Zum Inhalt springen

IAM und IGA: Hierbei handelt es sich um zwei Gruppen von Funktionen zur Identitätssicherheit, die unterschiedliche, sich jedoch ergänzende Aufgaben erfüllen.

  • IAM konzentriert sich darauf, den sicheren Zugriff der Benutzer auf digitale Ressourcen (Anwendungen, Systeme und Daten) durch Authentifizierung, Single Sign-On (SSO) und andere Funktionen im Zusammenhang mit Authentifizierung und Zugriff zu ermöglichen und zu verwalten.
  • IGA geht über die Grundlagen der Zugriffsgewährung und -verwaltung hinaus, um 1) den Fokus darauf zu legen, wie eine Organisation Zugriff auf digitale Ressourcen gewährt, und 2) sicherzustellen, dass der gewährte Zugriff angemessen und konform ist – und Maßnahmen zu ergreifen, falls dies nicht der Fall ist.

Im Grunde befasst sich IAM mit den grundlegenden Fragen, wer sich anmeldet, wie die Anmeldung erfolgt und auf welche Ressourcen die Benutzer nach der Anmeldung Zugriff haben, während es bei IGA darum geht, ob die ihnen gewährten Zugriffsrechte überhaupt ihrer Rolle und den ihnen zugewiesenen Aufgaben entsprechen.

Was ist IAM?

IAM bezeichnet die Richtlinien und Prozesse im Zusammenhang mit der Authentifizierung der Identität eines Benutzers (Mensch oder Maschine), der sicheren Zugriff auf eine oder mehrere Ressourcen innerhalb einer Organisation anstrebt. Der Zweck der Authentifizierung der Identität des Benutzers besteht darin, 1) zu bestätigen, dass der Benutzer aufgrund seiner Rolle und seiner Zuständigkeiten tatsächlich zum angeforderten Zugriff berechtigt ist, und 2) den Zugriff entsprechend zu gewähren (oder zu verweigern).

Wichtige IAM-Funktionen

Bei IAM geht es darum, Benutzer zu authentifizieren und ihnen Zugriff auf Ressourcen zu gewähren – und zwar auf eine Weise, die sowohl die Sicherheit des Unternehmens als auch die Produktivität der Benutzer in den Vordergrund stellt. Das Konzept hat sich über Jahrzehnte hinweg weiterentwickelt, um diese beiden Bereiche gleichzeitig auf immer ausgefeiltere Weise zu berücksichtigen.

  • Authentifizierung: Im Grunde bedeutet Authentifizierung, dass ein Benutzer herkömmliche Anmeldedaten – Benutzername und Passwort – angibt, um seine Identität nachzuweisen. Da jedoch die Identitätslandschaft und die Bedrohungslage immer umfangreicher und komplexer werden, wird das Problem, dass sich Benutzer ihre Anmeldedaten nur schwer merken können und diese für Angreifer leicht zu stehlen sind, immer dringlicher.
  • Mehrfaktor-Authentifizierung (MFA): Das Hinzufügen eines weiteren Identifikationsfaktors, beispielsweise eines biometrischen Merkmals, erhöht die Anforderungen an die Authentifizierung und verbessert somit die Sicherheit. Dies ist besonders dann sinnvoll, wenn der zusätzliche Faktor keinen großen Aufwand bedeutet. So erfordert beispielsweise ein Gesichtsscan oder ein Fingerabdruck nur geringen Aufwand seitens des Nutzers, erschwert es jedoch erheblich, Zugangsdaten zu stehlen.
  • Single Sign-On (SSO): Da die Anzahl der sicheren Ressourcen, auf die Benutzer zugreifen müssen, stetig zunimmt, ermöglicht SSO ihnen den Zugriff auf mehrere Anwendungen mit starker Authentifizierung über einen einzigen Anmeldepunkt, wodurch der Vorgang beschleunigt und vereinfacht wird. SSO minimiert zudem die Angriffsfläche, da Angreifern weniger Möglichkeiten geboten werden, Schwachstellen bei der Anmeldung auszunutzen, die mit mehreren Anmeldevorgängen verbunden sind.
  • Passwortlos: Bei der passwortlosen Authentifizierung werden herkömmliche Anmeldedaten durch biometrische Daten, Passkeys, Authentifikatoren und andere Methoden zum Identitätsnachweis ersetzt, die sich nicht ohne Weiteres stehlen lassen. Außerdem erleichtern sie die legitime Authentifizierung, da sich die Nutzer nicht mehr mehrere Anmeldedaten merken müssen, um auf eine wachsende Zahl von Ressourcen zugreifen zu können.

