In einem 2009 von M. Chertoff verfassten Artikel mit dem Titel „Managing Identity: A Global Challenge, Notes from Homeland Security“ (US-Heimatschutzministerium) wird festgestellt, dass die Identitätsverwaltung eine der größten Herausforderungen dieses Jahrhunderts darstellt. Laut einem Gartner-Bericht führen Lücken im Identitätsmanagement jährlich zu Verlusten in Billionenhöhe, die sich mit neuen Technologien wie sozialen Medien und Cloud Computing noch verstärken. Einem Bericht von Forrester Research zufolge hatte der globale Markt für Identitätsmanagement Ende 2009 ein Volumen von 3,8 Billionen US-Dollar. Für den Zeitraum 2010–2013 wurde ein Wachstum von 13 % prognostiziert, und bis 2014 sollte er 12 Billionen US-Dollar übersteigen. Davon entfielen 57 % auf Software und 43 % auf Dienstleistungen. Bis Ende 2013 sollte die EMEA-Region den globalen Markt mit einem Anteil von 40 % dominieren. Die Rolle des Identitätsmanagements besteht darin: Anmeldeinformationen zu verwalten, den Benutzerzugriff auf technologische Ressourcen (Hardware, Software und Dienste) zu verwalten, Benutzernamen/Passwörter zu reduzieren, Benutzernamen/Passwörter mit realen Personen zu verknüpfen, einen definierten und wiederholbaren Prozess für die Anforderung und Gewährung des Zugriffs auf Systeme zu ermöglichen, geplante Zugriffsüberprüfungen zu ermöglichen, Konsistenz bei der Gewährung des Zugriffs auf Systeme zu gewährleisten, den mit der Gewährung des Zugriffs auf Systeme verbundenen Verwaltungsaufwand zu automatisieren, den Menschen die richtigen Informationen zum richtigen Zeitpunkt zur Verfügung zu stellen, damit sie ihre Aufgaben erledigen können usw.
Das Identitätsmanagement in einer Organisation integriert zahlreiche Funktionen wie die Identifizierung von Entitäten (Personen, Dienste usw.), Multi-Faktor-Authentifizierung, Autorisierung, die Nachverfolgung des Zugriffs auf Dienste/Ressourcen sowie die Bereitstellung und den Entzug von Identitäten (für verschiedene Benutzerkonten, z. B. Endbenutzer, Anwendungsadministratoren, IT-Administratoren, Vorgesetzte, Entwickler, Kontoadministratoren usw.). Berechtigungen beschreiben die Aktionen einer Entität (Lesen, Ausführen, Schreiben usw.). Rollen definieren die Rolle der Entität (Superadministrator, Gast, Personalmanager, Mitarbeiter, externer Dienstleister usw.) und können für richtlinienbasierte Berechtigungen verwendet werden. Beide Konzepte ergänzen sich in der Autorisierung. Wichtige Fragen in diesem Zusammenhang sind: Wie nutzen Personen die von ihnen beanspruchten Dienste? Sind sie Mitglieder des Unternehmens, und wenn ja, welche Rolle? Verfügen sie über die erforderlichen Mindestberechtigungen, um gemäß dem etablierten Geschäftsmodell zu agieren? Wie wird ihre Privatsphäre geschützt?.
Charakterisierung und Entwicklung des Identitätsmanagements
Identitätsmanagement, auch IAM oder einfach IdM (Identity Management) genannt, kann aus vielen verschiedenen Perspektiven definiert werden:
(1) Identitätsmanagement ist ein architektonisches Rahmenwerk zur Verwaltung umfassender Identitätsinformationen von Personen in verschiedenen Geschäftsbereichen. Es vereinheitlicht heterogene Identitätsdaten und verbessert so effizient Datenkonsistenz, Datengenauigkeit sowie System- und Datensicherheit. Identitätsmanagement erfordert die Integration von Technologien wie Verzeichnissen, Single Sign-On (SSO), Benutzerbereitstellung (zur Reduzierung der Helpdesk-Kosten) und delegierter Administration sowie die Abstimmung mit Geschäftsprozessen im Zusammenhang mit der Verwaltung von Benutzerinformationen, Zugriffsrechten und zugehörigen Richtlinien.
