Was IdM-Projekte gefährdet

21.06.2007
Von Katharina Friedmann
Immer mehr Unternehmen widmen sich dem Thema Identity-Management (IdM) nicht immer mit Erfolg. Die Einführung hat ihre Tücken.
Viele bei der IdM-Einführung auftretende Probleme sind weniger technisch als organisatorisch bedingt.
Viele bei der IdM-Einführung auftretende Probleme sind weniger technisch als organisatorisch bedingt.

Die Bereitschaft deutscher Firmen, sich auf IdM einzulassen, wächst. Zu den Prioritäten gehören neben dem Identity-Provisioning vor allem die Themen Rollen-Management, Compliance, Enterprise Single Sign-on (ESSO) sowie Identity Federation. Das ergab die "Identity Management Marktstudie 2006/2007" der Analystengruppe Kuppinger Cole + Partner, für die rund 80 Großunternehmen zum Stand der Dinge und ihren Plänen im Bereich Identity- und Access-Management (IAM) befragt wurden. Demnach befinden sich in den genannten Bereichen zwischen 23 und 28 Prozent der Firmen in der Planungs- oder Einführungsphase. Was allerdings die richtige IdM-Strategie und die für einen Projekterfolg erforderliche Vorgehensweise betrifft, tappen Anwenderunternehmen laut Studie noch häufig im Dunkeln.

Was IdM-Projektleiter können müssen

Selbst wenn es sich bei IdM-Projekten auf den ersten Blick um verhältnismäßig einfach zu lösende technische Belange handelt, können daraus komplexe Vorhaben werden, bei denen es primär um Geschäftsprozesse geht. Technisch versierten Fachkräften fehlen allerdings häufig das Projekt-Management-Know-how und die "politischen" Fähigkeiten, um solche Projekte erfolgreich betreuen zu können. Der ideale IdM-Projektleiter sollte laut Gartner demnach ...

über exzellentes Verhandlungsgeschick und ausgeprägte Kommunikationsfähigkeiten verfügen;

Erfahrung im Management komplexer IT-Projekte haben;

das operative Geschäft verstehen dabei sollte der Schwerpunkt auf HR-Praktiken sowie der Techniknutzung (im Gegensatz zu den Besonderheiten der einzelnen Techniken) in den einzelnen Geschäftsbereichen liegen;

Compliance-Vorschriften und Praktiken zur Klassifizierung von Sicherheitsrisiken kennen und sich auf das Risiko-Management verstehen;

fähig sein, mit unterschiedlichen Management-Ebenen zu kommunizieren und zu kooperieren, um Risiken ermitteln und artikulieren zu können;

sich mit Praktiken zur Sicherheitsverwaltung (wie Verzeichnisdienste und rollenbasierende Zugriffskontrolle) auskennen;

über Erfahrung und Know-how in der Geschäftsprozessanalyse verfügen;

die Auswirkungen von Sicherheitstechniken und -maßnahmen auf Endnutzer und andere Stakeholder verstehen.

Unternehmen sollten grundsätzlich nicht davor zurückschrecken, die Leitung eines IdM-Projekts auf eine andere Person zu übertragen, wenn sich Umfang und Tragweite des Vorhabens verändern. Allerdings gelte es, mit Bedacht und Feingefühl vorzugehen, um eine größere Projektstörung zu vermeiden. Quelle: Gartner

Hier lesen Sie

worin die Besonderheiten eines IdM-Projekts bestehen;

wo die Stolpersteine liegen;

warum IdM-Vorhaben gute Vorbereitung erfordern.

Mehr zum Thema

www.computerwoche.de/

594015: Kein vernetztes Arbeiten ohne digitale Identität;

582467: Über Single-Sign-on zum Identity-Management;

590967: In zehn Schritten zum Identity-Management.