Schwerpunkt von IAM: Null Vertrauen

„Zero Trust“ ist ein Sicherheitskonzept, das auf dem Grundsatz basiert, Vertrauen erst dann herzustellen, wenn der Zugriff auf Ressourcen gewährt wird – und niemals von Vertrauen auszugehen. Daher ist IAM von grundlegender Bedeutung für Unternehmen, die eine Zero-Trust-Umgebung betreiben möchten, in der die Identität jedes Mal nachgewiesen werden muss, wenn jemand oder etwas Zugriff anfordert.

Zero-Trust-Umgebungen werden durch die Kernfunktionen und -verfahren von IAM ermöglicht.

  • Authentifizierung: Identitätsprüfung mittels MFA und passwortloser Authentifizierung
  • Zugriff: Einführung kontextbezogener und bedingter Richtlinien für die Zugriffsgewährung
  • Zentralisierung: Einsatz von SSO über Anwendungen und Zugriffsumgebungen hinweg
Was ist IGA?

Während es bei IAM in erster Linie darum geht, die Identität eines Benutzers zu authentifizieren, bevor ihm Zugriff gewährt wird, konzentriert sich IGA auf die Steuerung wie festzulegen, wem Zugriff gewährt wird, und sicherzustellen, dass dieser stets dem jeweiligen Nutzer und der jeweiligen Situation angemessen ist. Das übergeordnete Ziel von IGA besteht darin, sicherzustellen, dass Zugriffsrechte den Unternehmensrichtlinien entsprechen, die Compliance-Anforderungen erfüllen und mit den bewährten Sicherheitsverfahren im Einklang stehen.

Wichtige IGA-Funktionen

Während es bei IAM darum geht, wer Zugriff auf welche Ressourcen hat, konzentriert sich IGA darauf, ob dieser Zugriff angemessen gewährt wird – basierend auf Faktoren wie der Rolle eines Benutzers innerhalb der Organisation sowie den Sicherheits- und Compliance-Richtlinien und -Verfahren der Organisation.

  • Zugriffsanträge und -genehmigungen: Die workflowbasierte Zugriffsbereitstellung in IGA-Umgebungen kombiniert Automatisierung und menschliche Mitwirkung, um Zugriffsanträge schnell und präzise zu prüfen und Benutzern den Zugriff zu gewähren.
  • Zugriffszertifizierung: Da sich die Rollen und Zuständigkeiten der Benutzer ständig ändern, erfordert die Identitäts-Governance eine regelmäßige Zugriffszertifizierung, um die Angemessenheit der Zugriffsebenen zu überprüfen. Manuelle Verfahren können mit diesen Veränderungen unmöglich Schritt halten, weshalb Automatisierung von entscheidender Bedeutung ist.
  • Rollenverwaltung: Das Anlegen von Rollen für Benutzer ist unerlässlich, um auf einfache Weise sicherzustellen, dass sie Zugriff auf die geschützten Ressourcen haben, die sie zur Erfüllung ihrer Aufgaben benötigen. Eine solide Rollenverwaltung ist ebenso wichtig, um zu gewährleisten, dass sie keine übermäßigen Berechtigungen erhalten, die Sicherheitsrisiken mit sich bringen.
  • Identitätslebenszyklusmanagement: Änderungen der Zugriffsrechte sind Teil des Identitätslebenszyklus, der vom Eintritt in eine Organisation über die Ausübung verschiedener Rollen bis hin zum endgültigen Ausscheiden reicht. Das Identitätslebenszyklusmanagement ist unerlässlich, um sicherzustellen, dass die Zugriffsrechte stets der aktuellen Rolle entsprechen.
  • Prüfung und Berichterstattung: Eine Bestandsaufnahme darüber, wer Zugriff auf welche Ressourcen hat, ist entscheidend für die Einhaltung gesetzlicher Vorschriften und für den Überblick über Zugriffsrisiken. Prüfung und Berichterstattung sind für beides von grundlegender Bedeutung.