2) Identitätsmanagement umfasst eine Vielzahl von Funktionen (eine multifunktionale Suite), die Benutzerkonten, Zugriffsrechte, Passwörter, Authentifizierung, Autorisierung usw. verwalten. Identitätsmanagement (IdM) ist verantwortlich für die Verwaltung von Identitäten (Erstellung, Änderung oder Löschung; Passwortsynchronisierung; Self-Service-Passwortzurücksetzung; Workflow und Delegierung), Zugriffskontrolle (rollenbasierte Zugriffskontrolle, richtlinienbasierte Zugriffskontrolle, ESSO (Enterprise Single Sign-On), Federation, RSSO (Reduced Single Sign-On), WSSO (Web Single Sign-On)), Verzeichnisdienste (Verzeichnisse sind eine kritische Infrastrukturkomponente mit Identitätsspeichern, Metadatenreplikations-/Synchronisierungsdiensten und Verzeichnisvirtualisierung), Funktionstrennung (entscheidend für interne Kontrollen; implementiert individuelle Überprüfung; reduziert die Gefahr/das Risiko individueller Handlungen; unterstützt Auditierung/Compliance) und Auditierung/Compliance. Identitätsmanagement umfasst drei Paradigmen: (i) Reine Identität. Diese konzentriert sich ausschließlich auf die Identität und deren Verwaltung: Erstellung, Löschung und Aktualisierung. Beachten Sie, dass Zugriffsrechte nicht definiert sind. (ii) Benutzerzugriff. Hierbei geht es um die Verwendung digitaler Identitäten, die in der Regel eindeutig sind. Eine eindeutige Identität vereinfacht Überwachung und Verifizierung. Dies umfasst Authentifizierung, Autorisierung sowie Protokollierung/Überwachung/Berichterstattung. (iii) Dienste. Hierbei geht es um die Ressourcen, die zur Bereitstellung von Diensten verwendet werden; Beispiele hierfür sind Server, Anwendungen, Netzwerkgeräte, VPNs usw. Dies ermöglicht eine umfassendere und breitere Sichtweise, typischerweise aus der Perspektive des Audit-/Compliance-Teams. Es könnte eine geschichtete Struktur dargestellt werden, wobei die Mitarbeiter die innerste Schicht bilden, umgeben von einer weiteren Schicht mit Benutzerkonten und diese wiederum von einer äußersten Schicht mit Anwendungen.
(3) Laut der Burton Group ist Identity Management (IdM) die Gesamtheit der Geschäftsprozesse und der Infrastruktur, die die Erstellung, Pflege und Nutzung digitaler Identitäten unterstützen. Die Kernfunktionen von IdM sind die Identitätsfeststellung (Nachweis und Überprüfung der Identität) sowie die Benutzerauthentifizierung und -autorisierung. Die unterstützende Infrastruktur für diese Kernfunktionen umfasst Verzeichnisdienste, Reverse-SSO/SSO, rollen- und berechtigungsbasierte Autorisierungsautomatisierung und Identitätsföderation.
(4) Laut der Open Group ist Identity Management (IAM) eine Konvergenz von Technologien und Geschäftsprozessen; daher gibt es keinen einheitlichen Ansatz für Identity Management, da die Strategie die spezifischen Anforderungen des jeweiligen Geschäfts- und Technologiekontexts einer Organisation widerspiegeln muss.
(5) IAM umfasst verschiedene Faktoren wie: (i) die Prozesse zur Erstellung einer elektronischen Identität für Einzelpersonen; (ii) die Beziehungen von Einzelpersonen zur Institution; (iii) die Deklaration dieser elektronischen Identitäten und der Beziehungen, die den Zugriff auf Ressourcen ermöglichen; (iv) die Technologie zur Unterstützung des sicheren und effizienten Betriebs von IAM-Diensten. Anders ausgedrückt: Eine Identitätsmanagement-Infrastruktur ist ein Satz von Technologien und Richtlinien, der es vernetzten Computersystemen ermöglicht, zu bestimmen, wer Zugriff darauf hat und auf welche Ressourcen eine Person zugreifen darf, wobei die Privatsphäre von Einzelpersonen und der Zugriff auf vertrauliche Informationen jederzeit geschützt werden. IDaaS (Identity as a Service) ist im Wesentlichen Identitätsmanagement in der Cloud, außerhalb der Anwendungen (und sogar der Anbieter), die diese nutzen. Analysiert man die Entwicklung von IAM, lassen sich mehrere Reifegrade identifizieren, die von der ältesten zur neuesten Stufe wie folgt lauten: (a) Stufe 1: Die Anwendung verwaltet eindeutige Identitätsinformationen und Anmeldeinformationen für jeden Benutzer. (b) Stufe 2: Anmeldeinformationen werden zentralisiert, beispielsweise mit Kerberos, LDAP/Active Directory, aber die Anwendungen verwalten alle Benutzeridentitätsinformationen. (c) Phase 3. Die wichtigsten Anmeldeinformationen und Identitätsdaten werden zentralisiert, und die Anwendung verwaltet nur noch anwendungsspezifische Benutzerdaten.