Experten zufolge ist das Bewusstsein der Firmen für die Besonderheiten von IdM-Vorhaben noch nicht hinreichend ausgeprägt. Das betrifft insbesondere den firmenweiten Kontext, den Umgang mit sensiblen Informationen, die Integration komplexer, heterogener Systeme und die aufgrund unternehmenspolitischer Aspekte erforderliche umsichtige Vorgehensweise.

Falsche Treiber

Erfahrene IdM-Praktiker können davon ein Lied singen. "Häufig haben Unternehmen andere Vorstellungen von dem, was ein IdM-System leisten soll, als was es leisten kann", formuliert es Patrick Schraut, Senior Consultant bei der Integralis Deutschland GmbH. Umso wichtiger sei es, sich im Vorfeld eines Projekts mit dem Thema Identity-Management sowie dessen höchst unterschiedlichen Ausprägungen auseinanderzusetzen und klar zu definieren, wozu das IdM-Projekt gut sein soll. Nur so könne sichergestellt werden, dass das Angestrebte auch tatsächlich via IdM zu realisieren sei. "Die penible Vorbereitung auf ein solches Projekt ist die beste Investition", so der Berater.

Als typische Treiber für IdM nennt Schraut bestimmte Compliance- beziehungsweise Sicherheitsanforderungen. Die von den IdM-Anbietern in Aussicht gestellten Kosteneinsparungen hält er indes überwiegend für unrealistisch: "Bei den IdM-Projekten, in die wir involviert sind, denken Unternehmen nicht an Einsparungen über zehn Jahre, sondern verlangen einen auf drei Jahre gerechneten RoI", berichtet der Consultant. Angesichts der für eine sinnvolle Umsetzung erforderlichen Laufzeiten und Aufwände könne sich IdM wohl langfristig, kaum aber innerhalb der heutigen kurzen Betrachtungszeiträume rechnen. Auch die viel gepriesene "Flexibilisierung von Geschäftsprozessen" ist nach Meinung des Integralis-Experten nur bedingt zu erreichen. Um Prozesse mittels IdM automatisieren und damit optimieren zu können, müssten auch alle daran beteiligten Systeme schon von sich aus einen hohen Grad an Automatisierung bieten. "Die Hersteller mögen das anders sehen aber mit einer IdM-Lösung allein lässt sich kaum etwas flexibler gestalten", stellt Schraut klar.

Auch Analysten halten die überzogenen, primär von den Herstellern geweckten Erwartungen in IdM für kontraproduktiv. "Die Anbieter verkaufen IdM und stellen es so dar, als ließen sich mit ihrem Produkt an einem Wochenende sämtliche Probleme lösen", kritisiert Mike Neuenschwander, Vice President und Research Director bei der Burton Group. Dem sei jedoch nicht so: Da sich jede Organisation in einer anderen Situation befinde, sei auch jeder IdM-Einsatz einzigartig. Wer von IdM profitieren wolle, müsse im Vorfeld eines Projekts seine Organisations- und Geschäftsprozesse kennen und allem voran für eine saubere Datenbasis sorgen.

Nach Erfahrung der Stuttgarter Deron Systemhaus GmbH führt das von den IdM-Herstellern suggerierte Easy-Doing zu einer gewissen Blauäugigkeit in Anwenderkreisen. Die Folgen sind falsche Budgetplanungen und meist zu knapp bemessene Umsetzungszeitrahmen. Ein Grund dafür ist nach Angaben von Deron-Geschäftsführer Klaus Scherrbacher der unterschätzte Aufwand für die firmenspezifische Anpassung der Workflows. Erst dadurch entstehe aber der IdM-Nutzen.

Auch Analyst Neuenschwander weiß von Fällen, in denen die ursprünglichen IdM-Etats um das Fünffache überzogen wurden und die Projektlaufzeiten doppelt so lang gerieten wie zunächst angesetzt. Insbesondere im komplexen Bereich Rollen-Management habe es dramatische Fehlschläge gegeben. "Wir haben erlebt, dass Unternehmen ein bis zwei Millionen Dollar in rollenbasierende Zugriffskontrolle investiert und das Projekt dann aufgegeben haben, weil kaum etwas damit erreicht wurde", so der Analyst. Es herrsche demnach große Diskrepanz zwischen der Marketing-Botschaft oder der Vision rund um IdM und der tatsächlichen Umsetzung. "IdM erfordert weit mehr finanziellen Aufwand und Zeit, als die Anbieter glauben machen wollen", betont Neuenschwander.

