Titelbild KI IAM

 

Die schlaue Seite der
Identity und Access Governance

Machine Learning oder künstliche Intelligenz – Begriffe, die zusehends auch im Daily Business zum Tragen kommen. Mehr und mehr Geschäftsprozesse werden damit unterstützt und bekommen so eine neue Dynamik. Aktuelle Studien(1) gehen davon aus, dass künftig bis zu 70% der Unternehmensentscheide dadurch beeinflusst werden. Auch im Identity und Access Management beginnt die «Artificial Intelligence» Einzug zu halten. Als wertvolle Hilfe für Entscheider wird sie in diesem Bereich wohl bald nicht mehr wegzudenken sein. 

Die heutigen IAG Lösungen sind unbestechliche Automatisierungshilfen. Sie dienen der «Bereitstellung» von Benutzerkonten sowie Zugriffsberechtigungen und unterstützen die Rezertifizierung. Das IAM als Automatisierungshilfe reduziert nicht nur die Durchlaufzeit beim Onbodarding von Mitarbeitenden, vereinfacht die Verarbeitung von Veränderungen (neuer Job, neue Organisationsstruktur etc.) und dies immer mit Blick auf die Standardisierung von Berechtigungen. Dazu werden Geschäftsrollenmodelle etabliert, Workflows definiert und Rezertifizierungskampagnen angelegt. Doch all dies hat, einmal definiert und umgesetzt, statischen Charakter. Hier setzen die Möglichkeiten von maschinellem Lernen und künstlicher Intelligenz an.

 

Die «dumme» Berechtigungs-Rezertifizierung
In den vergangenen Jahren haben Unternehmen viel Geld in die Hand genommen, um den Führungskräften in den Fachabteilungen die Berechtigungs-Rezertifizierung zu vereinfachen. Geprüft wird, ob zugewiesene Berechtigungen noch angemessen sind. Die Herausforderungen liegen in der Komplexität der Aufgabe, der Masse an zu prüfenden Einzelberechtigungen und dem Zeitdruck wie unser Experte Miodrag Radovanovic in dem Blog zum Thema Rezertifizierung 2.0 berichtet. Kennen die Führungskräfte die exakten Tätigkeitsgebiete ihrer Mitarbeitenden? Wissen sie, welche Geschäfts-Rollen oder Einzelberechtigungen für diese Tätigkeit benötigt werden? Sind die Rollen oder Berechtigungen überhaupt verständlich beschrieben? Und führt der Entzug einer Berechtigung womöglich zum «Produktivitätsverlust», weil die Berechtigung doch angemessen war?

Es liegt auf der Hand, dass viele Führungskräfte dazu neigen könnten, im Zweifelsfall Berechtigungen zu bestätigen, anstatt die Richtigkeit zu klären. Somit haben Unternehmen in der Vergangenheit womöglich viel Geld für eine vorgegaukelte Sicherheit und Compliance investiert. Um die Qualität und Wirksamkeit von Berechtigungsprüfungen zu erhöhen, müssen den Führungskräften Entscheidungshilfen zur Seite gestellt werden. Dies kann mit Machine Learning unterstützt werden.

Blog ML Bild1

Wird die künstliche Intelligenz reichlich mit Daten versorgt, die eine unternehmensweite Sicht auf alle Aspekte der Identität darstellen, kann die Intelligenz auch komplexere Zugriffsanträge automatisiert verarbeiten oder zumindest dem Entscheider bei der Genehmigung beziehungsweise Zurückweisung eines solchen Antrags unterstützen. Auch Teile der Rezertifizierung (unkritische Berechtigungen) werden von der Maschine «autonom» ausgeführt. 

Fazit: Erste Ansätze und Funktionalitäten sind mit Identity Analytics oder Identity Intelligence Funktionalitäten in den etablierten IGA-Lösungen schon zu finden. Zudem gibt es einige interessante Produkte, die ergänzend zu den herkömmlichen IAG Lösungen eingesetzt werden können.