Technologien in einem IAM-System:
Ein IAM-System kombiniert verschiedene Technologien: (1) Aufbau einer Identitätsdateninfrastruktur. Dazu gehören die Funktionen der Identitätsinformationsschicht: Verzeichnisse, Metaverzeichnisse und virtuelle Verzeichnisse. (2) Verwaltung von Konten und Berechtigungen. Dies umfasst Funktionen zur Verwaltung von Benutzerkonten, Attributen und Anmeldeinformationen mit Bereitstellung/Entzug von Berechtigungen, Rollenverwaltung, Passwortverwaltung und Verwaltung privilegierter Benutzer. Funktionen für Self-Service und delegierte Administration sind ebenfalls integriert. (3) Kontrolle des Zugriffs auf IT-Ressourcen. Dies koordiniert den Benutzerzugriff auf mehrere Anwendungen mittels ESSO (Enterprise Single Sign-On), WSSO (Web Single Sign-On) und Federation. Auch die Rechteverwaltung ist enthalten. (4) Prüfung von Zugriffen und administrativen Aktivitäten. Unternehmen benötigen Funktionen zur Identitätsprüfung, um nachzuweisen, dass Zugriffskontrollen und Kontoverwaltung gemäß den Richtlinien durchgeführt werden. Diese Funktionen kombinieren und korrelieren Aktivitäten und Ereignisse in der gesamten Identitätsinfrastruktur sowie die Berechtigungsbestätigung, um die Korrektheit der einem Benutzer zugeordneten Berechtigungen zu gewährleisten. Die Rollenverwaltung ist ebenfalls enthalten; sie dient der Kodifizierung von Richtlinien und der Validierung ihrer Anwendung. (5) Für eine robuste, risikobasierte Authentifizierung mittels Smartcards, digitaler Zertifikate, Biometrie usw.
Schlussbetrachtungen
Unsere Forschungsgruppe arbeitet seit über zwanzig Jahren im Bereich Identitäts- und Benutzermanagement, einem sich ständig weiterentwickelnden Feld. Wir beschäftigen uns mit der Entwicklung und Synthese von Werkzeugen sowie mit der Analyse und Bewertung von Systemen und praktischen Implementierungen. Darüber hinaus führen wir Szenariotests durch, um immer komplexere Angriffe wie Identitäts- und Sitzungsübernahmen sowie andere Formen des Datendiebstahls zu minimieren.
Dieser Artikel ist Teil der Aktivitäten des thematischen Netzwerks LEFIS.
Literaturverzeichnis:
Areitio, J. „Information Security: Networks, Computing and Information Systems“. Cengage Learning-Paraninfo. 2011.
Areitio, J. und Areitio, A. „New approaches in the analysis of firewall technology, an essential component for network security“. Conectrónica Magazine. Nr. 122. November 2008.
Paschoud, J. „Access and Identity Management: Controlling Access to Online Information“. Neal-Schuman Publishers. 2010.
Takahashi, K. „Identity Management: Concepts, Technologies and Systems“. Artech House Publishers. 2011.
Todorov, D. „Mechanics of User Identification and Authentication: Fundamentals of Identity Management“. Auerbach Publications. 2007.
Buecker, A., Annas, A., Faustini, A. und Sanui, T. „Identity Management Advanced Design for IBM Tivoli Identity Manager“. IBM.com/Redbooks.Williamsar
Benantar, M. „Zugriffskontrollsysteme: Sicherheit, Identitätsmanagement und Vertrauensmodelle.“ Springer. 2005.
, G., Yip, D., Sharoni, I. und Spaulding, K. „Identitätsmanagement. Eine Einführung.“ McPress. 2009.
Scheidel, J. „Entwurf eines IAM-Frameworks mit der Oracle Identity and Access Management Suite.“ McGraw-Hill. Osborne Media. 2010.
Windley, PJ „Digitale Identität“. O'Reilly Media, Inc. 2005.
Birch, D. „Digitales Identitätsmanagement: Technologische, wirtschaftliche und soziale Auswirkungen.“ Ashgate Publishing. 2007.
Santuka, V., Bauga, P. und Carroll, BJ „AAA Identity Management Security“. Cisco Press. 2010.
Autoren:
Prof. Dr. Javier Areitio Bertolín – E-Mail:
Professor an der Fakultät für Ingenieurwissenschaften.
Leiter der Forschungsgruppe Netzwerke und Systeme. Universität Deusto.
Prof. Dr. Ana Areitio Bertolín – E-Mail:
Labor für Angewandte Informatik. Universität des Baskenlandes (UPV/EHU)
