe ausgesetzt, wodurch der Bedarf für eine zuverlässige flexible Identitätssicherheitslösung mit IAM steigt. Die entsprechenden Lösungen sollen gemeinsam Bedrohungsakteure stoppen, denen es gelungen ist, andere Sicherheitsvorkehrungen wie Tools zur endpunktbasierten Detektion und Reaktion zu umgehen.

Minimierte Identitätsangriffsfläche durch CrowdStrike Falcon IDP

Eine AD-Sicherheitskompromittierung gefährdet die Identitätsinfrastruktur und verursacht eine sehr große Angriffsfläche, die Ransomware-Angriffe, Datenkompromittierungen und schlussendlich Geschäfts- und Rufschäden nach sich ziehen kann. Das Sicherheitsteam und das für IAM zuständige Team versuchen, den AD-Identitätsspeicher abzusichern. Die Mitarbeiter müssen aber mit Sicherheit wissen, dass keine Legacy- und veralteten Protokolle (z. B. Versionen wie NTLMv1) verwendet werden. Außerdem müssen sie in Echtzeit nachvollziehen können, ob ein bestimmter Service Account oder ein inaktives Konto ein Remote Desktop Protocol (RDP) auf dem Domänencontroller (DC) ausführt oder ob eine laterale Bewegung zu kritischen Servern per Rechteausweitung oder mithilfe gestohlener Anmeldedaten versucht wird.

Die Einschränkungen klassischer und isolierter AD-Sicherheitstools vergrößern die allgemeine Angriffsfläche für identitätsbasierte Angriffe. Diese Herausforderungen sind nur einige der Gründe dafür, dass 80 % der Angriffe auf Anmeldedaten setzen. Auch wenn AD- und IAM-Teams für die AD-Absicherung möglicherweise mehrere Tools nutzen, muss die Absicherung von AD und Azure AD über eine einheitliche Konsole erfolgen. Die Teams müssen bei jeder Authentifizierungs- und Autorisierungsanfrage das Wer, Wo, Wann und Warum sowie die Risiken für das Unternehmen umfassend nachvollziehen können. Außerdem müssen sie in der Lage sein, die risikobasierte MFA bzw. den bedingten Zugriff auf Legacy-Anwendungen auszuweiten, um die Angriffsfläche deutlich zu reduzieren.

Da die Mehrheit der aktuellen Angriffe auf Anmeldedaten basiert, ist die Identität nicht nur das wichtigste Element bei Zero Trust, sondern sogar der neue Perimeter. CrowdStrike Falcon Identity Protection (IDP) bietet Sicherheit für jede Identität – ob im lokalen AD, im cloudbasierten AD oder in Azure AD.

Falcon Identity Protection ist Teil der CrowdStrike Falcon®-Plattform und basiert auf einer Engine zur kontinuierlichen Risikobewertung, die Sicherheitsindikatoren im Authentifizierungsdatenverkehr in Echtzeit analysiert. Die Risikobewertungen erfolgen basierend auf den Zero-Trust-Prinzipien aus Inside-Out-Perspektive – rund um Benutzerrollen, benutzerdefinierte Authentifizierungsrichtlinien und Identitätsspeicher – und nicht anhand der klassischen Outside-In-Quellen. Falcon Identity Protection ist die einzige cloudnative Zero-Trust-Lösung, die das AD und damit das schwächste Glied Ihrer Cyberabwehr schützt.

CrowdStrike Identity Protection besteht aus zwei Hauptkomponenten:

Falcon Identity Threat Detection

Falcon Identity Threat Detection liefert Unternehmen tiefere Echtzeit-Einblicke in identitätsbasierte Angriffe und Anomalien, ohne vorher Protokolldateien verarbeiten zu müssen. Damit ist die Lösung ideal für Unternehmen, die nur identitätsbasierte Zwischenfallwarnungen und Bedrohungssuche, jedoch keinen automatisierten Bedrohungsschutz möchten.

Falcon Identity Threat Protection

Falcon Identity Threat Protection bietet äußerst präzise Bedrohungserkennung und Echtzeitschutz vor identitätsbasierten Angriffen. Ermöglicht wird dies durch eine Kombination aus hochentwickelter künstlicher Intelligenz (KI), Verhaltensanalysen sowie einem flexiblen Richtlinienmodul, das risikobasiert bedingten Zugriff gewährt.

Wenn Sie mehr über CrowdStrike Falcon Identity Protection erfahren möchten, können Sie unser Datenblatt herunterladen oder eine Demo vereinbaren:

See Crowdstrike Falcon In Action

In dieser Demo zeigen Experten, wie Unternehmen mit CrowdStrike Falcon Identity Protection dringend benötigten mehrschichtigen Schutz erhalten.

Demo anfordern