Um zu wachsen, benötigt jedes Unternehmen, jeder Betrieb oder jede Organisation eine systematische Methode, um Mitarbeitende oder Mitglieder zu organisieren. Heute fällt diese Methode häufig unter den Begriff Identitäts- und Zugriffsmanagement (IAM) oder manchmal auch Identitäts-, Zugangsdaten- und Zugriffsmanagement (ICAM). In beiden Fällen beschreibt das übergreifende Rahmenwerk, wie neue Mitarbeitende in die Organisation aufgenommen werden und wie Nachfolge sowie die Deprovisionierung von Konten bei Bedarf verwaltet werden.
Elemente des Identitäts- und Zugriffsmanagements betreffen alle Unternehmen jeder Größe. Es ist nie zu früh, darüber nachzudenken, wie eine Organisation Mitarbeitende oder Mitglieder verwalten und betreuen sollte.
In diesem Dokument betrachten wir die sechs wichtigsten Elemente des Identitäts- und Zugriffsmanagements und wie Sie diese in Ihrer Organisation anwenden können.
Sechs Elemente des Identitäts- und Zugriffsmanagements
In zahlreichen Branchen- und Analystenberichten werden die Kernbereiche des Identitäts- und Zugriffsmanagements wie folgt unterteilt:
Passwortverwaltung
Erweiterte Authentifizierung
Provisionierung
Verzeichnisdienste
Single Sign-On
Audit, Compliance, Governance
Beginnen Sie mit Passwortverwaltung
Jede Organisation beginnt mit einer oder mehreren Personen. Daher ist es sinnvoll, mit Passwortverwaltung zu starten und Mitarbeitende von Anfang an zu unterstützen.
Zum Beispiel benötigen Personen bereits, bevor sie neue Konten einrichten, die Möglichkeit, lange und einzigartige Passwörter zu generieren für jede Website oder jeden Dienst, den sie benötigen. Ein Passwort-Manager mit integriertem Passwortgenerator macht dies einfach. So schaffen Mitarbeitende von Tag eins an die besten Voraussetzungen für ihren Erfolg, indem sie Konten mit langen und einzigartigen Passwörtern getrennt und sicher halten.
Erweitern Sie die Passwortverwaltung um Teilen für die Zusammenarbeit im Team
Sobald Personen über einen Passwort-Manager verfügen, mit dem sie lange und einzigartige Passwörter generieren und diese für einfachen Zugriff speichern können, können Sie damit beginnen, Zugangsdaten innerhalb eines Teams sicher zu teilen.
Geschäftsorientierte Passwort-Manager ermöglichen die Verwaltung von Organisationen sowie das sichere, strukturierte Teilen zwischen Benutzergruppen. Diesen Gruppen können verschiedene Sammlungen sensibler Einträge zugewiesen werden, etwa Unternehmenszugangsdaten, gemeinsam genutzte Kreditkarten oder Büro-WLAN-Passwörter.
Durch die Einrichtung einer Ende-zu-Ende-verschlüsselten Plattform für sicheres Teilen schafft jede Organisation die richtige Grundlage für die Sicherheit von Mitarbeitenden und Unternehmen.
Erweiterte Authentifizierung einbinden
Mit einem langen, komplexen, zufälligen und einzigartigen Passwort pro Konto sind Benutzer gut aufgestellt, um geschützt zu bleiben. Ein noch stärkerer Schritt besteht darin, die Anmeldung in zwei Schritten bzw. Zwei-Faktor-Authentifizierung sowohl für die Anmeldung bei Ihrem Passwort-Manager als auch für andere Websites und Dienste hinzuzufügen.
Bei Ihrem Passwort-Manager kann die Anmeldung in zwei Schritten mit Authenticator-Apps, Sicherheitsschlüsseln, E-Mail oder SMS konfiguriert werden. Beachten Sie, dass SMS heutzutage aufgrund der Verbreitung von SIM-Jacking als Einbruchsstrategie als eine der anfälligeren Methoden für Hackerangriffe gilt.