Smarte Geschäftsrollen dank Machine Learning
Die Möglichkeiten von künstlicher Intelligenz auch auf der Stufe von Geschäftsrollen sind vielfältig, denn diese sollten periodisch geprüft werden. Dies funktioniert analog einer Berechtigungsüberprüfung, nur dass hier ein Rollenowner die Inhalte prüft. Hier können auf Grund einer breiteren Datenbasis Vorschläge gemacht werden, ob oder mit welchen Zugriffsberechtigungen zusätzlich eine Rolle angereichert werden sollte oder mit anderen «Schnitten» eine grössere Mitarbeiterpopulation abgedeckt werden könnte. Mit Behavioural Analytics könnten auch die «Verwendung» von Rechten mitberücksichtigt werden. Also auch, ob die Rechte, welcher Teil einer Rolle genutzt werden können, künftig in die Modellierung oder aber auch in die Überprüfung der Rollen einfliessen.

Vorschläge für Rollen- und Berechtigungsvergabe
In unserem täglichen Leben haben wir schon oft erlebt, dass wir beim Onlineshopping noch Produkte vorgeschlagen bekommen, die andere Personen mit dem gleichen Einkauf auch noch eingekauft haben. Dies lässt sich auch einfach auf die Berechtigungsvergabe anwenden und ist – kaum verwunderlich – auch bereits ein Defacto-Standard geworden.

Szenario: Ablösung von Geschäftsrollen
Ein etwas radikalerer Gedanke ist es, die heute bekannten Geschäftsrollen komplett zu ersetzen und auf den sogenannten «Decision Support» bei Bereitstellung von Zugriffsrechten zu setzen. So schlägt dann die IAG Lösung, sobald ein neuer Mitarbeiter eingestellt und der Onboardingprozess gestartet wird, ein für diesen Mitarbeitenden optimales Berechtigungsset vor. Dieses ergibt sich aus einer Vielzahl von Faktoren (z.B. Jobtitel, Organisation, Land, Hierarchieebene, etc.). Vereinfacht gesagt, errechnet die Lösung, welche Berechtigungen Mitarbeiter mit der gleichen oder ähnlichen Ausprägung haben und nutzen. Man könnte dies auch mit einem Echtzeit-Rolemining vergleichen. Anstatt mit Geschäftsrollen zu operieren, die «vor langer Zeit einmal» definiert und dann nie mehr aktualisiert wurden, werden die Berechtigungsbündel jedes Mal neu berechnet. Technologisch leicht vorstellbar und durchaus ein logischer Ansatz, jedoch mit einem Nachteil: Es braucht Vertrauen in den maschinell berechneten Vorschlag und Gewöhnungszeit und ist aus Revisionssicht natürlich nicht mehr ganz so einfach zu fassen. Gerade wenn noch Behavioural Analytics dazu kommen, wird sich auch der Datenschützer verstärkt für das Thema interessieren.

Cyberkriminalität als Treiber für Zero Trust / Behavioural Analytics
Mit der zunehmenden Cyberkriminalität wird der Ruf der Unternehmen nach Zero Trust Konzepten und -Architekturen immer lauter. Bis zu 40% aller Vorfälle entstehen durch missbräuchliche Verwendung von Benutzerkonten und Zugriffsrechten, sogenannte Insider Threats.

Hier öffnet sich ein weiteres Feld für die Anwendung von künstlicher Intelligenz bzw. Machine Lerning mit Behavioural Analytics. Ein Unternehmen kann noch so viele Anstrengungen unternehmen, das Least Privilege Prinzip umzusetzen, Berechtigungsrezertifizierungen durchsetzen und auditieren, es wird damit nicht feststellen, ob immer die Person hinter dem Account agiert, welche man vermutet.

Blog ML Bild2

Legale Operationen trotz Illegalität? Beim sogenannten Identitätsdiebstahl verschafft sich der Cyberkriminelle illegal Zugriff auf ein Benutzerkonto. Nutzt der Hacker dann dieses Benutzerkonto und treibt damit seine kriminellen Machenschaften weiter, ist dies aus Sicht des betroffenen Unternehmens eine legale Aktion, denn die Identität ist bekannt und es wird mit dessen Zugriffsberechtigungen operiert.