Schwerpunkt der IGA: Null Vertrauen

Das Zero-Trust-Modell basiert auf der Annahme, dass Vertrauen niemals standardmäßig gegeben sein kann, sondern jedes Mal neu hergestellt werden muss, wenn jemand oder etwas Zugriff beantragt. IGA bietet die Kontrollmechanismen und Governance-Maßnahmen, die ein Unternehmen benötigt, um kontinuierlich zu prüfen, ob der Zugriff angesichts des Vertrauensniveaus des Benutzers angemessen ist.

Zero-Trust-Umgebungen werden insbesondere durch verschiedene zentrale IGA-Funktionen und -Verfahren ermöglicht.

  • Workflow-basierte Bereitstellung: Automatisierung zur Gewährleistung einer ordnungsgemäßen Zugriffskontrolle
  • Zugriffszertifizierung: Kontinuierliche Überprüfung des Zugriffs und entsprechende Anpassung
  • Rollenverwaltung: Erkennen und Vermeiden schädlicher Zugriffskombinationen
  • Identitätslebenszyklusmanagement: Sofortige Aktualisierung der Zugriffsrechte bei Änderung oder Beendigung von Rollen
  • Prüfung und Berichterstattung: Unterstützung des Zero-Trust-Prinzips zur Begründung von Vertrauensentscheidungen

Schwerpunkt der IGA: Einhaltung gesetzlicher Vorschriften

SOX, HIPAA, DSGVO, PCI-DSS, ISO 27001IGA und andere Vorschriften verlangen eine strenge Zugriffskontrolle sowie die Möglichkeit, nachzuweisen, dass die Zugriffskontrolle den in den Vorschriften festgelegten Standards entspricht. Genau diese Nachvollziehbarkeit und Überprüfbarkeit bietet IGA.

Die Einhaltung gesetzlicher Vorschriften wird insbesondere durch mehrere Kernfunktionen und -verfahren von IGA unterstützt:

  • Zugriffszertifizierung: Überprüfung des Zugriffs und Nachweis der Zugriffsrechte
  • Prüfung und Berichterstattung: Erfüllung spezifischer regulatorischer Anforderungen hinsichtlich des Nachweises der Compliance
  • Identitätslebenszyklusmanagement: Sicherstellung einer korrekten Abstimmung der Zugriffsrechte auf die aktuellen Rollen
Wie sich IGA und IAM unterscheiden

Sowohl IGA als auch IAM befassen sich mit dem sicheren Zugriff auf Ressourcen. Während IAM es Benutzern jedoch ermöglicht, sicher und bequem auf die Ressourcen zuzugreifen, zu denen sie berechtigt sind, prüft IGA, ob sie überhaupt zu diesem Zugriff berechtigt sein sollten. In diesem Zusammenhang bestehen folgende wesentliche Unterschiede:

IAM: Zugriff aktivieren
IGA: Zugriffssteuerung
Ziel/Zweck
Einen sicheren und bequemen Zugriff auf die Ressourcen ermöglichen, auf die ein Benutzer Zugriffsrechte hat
Stellen Sie sicher, dass der Zugriff des Benutzers auf eine Ressource seiner Rolle und seinen Aufgaben entspricht
Hauptanliegen
Wer sind Sie und worauf haben Sie Zugriff bzw. welchen Zugriff benötigen Sie?
Wer bist du und was sollte auf die Sie Zugriff haben?
Wichtige Fähigkeiten
  • Authentifizierung
  • Multi-Faktor-Authentifizierung (MFA)
  • Federated Identity
  • Passwortlos
  • Workflow-basierte Bereitstellung
  • Zugangsbescheinigung
  • Rollenverwaltung
  • Identitätslebenszyklusmanagement
  • Prüfung und Berichterstattung
Beispiele für Erfolgskennzahlen
  • Erfolgs-/Fehlschlagquote bei der Authentifizierung
  • Verbreitungsgrad von MFA/passwortloser Authentifizierung
  • Durchschnittliche Zeit bis zur Einrichtung von Konten
  • Durchschnittliche Zeit bis zur Behebung von Authentifizierungsproblemen
  • Systemverfügbarkeit und Betriebszeit
  • Durchschnittliche Bearbeitungszeit für die Genehmigung von Zugriffsanfragen
  • Prozentsatz der abgeschlossenen Zugangsüberprüfungen
  • Verstöße gegen die Aufgabentrennung festgestellt
  • Anzahl der Konten, bei denen das Prinzip der geringsten Berechtigungen zum Tragen kommt
  • Anzahl der bei der Prüfung festgestellten Mängel

