Digitale Identität

Senior Consultant, Cybersecurity and Privacy, PwC Switzerland

E-Mail

Initiativen im Zusammenhang mit der digitalen Transformation haben die Verlagerung hin zu Online-Diensten beschleunigt und die Notwendigkeit forciert, internen Nutzern den Fernzugriff auf die Systeme von Unternehmen zu ermöglichen. Oftmals bieten diese Technologielösungen jedoch Angreifern eine Hintertür für den Zugriff auf sensible Ressourcen und Daten. Zusätzliche Risiken stellen nicht verwaltete Administratorkonten dar, die über weitreichendere Berechtigungen für das IT-Netzwerk verfügen. Diese und andere Sicherheitsbedenken können durch die Nutzung der Funktionen, welche die digitale Identität bietet, entschärft werden.

Digitale Identität kombiniert Governance, Menschen, Prozesse und Technologie, um konforme, effektive und automatisierte Lebenszyklen für die Identität und die Zugriffe für alle Entitäten zu gewährleisten, die in den Systemen eines Unternehmens existieren. Bei der digitalen Identität geht es um alle Arten von Entitäten, d. h. natürliche oder juristische Personen, oder um Maschinen. Für diese Entitäten bietet die digitale Identität sichere Authentifizierungsmechanismen innerhalb der IT-Systeme einer Organisation.

94 %

Mehr als 94 % aller Unternehmen haben eine Sicherheitsverletzung erlebt, die auf mangelhafte Identitätssicherheit zurückzuführen war.

Quelle Egress (2021): Insider Breach Data Survey

Was also ist eine digitale Identität?

Der Begriff «digitale Identität» beschreibt

die Kombination verschiedener Disziplinen wie Identity Governance und Administration (IGA), Identity und Access Management (IAM)¹ und Privileged Access Management (PAM);
die digitale Darstellung einer Entität im digitalen Kontext mit einem zugewiesenen Satz von Attributen und einer eindeutigen Kennung, die die Authentifizierung dieser Entität gegenüber IT-Systemen, -Diensten und -Anwendungen ermöglicht.

Die Disziplinen der digitalen Identität spielen eine grundlegende Rolle bei der Absicherung jeder Organisation gegen unerlaubte externe und interne Zugriffe.

Einfach gesagt, besteht der Zweck von IAM darin, sicherzustellen, dass die richtige Person zur richtigen Zeit aus dem richtigen Grund den richtigen Zugang zu den richtigen Ressourcen erhält, um das richtige (Geschäfts-)Ergebnis zu erzielen.

IGA konzentriert sich auf den politischen Rahmen, die Werkzeuge und die Prozesse zur automatischen Verwaltung der Zugangsrechte für Einzelpersonen innerhalb einer Organisation. IGA und IAM arbeiten eng zusammen, um einen sicheren Zugang zu Daten, Systemen und Anwendungen zu gewährleisten.

Insbesondere handelt es sich bei PAM um die sichere Verwaltung des Zugangs von Menschen und Nicht-Menschen zu sensiblen Informationen oder Funktionalitäten zu hoch privilegierte Benutzerkonten («Highly Privileged Account», HPA). Es befasst sich mit der Erstellung, Änderung und Entfernung von HPAs sowie mit der Protokollierung, Überwachung, Prüfung und Zertifizierung von privilegiertem Zugriff und der Meldung von Verstössen.

Die Praxis der digitalen Identität beginnt auf strategischer Ebene und befasst sich mit den Möglichkeiten im Zusammenhang mit der Gesamtstrategie und Planung, wobei auch die Organisationskultur und Menschen berücksichtigt werden. Die auf strategischer Ebene gestellten Anforderungen und gewonnenen Erkenntnisse müssen auf taktischer Ebene konkretisiert werden. In diesem Bereich müssen Strategien, Standards und Prüfungskapazitäten beschrieben und in der Organisation eingeführt werden. All diese zuvor definierten Massnahmen und Arbeitsergebnisse auf strategischer und taktischer Ebene unterstützen die Definition von Spezifikationen auf operativer Ebene für Aspekte wie den Identitätslebenszyklus oder die Zugangsverwaltung sowie die operative Durchsetzung.

65 %

der Schweizer Führungskräfte stufen die Minimierung von Cyberrisiken als höchste Priorität für das Jahr 2024 ein.

Quelle Schweizer Ergebnisse der Global Digital Trust Insights 2024-Umfrage

Die digitale Identität bietet mehrere Vorteile

Eine verbesserte Sicherheit ist nur ein Vorteil der Einführung von Prozessen der digitalen Identität. Dies geht Hand in Hand mit der Einhaltung von regulatorischen Vorschriften – die Verwaltung von Identitäten und des Zugangs zu Ressourcen wird von verschiedenen Vorschriften und Standards zur Informationssicherheit gefordert (z. B. das kommende ISG-Gesetz, FINMA, NIST CSF, ISO 27001 usw.). So ist beispielsweise die digitale Identität eines der Mittel zur Gewährleistung der Datensicherheit, die durch das neue Bundesgesetz über den Datenschutz und die DSGVO vorgeschrieben wird.

