Viele Unternehmen öffnen ihre geschäftskritischen Anwendungen für den Zugriff über das Internet. E-Business-Lösungen erfordern sichere und personengebundene Informations- und Kommunikationsfunktionen über Standorte hinweg. Vermehrt binden Firmen externe Partner, Kunden und Zulieferer in ihre Umgebungen ein. Typische Vertreter solcher Systeme sind Portallösungen zur Bündelung einzelner logisch zusammenhängender Anwendungen, Branchenmarktplätze oder E-Shops.
Foto: Argum
Verfahren zum Austausch von Daten auch über Unternehmensgrenzen hinweg gab es in den meisten Unternehmen schon vor dem E-Business, jedoch handelt es sich dabei häufig um Einzellösungen mit applikationsspezifischen und oft lückenhaften Sicherheitsvorkehrungen. So lassen sich zum Beispiel die in einem Abrechnungssystem definierten Rollen und Rechte nicht mit denen eines Customer-Relationship-Management-(CRM-)Systems in Einklang bringen, obwohl Online-Kunden den Zugriff auf beide Anwendungen benötigen. Das Fehlen von einheitlichen, applikationsübergreifenden Berechtigungsfunktionen erhöht den Verwaltungsaufwand sowie das Fehlerrisiko und birgt Sicherheitsrisiken.
Daher sollte ein Unternehmen bei E-Business-Projekten eine gesamtheitliche Strategie verfolgen, die insbesondere übergreifende Infrastrukturservices für alle eingebundenen Softwarekomponenten definiert. Mittlerweile existiert am Markt eine Reihe von Standardprodukten zur Realisierung solcher Infrastrukturen.
Portale stellen oft eine Reihe von Diensten und Applikationen zur Verfügung, die eine Anmeldung erfordern. Single-Sign-on-(SSO-)Systeme erlauben dem Online-Anwender, durch ein einmaliges Login auf die für ihn freigeschalteten Bereiche zuzugreifen. Zur Realisierung von SSO gehört ein gut durchdachtes fachliches Konzept für ein Identity- und Permission-Management. Zur Umsetzung dieses Modells in der E-Business-Umgebung können Firmen auf eine Reihe von Software-Tools zugreifen.
Wesentliche Sicherheitsanforderungen lassen sich durch zentrale Infrastrukturservices in Form von Diensten zur Authentisierung und Autorisierung von Benutzern umsetzen. Meldet sich ein Benutzer an einer E-Business-Anwendung an, so erfolgt über die Authentisierungskomponente die Identifikation des Benutzers anhand von festgelegten Attributen wie eindeutigem Login-Namen und geheimem Passwort. Will der Benutzer in einem Portal oder Marktplatz mehrere einzelne Funktionen ausführen, so sollte im Sinne der Benutzerfreundlichkeit eine einmalige Identifikation per Single-Sign-On (SSO) genügen, um das Portal beziehungsweise den Marktplatz betreten zu dürfen.
Voraussetzung für eine erfolgreiche Authentisierung ist natürlich, dass der Benutzer dem Portal grundsätzlich bekannt ist. Die hierfür erforderlichen, als Identity-Management bezeichneten administrativen und organisatorischen Prozesse von der Anmeldung und Registrierung über die Datenprüfung und Datenspeicherung bis zur Freigabe und Aktualisierung der Benutzerdaten sollten innerhalb eines Unternehmens(verbundes) weitgehend standardisiert ablaufen. Die Grundlagen des Identity-Managements müssen bereits im Vorfeld definiert werden.
Viele Firmen nutzen mittlerweile oft auf dem Lightweight Directory Access Protocol (LDAP) Verzeichnisse als Datenspeicher für Benutzerinformationen, etwa den „Sun ONE Directory Server“ oder „Dir X“ von Siemens. Die Identity-Management-Software wird zum Teil im eigenen Haus entwickelt, doch auch hier bieten Hersteller spezielle Produkte an. Dazu zählen Suns „Identity Server“ oder „Identity Minder“ von Netegrity. Vor allem Großunternehmen wünschen sich Funktionen, mit denen sich administrative Aufgaben delegieren lassen. Den aufwändigen Prozess des Benutzer-Managements wollen sie dezentralisieren, sprich an einzelne Unternehmensbereiche abgeben. Viele Produkte verfügen über Delegationsmechanismen.
