„IAM scheitert, wenn man separate Hardware braucht“
27.09.2017 von Christiane Pütter
Erst knapp jedes vierte Unternehmen setzt Sprach- und Gesichtserkennung ein, doch solche Verfahren werden wegen ihrer Nutzerfreundlichkeit zunehmen. Bedroht fühlen sich Unternehmen eher von extern als von innen. Das zeigt eine aktuelle Studie über Identity- und Access-Management. Fünf Experten kommentieren die Ergebnisse.
"In der Regel sind Geschäftsführer nicht in der Lage, die Technik zu bewerten." So kommentiert Carsten Hufnagel, Head of IAG Strategy beim Consulter Timetoact, das derzeitige Identity- und Access-Management in Deutschland. In 44 Prozent der Firmen wählt die Geschäftsführung Security-Tools und Dienstleister selbst aus. Das ist eines von vielen Ergebnissen der Studie "Identity- & Access-Management", die IDG Research Services jetzt vorlegt. Knapp 400 Entscheider haben daran teilgenommen.
Die Teilnehmer der IAM-Diskussionsrunde zusammen mit Autorin Christiane Pütter, Projektleiterin Jessica Schmitz-Nellen und CW-Redakteur Manfred Bremmer.
Hufnagel diskutiert die Studie Mitte September mit vier weiteren Experten in den Räumen der Computerwoche. Er steht mit seiner Einschätzung nicht allein: Geschäftsführer holen sich extern Rat von Analysten, orientieren sich an Referenzen oder fragen ihre Peers, beobachten die Fachleute. "Es wird viel über das persönliche Miteinander entschieden", so die Runde. Zweithäufigste Entscheider nach der Geschäftsführung sind IT-Leiter oder IT-Vorstand (30 Prozent der Nennungen), gefolgt von IT-Sicherheitsexperten (21 Prozent).
10 Schritte zum IAM-System
In zehn Schritten zum IAM Softwarelösungen für das Berechtigungs-Management, so genannte Identity-Access-Management-Systeme (IAM), haben sich von ihrem früheren reinen IT-Fokus gelöst. Zwar werden über Single-Point-of-Administration, HR-gestütztes Provisioning und rollenbasierte Zugriffskontrolle nach wie vor Kostensenkung und effizientes Benutzermanagement realisiert. Bei den heutigen IAM-Systemen handelt es sich aber vor allem um Business-Collaboration-Plattformen, die auf eine umfassendere Beteiligung der Fachabteilungen an der Zugriffsverwaltung setzen. <br /> Sie eröffnen erweiterte Möglichkeiten für die Umsetzung von Regularien, Gesetzesvorgaben und des Risikomanagements. IAM wird damit zur tragenden Säule im Rahmen der Governance-, Risk- & Compliance-Strategie (GRC) eines Unternehmens. Der folgende 10-Punkte-Plan gibt einen Überblick, worauf bei der Einführung eines IAM-Systems zu achten ist.
Gemischte Projektteams aus IT und Business IAM ist längst kein reines IT-Thema mehr. Meist können nur Personen außerhalb der IT, die über umfassende Kenntnisse der internen Geschäftsprozesse und der Organisation verfügen, die erforderlichen Informationen zu wesentlichen Aspekten beisteuern: Rollenkonzepte, Genehmigungsstrukturen, Erwartungen an die Nutzeroberflächen oder auch was Barrieren zwischen einzelnen Abteilungen angeht. <br />Projektteams zum Aufbau eines IAM-Systems sollten deshalb stets aus Kompetenzträgern sowohl aus der IT als auch aus dem Business bestehen.
