In 3 Schritten zu einem systemübergreifenden Identity-Management
17.10.2016 von Jörn Kaplan und Christian Birkenbeul
Nur ein systemübergreifendes Identity-Management kann der extrem gestiegenen Komplexität heutiger Systemlandschaften gerecht werden. Welche Schritten zu unternehmen sind, um die Verwaltung der digitalten Identitäten und Zugangsberechtigungen auf eine neue Ebene zu heben, zeigt dieser Beitrag.
Identity-Management (IdM) ist erwachsen geworden: Unternehmen haben verstanden, wie wichtig die gezielte Steuerung von digitalen Identitäten und Zugangsberechtigungen ist. Doch hohe Akzeptanz hat auch ihre Herausforderungen: Vor allem Großunternehmen haben nicht selten mehrere verschiedene IdM-Lösungen im Einsatz. Und es müssen immer mehr Applikationen, die auch noch vernetzt sind, verwaltet werden. Diese extrem gestiegene Komplexität der Systemlandschaften macht eine Vereinfachung und Integration des Identity-Managements dringend erforderlich.
Der erste Schritt, um Berechtigungs- und Identitätskonflikte zu erkennen, ist eine genaue Überprüfung von Workflows und Software-Tools. Foto: u3d - shutterstock.com
Auf dem Markt für Identity- und Access-Management (IAM) tummeln sich zahlreiche Anbieter und der Umsatz in diesem Markt wird nach einer Umfrage von zwei Marktanalyse- und Beratungsunternehmen auch weiter wachsen: 93 Prozent von 200 Sicherheitsexperten in Europa planen mehr Investitionen in diese Technologien. Kein Wunder, denn mit der Reife des Marktes wird eines klar: Ein ganzheitliches strukturiertes Identity- und Access-Management ist in Zeiten komplexer digitalisierter Unternehmensstrukturen ein Must-Have.
10 Schritte zum IAM-System
In zehn Schritten zum IAM Softwarelösungen für das Berechtigungs-Management, so genannte Identity-Access-Management-Systeme (IAM), haben sich von ihrem früheren reinen IT-Fokus gelöst. Zwar werden über Single-Point-of-Administration, HR-gestütztes Provisioning und rollenbasierte Zugriffskontrolle nach wie vor Kostensenkung und effizientes Benutzermanagement realisiert. Bei den heutigen IAM-Systemen handelt es sich aber vor allem um Business-Collaboration-Plattformen, die auf eine umfassendere Beteiligung der Fachabteilungen an der Zugriffsverwaltung setzen. <br /> Sie eröffnen erweiterte Möglichkeiten für die Umsetzung von Regularien, Gesetzesvorgaben und des Risikomanagements. IAM wird damit zur tragenden Säule im Rahmen der Governance-, Risk- & Compliance-Strategie (GRC) eines Unternehmens. Der folgende 10-Punkte-Plan gibt einen Überblick, worauf bei der Einführung eines IAM-Systems zu achten ist.
Gemischte Projektteams aus IT und Business IAM ist längst kein reines IT-Thema mehr. Meist können nur Personen außerhalb der IT, die über umfassende Kenntnisse der internen Geschäftsprozesse und der Organisation verfügen, die erforderlichen Informationen zu wesentlichen Aspekten beisteuern: Rollenkonzepte, Genehmigungsstrukturen, Erwartungen an die Nutzeroberflächen oder auch was Barrieren zwischen einzelnen Abteilungen angeht. <br />Projektteams zum Aufbau eines IAM-Systems sollten deshalb stets aus Kompetenzträgern sowohl aus der IT als auch aus dem Business bestehen.
