Karteileichen bedrohen die Sicherheit in Unternehmen

Der Mitarbeiter geht, sein IT-Profil bleibt

05.07.2002
MÜNCHEN (sra) - Oft bleiben E-Mail-Accounts und Zugangsberechtigungen zu geschäftskritischen Anwendungen bestehen, wenn ein Mitarbeiter das Unternehmen verlässt. Softwarelösungen, die die Vergabe und Aufhebung von Zugangsrechten automatisieren, sollen dieses Sicherheitsrisiko beseitigen. Doch die Umsetzung artet vor allem in Konzernen nicht selten in aufwändige Projekte aus.

Von Amerika schwappt ein neuer Hype nach Europa: das E- oder Security-Provisioning. Mit markigen Versprechen und unter Hinweis auf optimistische Prognosen renommierter Marktforscher treten einige Firmen den Weg auf den europäischen Kontinent an. Der Begriff steht für die Automatisierung der Vergabe, Änderung und Löschung von Zugangsrechten. Auch das Schlagwort "Automatische Administration" wird manchmal synonym verwendet.

Das zugrunde liegende Problem bleibt aber dasselbe: Verlässt ein Mitarbeiter das Unternehmen oder wechselt auf eine andere Position, wird häufig vergessen, dessen bisherige Zugangsrechte zu Applikationen und Rechnern zu ändern. "In vielen Organisationen sind 80 Prozent der Profile falsch", behauptet Brian Anderson, Chief Marketing Officer bei Access 360, einem Anbieter von Administrations-Tools. Solche Karteileichen stellen eine große Sicherheitslücke dar. Die noch funktionierenden Accounts lassen sich für interne wie externe Angriffe missbrauchen. Sie verursachen auch Kosten, weil bürokratische Vorgänge nach dem Austritt der Person weiterlaufen: Gerüchten zufolge hat eine britische Firma noch drei Jahre, nachdem die Mitarbeiter gegangen waren, Krankenkassenbeiträge für 2500 Ex-Angestellte bezahlt. Die Ansammlung von Rechten beim Wechsel beispielsweise von der Personal- in eine andere Abteilung birgt ähnliche Gefahren.

Neu ist also weniger das Problem als seine Bezeichnung. Früher war einfach von "zentralem Benutzer-Management" die Rede. "Bereits seit Anfang der 80er Jahre gibt es Tools dafür", bestätigt Henry Hanau, Leiter Network Consulting bei Secunet in Essen. Werkzeuge für die zentrale Benutzerverwaltung basieren in der Regel auf einem Rechte- und Rollen-Management. Man erstellt generische Profile für die Mitarbeiter, die mit bestimmten Rechten verknüpft sind - eine Art "Schublade" jeweils für Vertriebsmitarbeiter oder Personalsachbearbeiter und alle anderen Gruppierungen. Jeder Person wird dann eine solche Rolle mit den entsprechenden Rechten zugeordnet.

Die aktuellen Provisioning-Lösungen verwenden dafür auch Informationen aus Datenbanken der Personalabteilung und unternehmensinternen Verzeichnissen. So wissen sie im Idealfall immer darüber Bescheid, wenn sich Änderungen in der Rolle eines Mitarbeiters ergeben oder er das Unternehmen verlassen hat. In regelmäßigen Abständen werden die Einträge der Benutzerverwaltung geprüft und mit den Sicherheits-Policies der Firma verglichen. Wenn eine Abweichung festgestellt wird, gibt es prinzipiell drei Reaktionsmöglichkeiten: den Account sofort löschen, vorübergehend inaktiv schalten, bis eine Entscheidung getroffen wurde, oder entgegen der Policy bestehen lassen. Die Automatisierung dieser Prozesse erhöht nicht nur die Sicherheit, sondern entlastet auch den Administrator von mühseliger Kleinarbeit.

Bekannte Hersteller von Provisioning-Lösungen sind unter anderem BMC ("Control-SA"), Access 360 ("Enrole"), Computer Associates ("E-Trust Access Control"), Business Layers ("Day One"), IBM/Tivoli ("Access Manager") und Waveset Technologies ("Lighthouse"). Access 360 beansprucht beispielsweise für sich, dass seine Lösung detailliertere Einstellungen erlaube als die der Konkurrenten - bis hin zu Sonderrechten für jeden Account. Business Layers dagegen legt eigenen Angaben zufolge besonderen Wert auf die Workflow-Funktionalität. Die ist unter anderem für die elektronische Bearbeitung und Kontrolle von Berechtigungsanträgen von Bedeutung (siehe Kasten "Westdeutsche Landesbank").