Digitale Identität ermöglicht auch eine bessere Benutzer- und Kundenerfahrung durch Authentifizierungstechnologien wie Single-Sign-On oder passwortfreie Lösungen. Automatisierte IAM-Prozesse führen zu einer Verringerung der IT-Servicekosten, schaffen gleichzeitig mehr Transparenz und ermöglichen eine bessere Kontrolle der Nutzer und der Daten, auf welche die Nutzer zugreifen können.

Der Weg zu einem effektiven Management digitaler Identitäten

Um die Praxis der digitalen Identität wirkungsvoll in Ihrem Unternehmen einzuführen, müssen Sie vier Schlüsselbereiche berücksichtigen:

Die Governance der digitalen Identität ist ein wesentlicher Bestandteil der Implementierungsphase und auch später in der Betriebsphase. Bei der Erstellung des Implementierungsprogramms ist es von entscheidender Bedeutung, die strategische und taktische Ebene einer Organisation zu berücksichtigen, um sicherzustellen, dass das Verfahren den spezifischen Bedürfnissen der Organisation Rechnung trägt. Als vorbereitender Teil der Implementierungsphase umfasst die Governance

das Festlegen der Strategie für das Programm,
das Ermitteln der wichtigsten Beteiligten,
das Festlegen der Rollen und Verantwortlichkeiten für die Fähigkeiten der digitalen Identität,
das gründliche Planen eines Fahrplans, um die Kontrolle über den Programmfortschritt zu gewährleisten,
das Erstellen eines internen Dokumentationsrahmens, der als Leitfaden für alle mit der digitalen Identität zusammenhängenden Prozesse und Aktivitäten dient.

Auch die Bewertung von Technologieanbietern findet in der Vorarbeit zur Implementierungsphase statt und bildet die Grundlage für die Auswahl der richtigen Lösung.

In der Betriebsphase ermöglichen die oben beschriebenen Governance-Prozesse den Beteiligten und dem Management, den Überblick und die Kontrolle über die Praxis der digitalen Identität in ihrer Organisation zu behalten, sofern diese implementiert sind und ausgeführt werden.

Herausforderungen von Kunden:innen, welche berücksichtigt werden, sind unter anderem:

Eine fehlende IAM- und/oder PAM-Lösung zur Kontrolle der unterschiedlichen Arten von Identitäten und Zugriffsrechten auf sensible Informationen und IT-Ressourcen.
Eine fehlende Governance-Grundlage, was zu einem Mangel an Durchsetzungsmöglichkeiten führt.
Mangelnde klare Verantwortlichkeiten und Koordinierung der IAM- und PAM-Prozesse, um die Einbeziehung der richtigen Akteure und Funktionen zu gewährleisten.
Eine unklare Unterscheidung zwischen IGA und PAM.

Die Menschen und die Organisationskultur spielen auf allen drei Ebenen der digitalen Identität eine wichtige Rolle – auf der strategischen, der taktischen und der operativen Ebene. Darüber hinaus steht der Aspekt der Menschen und der Organisationskultur in engem Zusammenhang mit dem Aspekt der Governance, z. B. in Bezug auf das Management der Beteiligten oder Rollen und Verantwortlichkeiten. Der Aspekt Mensch und Organisationskultur, die Verfügbarkeit und Fähigkeiten von Ressourcen beeinflussen das Arbeitspaket, die Ressourcenzuteilung und den Zeitplan für die Etablierung und Umsetzung der Praxis Digitale Identität. Änderungen an Prozessen und Technologien müssen klar kommuniziert werden und Nutzer müssen geschult werden, damit sie die neuen Prozesse, Werkzeuge und technologischen Möglichkeiten nutzen können. Die konsequente Einbeziehung der Menschen in das Programm wird die Akzeptanz für Veränderungen und die Zufriedenheit der Nutzer erhöhen.

Herausforderungen von Kunden:innen, welche berücksichtigt werden, sind unter anderem:

Interne Ressourcen kommen bei der Initiative nicht zu kurz, sondern werden in Aktivitäten wie der Konzeption und der Umsetzung einbezogen.
Mit Hilfe eines umfassenden Change- und Kommunikationsmanagements werden alle Beteiligten, Nutzer und Angestellten in die Praxis der digitalen Identität einbezogen.
Fehlende interne Ressourcen und Fähigkeiten können durch externe Unterstützung kompensiert werden.
Die Governance, die Prozesse und die Technologie passen zu den Menschen und der Organisationskultur.