Ziele definieren Klar definierte Ziele und Dienstleistungen sowie ein eng gesteckter Rahmen zu deren Planung und Überwachung sind Erfolgsfaktoren eines jeden IAM-Projektes. Dies wiederum erfordert eine enge Zusammenarbeit zwischen erfahrenen Mitarbeitern sowohl beim Anwender als auch dem implementierenden IAM-Hersteller. <br />Es ist daher sicherzustellen, dass alle Daten und Ziele miteinander vereinbart und von jedem am Projekt Beteiligten verstanden werden, bevor die Einführung beginnt. Jede spätere Anpassung verlängert das Projekt unnötig, sowohl zeitlich als auch hinsichtlich des Budgets.
Vor Start des Projektes: Aufräumen! Hohe Datenqualität ist der Schlüssel für erfolgreiches Identity Access Management. Diese Ausgangssituation ist aber keineswegs selbstverständlich, wenn ein entsprechendes Projekt aufgesetzt wird. Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind fehlende Verbindungen zwischen Konten und den Nutzern, verwaiste Konten, Rechtschreibfehler, etc. <br />Jedes IAM-Projekt beginnt daher mit einer Konsolidierung der User-IDs, bei der die Benutzerkonten ihren Besitzern zugewiesen werden. So spürt man im ersten Schritt sehr schnell verwaiste Konten auf.
Umsetzung in Phasen Eine IAM-Lösung sollte sowohl alle unternehmensweiten IT-Systeme integrieren können als auch ausreichend skalierbar hinsichtlich der Anzahl der einzubindenden Nutzer sein. Doch muss dies alles nicht auf einmal umgesetzt werden; sinnvoller ist es, das Projekt in erreichbare Zwischenziele aufzuteilen und diese Schritt für Schritt abzuarbeiten.<br /> In der ersten Phase wird dabei nur eine begrenzte Anzahl von Zielsystemen angebunden – idealerweise die wichtigsten; die Anwender nutzen zunächst nur Standardfunktionalitäten. Erste Erfolge sind dadurch schneller sichtbar, was letztlich zum schnelleren Erreichen der vollständigen Projektziele führt.
Anschluss des HR-Systems Probleme im Bereich der Rechteverwaltung resultieren oft aus unzureichender Koordinierung zwischen Human Resources und IT-Abteilung. Meldet das HR-Team Änderungen in der Personalstruktur oder bei den Stellenbezeichnungen der IT zu spät oder sogar gar nicht, kann dies schwerwiegende Folgen haben: Personen erlangen Zugang zu Konten, obwohl sie aufgrund ihrer neuen Rolle gar kein Recht mehr dazu hätten – oder weil sie das Unternehmen sogar ganz verlassen haben. <br />Eine manuelle, nicht automatisierte Informationspolitik und dezentrales Arbeiten tragen noch dazu bei, dass sich Fehler in den Berechtigungsstrukturen schnell und unkontrolliert ausbreiten. Das HR-System sollte deshalb als erstes mit dem IAM-System verbunden werden, um hier zu einer Automatisierung zu gelangen und damit Sicherheit und Kontrolle zu gewährleisten.
Customizing auf ein Minimum reduzieren Führende IAM-Anbieter verkaufen nicht bloß ein Toolkit. Basierend auf der Erfahrung aus vielen realisierten Projekten, sind vorkonfigurierte Standardsysteme vielmehr nach dem Best-of-Breed-Ansatz konzipiert. Auf Standardszenarien verzichten, um ein System möglichst individuell an die Gegebenheiten eines Unternehmens anzupassen, sollte deshalb die Ausnahme bleiben. <br />In einem Standardprodukt spiegelt sich bereits das langjährig erworbene Wissen eines Herstellers um die verschiedensten Herausforderungen im IAM-Umfeld und die jeweils beste Lösung wider. Der Einsatz von Standardkomponenten reduziert zudem auch Implementierung und Wartungskosten auf ein Minimum. <br />Kunden sollten sorgfältig prüfen, ob es statt aufwändigem Customizing nicht sinnvoller wäre, die vorgeschlagene Vorgehensweise eines Standardproduktes zu übernehmen und die eigenen Strukturen hinsichtlich der Prozesse, Terminologie und Verantwortung anzupassen.