Ein typisches Provisioning-Produkt läuft auf dem Server. Damit die Verarbeitung in Echtzeit stattfinden kann, sammeln Agenten, auch als Konnektoren bezeichnet, Daten aus den einzelnen Applikationen und Plattformen. Es existieren drei Möglichkeiten, an welchem Ort Agenten implementiert werden können: Wenn sie auf dem Server sind, nennt man das auch "agentless". Dieses Modell funktioniert beispielsweise bei Windows NT.

Agenten greifen Daten an der Quelle ab

Einige Agenten müssen jedoch direkt an der Datenquelle sitzen, weil keine sichere Verbindung zum Server vorhanden ist, zum Beispiel bei RACF, der Sicherheitsdatenbank von Mainframes. Vom Großrechner aus liefert der Agent dann Informationen an den Provisioning-Server. Der dritte Weg ist, den Konnektor auf einem Proxy-Server zu installieren, der seinerseits mit allen Ressourcen an einem Standort in Verbindung steht. Darüber hinaus bieten viele Hersteller ein Agent Development Kit an, mit dessen Hilfe das Unternehmen Konnektoren auch an neue oder selbst gestrickte Applikationen anpassen kann. Laut Access-360-Mann Anderson dauert das zwischen zwei und sechs Wochen. Innerhalb einer Woche sollen sich "universelle" Agenten für Datenbanken, LDAP-Verzeichnisse und Command Line Interfaces (CLIs) einrichten lassen.

Die Versprechen klingen gut: Höhere Sicherheit und effizientere Arbeit der Administratoren wünscht sich jedes Unternehmen. Doch noch ist die Anzahl der Installationen relativ gering. Wo liegt also der Pferdefuß? Ein Hindernis mag sein, dass ein solches Projekt, auch wenn es prinzipiell wünschenswert ist, in Zeiten schmaler Budgets nicht zuoberst auf der Prioritätenliste steht. Hinzu kommen Integrationsprobleme und eine hohe Komplexität der Lösungen - Schwierigkeiten, die schon für die Vorgängertechnologie Single-Sign-on (SSO) charakteristisch waren. SSO bedeutet, dass sich ein Benutzer mit einem einzigen Passwort auf diversen Systemen einloggen kann. Datenbanken mit Benutzerinformationen existieren dafür auch, allerdings fehlen in der Regel Workflow-Funktionen.

Projekte scheitern an Kosten oder Aufwand

Den möglichen Einsparungen stehen die nicht gerade geringen Gesamtkosten gegenüber, die natürlich von der Benutzerzahl abhängen. Nach Schätzung eines Herstellers belaufen sich die Kosten für einen kleinen Pilotversuch über den Daumen gepeilt auf rund 75000 Euro und für eine fertige Gesamtinstallation in der Regel auf 250000 bis zwei Millionen Euro. "Für solche konzernweiten oder sogar globalen Projekte finden sich nur selten Kostenstellen, die die Ausgaben für das gesamte Unternehmen tragen", schildert Michael Altrogge, IT-Management-Consultant bei der C_sar AG in Berlin, das Hauptproblem. "Daran scheitern die meisten Projekte."

Die Angaben über die Dauer eines solchen Projekts sind widersprüchlich. Während Hersteller von einem Zeitrahmen zwischen einer Woche und drei Monaten sprechen, nennt die Meta Group zwölf bis 18 Monate als Grundlage für eine erfolgreiche Installation. In sehr großen Konzernen und wenn bei null gestartet werden muss (also beispielsweise noch kein Verzeichnisdienst vorhanden ist), kann die Dauer eines solchen Projekts laut Altrogge leicht zwei bis drei Jahre betragen.

Ein großes Problem in der Praxis ist die Abdeckung der Vielfalt von Applikationen und Plattformen, die in Unternehmen eingesetzt werden. Analysten und Anwender halten eine vollständige Erfassung - außer in ganz einfachen Umgebungen - für so gut wie unmöglich. Sie sprechen von 20 bis 55 Prozent im besten Fall. "Den Rest muss man immer noch per Hand erledigen", argumentiert John Pescatore, Analyst bei Gartner. Beispielsweise hat sich Mike Hager, Vice President of Network Security bei Oppenheimer Funds Distributor in New York, zunächst auf die zwei wichtigsten Anwendungen konzentriert. Dennoch gab es Integrationsprobleme mit dem Provisioning-Tool Enrole von Access 360. Er schätzt, es dauere noch zwei Jahre, die Konnektoren für den Rest der Applikationen zu entwickeln. Hager bereut seine Entscheidung jedoch nicht: Er konnte die Zahl seiner für die Wartung abgestellten Administratoren bereits von sieben auf drei senken.

