Die ersten Formen von Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) wurden Anfang 1960 eingeführt, als Fernando Corbato, ein amerikanischer Informatiker und Professor am Massachusetts Institute of Technology (MIT), die Verwendung von Passwörtern zum Schutz von Computerdateien entwickelte1.
In den letzten Jahrzehnten hat sich der IAM-Markt weiterentwickelt und deutlich verändert: Ursprünglich wurden Identitätsmanagement-Lösungen ausschliesslich für den internen Gebrauch durch Mitarbeitende entwickelt. Je grösser und komplexer Unternehmen jedoch wurden, desto mehr Personen und Geräte aus anderen Netzwerken kamen hinzu, deren Identitäten und Zugriffsrechte authentifiziert und überprüft werden mussten. Zudem beschleunigte die Fernarbeit während der COVID-19-Pandemie diesen Trend. Dies hat den Bedarf an geeigneten Tools, die sicherstellen, dass die richtigen Personen zum richtigen Zeitpunkt den richtigen Zugriff auf die richtigen Systeme haben, nur vergrössert. Heutzutage hat sich Identitätssicherheit zur digitalen Eingangstür für IT-Netzwerke entwickelt und erstreckt sich über Benutzer, Geräte, Anwendungen und Infrastruktur.
In diesem Thematic Insight erläutern wir Identitäts- und Zugriffsmanagement und sein Marktpotenzial, vergleichen die Kosten von Cloud- und On-Prem-Lösungen und schliessen mit einem Fazit.
Was ist Identitäts- und Zugriffsmanagement (IAM)?
Identitäts- und Zugriffsmanagement ist das Rahmenwerk aus Geschäftsprozessen, Richtlinien und Technologien, das es den richtigen Subjekten (Personen oder Dingen, z.B. Servern) ermöglicht, die richtigen Ressourcen (Anwendungen oder Daten) störungsfrei zu verwenden, wenn sie es müssen. IAM-Systeme können als On-Premises-Lösung vor Ort oder von einem externen Anbieter als Cloud-basiertes Abonnement (SaaS) oder als Hybridmodell bereitgestellt werden.
Diversen Statistiken zufolge sind Identitäten der Angriffsvektor Nummer Eins für Cyberkriminelle:
- Bei 80 % der Datenschutzverletzungen in der Finanzbranche werden kompromittierte Anmeldedaten genutzt, um Zugang zu digitalen Daten zu erhalten2.
- Mehr als 94 % aller Unternehmen haben eine Sicherheitsverletzung verzeichnet, die auf mangelhafte Identitätssicherheit zurückzuführen ist3.
- 79 % aller Unternehmen haben in den letzten zwei Jahren eine identitätsbezogene Sicherheitsverletzung verzeichnet4.
Cyberbedrohungen entwickeln sich rasant, werden schneller und komplexer. Laut CrowdStrike, einem US-amerikanischen IT-Sicherheitsunternehmen, verkürzte sich der Einbruchszeitraum, also die Zeit, die Cyberkriminelle benötigen, um in ein Netzwerk einzudringen und auf Daten zuzugreifen, von neun Stunden und 42 Minuten im Jahr 2018 auf eine Stunde und 38 Minuten im Jahr 2022. Für den Zugriff auf kritische Assets und Infrastruktur ist also nur noch rund ein Sechstel der Zeit erforderlich5.
In der Vergangenheit nutzten Unternehmen einen sogenannten «Burg-und-Graben-Ansatz». Dieser geht davon aus, dass alle Sicherheitsbedrohungen von ausserhalb eines Unternehmens kommen und «traditionelle» Firewalls ausreichen, um die IT-Infrastruktur eines Unternehmens oder einer Regierungsbehörde zu sichern. In der digitalen, standortunabhängigen Welt von heute ist dieser Ansatz nicht mehr effektiv. Heutzutage erstrecken sich IT-Infrastrukturen weit über die Mauern von Gebäuden hinaus auf andere Anwendungen, Datenzentren, Benutzer und Geräte. Die COVID-19-Pandemie hat diesen Trend noch beschleunigt: Von zu Hause aus zu arbeiten ist nun Realität. Infolgedessen wurden die digitalen Ökosysteme komplexer und die Zahl digitaler Identitäten wächst exponentiell. Jede externe Verbindung zu einem IT-Netzwerk erfordert eine digitale Identität, unabhängig davon, ob es sich um eine Anwendung, einen Server, einen Benutzer oder ein Gerät handelt. Leider wird dadurch der potenzielle Angriffsvektor für Cyberkriminelle erweitert, da es mehr Einstiegspunkte ins Netzwerk gibt, was für die IT-Sicherheit eine ständige Herausforderung darstellt.
Die häufigsten Cyberangriffe erfolgen in Form von Phishing, Malware, Credential Stuffing oder Missbrauch von Berechtigungen6. Als Gegenmassnahme setzen Unternehmen ein Zero-Trust-Framework für ihre Netzwerke ein, das davon ausgeht, dass niemand, nicht einmal ein interner Benutzer, vertrauenswürdig ist und jeder Benutzer authentifiziert, autorisiert und kontinuierlich bewertet werden muss, bevor er Zugriff auf Daten oder Anwendungen erhält. Dadurch fungiert IAM als der zentrale Einstiegspunkt ins Netzwerk, der alle Benutzer, Geräte und Anwendungen überprüft und ihnen den Zugriff ermöglicht. Zu diesem Zweck unterstützen IAM-Lösungen fünf «A»-Bereiche: Authentifizierung, Autorisierung, Administration, Analyse und Audit.
Der Markt für Identitäts- und Zugriffsmanagement
Die Investmentbank Jefferies prognostiziert ein Wachstum des IAM-Marktes, der sich aus den fünf Segmenten Access Management/Single Sign-On (SSO), Advanced Authentication, Privilege Access Management (PAM), Identity Governance and Administration (IGA) und Customer Identity and Access Management (CIAM) zusammensetzt, von USD 20,1 Mia. im Jahr 2021 auf USD 37,4 Mia. im Jahr 2025 bei einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 15,7 %. CIAM dürfte mit einer CAGR von 26,5 % die stärkste Wachstumsbeschleunigung erreichen; PAM, Advanced Authentication, IGA und Access Management/SSO werden voraussichtlich jeweils 16,0 %, 15,3 %, 9,9 % und 5,2 % erreichen7.