Neue Lösungen bieten hier interessante Ergänzungen zu den IAG Lösungen. Basierend auf dem Gedanken von Security Information und Event Management (SIEM) erfolgt eine Überwachung von Logs und Aktivitäten auf Businessapplikationen, ausgeführt von Mitarbeitenden, Partnern oder sogar Maschinen.

Konkret wird geprüft, wie sich Anwenderroutinen entwickeln oder eben plötzlich verändern. Wir alle haben unsere Routinen und Arbeitsweisen. Morgens gegen 8 Uhr einloggen am Rechner, Outlook starten, Mails prüfen, usw. Verändern sich diese Verhaltensweisen merklich, ist dies ein guter Indikator für den sogenannten Insider Threat. 

Blog ML Bild3

Insider-Bedrohungen bauen sich sehr oft über einige Tage und Wochen verteilt auf. Sie können abgefangen werden, indem die "Gewohnheitsänderung" des Benutzers, aufgrund von gestohlene Anmeldeinformationen für Ransomware-Angriffe, sehr früh erkannt wird. Diese können zum Beispiel  ungewöhnlicher Zugriff auf Ordner, ungewöhnliche Zugriffszeiten, wiederholt fehlerhafte Passworteingaben sein. Eine Echtzeit-24x7-Erkennung ist dabei nicht erforderlich.

Am Puls der Zeit
Als Experten sind wir immer am Puls der Zeit und gemeinsam mit unseren Herstellerpartnern arbeiten wir stetig an den optimalen und massgeschneiderten Lösungen für unsere Kunden. Lösungen von Nexis, Sharelock oder Forgerock bieten ergänzend zu den etablierten IAG-Lösungen wertvolle «Artificial Intelligence» für ein noch wirkungsvolleres IAG. Wenn Sie mehr erfahren wollen, besuchen Sie uns gerne bei einen unserer vor Ort-Veranstaltungen oder nehmen Sie hier Kontakt auf.

 

Literaturangaben
(1)   Künstliche Intelligenz wird 2025 auf 70% der Unternehmensentscheidungen Einfluss haben, www.IT-Finanzmagazin.de

Bildquellen
https://sharelock.ai/

 

Service

Security, Identity & Access Governance

Wir bieten unseren Kunden umfassende Unterstützung im Bereich Security, Identity & Access Governance an.

Bild zum Blogbeitrag: Neue Wege in Richtung Identity and Access Governance
Blog 19.08.21

Neue Wege in Richtung Identity and Access Governance

Eine klar strukturierte Prozesslandkarte ist die Basis für IAG. Sie hilft das Governance adäquat und situationsgerecht im Unternehmen zu etablieren, Fachbereiche verantwortungsbewusst einzubinden und Identitäten und deren Berechtigungen vorgabengerecht sowie transparent zu bewirtschaften.

Bild zum Newsbericht Governance
News 24.06.21

Wie steht es um Ihre Identity Governance?

Unser kostenloses Self Assessment gibt Ihnen einen Überblick über den Reifegrad der Identity Governance in Ihrem Unternehmen.

Security, Identity & Access Management
Service

Security, Identity & Access Management

Immer wieder hört man von Hackerangriffen auf Unternehmen – und Ziel sind sensible Unternehmensdaten.

Customer IAM Azure
Blog 26.03.21

Identity & Access Management in der Cloud

Statt weiter auf On-Premises-Lösungen zu setzen, gilt auch bei IAM-Lösungen die Strategie «cloud first» oder «cloud only».

News

TIMETOACT investiert in Identity- & Access Management

Zum 01.Januar 2018 gehen die FirstProject Consulting GmbH und das IAG Team der TIMETOACT gemeinsame Wege. Mit der Übernahme verstärkt die TIMETOACT ihre Kompetenzen im Identity- & Access Governance und vergrößert sein IAG Team auf über 30 Berater.

