Daten über unsere Person sind in vielerlei Systemen gespeichert. Als digitale Identitäten eröffnen sie uns Kommunikationswege, ermöglichen den Zugriff auf Informationen oder das Aufgeben von Bestellungen. Erst wenn Einzelne feststellen, dass sie zu wenig beziehungsweise zu viele Zugriffsrechte haben oder lange warten müssen, bis alles funktioniert, stellt sich die Frage, wie diese Identitäten angelegt und verwaltet werden: Wer generiert für die neue Kundenberaterin Michaela Müller die Durchwahl -653, die E-Mail-Adresse michaela.mueller@unternehmen.de, das SAP-Benutzerkonto Mueller2 und den CRM-Login mmueller? Wo ist dokumentiert, welche Zugriffsrechte die Kollegin in den verschiedenen Systemen besitzt und wer sie ihr warum gewährt hat? Was passiert mit all den digitalen Identitäten, wenn Michaela Müller heiratet, die Abteilung wechselt oder eines Tages das Unternehmen verlässt?
Identity-Management (IdM)
IdM-Produkte werden eingesetzt, um personenbezogene Informationen in Systemen automatisiert zu verteilen und synchron zu halten (Meta-Directory). Oftmals knüpfen sich an den Datenstrom automatisiert folgerichtige Aktionen wie das Generieren einer Telefonnummer oder die Freigabe von Berechtigungen (Provisioning). Dabei lässt sich jede einzelne Aktion mit einem Audit-Tool dokumentieren (Compliance).
Zur Studie
Für die Anwenderstudie "Identity Management 2006/2007" hat die Stuttgarter Deron GmbH gemeinsam mit dem Fraunhofer-Institut für Informations- und Datenverarbeitung (IITB) 3500 deutsche Unternehmen befragt. Demnach setzen mittlerweile 62 Prozent der Firmen auf IdM. Während 17 Prozent der Firmen angaben, IdM bereits im Einsatz zu haben, führen sieben Prozent gerade entsprechende Lösungen ein. Vor allem den 38 Prozent der Unternehmen, die den Einsatz noch planen, kann die Studie wertvolle Hinweise auf die relevanten Erfolgsfaktoren, aber auch konkrete Hilfestellung bei der Auswahl von Produkten und deren optimaler Implementierung geben.
Im Rahmen der Befragung wurden die Studienteilnehmer aufgefordert, die von ihnen eingesetzte IdM-Software - unter anderem von IBM, Microsoft, Novell, Oracle, Siemens und Sun im Hinblick auf Administrationsaufwand, Stabilität, Flexibilität, Leistung und Gesamtfunktionalität zu bewerten. Ein 21-seitiger Auszug der Anwenderstudie ist unter www.deron.de kostenlos erhältlich, der komplette Report zum Preis von 390 Euro zu beziehen.
www.computerwoche.de/
1218636: Sichere Identitäten im Web;
590967: In zehn Schritten zum Identity-Management;
1217385: Ja, wer sind denn Sie?
Mit diesen Fragen beschäftigen sich das Identity-Management (IdM) und immer mehr Unternehmen. Eine Reihe hartnäckiger Vorurteile steht ihnen dabei aber häufig im Weg.
Wozu ein IdM-Tool? Der Aufwand für IdM hält sich doch in Grenzen
Viele Unternehmen vertrauen auf eine "hemdsärmelige" Benutzerverwaltung im Excel-Format. Bei kleineren Firmen mag so noch halbwegs sichergestellt sein, dass nur berechtigte Personen Zugriff auf die für sie bestimmten Daten haben: Der IT-Administrator legt Benutzerkonten für die verschiedenen Systeme an, protokolliert dies in einer Datei und sperrt die entsprechenden Accounts bei Bedarf. Ab einer gewissen Unternehmensgröße wird es allerdings unübersichtlich: Bei 100 Mitarbeitern und acht verschiedenen Systemen sind 800 Accounts zu verwalten, bei 1000 Mitarbeitern und zwölf Systemen immerhin 12 000 Benutzerkonten. Hinzu kommen jeweils unterschiedliche Rollen und Berechtigungen für die einzelnen Nutzer, die die Komplexität der Benutzerverwaltung weiter erhöhen.
Nach der kürzlich von dem Stuttgarter Beratungshaus Deron gemeinsam mit dem Fraunhofer-Institut erarbeiteten Anwenderstudie "Identity Management 2006/2007" liegt der durchschnittliche Zeitaufwand für das Anlegen eines neuen Mitarbeiters in den betreffenden Benutzerverwaltungen ohne IdM-System bei 3,55 Stunden. Unterstützt durch ein IdM-System, dauert es im Schnitt nur 1,81 Stunden. Noch stärker fällt der Aufwand für die laufende Pflege der Accounts und Berechtigungen ins Gewicht. Der Studie zufolge lässt sich der Gesamtaufwand für das "Identity-Lifecycle-Management" mit Hilfe eines IdM-Systems um durchschnittlich 63 Prozent senken.
