Eigentlich müsste ein zentrales System für Identity-Management (IdM) für jeden Administrator ein Segen sein: Benutzerkennungen lassen sich zentral verwalten, was nicht nur die Verwaltung erleichtert, sondern zudem hilft, einen besseren Überblick zu behalten, welche Nutzer wo mit welchen Rechten zugreifen können. Nicht zu unterschätzen ist die damit verbundene Steigerung der Sicherheit von Unternehmensdaten.

Soweit die Theorie. Die Praxis sieht oft ganz anders aus, wie die COMPUTERWOCHE im Gespräch mit Sicherheitsexperten der Deutschen Oracle Anwendergruppe (DOAG) erfuhr.

Verschiedene Applikationen und Benutzerverwaltungen

Schon seit einiger Zeit vermarktet Oracle Identity-Management-Software als Bestandteil der Fusion Middleware. Unlängst hatte der Konzern "Oracle Identity Management 11g" vorgestellt (siehe auch IdM von SAP, Oracle und IBM). Die Anwender begrüßen, dass der Softwarekonzern eine solche Funktion bietet. Eingesetzt wird sie indes kaum. Das Problem: Oracle-Kunden nutzen verschiedene Applikationen, die in der Regel eigene Benutzerverwaltungen mitbringen. "Die alle auf ein einheitliches IdM umzustellen, ist eine Herkulesaufgabe", so Alexander Kornbrust, DOAG-Mitglied und gleichzeitig Managing Director bei der auf Datenbanksicherheit spezialisierten Firma Red Database Security aus Neunkirchen. Datenbanksysteme, auf die 20 Applikationen zugreifen, seien keine Seltenheit.

"Die meisten Anwendungen verwalten ihre Benutzeridentitäten selbst", ergänzt Franz Hüll, der bei Red Database Security Anwender in Sachen Sicherheit berät. Um dort ein IdM einzuführen, müssten die Unternehmen diese Programme anpassen, was bei selbst entwickelten Lösungen schwierig sei, bei zugekaufter Software, je nach Hersteller, einfach bis unmöglich ist. Nicht immer entsprechen die Lösungen dabei den Sicherheitsstandards, die man eigentlich erwarten sollte. "Zum Teil werden die Zugangsdaten im Klartext in der Datenbank gespeichert oder werden schon mal als Bestandteil einer URL übermittelt", bemängelt Hüll.

Firmen sind auf Identity-Management schlecht vorbereitet

Allerdings sind nicht nur die Anwender noch nicht gut auf IdM vorbereitet. Nach den Worten der DOAG-Experten hat Oracle seine Softwareprodukte längst noch nicht auf das zentrale IdM abgestimmt. Beispielsweise würde die Datenbanksoftware und der Applikations-Server die Benutzerdaten auf unterschiedliche Weise speichern. "IdM als einheitliches System zur Benutzer- und Zugriffskontrolle lässt noch lange auf sich warten", so die Sicherheitsexperten. Es dürfte auch noch eine Weile dauern, bis der Konzern die zahlreichen Produkte, die in den letzten Jahren erworben wurden, entsprechend aufbohrt. Ganz abgesehen davon scheint eine Vereinheitlichung in Richtung IdM in den zahlreichen Entwicklerteams beim Softwarehaus nicht eben die erste Priorität zu haben. "Aus Kundensicht wäre eine solche Entwicklung aber wünschenswert", so Kornbrust.

Aus Sicht der DOAG wird so mancher Anwender jedoch gezwungen sein, sich näher mit IdM zu beschäftigen. Dort, wo ein transparentes Rechte-Management gefordert ist, können IdM-Systeme die Basis dafür liefern. "Wirtschaftsprüfer wollen nicht mehr nur wissen, ob es im Unternehmen ein Rechte-Management gibt, sie lassen es sich mittlerweile auch zeigen", gibt Hüll zu bedenken.