Künstliche Intelligenz revolutioniert das Identity & Access Management

KI kann die Entscheiderinnen und Entscheider in IAM-Prozessen unterstützen, gut begründete Entscheidungen zu treffen, indem es Anträge in den relevanten Kontext stellt. Bei der Beantragung oder Rezertifizierung von Berechtigungen kann beispielsweise angezeigt werden, ob die beantragte oder zu bestätigende Berechtigung nur für eine Person vergeben werden soll oder bereits für mehrere Mitarbeitende mit ähnlichen Eigenschaften (z. B. einem Standort, einem Jobtitel, einem gemeinsamen Projekt, an dem gearbeitet wird) vergeben wurde. Dabei können auch historische Daten eingehen – wurde eine Berechtigung bereits mehrfach bestätigt, ohne dass wesentliche Änderungen stattgefunden haben, so ist es wahrscheinlicher, dass diese weiterhin korrekt ist. Andersherum gilt: wurde eine beantragte Berechtigung früher abgelehnt, so ist der Antrag genauer zu prüfen. Analog sollten Berechtigungen entsprechend im Rahmen einer Rezertifizierung genauer betrachtet werden, wenn sich Eigenschaften der Mitarbeitenden geändert haben (etwa nach einem Organisations- oder Aufgabenwechsel). 

Mit einer Einordnung basierend auf einer KI-Muster-Erkennung ist es den Genehmigenden möglich, effizienter fundierte Entscheidungen zu treffen und diese auch besser begründen zu können. Eingesetzt werden kann dies bei sämtlichen Genehmigungsentscheidungen. Primär bezieht sich das auf Führungskräfte, die Berechtigungen für ihre Mitarbeitenden initial freigeben.

Im Rahmen von Zero-Trust-Implementierungen ist bei Zugriffsanfragen zu entscheiden, ob ein kompletter Zugriff gewährt wird, eine Teilberechtigung (z. B. nur lesend statt schreibend) erfolgt oder eine erneute Authentifizierung nötig wird. Diese Entscheidungsmetrik kann über KI gesteuert werden. Werden beispielsweise Anomalien erkannt, die auf eine Bedrohung hindeuten, so kann etwa bei der nächsten Zugriffsanfrage eine Anforderung zu einer Multifaktor-Authentifizierung gestellt werden. Dies ist analog auch bei Access-Management-Lösungen (wie Okta oder Ping Identity) eine sinnvolle Option, die durch KI gesteuert werden kann.

Ein wiederkehrender Prozess in der IT-Landschaft ist das Einführen neuer Anwendungen, die im Regelfall direkt an das verwendete IAM-System angebunden werden. Für eine derartige Anbindung werden verschiedene Daten über die Anwendung benötigt. Dazu gehört beispielsweise, wie Berechtigungen vergeben werden – etwa ob es verschiedene Stufen gibt, wie Profile, Sammelprofile, Rollen und Sammelrollen in SAP. Zudem ist relevant, welche Berechtigungen und Benutzerkonten bereits existieren, wie diese angelegt, geändert und gelöscht werden können und welche standardmäßig verfügbar sind. Auch die Notwendigkeit von Notfall-User:innen spielt eine Rolle. 

Viele dieser Informationen liegen bereits vor, beispielsweise in den Handbüchern des Herstellers oder in ausgefüllten Fachkonzepten. Unter Nutzung dieser Dokumente können die für das Anwendungs-Onboarding notwendigen Konnektor-Definitionen und IAM-Initialbefüllungen vorbereitet werden und müssen anschließend nur noch gegengeprüft und gegebenenfalls ergänzt werden.

Neue Mitarbeitende oder Mitarbeitende, bei denen sich das Aufgabengebiet ändert, stehen häufig vor der Frage, welche Berechtigungen sie konkret benötigen und beantragen sollten. Soweit entsprechende Organisations- oder Bereichsberechtigungskonzepte existieren, können die Mitarbeitenden oder deren Führungskräfte diese verwenden. Mit ihnen kann ein Abgleich zwischen bereits zugewiesenen Ist-Berechtigungen und den im Konzept verzeichneten Soll-Berechtigungen durchgeführt werden. Basierend auf den im Konzept hinterlegten Kriterien kann ermittelt werden, welche Berechtigungen außerdem sinnvoll sind. In der Regel basieren die Kriterien auf Funktionen und Tätigkeiten der Mitarbeitenden. Diese können etwa über die Stellenbeschreibung der Mitarbeitenden KI-unterstützt ausgewertet werden, sodass eine individuelle initiale Berechtigungsempfehlung gegeben werden kann. 

Auch bei der Beantragung von Berechtigungen kann KI eine zentrale Rolle spielen. In vielen Unternehmen gibt es eine Vielzahl an Berechtigungen, die oft schwer verständlich sind – sei es wegen unklarer Namen oder fehlender Beschreibungen. Selbst wenn Beschreibungen vorhanden sind, sind sie nicht immer für alle verständlich. Das führt dazu, dass Mitarbeitende versehentlich unpassende Berechtigungen beantragen oder die Antragstellung gar nicht selbst übernehmen können. Stattdessen muss häufig der Helpdesk einspringen, um die Anfrage zunächst in verständliche Form zu bringen. 

Ein Chatbot kann diesen Prozess deutlich vereinfachen. Mitarbeitende können ihm beschreiben, welche Berechtigungen sie benötigen, und erhalten passende Vorschläge. Falls die Auswahl zu groß ist, stellt die KI gezielte Rückfragen, um die Suche einzugrenzen. Sobald die richtige Berechtigung gefunden wurde, kann der Chatbot den Antrag direkt im Namen der Mitarbeitenden stellen.

In vielen Fällen sind Berechtigungsbeschreibungen nicht zielgruppengerecht. Sie enthalten Abkürzungen, sind zu generisch oder zu kryptisch. Insbesondere bei Business-Rollen (Bündeln von Berechtigungen von häufig mehreren Anwendungen) ist eine verständliche Beschreibung, die den Inhalt korrekt widerspiegelt, schwer zu erstellen. Und ist sie einmal erstellt, wird sie häufig auch bei Anpassungen der Rollen-Inhalte nicht aktualisiert. Diesen Use-Case kann eine GenAI abdecken, der man entsprechende Vorgaben zur Länge, dem Detailgrad, dem Stil etc. vorgeben kann, um konsistente und nützliche Berechtigungsbeschreibungen insbesondere von Business-Rollen zu erhalten.