Identity Management – Definition, Maßnahmen und Hindernisse

Updates und Neuigkeiten für 2021

Unter Identity-Management im Unternehmen ist ein Administrationsbereich gemeint, der sich mit der Identifizierung von Individuen in einem System beschäftigt. Der Zugang der Mitarbeiter zu einer Ressource innerhalb des Unternehmens wird kontrolliert, indem ein Vergleich zwischen den Benutzerrechten und Einschränkungen und der festgelegten Identität stattfindet. Jeder Mitarbeiter in einem Unternehmen verfügt also über eine eigene "digitale Identität". Arbeitnehmer erhalten somit nur Zugriff auf jene Systeme, die für ihre Arbeit auch von Relevanz sind. Berechtigungen können von Person zu Person unterschiedlich sein. Durch die Corona-Krise hat die Nachfrage nach digitalen Dienstleistungen im Jahr 2020 rasant zugenommen und somit hat sich auch das Identity-Management rasch weiterentwickelt.

Im Identity-Management 2021 und 2022 gilt: Lösungen, die noch vor ein paar Jahren genutzt wurden, funktionieren heute oft nicht mehr. Viele Lösungen müssen komplett überarbeitet werden, damit sie weiterhin mit Gesetzen und neuen Sicherheitsstrukturen übereinstimmen. Immer mehr User gewöhnen sich außerdem an eine reibungslose User Experience. Der Zugriff eines Mitarbeiters auf Systeme, für die er eine Berechtigung hat, darf nicht mit zu vielen Hindernissen beim Login und der Nutzerauthentifizierung gespickt sein. Darüber hinaus kommt dem Datenschutz eine besondere Bedeutung zu: Unternehmen müssen ihre Daten heute wirkungsvoll schützen, sodass die Nutzung des Systems nicht gestört wird. Es sinnvolle müssen Identity-Management-Maßnahmen geschaffen werden, die sicher sind und ein intuitiv zu bedienendes und angenehmes Nutzererlebnis schaffen. Ein Trend im Identity Management der Jahre 2021 und 2022 wird außerdem die zunehmende Automatisierung dieser Prozesse sein.

Digitale Identität festlegen

Jeder Mitarbeiter verfügt über eine Reihe von Unternehmens-Accounts und Berechtigungen, um seiner Arbeit nachgehen zu können. An jeden Account sind individuelle Zugriffsberechtigungen gekoppelt. Diese müssen immer wieder neu angepasst werden, wenn sich bei einem Mitarbeiter Bedingungen ändern.

Das ist zum Beispiel dann der Fall, wenn…

• … Mitarbeiter neue und erweiterte Aufgaben übernehmen.
• … Mitarbeiter die Abteilung wechseln.
• … Mitarbeiter in Projekten in unterschiedlichen Unternehmensbereichen arbeiten.
• … Mitarbeiter zeitweise Vertretungen bei Krankheit oder Urlaub übernehmen.

Identity Management: Zugangsberechtigungen immer im Blick behalten

Versäumt es ein Unternehmen, die individuellen Berechtigungen seiner Mitarbeiter zu pflegen und stets auf dem neuesten Stand zu halten, kann das gefährliche Konsequenzen haben. Mit jedem Abteilungs- oder Aufgabenwechsel erweitern sich die Zugangsberechtigungen eines Angestellten dann nämlich sukzessive.

Das stellt ein Sicherheitsproblem dar. Werden Berechtigungen wahllos im Unternehmen verteilt, erhöht das das Risiko, dass sensible Daten aus Versehen in die falschen Hände gelangen. Im schlimmsten Fall werden sie sogar bewusst ausgespäht.

Ausspähen von Daten: Das kann teuer werden

Für den Arbeitgeber kann das teuer werden. Schließlich handelt es sich hierbei um einen klaren Verstoß gegen das geltende Datenschutzrecht. Ein solcher kann mit Bußgeldern bis zu 20 Millionen Euro oder aber bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Kleinere Unternehmen kann das die Existenz kosten.

Das kontinuierliche Anpassen von Accounts und Berechtigungen ist also unumgänglich. Experten sprechen in diesem Zusammenhang von Identity Management, kurz IdM. Die gute Nachricht: Es kann automatisch gemanagt werden. Das ist gerade für größere Arbeitgeber von entscheidendem Vorteil. Denn je mehr Mitarbeiter ein Unternehmen beschäftigt, desto mehr Berechtigungen müssen verwaltet werden und desto komplexer und unübersichtlicher ist die ganze Angelegenheit.

Digitales Identity Management

Deshalb kommen immer häufiger Softwareprogramme zum Einsatz, mit denen sich die Accounts und Zugriffsrechte der einzelnen Mitarbeiter organisieren lassen: So genannte Identity-Management-Systeme. Sie umfassen Funktionen, die zur größtmöglichen Daten-Sicherheit in einem Unternehmen beitragen.

