Zum Inhalt springen Zur Navigation springen
Wie KI das Identity and Access Management (IAM) verändert

Wie KI das Identity and Access Management (IAM) verändert

In der digitalen Welt ist die Verwaltung von Identitäts- und Zugriffsrechten unerlässlich. Unternehmen müssen sicherstellen, dass nur befugte und autorisierte Personen Zugang zu sensiblen Daten und Systemen haben. In diesem Blogbeitrag zeigen wir, wie KI das Identity and Access Management verändert und welche Vorteile und Herausforderungen damit verbunden sind.

Was ist Identity and Access Management?

Das Identity and Access Management (IAM) hatten wir bereits im Blogartikel „Identity and Access Management: Definition & Vorteile“ ausführlicher besprochen. Dieser liefert auch eine kurze Definition, was Identity and Access Management ist:

„Bei einem Identity and Access Management System werden Identitäten mit Rechten versehen, welche zentral verwaltet werden.“

Dies kann in großen Organisationen sehr komplex werden, da ständig neue Nutzer, Systeme und Daten hinzukommen, oder sich bestehende Berechtigungen ändern.

Künstliche Intelligenz kann diese Prozesse vereinfachen und so für mehr Sicherheit sorgen.

Wie kann KI das Identity and Access Management unterstützen?

Künstliche Intelligenz kann das Identity und Access Management in vielerlei Hinsicht unterstützen.

Automatisieren von Routineaufgaben:

Unter das Automatisieren von Routineaufgaben fallen unter anderem zeit- und ressourcenintensive Aufgaben wie das Erkennen von bereits bestehenden Berechtigungen. Dies unterstützt Unternehmen vor allem zu Beginn des Identity and Accessmanagements, wenn Berechtigungsprofile erstellt werden.

Sobald diese erstellt wurden, kann KI Berechtigungen automatisiert zuweisen, überprüfen und gegebenenfalls anpassen. Zu den Routineaufgaben zählen unter anderem:

  • Identitätsverifizierung
  • Zugriffsverwaltung
  • Berücksichtigung von Standorten, Tageszeiten etc.
  • Analyse des Verhaltens von Identitäten

Erkennung von Anomalien

Zusätzlich zur Erkennung von bereits bestehenden Berechtigungsstrukturen, ist es durch Künstliche Intelligenz möglich, Anomalien zu erkennen, welche von den eigentlichen Strukturen abweichen. Diese Anomalien sind oftmals Anzeichen für Berechtigungen, welche im Zuge von Projekten, Spezialaufgaben etc. vergeben und nicht zurückgenommen wurden. Dies führt dazu, dass das „Least Privilege“ Prinzip (man besitzt nur die Berechtigungen, die man benötigt, um seine Arbeit zu erfüllen) verletzt wird.

Die KI macht es möglich, dass man Anomalien und Insider-Bedrohungen, welche durch zu viele Berechtigungen erleichtert werden, frühzeitig erkennen kann.

Das Ganze wird ergänzt durch eine Analyse der Zugriffe in Echtzeit. Greift ein Nutzer plötzlich von einem ungewöhnlichen Ort oder zu einer ungewöhnlichen Zeit auf ein System zu, wird dies als verdächtig eingestuft. Die KI kann dann eingreifen und z.B. den Zugang sperren oder eine Warnung ausgeben.

Hierbei ist jedoch der risikobasierte Ansatz anzuwenden. Nicht alle Zugriffe sind gleich riskant. Greift ein Nutzer von einem bekannten Netz aus zu, ist das Risiko recht gering. Greift er jedoch von einem unsicheren und unbekannten Netz aus zu, kann die KI zusätzliche Sicherheitsprüfungen verlangen, etwa eine Mehr-Faktor-Authentifizierung.

Kontinuierliche Überwachung

Durch den Einsatz von KI ist es möglich, eine kontinuierliche Überwachung der Systeme und Daten zu gestalten. Hierbei prüft KI beständig, ob die Identität noch berechtigt ist, auf bestimmte Daten und Systeme zuzugreifen.

Sollte sie Anomalien, wie im vorherigen Kapitel beschrieben, erkennen, werden die Zugriffsrechte dynamisch angepasst oder gesperrt, um die Sicherheit zu gewährleisten. Ebenso besteht die Möglichkeit bei verdächtigen Identitätsverhalten Administratoren zu alarmieren oder Konten zu sperren.

Gibt es Herausforderungen beim Einsatz von KI im IAM?

Trotz der vielen Vorteile gibt es auch Herausforderungen, die mit dem Einsatz von KI in der Identitäts- und Rechteverwaltung verbunden sind.

Falsche Alarme

KI ist leistungsstark, aber nicht unfehlbar. Es kann vorkommen, dass ein legitimer Zugriff als verdächtig eingestuft wird. Diese Fehlalarme können zu Frustration führen und die Arbeitsabläufe stören. Es ist wichtig, dass KI-Systeme in regelmäßigen Abständen optimiert werden, um diese Fehler zu minimieren. Ein übermäßiges Vertrauen in die KI kann ebenfalls zum nicht hinterfragen und Problemen führen.