Die Vorarbeiten, die für die Einführung eines solchen Tools nötig sind, sollten ebenfalls nicht unterschätzt werden. "Die ganze Sache steht und fällt mit der Planung", erläutert Hanau von Secunet. "Nur eine Software in einem komplexen Umfeld zu installieren, bringt es nicht." Man müsse sich vorher mit den Leuten unterhalten und sich die Mühe machen, das Abbild der Personen so genau wie möglich zu erfassen. Und daran scheitere es meistens. Wenn die Betroffenen den Aufwand sähen, schreckten sie zurück. "Die Technik ist nur die halbe Miete", bestätigt Thomas Dressler, Partner IT-Consulting bei C_sar. Die Abläufe sowie Rollen und Verantwortlichkeiten müssten definiert und überprüft werden.

Mehr auf Standards setzen

So dauerte die Einführung von Enrole bei Applied Materials insgesamt "schmerzhafte sechs Monate", weil der Anwender zunächst eine einheitliche Namenskonvention für alle Benutzer einführen musste. Weitere wertvolle Zeit ging dafür drauf, erst einmal von Hand alle existierenden Phantom-Accounts aufzuspüren. Danach entstanden Performance-Probleme, weil vier der Agenten den Anforderungen nicht gewachsen waren und komplett umgeschrieben werden mussten. Immerhin habe der Hersteller das Problem inzwischen behoben, ergänzte Craig Haught, Managing Director of Enterprise Network Solutions bei Applied Materials.

Ähnlich wie beim Single-Sign-on können Änderungen an Konfigurationen dazu führen, dass das Provisioning nicht mehr funktioniert. Diese Kompatibilitätsprobleme lassen sich laut Gartner-Analyst Pescatore teilweise eindämmen, wenn Hersteller künftig vermehrt Standards wie die noch in Entwicklung befindliche Service Provisioning Markup Language (SPML) einsetzen (siehe Kasten "Provisioning-Standards"). Aber auch die Anwender können etwas tun, indem sie zunächst den Wildwuchs in ihrer IT-Umgebung bekämpfen, bevor sie ein Provisioning-Projekt starten. Außerdem sollten sie vor der Einführung klären, welche Applikationen überhaupt einen eigenen Benutzer-Account erfordern, wer welche Anwendungen verwendet und wie die Gruppenstrukturen und Rollen in den Plattformen und Applikationen aussehen, die in das Provisioning-System eingebunden werden sollen. Weitere wichtige Fragen sind, wie viele Benutzer-Accounts und Passwörter es insgesamt gibt und wer beziehungsweise was diese Accounts und Passwörter kontrolliert. Altrogge von C_sar rät, bei der Auswahl eines Tools auf LDAP-Fähigkeit und gute Workflow-Eigenschaften zu achten. Ein zusätzlicher Authentisierungs-Server sei ebenfalls sinnvoll.

Provisioning-Standards

-Active Digital Profile Technology (ADPr): http://www.adpr-spec.com;

-Extensible Resource Provisioning Management (XRPM): http://www.xrpm.com;

-Information Technology Markup Language (ITML): http://www.itml.org;

-Service Provisioning Markup Language (SPML): Ziel des Oasis Provisioning Services Technical Committee ist die Definition eines XML-basierenden Frameworks für den Austausch von Benutzer-, Ressourcen- und Service-Provisioning-Informationen. SPML soll auf ADPr, XRPM und ITML aufbauen;

-Directory Services Markup Language (DSML);

-Security Assertions Markup Language (SAML);

-Extensible Access Control Markup Language (XACML);

-Workflow Management Coalition (WFMC);

-Role Based Access Control (RBAC): http://csrs.nist.gov/rbac.

Quelle: Business Layers

Westdeutsche Landesbank

Unter dem Namen Guard (Global User Access Rights Data Management) betreibt die Westdeutsche Landesbank (West LB) in Düsseldorf ein E-Provisioning-Projekt. Im Prinzip basiert die Lösung auf Business Layers'' "Day One". "Wir haben allerdings nur einen Ausschnitt der Funktionen von Day One implementiert", beschreibt Michael Holm, Senior-Projekt-Manager im Geschäftsbereich Konzern-Informations-Management bei der West LB, die Lösung. Wichtig waren für die Bank in erster Linie Eigenschaften, mit deren Hilfe sie rechtliche Ansprüche von außen (wie die von der Bundesanstalt für Finanzdienstleistungsaufsicht erlassenen Mindestanforderungen für das Betreiben von Handelsgeschäften - MAH) erfüllen konnte. Insbesondere hat sich die Landesbank um die elektronische Bearbeitung und Kontrolle (Wer hat auf welchem System welche Zugriffsrechte?) von Berechtigungsanträgen gekümmert. Guard bildet die Basis für Einsparungen bei der Administration. Der Einsatz von Konnektoren stellt eine zukünftige Option dar.

