Mit einem durchschnittlichen jährlichen Wachstum von knapp zehn Prozent (2012 bis 2017) sind Identity and Access Management (IAM)-Lösungen das am stärksten wachsende Marktsegment im deutschen Markt für IT-Security-Software, so die Marktforscher von IDC. Für dieses stetige Wachstum gibt es einen guten Grund: Der Bedarf nimmt deutlich zu.
Die Zahl digitaler Identitäten und die Menge und Komplexität der zu verwaltenden Berechtigungen für die Identitäten steigen enorm an. Gartner rechnet mit rund 26 Milliarden vernetzten Geräten bis 2020, jedes mit einer eigenen digitalen Identität, wobei diese Schätzung für das Internet of Things (IoT) mobile Endgeräte wie Smartphones oder Tablets noch nicht enthält.
Schon heute halten 62 Prozent der befragten Unternehmen ihr Identity and Access Management für komplex und schwierig zu administrieren, so die Ponemon-Studie "Managing Complexity in Identity & Access Management". Dieser Prozentsatz könnte in Zukunft noch höher ausfallen.
Die Vielzahl an Endgeräten, Cloud-Diensten, Online-Netzwerken, industriellen Sensoren und vernetzten Maschinen treibt die Menge an digitalen Identitäten und Privilegien derart in die Höhe, dass die klassischen Nutzeridentitäten beinahe zu einer Randgruppe werden. Die Marktforscher von Gartner sehen deutlichen Anpassungsbedarf bei IAM und anderen sicherheitsrelevanten Lösungen.
Wenn Unternehmen mit zunehmend großen Datenmengen umgehen müssen, kommen Big-Data-Lösungen ins Spiel. Das ist auch für IAM-Lösungen der Fall, die sich "Datenbergen" aus Identitätsinformationen, Identitätsverknüpfungen, Identitätsberechtigungen sowie individuellen Zugangsregelungen und Zugangskontrollen stellen müssen.
Die Zugangskontrolle muss individueller werden
Die Menge an Identitätsdaten macht einen Big-Data-Ansatz für IAM-Lösungen interessant, aber auch die erforderliche Reaktionsgeschwindigkeit, wenn eine IAM-Lösung entscheiden muss, wie die Zugangskontrolle erfolgen soll und ob der Zugang nun gewährt oder blockiert werden muss.
Die Berechtigungen, die eine digitale Identität haben soll, hängen nicht nur von der jeweiligen Identität ab, sondern auch von der aktuellen Bedrohungslage, dem aktuellen Risiko, das mit der Ausübung der Berechtigungen verbunden ist, und von dem Zusammenspiel der einzelnen Identitäten wie Nutzer und Geräte.
So macht es zum Beispiel einen Unterschied, ob vertrauliche Daten auf einem bestimmten mobilen Endgerät in der Hotel-Lobby über WLAN abgerufen werden sollen, oder ob dies auf dem Arbeitsplatz-PC im deutlich besser geschützten Firmennetzwerk erfolgt.
Ein Identity and Access Management muss die Berechtigungen dynamisch an Identitäten vergeben und die Stärke der Zugangskontrolle möglichst in Echtzeit anpassen. Je nach Bedrohungslage sollte eine IAM-Lösung eine Mehr-Faktor-Authentifizierung verlangen. Die einfache Zugangskontrolle über Passworteingabe wird nur dann gewählt, wenn die Risikowerte gering sind.
Diese sogenannte kontextsensitive Sicherheit, die die zu ergreifenden Schutzmaßnahmen von aktuellen Risikoparametern abhängig macht, erfordert bei der steigenden Zahl an Identitäten und Parametern leistungsstarke, schnelle Analysemethoden. Hier bieten sich die Lösungen aus dem Bereich Big Data Security Analytics an.
Gefälschte Identitäten müssen schneller enttarnt werden
Big Data Security Analytics wird heute bereits zur Prüfung digitaler Identitäten eingesetzt und wird wie die kontextsensitive Sicherheit in Zukunft noch an Bedeutung gewinnen, wie Gartner bei den "Top 10 Technologies for Information Security in 2014" betont.
Ein wichtiger Anwendungsfall von Big Data Security Analytics bei der Identitätsprüfung ist die Suche nach Kennzeichen für Betrugsversuche und gefälschte Identitäten, wie dies zum Beispiel Ataway, FICO, Hortonworks, IBM und VISA erläutern. Dabei wird das aktuelle "Verhalten" einer Identität mit den bisher üblichen oder erlaubten Verhaltensmustern verglichen, auffällige Abweichungen sprechen für gefälschte oder gestohlene Identitäten.
Zahlreiche Studien gehen davon aus, dass Identitätsdiebstahl und Betrugsversuche im Internet weiter deutlich steigen werden. Der Bedarf für Identitätskontrollen in nahezu Echtzeit wird entsprechend wachsen. Gartner erwartet für 2016, dass 25 Prozent der großen, global operierenden Unternehmen Big Data Analytics für mindestens ein Sicherheitsverfahren bzw. zur Betrugserkennung einsetzen werden. Bisher sind es erst acht Prozent.
