computerwoche.de

Security

Best Practices in IdM-Projekten

03.07.2007
Von Sebastian Mennicke
Identity-Management-Vorhaben unterliegen den allgemeinen Regeln des Projekt-Managements, haben aber auch ihre eigenen Gesetze. Spezifisch sind der firmenweite Kontext und das Handling sensitiver Identitätsdaten.

Die fictive ACME AG ("A Company Manufacturing Everything") verwendet zur Arbeitszeiterfassung ein etabliertes ERP-System mit Web-Oberfläche und eigener Benutzerverwaltung. Im Zuge steigender Anforderungen an die Sicherheit wird die Passwort-Policy für das System verschärft mit dem Effekt, dass die Helpdesk-Kosten aufgrund vergessener Passwörter sprunghaft steigen. Das ist einerseits ein Problem, andererseits aber der Grundstein für ein erfolgreiches IdM-Projekt ein Business Case. Eine Single-Sign-on-Lösung (SSO) mit Password-Self-Services würde die Helpdesk-Kosten wieder reduzieren und zudem Benutzerkomfort und Sicherheit erhöhen.

Erster Schritt: Business Case

Das Fundament einer IdM-Infrastruktur bilden die Basis-Identity-Services, die die Repositories des Unternehmens kapseln. Darauf bauen die erweiterten Dienste wie Authentisierung, Autorisierung und Lifecycle-Management auf. So lässt sich der Benutzerzugriff auf Ressourcen kontrollieren und nachweisen.
Das Fundament einer IdM-Infrastruktur bilden die Basis-Identity-Services, die die Repositories des Unternehmens kapseln. Darauf bauen die erweiterten Dienste wie Authentisierung, Autorisierung und Lifecycle-Management auf. So lässt sich der Benutzerzugriff auf Ressourcen kontrollieren und nachweisen.

Ein klar definierter und nachvollziehbarer Business Case ist deshalb entscheidend, weil die Bereitschaft, Geld für neue Infrastrukturprojekte wie IdM aufzuwenden, typischerweise gering ist. Die Skepsis rührt zum einen daher, dass mit einem IdM-Vorhaben oft Eingriffe in organisatorische Strukturen und die IT-Administration verbunden sind. Dabei werden etablierte Prozesse und Verantwortungsbereiche angetastet. Zum anderen ist IdM ein relativ neues und abteilungsübergreifendes Thema. Daher sind oft nicht einmal die organisatorische Zuständigkeit und die Finanzierungsmodelle für IdM in einem Unternehmen geklärt.

Der Business Case ist die Rechtfertigung und der Treiber für das Vorhaben. Er kann strategisch oder finanziell motiviert sein. Neben dem klassischen RoI wird inzwischen auch der "Return on Security Investment", kurz: ROSI, betrachtet.

Um das Interesse von Entscheidungsträgern und Budgetverantwortlichen zu wecken, gilt es, mit dem Business Case im Unternehmen hausieren zu gehen, das Vorhaben zu vermarkten und einen Sponsor dafür zu finden. Ein fester Rückhalt durch das Management ist eine Grundvoraussetzung für ein erfolgreiches IdM-Projekt. Der Einführung von IdM muss eine strategische Entscheidung zugrunde liegen, andernfalls ist ein Scheitern programmiert.

Auch IT braucht Strategie

Letzten Endes ist IT immer Mittel zum Zweck. Selbst wenn sie noch so gut ist, kommt ihr meist nur eine unterstützende Rolle zu. Aber auch in der IT müssen Unternehmen eine langfristige Strategie verfolgen, die an den Geschäftszielen ausgerichtet ist. Die IT-Strategie beantwortet Fragen, die auch für das IdM-Programm relevant sind. Inwieweit ist die Abhängigkeit von einem einzelnen Hersteller zu akzeptieren? Welche Risiken sind akzeptabel, um Wettbewerbsvorteile zu erzielen und die eigene Marktposition zu verbessern? Verfolgt das Unternehmen eine eher konservative IT-Strategie und hat es sich darauf festgelegt, nur ausgereifte und am Markt etablierte Produkte und Technologien einzusetzen, wird es Probleme bereiten, ein brandneues Virtual-Directory-Produkt einzusetzen - mag es auch noch so viel versprechende Merkmale bieten.

Die IdM-Strategie muss sich an der übergeordneten IT-Strategie ausrichten. Aber da, wo Letztere Freiheiten lässt, sollte die IdM-Strategie klar Stellung beziehen, um Wildwuchs in der IdM-Landschaft der Organisation zu vermeiden.