Prozessintegration ist der nächste wichtige Schritt bei der Implementierung und dem Betrieb einer Praxis für digitale Identitäten in Ihrem Unternehmen. Das kann zu einer ziemlichen Herausforderung werden, da die digitale Identität zahlreiche Prozesse in beiden Bereichen – IAM und PAM – umfasst. Damit die Prozessintegration gelingt, bedarf es eines tragfähigen Fahrplans mit definierten Meilensteinen und speziellen Fähigkeiten, um die Veränderungen voranzutreiben. Die neuen sicheren Verfahren für den Umgang mit und die Verwaltung von Identitäten und Zugriffen zu wichtigen Ressourcen sind in die Organisation integriert, gehen Hand in Hand mit der Implementierung von Technologie und basieren auf den in den Standards und Richtlinien festgelegten Prozessen und Regeln.

Herausforderungen von Kunden:innen, welche berücksichtigt werden, sind unter anderem:

Unzureichende Prozesse und Regeln, um den Risiken zu begegnen, die von nicht verwalteten Benutzerkonten und Zugriffsberechtigungen zu den Ressourcen der Organisation ausgehen.
Eine mangelnde nachhaltige Integration von IAM- und/oder PAM-Prozessen, welche auf den Geschäftskontext und die Geschäftsprozesse abgestimmt sind.
Der Durchsetzung von Rechenschaftspflicht bei den richtigen Beteiligten, die im Falle von Sicherheitsvorfällen handeln müssen.

Die richtige Technologie ist der Schlüssel zu einer effektiven IAM- und PAM-Governance und Prozessimplementierung. Durch die Automatisierung sich wiederholender Aufgaben sparen Ihre Experten Zeit und können sich auf andere Dinge konzentrieren. Die Auswahl der geeignetsten Technologielösung zur Automatisierung und Sicherung der IAM- und PAM-Prozesse sollte auf der Grundlage einer Bewertung der Bedürfnisse und Spezifikationen des Unternehmens sowie der Anbieterbewertung erfolgen. Darüber hinaus muss die gesamte Technologielandschaft des Unternehmens berücksichtigt werden, um die Kompatibilität mit anderen vorhandenen Lösungen sicherzustellen.

Herausforderungen von Kunden:innen, welche berücksichtigt werden, sind unter anderem:

Ein hoher manueller Aufwand bei der Verwaltung von Benutzerkonten und dem Zugang zu Ressourcen.
Eine fehlende Integration mit anderen technischen Lösungen wie Personalverwaltung, Protokollierungs- und Überwachungslösungen usw.
Schlechte Datenqualität, die zu einem geringen Automatisierungsgrad führt.

Unsere Unterstützung in den folgenden drei Bereichen der digitalen Identität

Die digitale Identität umfasst zahlreiche komplexe Prozesse, die alle eine gute Kenntnis sämtlicher Komponenten und eine enge Koordinierung von Ressourcen, Aktivitäten und Personen erfordern. Wir von PwC Schweiz verfügen über das Know-how und die Erfahrung, um Sie auf Ihrem Weg zur Entwicklung effektiver IAM- und PAM-Systeme zu unterstützen.

Unser Ansatz stützt sich auf drei Hauptpfeiler:

Wir bewerten die aktuelle Situation sowie die Fähigkeiten, die Kultur, die Anforderungen und den Bedarf Ihrer Organisation. Auf Grundlage der Ergebnisse entwickeln wir einen Rahmen für das Management der digitalen Identität, der Ihrem Unternehmen den grössten Nutzen bringt.

Wir ermitteln den Umfang in Bezug auf Informations- und IT-Ressourcen, Prozesse, geltende Vorschriften und Beteiligte.
Wir bewerten die Lücken zwischen dem Ist-Zustand und den gesetzlichen Anforderungen und priorisieren die Lücken auf der Grundlage ihrer Auswirkungen auf das Unternehmen. Ein Überblick über sämtliche Geschäfts-, IT- und Datensicherheitsrisiken ist grundlegend für den Aufbau einer wirksamen Praxis für digitale Identitäten.
Wir entwickeln einen Fahrplan und erstellen Kostenvoranschläge, die Ihrer Geschäftsleitung vorgelegt werden können.

Wir beraten Sie bei der Gestaltung der Zielarchitektur und der Prozesse und arbeiten gemeinsam an der Implementierung der richtigen Funktionalitäten. Wir unterstützen Sie bei der Evaluierung der richtigen Lösungen und bei der Integration der Lösungen in Ihre bestehende Landschaft.