Ziel/Zweck

IAM: Zugriff aktivieren

Einen sicheren und bequemen Zugriff auf die Ressourcen ermöglichen, auf die ein Benutzer Zugriffsrechte hat

IGA: Zugriffssteuerung

Stellen Sie sicher, dass der Zugriff des Benutzers auf eine Ressource seiner Rolle und seinen Aufgaben entspricht

Hauptanliegen

IAM: Zugriff aktivieren

Wer sind Sie und worauf haben Sie Zugriff bzw. welchen Zugriff benötigen Sie?

IGA: Zugriffssteuerung

Wer bist du und was sollte auf die Sie Zugriff haben?

Wichtige Fähigkeiten

IAM: Zugriff aktivieren

  • Authentifizierung
  • Multi-Faktor-Authentifizierung (MFA)
  • Federated Identity
  • Passwortlos

IGA: Zugriffssteuerung

  • Workflow-basierte Bereitstellung
  • Zugangsbescheinigung
  • Rollenverwaltung
  • Identitätslebenszyklusmanagement
  • Prüfung und Berichterstattung

Beispiele für Erfolgskennzahlen

IAM: Zugriff aktivieren

  • Erfolgs-/Fehlschlagquote bei der Authentifizierung
  • Verbreitungsgrad von MFA/passwortloser Authentifizierung
  • Durchschnittliche Zeit bis zur Einrichtung von Konten
  • Durchschnittliche Zeit bis zur Behebung von Authentifizierungsproblemen
  • Systemverfügbarkeit und Betriebszeit

IGA: Zugriffssteuerung

  • Durchschnittliche Bearbeitungszeit für die Genehmigung von Zugriffsanfragen
  • Prozentsatz der abgeschlossenen Zugangsüberprüfungen
  • Verstöße gegen die Aufgabentrennung festgestellt
  • Anzahl der Konten, bei denen das Prinzip der geringsten Berechtigungen zum Tragen kommt
  • Anzahl der bei der Prüfung festgestellten Mängel
IAM und IGA gemeinsam: umfassende Identitätsabdeckung

Um das gesamte Spektrum der Identitätssicherheit abzudecken, benötigen Unternehmen im Idealfall eine Kombination aus IAM (damit Benutzer sicher und bequem auf Ressourcen zugreifen können) und IGA (um sicherzustellen und nachzuweisen, dass der Zugriff der Benutzer auf Ressourcen angemessen ist und kein Sicherheitsrisiko darstellt). Allerdings haben verschiedene Unternehmen unterschiedliche Anforderungen und Ressourcen, die darüber entscheiden, wie vorzugehen ist, wie in den folgenden Szenarien beschrieben.

Szenario: IAM und IGA gemeinsam einführen? Ja, wann immer möglich.

Die gemeinsame Einführung von IAM und IGA ist fast immer ideal, unabhängig davon, ob ein Unternehmen eine Neuimplementierung beider Lösungen plant oder eine bestehende IAM-Lösung ersetzen und zusätzlich IGA einführen möchte. Durch die gleichzeitige Bereitstellung von IGA- und IAM-Funktionen desselben Anbieters wird dem Unternehmen eine lückenlose Identitätssicherheit in zwei sich ergänzenden und kritischen Bereichen gewährleistet, ohne das Risiko unnötiger Sicherheitslücken, Integrationsprobleme oder anderer Schwierigkeiten, die bei einer gestaffelten Bereitstellung auftreten können.

H3-Szenario: IGA in eine bestehende IAM-Bereitstellung integrieren? Vielleicht.