Rollen implementieren Das Bündeln von Zugriffsrechten in so genannten "Rollen" reduziert den Administrationsaufwand erheblich und stellt die Grundlage für eine Automatisierung im Bereich der Rechtevergabe dar. Eine Rolle ist die Sammlung einzelner Zugangsrechte, die für eine bestimmte Funktion oder Aufgabe im Unternehmen erforderlich sind.<br /> Role-Mining-Tools bieten Hilfe bei der Definition von Rollen und deren Optimierung über einen kontinuierlichen Prozess hinweg. Hier ist jedoch Vorsicht geboten: Die Einführung von Rollen erfordert mehr als eine einmalige Definition von "Zugriffsrecht-Clustern".
Rollenverantwortliche festlegen Rollen sind lebende, wandelbare Strukturen, die einem ständigen Überwachungs- und Anpassungsprozess unterliegen sollten. Deshalb benötigen sie einen zugewiesenen Besitzer, der die Verantwortung für ihre saubere Ausgestaltung übernimmt. Er muss die Rollen regelmäßig dahingehend überprüfen, ob aufgrund von Veränderungen in der Organisation oder der IT-Systeme Anpassungen notwendig sind. <br />Was für die IAM-Einführung im Großen gilt, hat deshalb auch für das Thema Rollen Relevanz: Aufteilen eines Rollenprojektes in kleine Teilziele, Einbeziehung von sowohl Business- wie IT-Verantwortlichen.
Top-down-Vorgehen Ein Risikobewertungssystem ist ein leistungsfähiges Werkzeug, um die einzelnen Objekte im Access Management – Benutzer, Rollen und Konten – in eine sinnvolle Rangfolge abhängig von ihrer Relevanz zu bringen. Ein solches System jedoch für die gesamte Struktur der Zugriffsrechte zu implementieren, kann zu einem zeitaufwändigen und ressourcenintensiven Projekt führen. <br />Es empfiehlt sich ein Top-down-Ansatz, bei dem die Aufmerksamkeit zunächst auf wichtige Aspekte in einem frühen Stadium des IAM-Betriebs gerichtet wird. Zu einer vollständigen Risikobewertung kann das Unternehmen dann im Laufe der Zeit aufschließen.
Schnellere Erfolge auf Fachabteilungsebene Treiber eines IAM-Projektes sind in der Praxis oft Wirtschaftsprüfer oder IT-Manager. Um eine Akzeptanz über alle Unternehmensbereiche hinweg zu erreichen, sollte ein Anwenderunternehmen im frühen Projektstadium bereits solche Funktionen evaluieren, die sich an den Wünschen und Bedürfnissen des einzelnen Anwenders orientieren. <br />Warum nicht die verfügbaren vorkonfigurierten Workflows für Anfrage oder Passwort-Reset schon einmal anbieten, anstatt damit zu warten, bis die Lösung bei Projektende zu 100 Prozent implementiert ist? Mit diesem Ansatz wird der Nutzen eines IAM-Systems schnell im praktischen Arbeitsalltag für alle – vom Anwender bis zum Management – spürbar, was ein wichtiger Baustein für den Gesamterfolg des IAM-Projektes ist.
Realistisch bleiben Der 10-Punkte-Plan verdeutlicht es: Moderne IAM-Systeme binden Fachabteilungen ein und verschaffen eine am Geschäftsprozess ausgerichtete und verständliche Sicht auf Identitäten und deren Rechte.<br /> Die Bäume wachsen auch beim Thema Identity Access Management nicht in den Himmel. Erfolgreich sind solche Projekte, bei denen sich die Beteiligten realistische Zwischenziele setzen und Stück für Stück zu einem unternehmensweiten IAM-System vorarbeiten. <br />Dieses erfüllt dann seinen eigentlichen Zweck: die Umsetzung der GRC-Strategie des Unternehmens.