Ziele definieren Klar definierte Ziele und Dienstleistungen sowie ein eng gesteckter Rahmen zu deren Planung und Überwachung sind Erfolgsfaktoren eines jeden IAM-Projektes. Dies wiederum erfordert eine enge Zusammenarbeit zwischen erfahrenen Mitarbeitern sowohl beim Anwender als auch dem implementierenden IAM-Hersteller. <br />Es ist daher sicherzustellen, dass alle Daten und Ziele miteinander vereinbart und von jedem am Projekt Beteiligten verstanden werden, bevor die Einführung beginnt. Jede spätere Anpassung verlängert das Projekt unnötig, sowohl zeitlich als auch hinsichtlich des Budgets.
Vor Start des Projektes: Aufräumen! Hohe Datenqualität ist der Schlüssel für erfolgreiches Identity Access Management. Diese Ausgangssituation ist aber keineswegs selbstverständlich, wenn ein entsprechendes Projekt aufgesetzt wird. Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind fehlende Verbindungen zwischen Konten und den Nutzern, verwaiste Konten, Rechtschreibfehler, etc. <br />Jedes IAM-Projekt beginnt daher mit einer Konsolidierung der User-IDs, bei der die Benutzerkonten ihren Besitzern zugewiesen werden. So spürt man im ersten Schritt sehr schnell verwaiste Konten auf.
Umsetzung in Phasen Eine IAM-Lösung sollte sowohl alle unternehmensweiten IT-Systeme integrieren können als auch ausreichend skalierbar hinsichtlich der Anzahl der einzubindenden Nutzer sein. Doch muss dies alles nicht auf einmal umgesetzt werden; sinnvoller ist es, das Projekt in erreichbare Zwischenziele aufzuteilen und diese Schritt für Schritt abzuarbeiten.<br /> In der ersten Phase wird dabei nur eine begrenzte Anzahl von Zielsystemen angebunden – idealerweise die wichtigsten; die Anwender nutzen zunächst nur Standardfunktionalitäten. Erste Erfolge sind dadurch schneller sichtbar, was letztlich zum schnelleren Erreichen der vollständigen Projektziele führt.
Anschluss des HR-Systems Probleme im Bereich der Rechteverwaltung resultieren oft aus unzureichender Koordinierung zwischen Human Resources und IT-Abteilung. Meldet das HR-Team Änderungen in der Personalstruktur oder bei den Stellenbezeichnungen der IT zu spät oder sogar gar nicht, kann dies schwerwiegende Folgen haben: Personen erlangen Zugang zu Konten, obwohl sie aufgrund ihrer neuen Rolle gar kein Recht mehr dazu hätten – oder weil sie das Unternehmen sogar ganz verlassen haben. <br />Eine manuelle, nicht automatisierte Informationspolitik und dezentrales Arbeiten tragen noch dazu bei, dass sich Fehler in den Berechtigungsstrukturen schnell und unkontrolliert ausbreiten. Das HR-System sollte deshalb als erstes mit dem IAM-System verbunden werden, um hier zu einer Automatisierung zu gelangen und damit Sicherheit und Kontrolle zu gewährleisten.
Customizing auf ein Minimum reduzieren Führende IAM-Anbieter verkaufen nicht bloß ein Toolkit. Basierend auf der Erfahrung aus vielen realisierten Projekten, sind vorkonfigurierte Standardsysteme vielmehr nach dem Best-of-Breed-Ansatz konzipiert. Auf Standardszenarien verzichten, um ein System möglichst individuell an die Gegebenheiten eines Unternehmens anzupassen, sollte deshalb die Ausnahme bleiben. <br />In einem Standardprodukt spiegelt sich bereits das langjährig erworbene Wissen eines Herstellers um die verschiedensten Herausforderungen im IAM-Umfeld und die jeweils beste Lösung wider. Der Einsatz von Standardkomponenten reduziert zudem auch Implementierung und Wartungskosten auf ein Minimum. <br />Kunden sollten sorgfältig prüfen, ob es statt aufwändigem Customizing nicht sinnvoller wäre, die vorgeschlagene Vorgehensweise eines Standardproduktes zu übernehmen und die eigenen Strukturen hinsichtlich der Prozesse, Terminologie und Verantwortung anzupassen.