Für welchen Weg sich Benutzer auch entscheiden: Stellen Sie sicher, dass alle die Auswirkungen der Anmeldung in zwei Schritten verstehen, eine Kopie der Wiederherstellungscodes für die Anmeldung in zwei Schritten bei Websites aufbewahren, sofern diese angeboten werden, und über eine Methode verfügen, um die während des Registrierungsprozesses für die Anmeldung in zwei Schritten angebotenen Authentifizierungsschlüssel zu sichern.
Verwendung eines Passwort-Managers mit integrierter Anmeldung in zwei Schritten
Einige Passwort-Manager bieten integrierte Authenticatoren. Dies bietet Benutzern enorme Vorteile beim Komfort, insbesondere in gemeinsam genutzten Umgebungen. Benutzer können nun Zugangsdaten einschließlich der Sequenz für die Anmeldung in zwei Schritten teilen und müssen sich nicht mehr gegenseitig anrufen oder Nachrichten schicken, um den Geheimcode zu erfahren.
Natürlich fragen sich manche vielleicht, welchen Sinn ein integrierter Authentifizierungsschritt in Ihrem Passwort-Manager hat und ob dies den Wert der Authentifizierung aufhebt. Letztlich haben Benutzer Wahlmöglichkeiten, und Arbeitgeber können über bevorzugte Praktiken informieren. Aus folgenden Gründen empfiehlt sich ein integrierter Ansatz
Ihr Tresor im Passwort-Manager sollte selbst mit einer anderen Methode durch Anmeldung in zwei Schritten geschützt sein. (Wichtig: Sie sollten den integrierten Authenticator Ihres Passwort-Managers nicht verwenden, um Ihr Passwort-Manager-Konto zu schützen.) Daher sind Ihr Tresor und Ihre Konten derzeit durch ein hohes Sicherheitsniveau und tatsächlich durch Anmeldung in zwei Schritten geschützt.
Die Aktivierung der Anmeldung in zwei Schritten für Websites und Anwendungen bietet mehr Sicherheit, als sie nicht zu aktivieren. Eine engere Bündelung der Anmeldung in zwei Schritten erleichtert die häufigere Nutzung, was bessere Sicherheitspraktiken fördert.
Wenn Sie einen Eintrag teilen müssen, können Sie ihn mit aktivierter Anmeldung in zwei Schritten teilen, was wiederum die Sicherheit verbessert. Das ist ein starker Schritt für Zusammenarbeit und Anmeldung in zwei Schritten.
Sie müssen sich nicht merken, welche Authentifizierungs-App Sie verwendet haben, da sie integriert bleibt.
Sie können jederzeit individuell entscheiden, welche Zugangsdaten intern in Ihrem Passwort-Manager-Authenticator oder extern mit einer separaten Authenticator-App authentifiziert werden sollen.
Entwicklung hin zu passwortlosen Verfahren
Während die Welt auf passwortlose Verfahren umstellt, sollten Sie sicherstellen, dass Ihr Passwort-Manager und Ihre gesamte Strategie für Identitäts- und Zugriffsmanagement passwortlose Optionen umfasst. Zum Beispiel:
Stellen Sie sicher, dass Sie sich per Biometrie bei Geräten anmelden können, und aktivieren Sie außerdem Autofill-Funktionen für Zugangsdaten per Biometrie.
Prüfen Sie für Single Sign-On, das später ebenfalls erläutert wird, Optionen mit passwortlosen Nutzungserlebnissen.
Erwägen Sie den Einsatz von Sicherheitsschlüsseln in Ihrer gesamten Organisation.
Berücksichtigen Sie bei der Bereitstellung von Sicherheitsschlüsseln redundante Optionen sowie Sicherungs- und Wiederherstellungsverfahren, falls Schlüssel verloren gehen oder mit unternehmenskritischen Benutzerkonten verbunden sind.