"Wir beschäftigen uns schon sehr lange mit dem Thema", schildert Holm. "Vor fünf Jahren gab es noch nicht viel auf dem Markt, jetzt sind es zwei oder drei Anbieter." Business Layers erhielt den Zuschlag vor allem aufgrund einer starken Workflow-Engine. Die Hauptkonkurrenz waren den Angaben zufolge Eigenlösungen der West LB. "Aber wenn es ein Standardprodukt gibt, sollte man das immer vorziehen. Softwareentwicklung ist nicht unser Kerngeschäft."

Eine wichtige Voraussetzung für den Betrieb einer E-Provisioning-Lösung besteht darin, dass eine Verbindung zwischen einer natürlichen Person und dem jeweiligen Systemnutzer hergestellt werden kann. Nur so lassen sich beispielsweise alle Berechtigungen eines Unternehmensberaters, der vier Wochen in der Bank gearbeitet hat, zuverlässig wieder löschen. Eine Karteileiche wäre nicht nur ein Sicherheitsrisiko, sie kostet auch Geld - wenn beispielsweise Lizenzen gezahlt werden, die man nicht mehr braucht. Die Koordinierung, Dokumentation und Abstimmung der globalen Anforderungen an das System sowie die Zusammenstellung der benötigten globalen Personaldaten zählen zu den Herausforderungen des Projekts.

Gemeinsam mit dem Hersteller hat die West LB die zugrunde liegende Lösung um einige Funktionen erweitert. Da die Landesbank nicht mit Agenten arbeitet, die in Echtzeit Informationen an das System liefern würden, besteht die Notwendigkeit, eine gewisse Fehlertoleranz einzubauen. Sind die Daten nicht ganz aktuell oder sogar falsch, kann es leicht passieren, dass jemand etwas beantragt, der (noch) nicht in der zentralen Mitarbeiterdatenbank erfasst ist. In so einem Fall wird eine Benachrichtigung an den zuständigen Bereich geschickt, dass noch keine Personalinformationen über den User vorliegen. Eine andere Erweiterung war die Erstellung eines Hilfs-Tools, das die Änderung des Workflows vereinfachen soll. Holm rät anderen Anwendern zu einem professionellen Umgang mit dem Anbieter. Darunter versteht er, rechtzeitig die Voraussetzungen mit dem Hersteller abzuklären und intern die Kosten im Budget einzuplanen. Er hat sich auch bei Referenzkunden nach der Funktionalität des Systems und der Langzeitbetreuung durch den Anbieter erkundigt.

"Die Implementierung der Software auf das Intranet der West LB erfolgt im standardisierten Verfahren", schildert Holm. Das Projekt startete am 1. April 2001. Es beinhaltete zunächst eine Einarbeitung in das Thema und eine Umfrage innerhalb der Bank, wer welche Erfahrungen beisteuern konnte. Anschließend erarbeitete ein Projektteam eine Vorstudie, die auch die Anbieterauswahl umfasste. Diese Phase dauerte bis Ende September 2001. Im Oktober begannen die Weiterentwicklung des Produkts sowie umfangreiche Tests. Die endgültige Kaufentscheidung fiel erst im April. Derzeit stellt die West LB die restlichen Funktionen fertig und testet gemeinsam mit einzelnen Bereichen. Die Live-Schaltung des Systems soll im Juli erfolgen. Nach einer knappen Konsolidierungsphase dürfte das Projekt dann im August fertig sein. Laut Holm fiel der Großteil der Kosten bei diesem globalen Projekt im internen Bereich an.

Abb.1: Automatische Sicherheitsadministration

Eine Provisioning-Lösung vergleicht die vorliegenden Benutzerdaten mit dem Sollzustand (den Policies). Quelle: Meta Group

Abb.2: Wettbewerbslandschaft

Der Provisioning-Markt ist recht unübersichtlich, da sich verschiedene Gruppen von Herstellern in diese Richtung bewegen. Quelle: Business Layers