Rollen implementieren Das Bündeln von Zugriffsrechten in so genannten "Rollen" reduziert den Administrationsaufwand erheblich und stellt die Grundlage für eine Automatisierung im Bereich der Rechtevergabe dar. Eine Rolle ist die Sammlung einzelner Zugangsrechte, die für eine bestimmte Funktion oder Aufgabe im Unternehmen erforderlich sind.<br /> Role-Mining-Tools bieten Hilfe bei der Definition von Rollen und deren Optimierung über einen kontinuierlichen Prozess hinweg. Hier ist jedoch Vorsicht geboten: Die Einführung von Rollen erfordert mehr als eine einmalige Definition von "Zugriffsrecht-Clustern".
Rollenverantwortliche festlegen Rollen sind lebende, wandelbare Strukturen, die einem ständigen Überwachungs- und Anpassungsprozess unterliegen sollten. Deshalb benötigen sie einen zugewiesenen Besitzer, der die Verantwortung für ihre saubere Ausgestaltung übernimmt. Er muss die Rollen regelmäßig dahingehend überprüfen, ob aufgrund von Veränderungen in der Organisation oder der IT-Systeme Anpassungen notwendig sind. <br />Was für die IAM-Einführung im Großen gilt, hat deshalb auch für das Thema Rollen Relevanz: Aufteilen eines Rollenprojektes in kleine Teilziele, Einbeziehung von sowohl Business- wie IT-Verantwortlichen.
Top-down-Vorgehen Ein Risikobewertungssystem ist ein leistungsfähiges Werkzeug, um die einzelnen Objekte im Access Management – Benutzer, Rollen und Konten – in eine sinnvolle Rangfolge abhängig von ihrer Relevanz zu bringen. Ein solches System jedoch für die gesamte Struktur der Zugriffsrechte zu implementieren, kann zu einem zeitaufwändigen und ressourcenintensiven Projekt führen. <br />Es empfiehlt sich ein Top-down-Ansatz, bei dem die Aufmerksamkeit zunächst auf wichtige Aspekte in einem frühen Stadium des IAM-Betriebs gerichtet wird. Zu einer vollständigen Risikobewertung kann das Unternehmen dann im Laufe der Zeit aufschließen.
Schnellere Erfolge auf Fachabteilungsebene Treiber eines IAM-Projektes sind in der Praxis oft Wirtschaftsprüfer oder IT-Manager. Um eine Akzeptanz über alle Unternehmensbereiche hinweg zu erreichen, sollte ein Anwenderunternehmen im frühen Projektstadium bereits solche Funktionen evaluieren, die sich an den Wünschen und Bedürfnissen des einzelnen Anwenders orientieren. <br />Warum nicht die verfügbaren vorkonfigurierten Workflows für Anfrage oder Passwort-Reset schon einmal anbieten, anstatt damit zu warten, bis die Lösung bei Projektende zu 100 Prozent implementiert ist? Mit diesem Ansatz wird der Nutzen eines IAM-Systems schnell im praktischen Arbeitsalltag für alle – vom Anwender bis zum Management – spürbar, was ein wichtiger Baustein für den Gesamterfolg des IAM-Projektes ist.
Realistisch bleiben Der 10-Punkte-Plan verdeutlicht es: Moderne IAM-Systeme binden Fachabteilungen ein und verschaffen eine am Geschäftsprozess ausgerichtete und verständliche Sicht auf Identitäten und deren Rechte.<br /> Die Bäume wachsen auch beim Thema Identity Access Management nicht in den Himmel. Erfolgreich sind solche Projekte, bei denen sich die Beteiligten realistische Zwischenziele setzen und Stück für Stück zu einem unternehmensweiten IAM-System vorarbeiten. <br />Dieses erfüllt dann seinen eigentlichen Zweck: die Umsetzung der GRC-Strategie des Unternehmens.