Mit der Autorisierungskomponente werden dem Benutzer seine Rollen und Rechte zugeteilt. Damit dies quasi auf Knopfdruck beim Login geschehen kann, sind entsprechende Prozesse des Permission-Managements zu definieren. Diese Disziplin umfasst das Festlegen von Rollen, die Anwender innerhalb der E-Business-Anwendungen einnehmen können, die Zuordnung von Rechten zum Schreiben beziehungsweise Lesen von Daten, Aufrufen von Routinen, Nutzung von Diensten. Ferner müssen Anwender in der Lage sein, Rollen zu beantragen, verbunden mit der Prüfung dieser Anträge sowie der Zuteilung einer Rolle.
Role Based Access Control: Bei Role Based Access Control (RBAC) handelt es sich um einen vom US-amerikanischen National Institute of Standards and Technology vorgeschlagenen Standard für die funktionsorientierte Zuweisung von Rechten zu Rollen. Der Grundgedanke von RBAC ist, dass einem Benutzer Rollen zugewiesen werden. Beispiele für typische Rollen in Unternehmen sind „Geschäftsführer“, „Einkäufer“ oder Vertriebsmitarbeiter. Jeder Rolle sind in der Regel mehrere Rechte zugewiesen. Ein Recht kann beispielsweise der Zugriff auf eine Web-Seite oder die Erlaubnis zur Nutzung einer Applikation sein. Der Benutzer erhält die in seiner Rolle festgelegten Rechte. Aus Sicht des Administrators lässt sich ein einzelnes Recht an mehrere Rollen zuweisen, gleichzeitig darf ein Benutzer verschiedene Rollen im System
einnehmen. Zwischen den Rollen können Hierarchien bestehen. Derzeit unterstützen am Markt befindliche Systeme noch nicht den vollen Umfang des Standards. Das Konzept der Benutzergruppierung über Rollen und damit der indirekten Rechtezuordnung ist jedoch in den meisten Tools vorhanden.
Auch beim Permission-Management bedarf es zunächst eines organisatorischen Konzepts, um dieses dann an die IT-Prozesse abzubilden. Zwar realisieren Firmen die Umsetzung der Berechtigungsverfahren in die eigene DV-Umgebung selbst. Doch inzwischen haben auch hierfür einige Softwarefirmen Produkte vorgestellt. Zu nennen wären hier beispielsweies der „Policy Director“ der IBM, „Site Minder“ von Netegrity sowie „Netpoint“ des Herstellers Oblix.
Für die konzeptionelle Festlegung der Permissions müssen Unternehmen nicht auf der grünen Wiese anfangen, sondern können auf Standards wie etwa Role Based Access Control zurückgreifen. Dieses Rahmenwerk lässt sich dann auf die unternehmensspezifischen Belange anpassen. Dabei sollten die Projektleiter beachten, das Konzept nachzuvollziehen zu gestalten und sich an bestehenden Organisationsstrukturen des Unternehmens und nicht etwa an den IT-Systemen zu orientieren. Ein Wildwuchs von Rollen oder die Abbildung von komplexen Hierarchiestufen macht die praktische Umsetzung fast unmöglich. Des Weiteren ist es ratsam, die Organisationsabteilungen, Prozessentwickler sowie die relevanten IT-Spezialisten (Architektur-, Sicherheits- und Plattformverantwortliche) an einen Tisch zu bringen.
Das Identity- und Permission-Management-Konzept lässt sich auch dann nicht immer vollständig in der IT-Umgebung umsetzen. So wird möglicherweise die gewünschte Hierarchietiefe im Rollensystem der Softwarelösungen nicht unterstützt. So unterstützt möglicherweise das Werkzeug zur Beantragung von Rollen die Hierarchietiefe des Rollensystems nicht vollständig. Unter Umständen lassen sich keine oder nur unzureichende Einschränkungen bezüglich der Rollenzuordnung realisieren. Die Erfahrung zeigt, dass klar strukturierte Konzepte in der Praxis oft durch Besonderheiten verwässern, beispielsweise dann, wenn Person mehrere Rollen innehat, die sich aus fachlicher Sicht wiedersprechen.