"Häufig fehlt den Unternehmen ein durchgängiges IdM-Konzept", nennt Deron-Chef Scherrbacher einen weiteren neuralgischen Punkt bei der IdM-Einführung. Das 2001 als Spin-off der Fraunhofer-Gesellschaft gegründete Unternehmen hat in den vergangenen zwei Jahren zwölf IdM-Projekte "adoptiert", die im ersten Anlauf aus dem Ruder geraten waren.

Keine sauberen Konzepte

Einige dieser Vorhaben scheiterten bereits in der Strategiephase. Mangels Konzept wurden die IdM-Funktionen falsch priorisiert, entsprechend folgten Fehler bei der Reihenfolgeplanung. Ein Problem in diesem Kontext ist laut Scherrbacher der inhaltlich nicht geschützte Begriff IdM. "Jeder Hersteller definiert da irgendwelche Funktionen mit hinein", moniert der Experte. Die Anwenderfirmen seien damit überfordert und würden daher häufig mit dem Falschen beginnen. "Da fängt ein Unternehmen etwa mit Compliance an, um dann festzustellen, dass es jetzt zwar sehr gute Berichte hat, das Datenchaos in der Benutzerverwaltung aber weiter besteht", verdeutlicht Scherrbacher. Dabei wäre eigentlich ein Tool vonnöten gewesen, das zunächst bei der Beseitigung des Wirrwarrs geholfen hätte.

Zu starke Technikfokussierung

Fehlgeschlagen sind die meist aus der IT heraus getriebenen Projekte laut Scherrbacher nicht zuletzt aber auch, weil sie rein technisch angegangen wurden: Im Vordergrund stand dabei die Anbindung der Systeme, während Verbesserung und Automatisierung der Prozesse vernachlässigt wurden entsprechend gering war der IdM-Nutzen. "Hier wurde ausgeklammert, dass IdM zu 80 Prozent ein organisatorisches Thema ist, bei dem es um die unternehmensinternen Abläufe geht und somit nicht primär um die Auseinandersetzung mit einer Software, sondern mit den Kollegen aus anderen Fachbereichen und den jeweiligen Geschäftsprozessen", bringt es der Experte auf den Punkt.

Problem Datenqualität

Grundvoraussetzung für das im Zuge der IdM-Einführung angestrebte zentrale Handling der Benutzer-Accounts ist eine saubere Datenbasis. So erachtet Analyst Neuenschwander bei der Einführung etwa einer Provisioning-Lösung weniger deren Anbindung an andere Applikationen als Stolperstein. Schwierigkeiten entstehen vielmehr, wenn die Qualität der Daten nicht stimmt. "Setzt man beispielsweise eine Policy auf, nach der sämtliche Manager Zugriff auf Management-Applikationen haben sollen, dann muss eine verlässliche Quelle vorhanden sein, aus der hervorgeht, wer ein Manager ist und wer nicht." Häufig stelle sich dann aber heraus, dass mehr als die Hälfte der Daten im Hinblick auf die Titel der Mitarbeiter ungenau seien und erst einmal bereinigt werden müssten.

Der Aufwand für den diesbezüglichen Hausputz wird nach den Erfahrungen von Deron stark unterschätzt. Der erstmalige Abgleich von Identitäten in den angebundenen Systemen, also das Zusammenführen der meist historisch gewachsenen und damit heterogenen Benutzerinformationen sei alles andere als trivial. "Wenn ein Benutzer im Active Directory, im HR-System, in Exchange und in der Projektverwaltung jeweils anders geschrieben ist oder Informationen fehlen, lassen sich die Daten zunächst nicht zusammenführen", erläutert Scherrbacher.