Erst 17 Prozent der Unternehmen nutzen IdM-Lösungen? Dann können die Vorteile ja nicht so groß sein
Dass bislang nicht einmal jedes sechste Unternehmen ein IdM-System einsetzt, liegt zum einen an den Einführungskosten, vor denen viele IT-Verantwortliche zurückschrecken. Zum anderen sind (einige) IdM-Produkte erst seit kurzem so ausgereift, dass sich damit auch komplexe Infrastrukturen und Prozesse verwalten lassen. Entsprechend wächst das Interesse an IdM: Während sieben Prozent der im Rahmen der Studie befragten Unternehmen gerade dabei sind, ein IdM-System einzuführen, befinden sich weitere 38 Prozent bereits im konkreten Planungsprozess. Die über IdM zu erzielenden Vorteile wie höhere IT-Sicherheit sowie reduzierter Verwaltungsaufwand liegen auf der Hand. Die Zufriedenheit der IdM-Nutzer lässt sich durch Zahlen untermauern: Die im Rahmen der Studie befragten Firmen mit entsprechenden Lösungen bewerteten ihre Benutzerverwaltung im Schnitt mit 2,4 und somit um eine ganze Note besser als Organisationen ohne IdM, die im Schnitt nur eine 3,5 vergaben.
Mit dem Kauf und der Installation eines IdM-Systems ist alles getan
Hat sich ein Unternehmen einmal entschieden, ein IdM-System einzuführen, wollen die Verantwortlichen oft schnell Nägel mit Köpfen machen. Viele glauben, mit dem Kauf und der Installation eines IdM-Systems seien alle Hürden auf einen Schlag genommen. Doch um die Entscheidung für ein bestimmtes Produkt geht es erst ganz zum Schluss: Zunächst gilt es, die bestehenden Prozesse und IT-Systeme im Unternehmen genau zu analysieren und zu dokumentieren. Erst dann lässt sich entscheiden, mit welchem der zahlreichen und unterschiedlichen Produkte sich die jeweiligen Abläufe am besten abbilden und unterstützen lassen. Insbesondere bei der Prozessanalyse empfiehlt es sich, externe Experten hinzuzuziehen. Nur zu oft treten erst im Zuge der Beratung schwerwiegende Lücken in den firmeneigenen Prozessen der Identitätsverwaltung zu Tage.
IdM ist vor allem eine Aufgabe der IT-Abteilung
Nicht selten wird die IT angewiesen, den neuen Mitarbeiter Schulze "mal eben" genauso einzurichten wie den Kollegen Schmidt. Mit dem Ergebnis, dass der Sachbearbeiter Schulze im Bestellsystem plötzlich den gleichen Verfügungsrahmen besitzt wie der Prokurist Schmidt. Auch wenn IdM operativ bei der IT-Abteilung angesiedelt ist, wird an diesem Beispiel deutlich, dass es sich dabei zuallererst um eine Führungsaufgabe handelt. Nur der Einkaufsleiter eines Unternehmens kann die Einkaufsprozesse definieren und entscheiden, welche Rechte die einzelnen Mitarbeiter seiner Abteilung demgemäß besitzen sollen beziehungsweise welche Rollen für den Einkauf eingerichtet werden müssen. Die einmal definierten Policies sowie die für die verschiedenen Abteilungen und Hierarchieebenen festgelegten Rollen und Berechtigungen werden im IdM-Tool hinterlegt.
Über ein Provisioning-Werkzeug lassen sie sich nach Benutzer und für alle angeschlossenen Systeme verwalten. Auf diese Weise kann unter anderem auch die Segregation of Duty, wie sie etwa Sarbanes-Oxley fordert, definiert und eingehalten werden: Die Verantwortung für die Datennutzung liegt bei der Fachabteilung, die IT setzt die entsprechenden Anforderungen lediglich um.
