Die Zukunft des Identity- und Access-Managements: Das Identity- und Access-Management wird künstlich intelligent

Hinweis: Dieser Artikel stammt aus der Ausgabe 2/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Künstliche Intelligenz (KI) galt über Jahrzehnte hinweg als „das nächste große Ding“. Bereits 1966 wurde der erste Chatbot entwickelt. 1997 rückte das Thema auch für Laien in den Fokus, als „Deep Blue“ den amtierenden Schachweltmeister Garri Kasparov besiegte. Doch statt einer sofortigen Revolution verstummte der Hype zunächst bis in die 2010er Jahre, bevor er mit IBMs Watson wieder aufflammte. Watson, eine frühe Form der generativen KI (GenAI), schlug die Kandidaten der Quizshow Jeopardy!. Spätestens seit der Einführung von ChatGPT ist klar, dass KI zu einem marktreifen Massenphänomen geworden ist. Sie unterstützt Menschen besonders bei der Entscheidungsfindung, der Anomalieerkennung und der Dokumentation, um diese Aufgaben effizienter und schneller zu bewältigen.

Die Integration von KI in das Identity- und Access-Management (IAM) markiert nun den nächsten Schritt in der Verwaltung und Sicherung digitaler Identitäten und Zugriffsrechte. Mit der rasanten Entwicklung von generativer künstlicher Intelligenz (GenAI) und Machine Learning (ML) eröffnen sich neue Chancen, IAM-Prozesse zu optimieren, Sicherheitslücken zu schließen und die Benutzererfahrung zu verbessern. GenAI ermöglicht intelligente IAM-Assistenten und Chatbots, die Benutzer bei der Durchführung komplexer Aufgaben unterstützen. Diese Assistenten können etwa Anfragen zu Zugriffsrechten bearbeiten, Self-Service-Funktionen bereitstellen oder Onboarding-Prozesse beschleunigen. Im Folgenden beleuchten wir die Integration von KI in IAM und verschiedene IAM-relevante Anwendungsfälle näher.

Die Vorteile von OAuth 2.0 für KI-gestützte IAM-Prozesse

Anstatt proprietäre Lösungen zu entwickeln oder auf weniger sichere Methoden wie Application-Programming-Interface-(API)-Schlüssel zurückzugreifen, sollten bewährte Standards wie Open Authorization 2.0 (OAuth 2.0) eingesetzt werden, um der KI die Authentifizierung im Kontext des Benutzers zu ermöglichen. Dies bringt mehrere Vorteile mit sich: erhöhte Sicherheit durch robuste Authentifizierungs- und Autorisierungsmechanismen, eine vereinfachte Integration verschiedener Anwendungen und Systeme sowie flexible Unterstützung für diverse Anwendungsfälle.

OAuth 2.0 ermöglicht es Unternehmen, KI-Anwendungen so zu konfigurieren, dass sie Benutzeraktionen entsprechend den Berechtigungen ausführen, ohne Zugangsdaten preiszugeben. Das erlaubt personalisierte Dienste und eine delegierte Autorisierung, was die Sicherheit weiter erhöht. Die KI-Anwendung respektiert dabei die Grenzen der Berechtigungen des aktuell angemeldeten Benutzers. So wird sichergestellt, dass die KI-Anwendung keine Informationen offenlegt, auf die der Benutzer selbst keinen Zugriff hat.

Einsatzmöglichkeiten der KI im Rahmen von IAM

KI-Algorithmen können große Mengen an Zugriffs- und Nutzungsdaten analysieren. Durch Mustererkennung lassen sich optimale Rollen und Berechtigungen identifizieren, was zu einer automatisierten Erstellung von Rollen führt. Dies reduziert überflüssige Berechtigungen und unterstützt das Least-Privilege-Prinzip.

