Digitale Identitäten beruhen auf Technologien, die das Zusammenspiel zwischen Institutionen und Entitäten ermöglichen. Dazu gehören Menschen – Mitarbeitende, Zeitarbeitende, Kunden, Geschäftspartner – sowie Maschinen, Laptops und Mobilgeräte, Server, virtuelle Geräte und die Cloud. Eine fortschrittliche Identity-Strategie bildet eine der wichtigen Säulen einer umfassenden Innovationsstrategie.
Damit Unternehmen ihre eigenen Fähigkeiten besser einschätzen und sich auf ihrer Reise zu einem erweiterten Identity-Programm einordnen können, hat SailPoint eine Reifeskala entwickelt, die Aufschluss über die unterschiedlichen Stufen der Identitätssicherheit gibt.
Reifeskala der Identitätssicherheit
Mit der Reifeskala der Identitätssicherheit macht SailPoint sichtbar, wie ausgereift die Identity-Strategie eines Unternehmens bereits ist. Die Kriterien beschränken sich dabei nicht nur auf die technischen Fähigkeiten und Tools, sondern decken auch die Punkte Strategie, Betriebsmodell und Mitarbeitende ab.
Denn nur wenn die Identity-Strategie auch auf die Geschäftsziele des Unternehmens abgestimmt ist und zentral über das gesamte Unternehmen verfolgt und gemessen, sowie von einem IAM-Team unterstützt wird, kann das Programm erfolgreich sein. Dabei stuft SailPoint Reifegrad 1 als unzureichend ein, Reifegrad 2-3 decken die grundlegenden Funktionen zum Identity-Management ab. Die Grade 4-5 zählen zu den erweiterten IAM-Fähigkeiten.
Für Unternehmen auf Reifegrad 1 ist das Identitätsmanagement kein Schwerpunkt – es handelt sich lediglich um fragmentiert eingesetzte Tools, statt um eine unternehmensweite Strategie. Oft werden auch veraltete Instrumente zur Verwaltung der Nutzerrechte, statt moderne Identity-Lösungen verwendet. Es fehlt an einem Betriebsmodell zur Organisation von Teams und zur unternehmensweiten Verwaltung aller Arten von Identitäten.
Unternehmen, die zwar Lösungen zum Identity Management einsetzen, aber dies meist manuell tun, erreichen den Reifegrad 2. In diesen Unternehmen wird Identity Management nur eingesetzt, um taktisch auf bestimmte Herausforderungen wie etwa Compliance oder Sicherheitsverletzungen zu reagieren. Die Akzeptanz innerhalb des Betriebs gegenüber einer Identity-Strategie ist eher gering und die Fähigkeiten zur Umsetzung des Programms sind elementar. Das Identity-Team besteht hauptsächlich aus einem Helpdesk mit einem IT-Team für die Wartung von Tools und zentralisierte IAM-Funktionen haben primär einen Fokus zur Erfüllung von Service-Tickets. Unternehmen auf Level 2 setzen meist auf Passwort-Manager und wissensbasierte Multi-Faktor-Authentifizierung statt auf automatisierte Identitätsverwaltung.
Reifegrad 3 umfasst Unternehmen, die bereits ein digitalisiertes Identity-Management auf breiter Ebene implementiert haben. Viele IAM-Funktionen, wie ein automatisiertes Lifecycle-Management sowie die automatisierte Verwaltung von Maschinenidentitäten gehören bereits zum Standard. Es gibt eine Strategie, die den Impact des zentralisierten Betriebsmodells auf das Unternehmen durch festgesetzte Metriken misst. Identity-Funktionen werden im Unternehmen zunehmend angenommen und ein gewisses Maß an Automatisierung und Identity wird auf die Cloud sowie Data Governance ausgeweitet.
Für Unternehmen auf Reifegrad 4 ist das Identity-Programm zum strategischen Wegbereiter für Innovation und Sicherheit im Unternehmen geworden. KI besitzt hier einen hohen Stellenwert, wenn es um automatisierte Zugriffsentscheidungen bzw. -empfehlungen geht. Die Empfehlung folgt auf Basis von Risikoeinschätzungen. Passwörter gehören in Level 4-Unternehmen der Vergangenheit an: Der Login auf Laptops oder Anwendungen funktioniert passwortlos. Zudem gibt es meist ein Identity-Team aus Daten- und Identity-Spezialisten, welches Analysen durchführt und im gesamten Unternehmen als Experten im Bereich IAM anerkannt wird.
Unternehmen, die von sich behaupten können, den höchsten Reifegrad 5 im Unternehmen umgesetzt zu haben, verfügen über eine erweiterte und vereinheitlichtes Identitätsmanagement. Das etablierte Betriebsmodell ermöglicht die Zusammenarbeit mit Ökosystemen anderer Unternehmen. Beschäftigte haben nahtlosen Zugriff auf die ihnen zugewiesenen Anwendungen und profitieren von Biometrie sowie Geräte-MFA – Fingerabdruck oder Geschichts-erkennung und verhaltensbasierte Verifizierung. In diesen Unternehmen dient Identität als kritischer Kontrollpunkt bei der Verringerung von Cybersecurity-Risiken und unterstützt Unternehmen bei technologischen Innovationen der nächsten Generation
Sinn und Zweck
Mit zunehmender Reife verbessern Unternehmen ihre Sicherheitslage und Widerstandsfähigkeit drastisch und minimieren damit natürlich auch ihr Cyberrisiko. Eine von SailPoint durchgeführte Umfrage zeigt: Unternehmen, die von Reifegrad 3 auf Reifegrad 4 aufsteigen, erkennen Cyberangriffe um 40 Prozent schneller – dank der Nutzung von KI und ML und der dadurch verbesserten Transparenz.
Die durchschnittliche Reaktionszeit auf eine Sicherheitsverletzung sinkt von drei Stunden auf nur drei Minuten. Und die Reaktionszeit ist entscheidend für die Schadensbegrenzung und Risikominderung.