Zum Beispiel unterbinden spezielle Sicherungen und Tools automatisch Berechtigungskombinationen, die einander widersprechen. Außerdem wird die Berechtigungsvergabe zuverlässig automatisch dokumentiert. Betriebe können auf diese Weise konsequent nachweisen, wer wann über welche Berechtigungen im Betrieb verfügte und warum. Kommt es einmal zu Datenmissbrauch kann der Arbeitgeber dann zumindest darlegen, diesen nicht durch die falsche Vergabe von Berechtigungen begünstigt zu haben.

Identity Management: Was es beinhaltet

Egal, ob es digital oder manuell gesteuert wird, umfasst das Identity Management innerhalb eines Unternehmens viele verschiedene Schritte. Zunächst einmal müssen alle Nutzer, Geräte und Anwendungen erfasst werden. Dann müssen für jeden Mitarbeiter individuelle Berechtigungen in den verschiedenen Systemen und sichere Zugänge über die einzelnen Geräte eingerichtet werden.

Wichtig dabei ist außerdem, dass sich jede Person, die Zugriff auf die Systeme eines Unternehmens bekommen soll, sich eindeutig und sicher identifizieren kann. Und das auf jedem Gerät, über das diese auf die IT-Infrastruktur zugreift. In der Regel geschieht das über einen gesicherten Geräte- und System-Login. Jeweils mit individuellem Benutzernamen und individuellem Passwort. Dieses sollte aus Sicherheitsgründen alle paar Wochen geändert werden. In besonders kritischen Bereichen wird der Zugang zu Systemen auch nochmal zusätzlich durch einen Fingerabdruckscan abgesichert.

Welche Berechtigungskonzepte gibt es?

Auf Basis des Logins gleicht das Identity Management System automatisch ab, über welche Rechte der eingeloggte User verfügt. Es unterscheidet zum Beispiel ganz genau, ob ein Nutzer nur eine Information lesen darf, ob er Daten auf sein Gerät herunterladen oder sie sogar löschen darf.

Hier gibt es die folgenden Möglichkeiten, die teilweise auch miteinander kombiniert werden können:

• Ein User erhält gar keine Berechtigung zu dem System
• Der User darf Informationen nur lesen
• Der User darf Informationen erstellen und hinzufügen
• Der User darf Informationen ändern
• Der User darf Informationen herunterladen
• Der User verfügt über alle Rechte

Vergabe der Berechtigungen

Bei der Vergabe der Berechtigungen an die einzelnen Nutzer gilt im Rahmen des Identity Managements das folgende Prinzip: So wenig Zugriff wie möglich und nur so viel wie gerade nötig. Denn: Je beschränkter die Rechte des Einzelnen, um so mehr beugt das einem schädlichen Datenmissbrauch vor. Sicher ist sicher.

Sollten verschiedene Mitarbeiter aufgrund einer identischen Rolle im Unternehmen über die gleichen Systemberechtigungen verfügen, können innerhalb einer Identity Management Software auch so genannte Rollenkonzepte angelegt werden.

Warum Rollenkonzepte sicherer sind

Dann wird der einzelne Nutzer einer bestimmten Rolle zugeordnet und erhält automatisch passgenaue Autorisierungen zu den einzelnen Tools, die er nutzt. Das erspart der IT-Abteilung viel Arbeit. Sie muss nicht für jeden einzelnen Nutzer ein individuelles Berechtigungskonzept erstellen, sondern nur für die deutlich geringere Anzahl an Rollen im Unternehmen.

Das Ganze ist auch sicherer. Ein Rollenkonzept wird einmal vollständig festgelegt und auf Sicherheitslücken überprüft und dann immer wieder angewandt. So steht außer Frage, dass einzelne Mitarbeiter nicht aus Versehen Zugriff zu einem Tool erhalten, das für ihre Augen gar nicht bestimmt ist. Das ist schnell geschehen, wenn bei der manuellen Vergabe der Rechte ein Häkchen falsch gesetzt wurde.

Befristete Berechtigungen

Im Falle von Abteilungswechseln, Urlaubsvertretungen oder Projektarbeit in verschiedenen Unternehmensbereichen besteht außerdem die Möglichkeit, Zugangsberechtigungen zu befristen. Das sollte unbedingt genau eingehalten werden, sonst verliert das komplette Identitäts-Management irgendwann an Aktualität und Sicherheit.

So vermeiden Unternehmen zum Beispiel, dass der Azubi am Ende seiner Lehrzeit Zugriff auf die Systeme aller Unternehmensbereiche hat. Weil er regelmäßig die Abteilungen gewechselt hat, wurde ihm ein Zugriff nach dem anderen gewährt, aber nicht wieder abgenommen. Das wäre reichlich überdimensioniert.