Ein weiteres Potenzial liegt in der intelligenten Rechtevergabe. Indem KI-Systeme Benutzer in ähnlichen Positionen oder Abteilungen vergleichen, können sie passende Zugriffsrechte empfehlen. Das beschleunigt das Onboarding neuer Mitarbeitender und vereinfacht die Anpassung von Zugriffsrechten bei Positionswechseln im Rahmen des Mover-Prozesses.

Zudem sorgt KI für eine proaktive Sicherheitsüberwachung. Durch die kontinuierliche Analyse des Benutzerverhaltens erkennt sie Anomalien in Echtzeit und schlägt gezielt Alarm, wenn verdächtige Aktivitäten auftreten. Potenzielle Bedrohungen lassen sich so frühzeitig identifizieren und eindämmen, bevor sie Schaden anrichten.

Ferner ermöglicht künstliche Intelligenz eine kontextbezogene Authentifizierung. Das System bewertet das Risiko einer Aktion und reagiert entsprechend – beispielsweise durch die Anforderung einer Multi-Faktor-Authentifizierung bei hohem Risiko.

Use Case 1: Genehmigungsanfragen in IAM-Prozessen

KI kann Entscheider in IAM-Prozessen dabei unterstützen, fundierte Entscheidungen zu treffen, indem sie Anträge in den relevanten Kontext stellt. Bei der Beantragung oder Rezertifizierung von Berechtigungen kann beispielsweise angezeigt werden, ob die beantragte oder zu bestätigende Berechtigung exklusiv bei der Person vergeben ist oder ob sie bereits der Mehrheit der Mitarbeitenden mit bestimmten Merkmalen, etwa demselben Standort, Jobtitel oder gemeinsamen Projekten zugeteilt wurde.

Auch historische Daten lassen sich einbeziehen: Wurde eine Berechtigung bereits mehrfach bestätigt, ohne dass sich wesentliche Rahmenbedingungen geändert haben, ist es wahrscheinlicher, dass sie weiterhin korrekt und notwendig ist. Umgekehrt gilt: Wurde eine beantragte Berechtigung in der Vergangenheit schon einmal abgelehnt, sollte der Antrag besonders sorgfältig geprüft werden. Ebenso sollten Berechtigungen im Rahmen einer Rezertifizierung genauer betrachtet werden, wenn sich die Eigenschaften des Mitarbeitenden geändert haben (etwa durch einen Organisations- oder Aufgabenwechsel). Falls vorhanden, können auch Soll-Berechtigungsstände aus Bereichs-Berechtigungskonzepten oder vordefinierte Zuweisungskriterien der Berechtigungen berücksichtigt werden.

Durch den Einsatz von KI-basierter Mustererkennung können Genehmiger effizienter und fundierter Entscheidungen treffen und diese besser begründen. Das kann in allen Genehmigungsprozessen angewendet werden. Hauptsächlich betrifft es Führungskräfte, die Berechtigungen für ihre Mitarbeitenden initial freigeben oder regelmäßig im Rahmen einer Rezertifizierung bestätigen. Denkbar ist der Einsatz ebenso bei weiteren Genehmigungsstufen (zum Beispiel Informationseigentümern) oder in ähnlichen Kontexten, beispielsweise bei der Aufnahme von Einzelrechten in ein Berechtigungsbündel, also eine Business-Rolle.

Use Case 2: Reaktion auf Anomalien

In Zero-Trust-Implementierungen muss bei jeder einzelnen Zugriffsanfrage entschieden werden, ob der Zugriff erlaubt wird, ob er nur in eingeschränktem Umfang gewährt wird (zum Beispiel nur Lesezugriff statt Schreibzugriff) oder ob eine erneute Authentifizierung erforderlich ist – gegebenenfalls mit zusätzlichen Faktoren wie Passwort und Authenticator-App. Diese Entscheidungsmetriken können entweder fest definiert sein oder durch KI gesteuert werden.