Diese Zahlen zeigen: "Das Thema ist kein reines IT-Thema mehr", wie Mark Rüdiger sagt. Der Business Developer bei Procilon weiß: "Je größer die Firma, desto mehr Bereiche sind betroffen." Mit Blick auf diese Bereiche stellt Günther Klix, Head of Nevis Office Germany & Austria, fest: "Jetzt gibt es also einen Head of Customer Experience." Einem solchen übertragen allerdings erst sieben Prozent der Unternehmen die Verantwortung für IAM.
"IAM ist kein reines IT-Thema mehr" Mark Rüdiger, Procilon.
Doch Klix erkennt in diesen sieben Prozent einen Trend: die wachsende Ausrichtung an den Kundenbedürfnissen. In Sachen Identitäts-Management heißt das: das Verfahren muss einfach sein. Daher überrascht es die Diskussionsrunde nicht, dass viele der befragten Unternehmen in Zukunft - hier mit Blick auf ihre Pläne in fünf Jahren - verstärkt auf biometrische Verfahren setzen wollen. Bislang arbeitet erst knapp jedes Vierte (23 Prozent) mit Biometrie, doch Fingerabdruck, Gesichtserkennung und Stimmerkennung dürften zweistellig wachsen.
Rüdiger redet insbesondere der Stimmerkennung das Wort: "So etwas lässt sich leicht integrieren", argumentiert er. Seine Erfahrung: jedes IAM-Tool scheitert, wenn man separate Hardware braucht. Beim neuen iPhone ist Apple denn auch vom Fingerprint-Scanner auf die Gesichtserkennung umgestiegen. Eine Kamera haben die Geräte ja ohnehin.
"Geschäftsführer sind in der Regel nicht in der Lage, die Technik zu bewerten." Carsten Hufnagel, Timetoact
Stichwort Usability: Gernot Bekk-Huber, Senior Marketing Manager bei der Schweizer Airlock, ist überrascht, dass laut der Studie erst 30 Prozent der großen Unternehmen das Single-Sign-On eingeführt haben. Hier ist noch Markt zu machen, das sagt jeder in der Runde. Gleiches gilt für Multi-Faktor-Authentifizierung mit Token. Gut jedes fünfte Unternehmen (21 Prozent) setzt sie nicht ein - oder noch nicht. Hier sind Wachstumsraten zu erwarten.
Wird Multi-Faktor-Authentifizierung genutzt, dann überwiegend für die eigenen Mitarbeiter. Übrigens gelten diese "nur" als drittgrößte Bedrohung der IT-Security. Stärkere Gefahren sehen die befragten Unternehmen durch eine allgemeine Bedrohungslage von extern und durch zu niedrige IT-Budgets. Ein erstaunliches Ergebnis, findet Hufnagel. Viele seiner Kunden haben die eigenen Mitarbeiter stärker im Visier. "Wahrscheinlich kommt das durch die wachsende Öffnung der Unternehmen nach außen und die veröffentlichten Security Breaches der jüngsten Zeit", überlegt er.
"Wenn sich ein Unternehmen öffnet, muss es festlegen, welche elektronischen Identitäten es akzeptiert." Andreas Liefeith, Procilon
Andreas Liefeith, der bei Procilon Marketing und Partner-Management verantwortet, ergänzt: "Wenn sich ein Unternehmen öffnet, muss es festlegen, welche elektronischen Identitäten es an welcher Stelle akzeptiert." Ein großes Thema zum Beispiel für Geldinstitute, weiß Bekk-Huber. "Banken müssen sich gemäß der neuen EU-Zahlungsdienstrichtlinie PSD II öffnen - werden dafür aber nicht entlohnt." In anderen Branchen dagegen gehe es für viele Unternehmen jetzt darum, Internet of Things (IoT) und Automation umzusetzen. "Security spielt dabei oft eine erschreckend geringe Rolle", beobachtet der Airlock-Manager.