Der Zugang zu Big Data muss besser abgesichert werden
Die Verknüpfung zwischen Identität and Access Management und Big Data Security Analytics ist keine Einbahnstraße. Big-Data-Analysen sind eine zunehmend wichtige Ergänzung für das Identitätsmanagement, aber auch umgekehrt werden Vorteile sichtbar.
Big-Data-Anwendungen werden insbesondere deshalb von Datenschützern kritisch gesehen, da die umfangreiche Menge an Daten missbräuchlich ausgewertet werden könnte und so den gläsernen Nutzer Realität werden lassen könnte.
Um Big Data datenschutzgerecht nutzen zu können, gilt es, missbräuchliche Zugriffe zu verhindern. Die vielfältigen Datenkategorien und Analysemöglichkeiten machen ein feingliedriges Berechtigungsmanagement erforderlich, so dass genau unterschieden werden kann, wer wann welche Big-Data-Analyse machen darf oder nicht.
An dieser Stelle können leistungsstarke IAM-Lösungen die Sicherheit von Big-Data-Analysen erhöhen. Es zeigt sich, dass IAM und Big Data eine sinnvolle Partnerschaft eingehen können und sollten. Tatsächlich sind bereits entsprechende Lösungen auf dem Markt.
Big Data und IAM arbeiten Hand in Hand
Verschiedene Lösungen für Identity and Access Management haben bereits Funktionen für Big Data Security Analytics an Bord, andere verfügen zumindest über passende Schnittstellen.
Access Insight von Courion bewertet automatisch die Risiken, die mit Benutzeranmeldungen und -aktivitäten einhergehen, identifiziert Benutzerzugriffe, die gegen interne Richtlinien verstoßen, vergleicht die Aktivitätsmuster und damit das Verhalten von Identitäten mit definierten Modellen und liefert Informationen, wie die Zugangskontrolle in der aktuellen Situation für eine bestimmte Identität aussehen sollte.
Access Governance und Identity Management Software Suite von Avatier bündeln ebenfalls das Management von Identitäten und Zugriffen mit der Prüfung aktueller Risiken und Compliance-Vorgaben. Abhängig von den genutzten Zugängen, Privilegien und Systemen ermittelt die IAM-Lösung von Avatier mit dem integrierten "Risiko Radar" einen aktuellen Risikowert für jede verwaltete Identität.
Der Garancy Access Intelligence Manager von Beta Systems überprüft das Berechtigungs- und Identitätsmanagement anhand definierter Risikoparameter, identifiziert besonders riskante Zugänge und Privilegien und liefert Administratoren sowie Management eine Reihe von Risikoanalysen und Berichten, die sich kundenspezifisch anpassen lassen.
Weitere Lösungen am Markt
Ein Beispiel für Big Data Security Analytics mit Schnittstellen zu IAM-Systemen ist HP ArcSight IdentityView. Die Lösung unterstützt bereits im Standard mehrere IAM-Lösungen, untersucht und bewertet die Aktivitäten von digitalen Identitäten, um Anomalien festzustellen, warnt vor besonders riskanten Nutzeridentitäten, unterstützt forensische Untersuchungen im Fall von IT-Sicherheitsvorfällen und hält verschiedene Dashboards und Berichte bereit, damit das Management die Sicherheit des Identitätsmanagements bewerten kann.
Big-Data-Analysen für digitale Identitäten und die Beziehungen zwischen Identitäten unterstützt IBM mit InfoSphere Identity Insight. Diese Analysen helfen bei der Risikobewertung im Identitätsmanagement und bei der Aufdeckung möglicher Betrugsfälle oder Insider-Attacken. Die von IBM übernommene Lösung CrossIdeas dient ebenfalls der risikobasierten Zugangs- und Zugriffskontrolle und sucht unter anderem nach Verstößen bei der Aufgaben- und Rollentrennung (Segregation of Duty). Sicherheitsrelevante Informationen zur aktuellen Risikobewertung sind zum Beispiel über Schnittstellen zu IBM Security Intelligence - Lösungen verfügbar.
Der Identity Manager von NetIQ sieht definierte Schnittstellen nicht nur zu NetIQ Sentinel, sondern auch für zahlreiche weitere SIEM-Lösungen (Security Information and Event Management) Von Drittanbietern vor. Die Verbindung zwischen Big-Data-Analyse und Identitätsmanagement wird also bereits im Standard gezielt unterstützt.
Zwei der wichtigsten Lösungsbausteine der modernen IT-Security sind auf dem Weg, eine neue Art von Identitätssicherheit zu schaffen, die man mit Identity Analytics bezeichnen kann. Diese Kombination aus Big-Data-Analysen und Identity and Access Management ist eine zentrale Antwort auf die zunehmende Gefahr durch Identitätsdiebstahl sowie eine entscheidende Grundlage zur sicheren Nutzung des Internet of Things (IoT). Die folgende Tabelle fasst die Vorteile nochmals zusammen.
Vorteile für IAM |
Vorteile für BDA |
|
|