Teaserbild Expertenbericht IAM Brownfield
Blog 08.07.24

Der Brownfield-Ansatz im Identity and Access Management

Die Modernisierung veralteter IAM-Systeme ist essenziell für Cybersicherheit. Der Brownfield-Ansatz minimiert Risiken und senkt Kosten durch eine schrittweise Migration auf zeitgemäße Lösungen.

Finger zeigt auf Schloss
Event

Virtual Innovation Day - Thema: Identity & Access Management

Die Verwaltung von IT-Rechten und die Absicherung von IT-Services, hat sich zu einem der beherrschenden IT-Themen gewandelt. In spannenden Vorträgen geben wir Ihnen unsere Erfahrungen und Best Practices weiter.

Atlassian Access - Cloud Competence Center
Produkt 28.09.22

Atlassian Access

Atlassian Access bietet eine zentrale Admin-Konsole zur Verwaltung der eingesetzten Cloud-Produkte, wie z.B. Jira, Confluence, Bitbucket und Trello.

Service

KI Governance

Die EU hat sich auf schärfere Regeln zur Nutzung von Künstlicher Intelligenz geeinigt. Ihre Auswirkungen und weitere wichtige Aspekte von "KI Governance" erfahren Sie hier.

Kompetenz

Governance & Operational Excellence

Die Digitalisierung führt unausweichlich dazu, dass sich Geschäftsprozesse ändern und Rollen und Verantwortlichkeiten neu verteilt werden.

Teaserbild zur Referenz IAM Education mit TWINT
Referenz 30.11.22

Governance-Schulung für TWINT

Stetig steigende Ansprüche an die Sicherheit, rücken Identity & Access Management (IAM) immer mehr in den Fokus der Unternehmensstrategien. Für Ausbau eines internen IAM-Kompetenzzentrums holte sich TWINT den IAM Experten IPG. Hier geht es zur ganzen Story.

Service 28.02.24

Eventreihe: KI Governance

Die EU hat sich auf schärfere Regeln zur Nutzung von Künstlicher Intelligenz geeinigt. Ihre Auswirkungen und weitere wichtige Aspekte von "KI Governance" beleuchten wir in unserer Eventserie.

Titelbild zum Expertenbericht Fabric Identity - IAM
Blog 29.08.22

Identity Fabric

So können Unternehmen die effiziente Verwendung von Identitäten für die Digitalisierung nutzen und einen Wettbewerbsvorteil erzielen.

Titelbild IPG Partner Ping Identity
Partner

Ping Identity

Identity Security-Pionier Ping Identity ist einer der größten unabhängigen Dienstleister von modernen Identity Security-Lösungen.

Titelbild OneIdentity by Quest
Partner

One Identity

OneIdentity, eine Marke von Quest Software, bietet Community-basierte Lösungen, die IT-Verwaltung vereinfachen und mehr Raum für Innovation schaffen.

Technologie Übersicht 07.08.20

One Identity

Bei One Identity dreht sich alles um das Thema IT-Sicherheit. Das Tochterunternehmen des Softwareherstellers Quest unterstützt seine Kunden bei der Entwicklung einer identitätsorientierten Sicherheitsstrategie. Dafür stellt es ein umfassendes Portfolio mit Lösungen zur Identitäts- und Zugriffsverwaltung zur Verfügung.

Titelbild OneIdentity by Quest

One Identity

OneIdentity, eine Marke von Quest Software, bietet Community-basierte Lösungen, die IT-Verwaltung vereinfachen und mehr Raum für Innovation schaffen.

Titelbild OneIdentity by Quest
Partner 17.08.21

One Identity

OneIdentity, eine Marke von Quest Software, bietet Community-basierte Lösungen, die IT-Verwaltung vereinfachen und mehr Raum für Innovation schaffen.

Titelbild IPG Partner Ping Identity

Ping Identity

Identity Security-Pionier Ping Identity ist einer der größten unabhängigen Dienstleister von modernen Identity Security-Lösungen.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!