"Beim Thema IoT spielt Security oft eine erschreckend geringe Rolle" Gernot Bekk-Huber, Airlock
Ein weiteres Ergebnis der Studie: Knapp sechs von zehn Unternehmen (59 Prozent) kooperieren bei IAM mit einem oder mehreren Dienstleistern. Das gilt vor allem für große Firmen. Doch egal ob Konzern, Mittelständler oder Ein-Mann-Betrieb, die fünf wichtigsten Kriterien der Wahl des Security-Anbieters sind dieselben. Ganz oben steht mit 42 Prozent der Nennungen der Standort des Rechenzentrums. Der muss in Deutschland sein. Es folgen das technologische Know-how/Prozess-Know-how, der Preis, die Produktzertifizierungen und die Branchenkompetenz.
"Made in Germany" ist oft auch ein Bremser
Das nimmt aber nicht jeder in der Runde zum Anlass, nun "Made in Germany" zu preisen. Zwar weiß Liefeith, dass sich Microsoft und AWS gerade nach den Anforderungen des BSI (Bundesamt für Sicherheit in der Informationstechnologie) testieren lassen. Er sagt aber auch: "Deutschland gilt international aufgrund der hohen Standards oft noch als Bremser…"
Hufnagel wiederum beobachtet, dass russische Firmen sehr gern deutsche oder europäische Produkte einkaufen. Denn IT-Sicherheit hat mit Politik zu tun, fügt Nevis-Manager Klix an. Für ihn ist es nur logisch, dass vor allem die Geschäftsführer der Anwenderunternehmen - anders als beispielsweise deren CIOs - auf das Herkunftsland des Anbieters achten. "Bei den USA fragt man sich vielleicht, was denen noch so alles einfällt", seufzt er.
"IT-Sicherheit hat mit Politik zu tun" Günther Klix, Nevis
Einig sind sich die Experten in einem Punkt: Laut der Studie nehmen knapp sieben von zehn Unternehmen (69 Prozent) für sich in Anspruch, die Rolle jedes einzelnen Mitarbeiters so genau definiert zu haben, dass sich daraus alle Zugriffsrechte eindeutig ableiten lassen. "Das würde ich nie unterschreiben", schmunzelt Hufnagel - allgemeine Zustimmung. Mancher erinnert sich an Kundengespräche über rollenbasiertes IAM, in denen man erst nach einer halben Stunde feststellte, dass hinter scheinbar einheitlichen Definitionen völlig verschiedene Vorstellungen von Funktion und Tätigkeit eines Mitarbeiters steckten. "Und diese Rollen ändern sich ja auch, daher müssen sie ständig gepflegt werden", sagt Hufnagel.
Keine Angst vor DSGVO
Fast zwei Stunden diskutiert die engagierte Runde über das vielschichtige Thema. Und fast hört man die Uhr ticken, denn die Experten haben einen Termin im Kalender markiert: den 25. Mai 2018. Dann müssen alle Unternehmen die neue Datenschutzgrundverordnung (DSGVO) umgesetzt haben. "Kleinere Unternehmen haben das noch gar so auf dem Schirm", beobachtet Rüdiger, "die konzentrieren sich auf das Doing." Oder sie warten erst einmal ab, wie sich die Dinge entwickeln. Hufnagel erinnert an ein Zitat von Angela Merkel: Sie hat sinngemäß gesagt, sie wolle schließlich nicht, "dass der deutsche Mittelstand beerdigt wird."
Studiensteckbrief
Die Studie Identity- & Access-Management steht im Studien-Shop bereit.
Die Studie Identity Access Management basiert auf einer Online-Befragung in der DACH-Region, in deren Rahmen im Zeitraum vom 11. bis 21. Juli 2017 insgesamt 385 abgeschlossene und qualifizierte Interviews durchgeführt wurden. Grundgesamtheit sind strategische (IT-)Entscheider der obersten Führungsebene und der Fachbereiche, IT-Entscheider und IT-Security-Spezialisten aus dem IT-Bereich.