Mangel an qualifizierten Arbeitskräften

Die Implementierung von KI in der Identitäts- und Rechteverwaltung erfordert spezielle Fachkenntnisse. Unternehmen müssen entweder intern Experten ausbilden oder externe Spezialisten einstellen, um die Systeme effizient und sicher zu betreiben.

KI als die Zukunft der IT-Sicherheit

Künstliche Intelligenz wird das Identity and Access Management radikal verändern. Sie macht Authentifizierungsprozesse schneller, ermöglicht ein dynamisches Rechtemanagement und sorgt für eine ständige Überwachung der Nutzeraktivitäten. Dies erhöht die Sicherheit und minimiert menschliche Fehler.

Unternehmen sollten jedoch die Herausforderungen nicht außer Acht lassen. Datenschutz, mögliche Fehlalarme und der Mangel an qualifizierten Arbeitskräften sind wichtige Aspekte, die berücksichtigt werden müssen. Richtig eingesetzt, hat KI jedoch ein enormes Potenzial und wird in den kommenden Jahren eine Schlüsselrolle in der IT-Sicherheit spielen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Jetzt habe ich eine Menge zu IAM und Datensicherheit erfahren.
    Aber was ist mit anderen Datenschutzaspekten:
    – Im IAM-System werden ja unstrittig (auch) personenbezogene Daten verarbeitet. Sehen Sie das IAM eher als eigenständiges Verfahren im VVT an, oder ist es typischerweise jeweils nur ein Teil von anderen Verfahren?
    – Und müsste zu dem Verfahren auch eine DSFA durchgeführt werden, wegen neuer Technologien und der Möglichkeit der Überwachung?
    – Und nehmen wir mal an, die KI des IAM wird inhouse trainiert und konfiguriert: Ich frage mich, wie man das eigentlich vernünftig im Datenschutz auditieren kann? Schließlich soll das IAM ja z. B. am Ende gerade NICHT irgendwelche (geheimen) Warnmeldungen ausgeben können, die zur Überwachung dienen können …

    • 1) In Art. 30 DSGVO ist zwar normiert, wie die Mindestangaben zur Erfassung der DSGVO-relevanten Verarbeitungstätigkeiten lauten. Die Granularität der Verzeichnisses ist aber nicht gesetzlich vorgegeben. Daher kann das IAM-System entweder als selbständige Verarbeitungstätigkeit oder als Teil ein andere Verarbeitungstätigkeit (z. B. der zentralen Benutzerverwaltung) erfasst werden. Ein granulares Verzeichnis ist zwar zu Beginn arbeits- und zeitaufwendig. Dafür kann aber zukünftig schneller erkannt werden, wenn Aktualisierungen nötig sind.

      2) Es sollte jedenfalls eine Schwellwert-Analyse als Vorstufe zur DSFA durchgeführt werden. Eine Pflicht zur Durchführung einer DSFA ergibt sich nicht unmittelbar aus Art. 35 Abs. 3 DSGVO, da wohl kein Regelbeispiel erfüllt ist. Ein Blick in die Muss-Listen der Datenschutz-Aufsichtsbehörden lässt erkennen, dass der Einsatz von KI-Systemen nicht per se immer zu einer DSFA führt, sodass auch Art. 35 Abs. 4 DSGVO grundsätzlich ausscheidet. Es bleibt also bei Art. 35 Abs. 1 DSGVO, wonach eine DSFA erforderlich ist, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Gemäß Seite 10 der Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ vom 6. Mai 2024 geht die DSK davon aus, dass dies regelmäßig beim Einsatz von KI-Anwendungen der Fall ist. Falls sich gegen die Durchführung einer DSFA entschieden wird, sollte die Entscheidung und deren Gründe intern dokumentiert werden.

      3) KI-Anwendungen müssen bei der Verarbeitung personenbezogener Daten sowohl die Bestimmungen der DSGVO als auch der KI-VO wahren. Die bereits erwähnte Orientierungshilfe der DSK kann dabei unterstützen, die datenschutzrechtlichen Vorgaben bestmöglich umzusetzen. Für ein Audit ist eine umfassende und aussagekräftige Dokumentation (z. B. der Konfiguration, der Herkunft der Informationen) der Schlüssel zum Erfolg. Soweit eine KI-Anwendung eines Dritten verwendet wird, sollte dies bereits bei der Auswahl des Dienstleisters berücksichtigt werden. Dienstleister, die ausführliche Antworten auf datenschutzrechtliche und technische Fragen geben, sind daher zu bevorzugen.

  • Was wäre denn ein typischer Erlaubnistatbestand für diesen zusätzlichen Zweck? (Ich ahne „berechtigtes Interesse“.) Sind die Bedingungen für diese Rechtsgrundlage erfüllt, wenn man das nun mit KI macht?

    D., der dann ziemlich viel Tragfähigkeit schwinden sieht.

    • Könnten Sie bitte spezifizieren, auf welche Verarbeitung sich die Formulierung zusätzlicher Zweck in Ihrer Frage bezieht. Wir können diese nicht im Beitrag finden und haben daher Probleme das zuzuordnen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.