Beispielsweise kann es sinnvoll sein, dass ein Mitarbeiter den Speicherort etwaiger Backup-Sicherheitsschlüssel in seinem Passwortverwaltungs-Tresor hinterlegt, der nur bei Kontoübernahme und Notfallzugriff einsehbar ist.
Bereitstellung für den Erfolg
Je schneller Mitarbeiter in einem neuen Unternehmen eingearbeitet sind, desto schneller können sie produktiv sein und zum Erfolg beitragen. Es überrascht daher nicht, dass die Bereitstellung einen großen Teil des Budgets für Identitäts- und Zugriffsmanagement ausmacht, jedoch weiterhin über zahlreiche Systeme und Tools verteilt ist.
Unternehmen passen ihre Onboarding-Prozesse häufig an die vorhandenen Kernsysteme an, etwa E-Mail, Messaging, Verzeichnisdienste und Single Sign-On, das in Kürze ausführlicher behandelt wird.
Um Mitarbeitern das bestmögliche Onboarding-Erlebnis zu bieten und sicherzustellen, dass sich der Passwort-Manager in ein übergeordnetes Framework einfügt, sollten Sie nach Passwort-Managern suchen, die Folgendes bieten:
Eine robuste Programmierschnittstelle (API) zur Integration in bestehende Systeme
Eine voll ausgestattete Kommandozeilen-Schnittstelle (CLI), die Skripting für benutzerdefinierte Prozesse ermöglicht
Die Möglichkeit zur Integration in bestehende Systeme für Identitäts- und Zugriffsmanagement, wie etwa
Verzeichnisdienste
Single Sign-On
Auditierung und Anmeldungen
Verzeichnisdienste für die Gruppenorganisation
Größere Unternehmen setzen häufig Verzeichnisdienste ein, um Mitarbeiter nach Abteilungen zu organisieren. So kann es beispielsweise Gruppen für Vertrieb, Marketing, Entwicklung, IT und Finanzen geben. Diese bestehenden Verzeichnisdienste bieten eine Möglichkeit, Mitarbeiter nach Funktion zu ordnen, neue Mitarbeiter schnell den richtigen Gruppen hinzuzufügen und Konten bei Bedarf zu deaktivieren.
Passwort-Manager auf Unternehmensebene lassen sich in Verzeichnisdienste integrieren, um Benutzergruppen innerhalb des Tresors der Passwortverwaltungs-Organisation zu organisieren. Wenn eine Gruppe von Finanzmitarbeitern Zugriff auf einen bestimmten Satz von Zugangsdaten für Steuerdienste hat, erhält ein neues Mitglied dieser Gruppe automatisch Zugriff auf diese Zugangsdaten.
Einige Unternehmen nutzen Verzeichnisgruppen auch, um Ad-hoc-Teams zu unterstützen. Beispielsweise kann ein abteilungsübergreifendes Tiger-Team für eine neue Geschäftsinitiative gebildet werden. Das Team kann eine eigene Passwortverwaltungsgruppe anfordern. Mit Verzeichnisintegration kann dieses neue Tiger-Team mit der Passwortverwaltungsanwendung synchronisiert werden und schnell einen Satz sicherer Zugangsdaten bereitstellen.
Anmeldung mit SSO für einheitlichen Zugriff
Mit dem Boom von Software-as-a-Service-Anwendungen (SaaS) nutzten viele Unternehmen Single Sign-On, um einen einheitlichen Zugriff auf Website-Konten zu ermöglichen. Natürlich setzt Single Sign-On voraus, dass die Website oder der Dienst diese Funktion anbietet. Zwar bieten viele auf Unternehmen ausgerichtete Websites Single Sign-On, doch es gibt weiterhin zahlreiche Websites und Dienste, die dies nicht tun. Ein Passwort-Manager schließt diese Lücke und bietet noch mehr.