Gefragt nach den Gründen für das geplante Investment, nennen die Unternehmen Vorteile, die ihnen durch Risikominimierung, Kosteneinsparungen und der Verbesserung der Customer Experience, entstehen. Fest steht: Durch den Druck der Digitalisierung in allen Unternehmensbereichen, ob Materialwirtschaft, Vertrieb oder Finanzen, wird auch der Ruf nach einem systemübergreifenden Identity- und Access-Management und einem ganzheitlichem Blick auf Berechtigungskonzeption und Compliance-Regelungen lauter.
Warum ist ein systemübergreifender Ansatz notwendig?
Mitarbeiter benötigen Accounts und Berechtigungen in einer Vielzahl von Applikationen. Diese müssen nicht nur angelegt, sondern auch gepflegt werden. Beispielsweise sind Zugriffsberechtigungen beim Wechsel der Abteilung, bei Urlaubsvertretung oder wechselnder Projektzugehörigkeit anzupassen. Wird das nicht getan, dann hat zum Beispiel der Azubi, der alle Abteilungen eines Unternehmens durchläuft, am Ende zu viele Berechtigungen und stellt ein Sicherheitsproblem dar.
Eine grundsätzliche Differenzierung nach Rollen ist daher essenziell. Laut einer aktuellen Umfrage von Spiceworks unter 200 IT-Chefs in Nordamerika und EMEA sind die Anwender diejenigen, die das größte IT-Sicherheitsrisiko darstellen, sei es aufgrund von Nichtwissen oder bewusstem Widerstand. Es obliegt also den IT-Abteilungen, dafür zu sorgen, dass durch die falsche oder unberechtigte Nutzung geschäftskritischer Anwendungen dem Unternehmen keine Schäden entstehen. Das regelmäßige Anpassen von Accounts und Berechtigungen ist deshalb unumgänglich, jedoch mit einem hohen Aufwand verbunden. Darüber hinaus wirft jede Änderung sicherheitsrelevante Fragen auf. Einige davon könnten sein:
Entsteht durch neue Berechtigungen eine kritische Rechtekombination, so dass beispielsweise ein Besteller seine eigene Bestellung freigeben darf?
Was geschieht, wenn der Nutzer weiterhin „alte“ Rechte benötigt, um seine bisherigen Aufgaben abzuschließen?
Ist die Dokumentation aller Änderungen wirklich absolut lückenlos?
Aber nicht nur bei Änderungen der Berechtigungsmatrix kommt es zu Komplikationen. Auch aufgrund von Überschneidungen bei Rollen und Prozessen, die in verschiedenen Systemen abgebildet sind, kann es zu Sicherheitsrisiken und Mittelabflüssen kommen. Ein systemübergreifendes Konzept für die Verwaltung aller Identitäten im Unternehmen, ob im ERP-, CRM- oder Finanzsystem, kann helfen, das zu vermeiden. Um einen für das jeweilige Unternehmen geeigneten integrierten Ansatz zu entwickeln und nachhaltig zu etablieren, sind drei Schritte erforderlich.
Schritt 1: Die Risiko-Analyse – Workflows auf den Prüfstand
Der erste Schritt um Berechtigungs- und Identitätskonflikte zu erkennen, ist eine genaue Überprüfung der Workflows und der eingesetzten Software-Tools. Welche Systeme sind für welche Bereiche überhaupt relevant? Wo überschneiden sich Zugriffsberechtigungen und Prozesse? Wo bestehen Schwachstellen oder Risiken, die unbedingt kompensiert werden müssen?