Erkennt das System beispielsweise Anomalien, die auf eine potenzielle Bedrohung hindeuten, kann es bei der nächsten Zugriffsanfrage auf eine bestimmte Ressource – sei es generell oder aus einem bestimmten Netzwerk kommend – eine Multi-Faktor-Authentifizierung verlangen. Diese Vorgehensweise ist auch bei etablierten Access-Management-Lösungen sinnvoll und kann durch KI gesteuert werden, um die Sicherheit weiter zu erhöhen.

Use Case 3: Unterstützung beim Anwendungs-Onboarding

Ein wiederkehrender Prozess in der IT-Landschaft ist die Einführung neuer Anwendungen, die in der Regel mit ihrer Produktivsetzung an das vorhandene IAM-System angebunden werden. Dafür werden verschiedene Informationen über die Anwendung benötigt. Dazu gehören Details darüber, wie Berechtigungen vergeben werden – zum Beispiel, ob es unterschiedliche Ebenen gibt wie Profile, Sammelprofile, Rollen und Sammelrollen in SAP. Ebenfalls relevant ist, welche Berechtigungen und Benutzerkonten bereits existieren, wie diese angelegt, geändert und gelöscht werden können, welche standardmäßig vorhanden sind und welche Notfall-Benutzer (Emergency Users) notwendig sind.  Viele dieser Informationen liegen vor, beispielsweise in Form von Handbüchern des Herstellers, ausgefüllten Fachkonzepten oder ähnlichen Dokumenten.

Durch die Nutzung dieser Unterlagen kann die Vorbereitung der für das Anwendungs-Onboarding notwendigen Konnektor-Definitionen und IAM-Initialbefüllungen erheblich beschleunigt werden. KI kann hierbei eine entscheidende Rolle spielen: Sie kann die relevanten Informationen aus den vorhandenen Dokumenten extrahieren und strukturieren. Anschließend müssen diese nur noch gegengeprüft und gegebenenfalls ergänzt werden.

Durch den Einsatz von KI im Anwendungs-Onboarding-Prozess können Unternehmen Zeit und Ressourcen sparen. Die automatisierte Verarbeitung von Dokumentationen ermöglicht eine schnellere Integration neuer Anwendungen in das IAM-System und reduziert Fehler, die durch manuelle Eingaben entstehen könnten. Das beschleunigt nicht nur den Implementierungsprozess, sondern stellt auch sicher, dass alle notwendigen Sicherheits- und Zugriffsrichtlinien von Anfang an korrekt angewendet werden.

Use Case 4: Unterstützung bei der Berechtigungsbeantragung

Neue Mitarbeitende oder solche, deren Aufgabengebiet sich geändert hat – etwa durch einen Wechsel innerhalb der Organisationsstruktur – stehen häufig vor der Frage, welche Berechtigungen sie konkret benötigen und wie sie diese beantragen sollten.

Wenn entsprechende Organisations- oder Bereichs-Berechtigungskonzepte existieren, können die Mitarbeiter oder ihre Führungskräfte diese zur Unterstützung heranziehen. Durch einen Abgleich zwischen den bereits zugewiesenen Ist-Berechtigungen und den im Konzept verzeichneten Soll-Berechtigungen lässt sich ermitteln, welche zusätzlichen Berechtigungen sinnvoll sind. Die im Konzept hinterlegten Kriterien basieren in der Regel auf den Funktionen und Tätigkeiten des Mitarbeiters. KI kann hierbei eine wichtige Rolle spielen, indem sie beispielsweise die Stellenbeschreibung eines Mitarbeiters auswertet und so eine individuelle initiale Berechtigungsempfehlung gibt.

Auch bei der eigentlichen Beantragung von Berechtigungen kann KI zentral unterstützen. In vielen Unternehmen existiert eine große Anzahl an Berechtigungen, die oft weder aussagekräftige Namen noch leicht verständliche Beschreibungen haben. Auch wenn Beschreibungen vorhanden sind, sind diese nicht immer für jeden nachvollziehbar. Dies führt häufig dazu, dass Anträge unabsichtlich für fachlich nicht passende Berechtigungen gestellt werden oder dass die Antragstellung nicht direkt durch die Mitarbeitenden erfolgen kann, sondern über einen Helpdesk läuft, der die Anfrage zunächst „übersetzt“.