Wir definieren eine Zielarchitektur und ein Target Operating Model (TOM) in Bezug auf Governance, Menschen, Prozesse und Technologie. Alle Entscheidungen und etablierten Prozesse sind in Richtlinien und internen Standards, einschliesslich des Betriebshandbuchs, dokumentiert.
Wir nutzen unsere umfassende Erfahrung mit verschiedenen Technologielösungen, um Sie bei der Auswahl der richtigen Lösung für Ihr Unternehmen zu unterstützen.
Wir vereinbaren sowohl einen Plan zur Schliessung von Lücken als auch Beschaffungsoptionen mit Ihnen.
Wir arbeiten zusammen mit Ihrem IAM-Team, um die definierten Prozesse zu implementieren und die gewählte Lösung zu integrieren. Technische und nicht-technische Zugriffskontrollen werden auf Grundlage der Anforderungen und der festgelegten Risikotoleranz eingerichtet.
Wir übergeben dem Unternehmen und der IT-Abteilung den festgelegten Kontrollrahmen, einschliesslich der erforderlichen Dokumentation.

Das Einführen der Praxis Digitale Identität beinhaltet die Umstrukturierung und Optimierung des gesamten Ansatzes einer Organisation in Bezug auf Authentifizierungs- und Zugriffsprozesse sowie die allgemeine Verwaltung von Identitäten. Es handelt sich um eine Transformationsinitiative, die nicht nur die Sicherheitsmassnahmen verbessert, sondern auch die Art und Weise neu gestaltet, wie Nutzer mit digitalen Ressourcen interagieren. Daher muss ein Digital Identity-Projekt unter Berücksichtigung der Transformationsaspekte durchgeführt werden.

Lesen Sie hier mehr über die Sicherheitstransformation und wie unser projektmanagementbasierter Ansatz die richtige Lösung für Ihr Unternehmen sein kann.

Wir bieten Ihnen an, den gesamten Lebenszyklus der digitalen Identität für Sie zu verwalten, um sicherzustellen, dass der Zugriff zu den Ressourcen Ihrer Organisation gesichert ist und die Identitäten innerhalb Ihrer Informationssysteme geschützt und effektiv verwaltet werden.

Wir ermöglichen die erfolgreiche Integration der gewählten Lösung und der definierten Prozesse in die Technologielandschaft des Unternehmens, insbesondere die Integration mit dem Sicherheitsüberwachungs-Tool und dem Log-Management.
Wir bieten effektive Sensibilisierungsschulungen für Ihre Nutzer.
Wir führen eine Überprüfung der implementierten Prozesse und Instrumente durch, einschliesslich einer Bewertung der Effektivität und Leistung, und schlagen eine Optimierungsstrategie sowie Empfehlungen für eine kontinuierliche Verbesserung vor.
Wir helfen bei der Vorbereitung auf eine Prüfung durch externe Dienstleister/unabhängige Dritte zur Überprüfung der Vorschriftenkonformität.
Wir bieten IAM und PAM als Managed Service an, d.h. Identitätsmanagement und -bereitstellung, Identitäts- und Zugriffsverwaltung, Zugriffs- und Risikomanagement, einschliesslich des Betriebs der Technologie hinter den Prozessen sowie einer regelmässigen Überprüfung und Berichterstattung.

Zusammenfassung

Die beschleunigte Digitalisierung, die Zunahme des Online-Handels und der «Remote Work» – diese und andere Aspekte des modernen Geschäftslebens machen die Verwaltung von Prozessen zu einer noch stärkeren Herausforderung und vergrössern gleichzeitig die eigene Angriffsfläche. Eine sichere und effiziente Verwaltung von Identitäten, Benutzerkonten und Zugriffen ist eine der grundlegenden Anforderungen jeglicher Informations- und IT-Sicherheitsstandards oder -vorschriften und sollte daher mit Sorgfalt gehandhabt werden.

Sie müssen diese Herausforderung jedoch nicht alleine bewältigen. Wir haben die Experten, die Sie dabei unterstützen, effektive IAM- und PAM-Lösungen zu implementieren, welche wiederum sicherstellen, dass Ihr Unternehmen sowohl Ihre eigenen Daten als auch die Ihrer Kund:innen schützt. Auf diese Weise vermeiden Sie finanzielle Sanktionen, mindern Schäden, die durch eine mögliche Datenschutzverletzung entstehen könnten, und – was am wichtigsten ist – schaffen Vertrauen in Ihr Unternehmen.

^{1 IGA und IAM werden oft in ähnlicher Weise verwendet. Zur Vereinfachung werden in diesem Blogbeitrag die Begriffe IGA und IAM synonym verwendet.}

#social#

Kontakt aufnehmen

Haben Sie noch Fragen? Bitte wenden Sie sich an uns, wenn Sie mehr zu unserer Unterstützung bei der Implementierung effektiver IAM- und PAM-Lösungen erfahren möchten.

https://pages.pwc.ch/core-contact-page?form_id=7014L000000IIbfQAG&embed=true&lang=de