Das Dell Insider-Portal: Für alle, bei denen die Umsetzung mehr zählt als die Theorie:
Mit echten Fallbeispielen und Erfahrungsberichten zu den aktuellsten IT-Themen

 

Identitäts- und Zugriffsrechte managen – Sicherheit geht vor

Zwei Herzen schlagen in meiner Brust: das des Programmierers und Technikers und das des Vollblut-Journalists und Content-Junky. Seit 30 Jahren schreibe ich Programme, Artikel, Kompendien, Web-Seiten-Inhalte und Social-Media-Schnipsel und habe immer noch Spaß dran. Derzeit befasse ich mich - nicht nur für Dell - intensiv mit den Themen Cloud und Security.
Unterschiedliche Betriebssysteme, neue Vorschriften, Cloud Computing und der „Bring Your Own Device“-Trend stellen die IT-Abteilungen vor neue Herausforderungen. Ohne ein effektives Identitäts- und Zugriffsmanagement verlieren die Administratoren früher oder später die Übersicht. Die Folge: Die Sicherheit des IT-Systems ist gefährdet. Also sind zuverlässige und intelligente Verwaltungslösungen gefragt.

In der Praxis läuft die Einrichtung von Zugriffsrechten häufig in etwa so ab: Der IT-Bereichsleiter erteilt einem Administrator die Anweisung, einem neu eingestellten Mitarbeiter schnell die gleichen Zugriffsrechte zu erteilen wie einem bestimmten Kollegen, der schon länger in der Firma tätig ist. Ein scheinbar bequemer Weg, denn so kann der neue Kollege sofort mit seiner Arbeit beginnen und der IT-Mitarbeiter wird nur kurze Zeit von anderen Aufgaben abgehalten. Es werden also bereits eingerichtete Zugriffsrechte auf den neuen Kollegen übertragen - ohne Garantie, dass diese für ihn tatsächlich angemessen sind.

Bei dieser gängigen Vorgehensweise können sich schnell ungeahnte Sicherheitsrisiken auftürmen: Wurden schon die Zugriffsrechte des länger beschäftigten Mitarbeiters irgendwann einmal nach dem gleichen Prinzip eingerichtet? Sind bei ihm Berechtigungen aktiv, die sich längst überlebt haben? Gibt es vielleicht Ausnahmen, die in seiner Autorisierung aktiv sind?

Die lapidare Einstellung "Das wird schon in Ordnung gehen" führt mit der Zeit zwangsläufig zu einem Desaster bei den IT-Sicherheits-Richtlinien. Hier sind bessere, vor allem professionellere Lösungen gefragt. Ein Blick über den Tellerrand zeigt, wie andere Unternehmen diese Problematik erfolgreich gelöst und ihr Identitäts- und Zugriffsmanagement in den Griff bekommen haben.

Theorie und Praxis

Die heute verfügbaren Technologien zur Identitäts- und Zugriffsverwaltung sind in der Lage, selbst äußerst komplexe Anforderungen zu bewältigen. Im Mittelpunkt stehen folgende Aspekte:

  • Authentifizierung: Sie erfolgt meist über die Eingabe einer Kombination aus Benutzernamen und Passwort. Damit wird geprüft, ob eine Person tatsächlich diejenige ist, als die sie sich anmeldet. Die Sicherheit dabei ist von der Qualität des Passworts abhängig.

  • Autorisierung: Die Autorisierung erfolgt nach der Authentifizierung. Hier geht es darum, warum sich die Person anmeldet und auf welche Bereiche und Daten der IT-Umgebung sie zugreifen darf. Auch Zugriffsregeln, Funktionen und Arbeitsgruppen sind mit der Autorisierung zu definieren.

  • Administration: Noch bevor sich eine Person in einer IT-Umgebung authentifizieren und anmelden kann, sind vom IT-Personal eine Reihe mitunter umfangreicher Verwaltungsaufgaben zu erledigen. Dazu gehören zum Beispiel das Festlegen der zugriffsberechtigten Person und deren richtigen Position für die Autorisierung, die Kennwortverwaltung inklusive der Gültigkeitsdauer, die rechtzeitige Erinnerung zum Wechsel des Kennworts und dessen Rücksetzung. Die Herausforderung der Administration besteht darin, eine erträgliche Balance zwischen Sicherheit und Benutzerfreundlichkeit zu finden.

  • Audit: Authentifizierung, Autorisierung und Administration unterliegen Standards, um ein Mindestmaß an Sicherheit zu erfüllen. Audit umfasst alle Aktivitäten, die zur Erfüllung dieser Standards durchgeführt wurden. Das können in der Praxis beispielsweise Standards zur Sicherstellung der PCI-Compliance (Einhaltung von Sicherheitsvorschriften im elektronischen Zahlungsverkehr) oder zur Erfüllung der Anforderungen eines Best-Practice-Frameworks wie ITIL sein (betrifft die Umsetzung von IT-Service-Managements bei IT-Geschäftsprozessen).