Hier kann der Einsatz eines Chatbots Abhilfe schaffen. Die Mitarbeiter können dem Chatbot in eigenen Worten beschreiben, welche Berechtigungen sie benötigen, und erhalten daraufhin passende Vorschläge. Falls die Auswahl zu groß ist, stellt die KI gezielt Rückfragen, um die Berechtigungen weiter einzugrenzen. Sobald der Mitarbeiter einen Vorschlag als korrekt bestätigt, kann der Chatbot den Antrag direkt für ihn stellen.

Durch diese KI-gestützte Hilfe wird der Beantragungsprozess erheblich vereinfacht. Sie reduziert das Risiko von Fehlanträgen, entlastet den Helpdesk und führt insgesamt zu effizienteren Prozessen und einer höheren Zufriedenheit bei den Mitarbeitenden.

Use Case 5: Unterstützung bei der Dokumentation von Business-Rollen

Berechtigungsbeschreibungen sind häufig nicht zielgruppengerecht verfasst. Sie enthalten Abkürzungen, sind zu generisch oder kryptisch formuliert und somit nur für Eingeweihte verständlich. Besonders bei Businessrollen – also Bündeln von Berechtigungen, die sich über mehrere Anwendungen erstrecken – ist es eine Herausforderung, verständliche Beschreibungen zu erstellen, die den Inhalt korrekt widerspiegeln.

Selbst wenn solche Beschreibungen initial verfasst wurden, werden sie bei späteren Anpassungen der Rolleninhalte oft nicht aktualisiert. Hier kann GenAI unterstützen. Indem man der KI spezifische Vorgaben zur Länge, zum Detailgrad und zum gewünschten Stil gibt, kann sie konsistente und nützliche Berechtigungsbeschreibungen generieren, besonders für komplexe Businessrollen. Die KI ist in der Lage, technische Details in klare und verständliche Sprache zu übersetzen und dabei sicherzustellen, dass die Beschreibungen sowohl präzise als auch benutzerfreundlich sind.

Durch den Einsatz von GenAI wird nicht nur der Aufwand für die manuelle Erstellung und Aktualisierung von Dokumentationen reduziert, sondern auch die Qualität und die Konsistenz der Informationen wird verbessert. Dies erleichtert es den Mitarbeitenden, die für sie relevanten Rollen und Berechtigungen zu verstehen und korrekt zu beantragen. Administratoren und Genehmiger werden bei ihrer Entscheidungsfindung unterstützt.

Fazit

Die Integration von KI in das IAM bietet zahlreiche Vorteile – von der Unterstützung bei Genehmigungsanfragen über die Reaktion auf Anomalien bis hin zur effizienteren Dokumentation. Einige der vorgestellten Use Cases haben Hersteller von IAM-Lösungen bereits in ihre Produkte integriert, während andere spezifisch auf die Anforderungen eines Unternehmens zugeschnitten und durch Spezialisten umgesetzt werden können.

Mithilfe von GenAI und anderen KI-Technologien können Unternehmen komplexe IAM-Prozesse vereinfachen, Risiken proaktiv managen und zukünftige Herausforderungen besser bewältigen. Es ist jedoch entscheidend, die Grenzen und potenziellen Risiken von KI zu erkennen und verantwortungsbewusst damit umzugehen. Mit einem strategischen Ansatz können Organisationen die Potenziale von KI im IAM voll ausschöpfen und gleichzeitig eine sichere und konforme Umgebung gewährleisten.

Insgesamt hat KI das Potenzial, das IAM grundlegend zu verbessern oder sogar zu transformieren. Durch intelligente Automatisierung und Unterstützung können Unternehmen den steigenden Anforderungen an Sicherheit, Effizienz und Compliance gerecht werden und ihre IT-Infrastruktur zukunftsfähig gestalten.