Schon mit dem Einsatz eines IdM-Tools lässt sich Compliance gewährleisten
Compliance-Anforderungen, wie sie spätestens seit Basel II und den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) als Schreckgespenster in den Köpfen vieler Firmenlenker herumspuken, lassen sich mittels IdM leichter erfüllen. Doch der Einsatz eines IdM-Tools allein ist noch kein Garant für Compliance. Erst die Verbindung mit geeigneten organisatorischen Maßnahmen führt hier zum Ziel: Ein Audit-Tool etwa dokumentiert alle Vorgänge innerhalb des IdM-Systems und hilft so, Verstöße gegen firmeninterne Zugriffsrichtlinien oder rechtliche beziehungsweise gesetzliche Vorgaben aufzudecken. Dabei wird gespeichert, wer zu welchem Zeitpunkt worauf Zugriff hat und wer den Zugriff gewährt hat. Damit ist die geforderte Transparenz gewährleistet. Das ist allerdings nur der erste Schritt. Entscheidend ist, auf dieser Basis zu reagieren und künftige Verstöße auszuschließen. Als ein wichtiges Instrumentarium hierfür fungiert der Soll-Ist-Abgleich, der entsprechend automatisiert werden muss: Dazu gilt es, den Soll-Zustand zu definieren - was zunächst wieder eine organisatorische Aufgabe ist - und ihn dann im System zu hinterlegen. Bei Abweichungen schlägt das Tool automatisch Alarm, so dass entsprechende Gegenmaßnahmen getroffen werden können.
Alle Sicherheitslücken sind durch Security-Software bereits gestopft
Die meisten Unternehmen haben in den vergangenen Jahren erheblich in Sicherheitslösungen investiert. Durch Schutzvorkehrungen wie Firewalls und Antiviren-Programme ist das Gros der Firmennnetze heute gut gegen Angriffe von außen abgesichert. Die größere Gefahr für die Sicherheit der Systeme kommt jedoch von innen. Vor allem der Missbrauch nicht gelöschter Benutzerkonten durch ehemalige Mitarbeiter stellt eine nicht zu unterschätzende Bedrohung dar. Mit einem IdM-System lässt sich das vermeiden: Wird ein Mitarbeiter im HR-System als "ausgeschieden" gekennzeichnet, stößt dies über eine Schnittstelle zum IdM-System automatisch die Deaktivierung an.
Missbrauch lässt sich leicht aufdecken, indem man nach ungenutzten Accounts schaut
Um der widerrechtlichen Nutzung von Zugriffsberechtigungen vorzubauen, verfolgen viele Administratoren die einfache Strategie, regelmäßig nach nicht mehr verwendeten Accounts Ausschau zu halten und diese dann zu löschen. Hinter dieser Vorgehensweise verbirgt sich aber ein grundsätzliches Missverständnis denn ein missbräuchlich genutzter Account erscheint ja als aktiv!
Der Austausch von Account-Informationen mit einem Directory reicht
Häufig werden auch die Benutzerkonten mit den Mitarbeiterlisten aus der Personalverwaltung abgeglichen. Oft kommen dabei ab einer gewissen Mitarbeiterzahl selbst geschriebene Skripte zum Einsatz. Darin werden die Account-Informationen der einzelnen Anwendungen aber oft nur einmal täglich mit einem zentralen Directory abgeglichen. Nach Auffinden eines kritischen Accounts kann es dann bis zu 24 Stunden dauern, bis eine Reaktion erfolgt. Außerdem lassen sich Abläufe nur mit großem Aufwand abbilden, wohingegen die meisten IdM-Systeme mit Workflow-Engines ausgestattet sind.
Wer das Authentisierungsprotokoll LDAP (Lightweight Directory Access Protocol) einsetzt, hat IdM bereits im Griff
Manche Unternehmen nutzen LDAP-kompatible Directorys als IdM-Ersatz. Dabei wird der Verzeichnisdienst jedoch nur als Meta-Directory eingesetzt. Entscheidende IdM-spezifische Funktionen wie Workflow-Engines stehen hier so gut wie nie zur Verfügung. Zudem ist die Verwendung von LDAP für den Datenaustausch nicht optimal, weil dabei die spezifischen Funktionen verloren gehen. Sinnvoller ist eine gezielte Anbindung der einzelnen Systeme, wie sie dedizierte IdM-Lösungen bieten: Datenbanken mittels SQL via JDBC oder ODBC, SAP über BAPI und AD über ADSI (Active Directory Services Interface).
IdM ist Single-Sign-on
Als Authentisierungsprotokoll eignet sich LDAP eher für die Unterstützung von Single-Sign-on (SSO). SSO nimmt dem Benutzer die manuelle Anmeldung bei den verschiedenen Accounts ab. Ist das SSO aber nicht in ein IdM-System integriert, muss der Administrator weiterhin alle Accounts separat anlegen beziehungsweise die Benutzerkonten der verschiedenen Systeme identifizieren und jeweils einer User-Identität zuordnen. Ist das SSO dagegen Bestandteil einer IdM-Lösung mit rollenbasierender Verwaltung, profitieren davon sowohl die Anwender als auch der Administrator, der seine Arbeit dann mit ein paar Mausklicks schnell und sicher erledigt.
So kann IdM dem Unternehmen nicht nur erheblichen Aufwand für die Benutzerverwaltung ersparen und Systeme sicherer machen, sondern auch für mehr Benutzerkomfort sorgen. (kf)