In der Theorie lassen sich diese vier Faktoren recht einfach erfüllen. In der Praxis ist das jedoch nicht immer so einfach, da Unternehmen in ihren Rechenzentren nicht selten unterschiedliche Technologien einsetzen. Während für windows-basierte Ressourcen Microsoft Active Directory als zentrale Steuereinheit dient, haben andere Plattformen wie Unix, Linux, Mac oder Mainframes ihre eigenen Verzeichnisse, für die jeweils eigene Maßnahmen zur Authentifizierung, Autorisierung, Administration und Audits gelten.

Für die Verwaltung von Benutzeridentitäten, Zugriffsrechten und für die Sicherheit sollte das IT-Management daher eine Lösung einsetzen, die die Technologien und Anforderungen unter einen Hut bringt. Eine kostengünstige, leicht zu implementierende Lösung zur kompletten Verwaltung von Identitäten und Zugriffrechten ist beispielsweise der "Identity Manager" aus dem Hause Dell. Er stellt eine flexible, automatisierte, sichere und zugleich effiziente IAM-Plattform (IAM = Identity and Access Management - Identitäts- und Zugriffsmanagement) bereit. Die Flexibilität zeigt sich unter anderem darin, dass sich die Lösung an die unterschiedlichen Anforderungen in Unternehmen anpassen lässt.

Die Anforderungen an eine Identitäts- und Zugriffsverwaltung eines Rechenzentrums sind zwar äußerst komplex, werden jedoch mit dem Identity Manager transparent und lassen sich damit wesentlich einfacher managen.
Die Anforderungen an eine Identitäts- und Zugriffsverwaltung eines Rechenzentrums sind zwar äußerst komplex, werden jedoch mit dem Identity Manager transparent und lassen sich damit wesentlich einfacher managen.
Foto: Dell

Was der Dell Identity Manager kann, beschreibt das zweiseitige Whitepaper "Identity Manager", das Sie hier herunterladen können:

»
Whitepaper zum Artikel

Welche Herausforderungen Unternehmen und Organisationen beim Identitäts- und Zugriffsmanagement zu meistern und durch den Einsatz des Identity Managers bereits gelöst haben, zeigen vier Beispiele aus der Praxis.

Transportunternehmen auf der Zielgerade

Die Einsparung laufender Kosten ist für so gut wie jedes Unternehmen immer ein heißes Thema. Bevor man das jedoch zulasten der Beschäftigten macht, etwa durch Abbau von Arbeitsplätzen, konzentrieren sich sozial verantwortungsvoll handelnde Firmen erst darauf, ihre Arbeitsabläufe zu analysieren und zu optimieren.

So auch das niedersächsische Transportunternehmen Üstra - Hannoversche Verkehrsbetriebe: Es befördert jährlich rund 152,5 Millionen Personen und legt dabei eine Strecke zurück, die 931 Mal um den Globus reicht. Für die Üstra bestand dringender Handlungsbedarf, da die IT-Verwaltungskosten aus dem Ruder zu laufen drohten. Die Anzahl der PCs stieg, und das Unternehmen musste feststellen, dass die gerade einmal acht angestellten IT-Mitarbeiter mit deren manuellen Verwaltung mehr und mehr überfordert sind. Die Lösung des Problems lag in einer teilweisen Automatisierung der anfallenden Verwaltungsaufgaben. Die IT-Verantwortlichen entschieden sich daher für den Einsatz des Dell Identity Managers und erreichten so eine spürbare Reduzierung der IT-Kosten im Unternehmen. Das Unternehmen nutzt dabei eine breite Palette der Fähigkeiten des Programms für derzeit 2000 Beschäftigten, 1000 PCs und 80 Server an 10 Standorten.

Rechtspflege unter Kontrolle

Auch der im Bayerischen Staatsministerium der Justiz angesiedelten Verwaltung der bayerischen Justiz drohte der wachsende Aufwand für die IT-Verwaltung über den Kopf zu wachsen. Immerhin galt es, bei rund 12.000 Richtern, Staatsanwälten, Justizbeamten, Rechtspflegern und Mitarbeitern die notwendige Zugriffsrechte-Übersicht und Datensicherheit zu gewährleisten. Außerdem sollten wenig effiziente Arbeitsabläufe automatisiert werden, darunter ein bis dahin manuelles Bestellsystem mithilfe von Excel-Files oder die manuelle Benutzer-Administration, und Self-Service-Funktionalitäten eingerichtet werden.

Die Einführung des Dell Identity Managers brachte letztendlich den gewünschten Erfolg, da sämtliche Anforderungen erfüllt wurden. So ist jetzt jeder der rund 12.000 bayerischen Justizbediensteten in der gesamten IT-Struktur korrekt erfasst und unterliegt einer klar definierten und rechtskonformen Zugangskontrolle zum IT-System. Manuelle Prozesse gehören der Vergangenheit an. Die verbesserte Sicherheit gewährleistet, dass Mitarbeiter nur auf solche Informationen und Anwendungen zugreifen können, für die sie berechtigt sind.