Einige Passwort-Manager lassen sich auch in Single Sign-On integrieren, sodass Unternehmen Benutzer automatisch in einer Organisation bereitstellen können.
Natürlich ist eine Ende-zu-Ende-verschlüsselte Anwendung wie ein Passwort-Manager etwas anders als ein typischer SaaS-Dienst. Da ein Passwort-Manager-Sicherheitsmodell mit Zero-Knowledge-Verschlüsselung garantiert, dass der Anbieter nichts in Ihrem Tresor sehen kann, erhält Single Sign-On in diesem Kontext eine andere Bedeutung.
Die grundlegende Prämisse eines Passwort-Managers besteht darin, dass der Endbenutzer den Schlüssel zum Ver- und Entschlüsseln seiner Daten besitzt. Der Passwort-Manager kennt den Schlüssel nicht und kann ihn dem Benutzer nicht bereitstellen, falls er verloren geht. Ebenso kann ein Passwort-Manager einem anderen Drittanbieterdienst (z. B. einem Identitätsanbieter) nicht einfach blind den Entschlüsselungsschlüssel eines Endbenutzers übergeben und sich darauf verlassen, dass dieser andere Anbieter den Schlüssel sicher aufbewahrt.
Vor diesem Hintergrund ermöglicht ein sicheres Modell zur Integration mit bestehenden Identitätsanbietern die Authentifizierung über den Identitätsanbieter, während die Ver- und Entschlüsselung weiterhin über ein vom Benutzer verwahrtes, speziell für den Passwort-Manager bestimmtes Master-Passwort erfolgt. Dadurch wird sichergestellt, dass kein Drittanbieter Zugriff zum Entschlüsseln des Tresors des Endbenutzers hat. Das bedeutet auch, dass das Master-Passwort für die Ver- und Entschlüsselung eindeutig für den Passwort-Manager sein sollte.
Dieser Ansatz stellt außerdem sicher, dass Benutzer von jeder Client-Anwendung profitieren können, die der Passwort-Manager für Browser, mobile Betriebssysteme, Desktop-Betriebssysteme, Webzugriff und Kommandozeilen-Schnittstellen (CLI) anbietet.
Auditierung für Compliance und Governance
In größerem Maßstab müssen Unternehmen ihre Systeme überwachen, einschließlich des Zugriffs und der Nutzung durch Mitarbeiter. Häufig setzen Unternehmen Logging- und Auditing-Lösungen als Empfänger von Informationen aus verschiedensten Quellen ein. Zu den beliebten Logging- und Analysesystemen für Unternehmen gehören Splunk sowie Kibana von Elastic.
Robuste Passwortverwaltungssysteme stellen die Protokollierungsinformationen über Programmierschnittstellen (APIs) bereit, die die vorhandenen Logging-Systeme speisen können. Dies bietet:
Einen zentralen Ort, an dem IT- und Sicherheitsteams Informationen sammeln können
Die Möglichkeit, Ereignisse zwischen einem Passwort-Manager und anderen Elementen eines umfassenden Ansatzes für Identitäts- und Zugriffsmanagement zu korrelieren
Die Option, vorhandene Warnmeldungen zu speisen
Bereitstellung einer integrierten Lösung für Identitäts- und Zugriffsmanagement
Unternehmen haben bei der Bereitstellung der richtigen Kombination von Tools für Identitäts- und Zugriffsmanagement Auswahlmöglichkeiten und können mit ihrem Wachstum erweitern. Unabhängig davon, an welchem Punkt Ihrer Entwicklung Sie stehen, sollten alle Unternehmen ihre Mitarbeiter dazu befähigen, Zugangsdaten sicher zu verwalten, bei Bedarf lange und zufällige Passwörter zu generieren und das Ende-zu-Ende-verschlüsselte Teilen sensibler Informationen zu ermöglichen.
Um diese Funktionen in Ihr eigenes Unternehmen zu bringen, starten Sie noch heute mit einer kostenlosen Bitwarden-Testversion für Unternehmen.