Integrationswissen mangelhaft

Zu den Stolpersteinen auf technischer Ebene gehört auch die im Zuge der IdM-Einführung erforderliche Integration komplexer heterogener Systeme eine Disziplin, die den Experten zufolge nicht viele Projektleiter beherrschen. Gefordert sind Kenntnisse nicht nur des IdM-Tools, sondern auch ein breit gefächertes architektonisches Wissen. "Viele verstehen zwar das IdM-System, aber nicht die Benutzerverwaltung in SAP, das Notes-Anbindungsverfahren, die Funktionsweise des Active Directory oder die Provisioning-Verfahren einer Telefonanlage", beschreibt der Deron-Chef die diesbezüglichen Defizite der Unternehmen.

die Konnektoren haben es in sich

Auch Integralis-Consultant Schraut sieht in der Systemanbindung eine nicht zu unterschätzende technische IdM-Hürde. So gelte es, den Einfluss der jeweiligen Konnektoren auf sämtliche Prozesse beispielsweise des Qualitäts-Managements zu berücksichtigen. "Da entstehen ganz neue Abhängigkeiten", gibt der Berater zu bedenken. Noch schwieriger sei es bei Produkten, für die es keine vorgefertigten Konnektoren gebe. Die Firmen müsste diese selbst programmieren und jeweils in ihre Release-Planung einbeziehen. Angesichts der dynamischen Natur eines IdM-Systems sei dies eine technische Herausforderung im täglichen Betrieb.

Stolperstein Mensch

Eine Problemzone im Zuge der IdM-Einführung ist laut von Detlev Wagner, Senior Consultant bei Integralis, nicht zuletzt der Faktor Mensch. Angesichts der vielen anzubindenden Systeme und der entsprechend hohen Anzahl an Ansprechpartnern sei es eine besondere Herausforderung, die unterschiedlichen Interessen "unter einen Hut" zu bringen. Darüber hinaus würden Mitarbeitern im Zuge eines IdM-Projekts durch die Automatisierung von Abläufen gewisse Rechte entzogen, was bei den Betroffenen Ressentiments und Angst um den Arbeitsplatz auslöse. "Wer nicht alle Beteiligten frühzeitig und kontinuierlich in das Projekt einbindet und ihnen vor Augen führt, worin für sie der persönliche Nutzen einer IdM-Lösung besteht, muss damit rechnen, dass immer wieder Leute querschießen", warnt Wagner. Hier sei großes Feingefühl erforderlich, um die Akzeptanz der Lösung nicht zu gefährden.

Hoher Koordinationsaufwand

Nach Ansicht von Analyst Neuenschwander ist es gerade das in diesem Kontext erforderliche, besonders hohe Maß an Koordination, was IdM von anderen IT-Projekten unterscheidet. "Anders als bei der Einführung eines E-Mail-Systems kann man nicht einfach etwas installieren und alle anderen Beteiligten erst im Nachhinein davon in Kenntnis setzen."

Auf die Frage nach der Zahl gescheiterter IdM-Projekte in den vergangenen Jahren bleiben selbst auf das Thema spezialisierte Marktforscher und Berater eine konkrete Antwort schuldig. Als einen möglichen Grund für die Unklarheit erachtet Integralis-Consultant Schraut die aus seiner Sicht enorme Überschätzung des hiesigen IdM-Markts. Wo nicht viele umfassende Vorhaben angegangen würden, könnten auch nicht viele scheitern, meint er pragmatisch. Häufig setzten Firmen lediglich einzelne Insellösungen ein und seien von einem ganzheitlichen IdM noch weit entfernt.

Ähnlich sieht das Burton-Group-Analyst Neuenschwander: "Viele Unternehmen tendieren noch dazu, von den riskanteren Teilen des IdM die Finger zu lassen und eher nach den tiefer hängenden Früchten zu greifen, von denen es allerdings genügend gibt."