Für Unternehmen, die bereits über eine IAM-Lösung verfügen, die alle erforderlichen Funktionen zur Gewährung und Verwaltung von Zugriffsrechten bietet, kann es sinnvoll sein, diese Lösung beizubehalten, um die ursprünglichen Investitionen in die Identitätsverwaltung zu schonen und gleichzeitig IGA hinzuzufügen. Dies funktioniert gut, wenn die IGA-Lösung vom selben Anbieter stammt. Andernfalls dürfte die gesamte Verwaltung der Identitätssicherheit wesentlich komplexer werden; die Integration beider Systeme könnte sich als schwierig erweisen; und es könnten fortlaufende Probleme bei der Fehlerbehebung im Zusammenhang mit dem Betrieb unterschiedlicher Systeme auftreten.

Szenario: Nur bei IAM bleiben? Nicht empfehlenswert.

Es ist möglich, IAM ohne IGA zu betreiben, wie es manche Organisationen aufgrund von budgetären oder betrieblichen Einschränkungen in Erwägung ziehen. Dies ist jedoch nicht unbedingt ratsam. Zwar ist es richtig, dass durch die Einführung von IAM zur Authentifizierung von Benutzern das Risiko geringer ist, dass jemand, der keinen Zugriffsberechtigung hat, auf irgendeine Weise Zugriff erhält. Dabei wird jedoch nicht berücksichtigt, ob der Zugriff, über den die Benutzer verfügen, der rechts Zugriff. Aus diesem Grund laufen Unternehmen, die ausschließlich IAM einsetzen, Gefahr, Sicherheitsprobleme zu verursachen, da Nutzer übermäßige Zugriffsrechte ansammeln. Unternehmen ohne IGA fehlen zudem Prüfpfade und andere Nachweise, um bei behördlichen Prüfungen die Einhaltung von Vorschriften nachweisen zu können.

Szenario: Nur IGA nutzen? Das kommt eigentlich nicht in Frage.

Es macht keinen Sinn, IGA ohne IAM einzusetzen, da die Durchsetzung von Sicherheitsrichtlinien durch IGA auf den zugrunde liegenden Authentifizierungs- und Autorisierungsmechanismen basiert, die IAM bereitstellt. Mit anderen Worten: Ohne IAM gibt es für IGA keine Grundlage. Die einzige Entscheidung, die getroffen werden muss, ist die Wahl zwischen „nur IAM“ oder „IAM und IGA zusammen“.

Häufig gestellte Fragen zu IGA und IAM
Was bewirkt Identitätssicherheit?

Identitätssicherheit bezeichnet den Schutz digitaler Identitäten durch Identitätsüberprüfung und die Anwendung von Zugriffskontrollen mit dem Ziel, unbefugten Zugriff zu verhindern.

Ist IAM Teil der Identitätssicherheit?

Ja. IAM vereint Identitätsmanagement und Zugriffsmanagement, um digitale Identitäten zu sichern und vor unbefugtem Zugriff auf Ressourcen in digitalen Umgebungen zu schützen.

Was ist Identitäts- und Zugriffsmanagement?

Identitäts- und Zugriffsmanagement (IAM) ermöglicht die sichere Speicherung sensibler Ressourcen und den sicheren Zugriff darauf mithilfe von Verfahren wie SSO, MFA und passwortlos.

Was ist das Ziel des Identitätsmanagements?

Das Ziel des Identitätsmanagements besteht darin, das Risiko von Sicherheitsverletzungen zu verringern, indem sichergestellt wird, dass die richtigen Personen – und nur diese – Zugriff auf geschützte Ressourcen erhalten.

Was sind die Vorteile des Identitätsmanagements?

Das Identitätsmanagement ermöglicht einen sicheren Zugriff auf Ressourcen, unterstützt die Einhaltung gesetzlicher Vorschriften und optimiert die Benutzererfahrung, indem es den Zugriff sowohl bequem als auch sicher gestaltet.

Was ist der Unterschied zwischen IGA und IAM?

IAM konzentriert sich darauf, wer Zugriff hat, d. h. auf die Authentifizierung von Benutzern und die Verwaltung ihres Zugriffs auf Ressourcen, während IGA sich darauf konzentriert, ob der Zugriff eines Benutzers seiner Rolle und seinen Aufgaben entspricht.

Demo anfordern

Demo anfordern