Mit spezieller IdM-Prüfungs-Software kann man sich ein genaues Bild über Risiken in der Berechtigungslandschaft verschaffen. Entscheidend ist dabei, dass diese Tools individuell konfiguriert und die richtigen Prüfungskriterien abgebildet beziehungsweise angewandt werden. Mit Hilfe dieses Gesamtüberblicks über die Tätigkeiten aller Mitarbeiter und die damit verbundenen Systeme, Prozesse und Berechtigungen entsteht die Möglichkeit, ein neues integriertes Konzept zu schaffen. Dabei ist es ganz wichtig, dass alle beteiligten Mitarbeiter in den Entwicklungsprozess und später auch in das Realisierungsprojekt einbezogen werden.
Schritt 2: Die Bedarfsermittlung – Systemübergreifende Konzepte schaffen
Im nächsten Schritt werden alle ermittelten Informationen über Workflows, eingesetzte Software-Tools und die entsprechenden Berechtigungen zusammengeführt. Alle Berechtigungen laufen in so genannten Business-Rollen zusammen. So bekommen Mitarbeiter über simple Genehmigungsschritte und -verfahren die für sie notwendige Berechtigung, falls nötig parallel in verschiedenen Systemen. Das macht es auch deutlich einfacher, zu überprüfen, ob die aktuelle Aufgabensituation dem Berechtigungskonzept in der Praxis überhaupt entspricht.
Mit Hilfe einer systemübergreifenden Betrachtungsweise können einerseits Mittelabflüsse und Risiken aus den Prüfkatalogen der Wirtschaftsprüfer und der internen Audits besser berücksichtigt werden. Gleichzeitig ermöglicht ein solches Konzept das Aufspüren und Beseitigen von kritischen Berechtigungskombinationen, zum Beispiel, wenn ähnliche oder verwandte Vorgänge technisch getrennt in verschiedenen Lösungen und Unternehmensbereichen abgebildet sind.
Schritt 3: Die Realisierung – Individuelle Wege gehen
Wie das systemübergreifende Berechtigungskonzept und dessen technische Umsetzung am Ende aussehen, hängt letztlich von den Anforderungen des Unternehmens und den Compliance-Vorgaben ab. Oft mangelt es daran, dass es keine klaren Definitionen gibt, welche Funktion im Unternehmen welche Arbeitsschritte durchführt und welche Software-Tools dafür erforderlich sind.
Gerade in Großunternehmen gibt es oft eine enorm große Anzahl an individuellen Rollen und den dazugehörigen Berechtigungskonzepten, die sich über Jahre hinweg entwickelt haben, aber nie so geplant waren. In einem solchen Fall muss zuallererst eine international einheitliche funktionale Arbeitsplatzbeschreibung geschaffen werden, um darauf ein Berechtigungskonzept aufbauen zu können. Daher ist auch der Weg zu einem systemübergreifenden und später auch Compliance-konformen Identity- und Access-Management in jedem Unternehmen anders und erfordert aufeinander aufbauende Teilprojekte und Projektphasen.
Fazit: Kontinuierliches Investment gefordert
Der Königsweg ist also ganz individuell. Fest steht, dass mit einem rollen- bzw. funktionsbezogenen Berechtigungsportfolio bis zu 80 Prozent aller notwendigen Berechtigungen, ob für ERP, CRM oder Datenbank, abgedeckt werden können. Bei komplexeren Unternehmensstrukturen stellt das bereits eine große Vereinfachung und damit auch eine Risikominimierung dar.
Die Auswahl, Konfiguration und Einrichtung der IdM-Lösungen spielt zunächst nur eine untergeordnete Rolle. An erster Stelle steht ein klar definiertes Ziel, ein durchdachtes Konzept sowie die konsequente Umsetzung. Das erfordert Erfahrung, Know-how und ein kontinuierliches zeitliches Investment. Wie in vielen IT-Projekten geht es auch im erwachsen gewordenen Identity-Management nicht nur darum, Software einzusetzen. Es geht vor allem darum, den vorhandenen Zustand unter die Lupe zu nehmen, ein Wunschkonzept zu finden und den für das Unternehmen idealen Weg dorthin zu gehen. (haf)