Das Dashboard des Identity Managers zeigt am Bildschirm alle wichtigen Funktionen und Parameter der Verwaltungssoftware als Übersicht. Damit wird die Administration der Verwaltung effektiver und die Fehlerwahrscheinlichkeit geringer.
Das Dashboard des Identity Managers zeigt am Bildschirm alle wichtigen Funktionen und Parameter der Verwaltungssoftware als Übersicht. Damit wird die Administration der Verwaltung effektiver und die Fehlerwahrscheinlichkeit geringer.
Foto: Dell

Ordnung im System-Mix

Etwas anders war die Ausgangslage beim Bayerischen Staatsministerium für Bildung und Kultus, Wissenschaft und Kunst: Hier benötigte man eine zentrale und effektive Administration von IT-Systemen an unterschiedlichen Standorten mit verschiedenen Betriebssystemen. Die seit den 1980er Jahren an den bayerischen Schulen nach und nach angeschafften PC-Systeme haben eine heterogene und mitunter chaotische PC-Landschaft entstehen lassen. Um hier eine klare Linie zu ziehen, wurde beschlossen, die IT-Umgebung in den Münchener Schulen zu standardisieren. Ziel sollte sein, einen ganzheitlichen Ansatz für das Systemmanagement zu erhalten, um die Verwaltung so weit wie möglich zu automatisieren.

Die Anforderungen an das Projekt waren hoch: Zwei Netzwerkstrukturen waren zu vereinen. Dabei handelte es sich zum einen um das Bildungs-Netzwerk für rund 160.000 Schüler an mehr als 400 Standorten und zum anderen um das administrative Netzwerk mit 350 Servern und rund 14.000 Client-PCs mit Nutzern wie Administratoren, Lehrern und Leitern von Kindertagesstätten. An allen Schulen und Einrichtungen sollte mit dem neuen System eine einheitliche Qualität der Verwaltung und der Funktionalität gewährleistet werden.

Die Integration des Dell Identity Managers erwies sich als die effektivste und zugleich einfachste Lösung für die Verwaltung der zum Teil auf Windows und zum Teil auf Linux basierenden Systemumgebungen. Die Automatisierung und die damit verbundenen Beschleunigung der Verwaltungsprozesse hatten zudem zur Folge, dass sich alle anfallenden Verwaltungsaufgaben von nur wenigen IT-Mitarbeitern erledigen lassen. Das Ergebnis: eine spürbare Entlastung des Budgets des Ministeriums.

Das intuitiv zu bedienende Web-Frontend des Identity Managers erfordert keine speziellen Kenntnisse und ermöglicht damit den Lehrern, die meisten Arbeiten wie das Verwalten der eigenen Kennwörter oder das Installieren oder Entfernen von Unterrichtssoftware ohne ständige Inanspruchnahme des IT-Personals selbst zu erledigen. Selbstverständlich müssen dafür aber zuvor einmalig entsprechende Benutzerrechte festgelegt worden sein. Der Identity Manager überwacht dann automatisch diese Regeln.

Flottes Datenmanagement

Zu den zehn größten Banken der Schweiz gehört die Luzerner Kantonalbank AG. Das Geldhaus suchte nach einer Lösung für ein transparentes und automatisches Identitäts- und Anlagenmanagement. Die Entscheidung fiel auf den Identity Manager von Dell. Alle Identitätsdaten wurden in einer internen Datenbank zusammengefasst. Dies ermöglicht der Bank eine absolute Kontrolle und einen sicheren Zugriff auf die Daten. Wichtig war auch, dass Änderungen an der Datenstruktur ohne Beteiligung eines Providers durchgeführt werden können.

Während vor dem Einsatz des Identity Mangers alle Prozesse unter großem Zeitaufwand per Hand erledigt werden mussten, hat sich der Zeitaufwand für die gleichen Prozesse danach drastisch verringert. Vor allem die durch den Identity Manager ersetzte Helpdesk-Lösung durch die integrierten Helpdesk-Funktionen wird vom IT-Personal der Bank sehr geschätzt. Denn damit können Nutzer über ein intuitiv und einfach zu bedienendes Web-Interface präzise Informationen zu ihrem Problem abfragen und zu einer im Vergleich zu vorher sehr viel schnelleren Lösung gelangen.

Besonders angenehm empfanden es die IT-Mitarbeiter der Luzerner Kantonalbank, dass für den Einsatz und für die Bedienung des Identity Managers keinerlei Schulungen notwendig wurden. Die einfache Bedieneroberfläche, die leicht verständliche Programmdokumentation, die umfassende Online-Hilfe sowie die Kompetenz des Support-Teams bei Dell trugen entscheidend zum Erfolg bei.

Fazit

Ein Programm zur Identitäts- und Zugriffsorganisation wie der Identity Manager vereinfacht und automatisiert die Verwaltung von Benutzeridentitäten, Zugriffsrechten und Sicherheitsbestimmungen. Das IT-Personal wird in seinen Aufgaben entscheidend entlastet, und auch der Nutzer profitiert von einer besseren, einfacheren und zeitsparenden Verwaltungsumgebung. Alle Mitarbeiter bekommen genau den Zugang zu den Anwendungen, Systemen und Daten im Unternehmen, die für sie relevant sind. Zudem lassen sich Arbeitsabläufe definieren sowie Funktionen nach Bedarf bereitstellen und wieder entfernen.

Weitere Informationen