Migrationen von IT-Systemen gehören im IT-Betrieb zum Alltag. Ursachen sind der technologische Fortschritt, die nachhaltige Sicherung von Investitionen oder die Harmonisierung von Anwendungslandschaften, zum Beispiel infolge von Fusionen und Übernahmen. In vielen Unternehmen erfolgt im Rahmen von Migrationsprojekten eine strategische Neubewertung der bestehenden Toollandschaft. Zumeist werden bei dieser Gelegenheit auch die einmal getroffenen Entscheidungen für Softwarelieferanten überprüft.

Dies betrifft auch Identity- & Access-Management-Systeme, die sich durch vielfältige Schnittstellen in die gesamte Anwendungslandschaft auszeichnen und Voraussetzung für alle Geschäftsprozesse sind. Daraus resultieren spezielle Anforderungen im Identity-Management-Umfeld, die sich wesentlich auf Migrationsprojekte auswirken. Sie ergeben sich beispielsweise aus Regulierungsvorschriften wie MaRisk, Solvency II, BSI-Grundschutz, ISO 27001 oder aus der Integration mobiler Endgeräte und Cloud-Anwendungen in die vorhandene IAM-Infrastruktur. Auch Gartner verweist in seiner Studie im Rahmen des "Gartner Identity & Access Management Summit 2012" auf diese speziellen Herausforderungen.

Technik, Prozesse, Compliance

Während Migrationen von Datenbanken oder Hardware häufig im Rahmen des normalen operativen Betriebes geleistet werden können, ist die Migration von IAM-Systemen eine komplexe Aufgabe. Eine IAM-Lösung besteht in der Regel nicht nur aus dedizierten technischen Systemen, sondern enthält fachliche Komponenten, etwa zur Benutzerzugangssteuerung durch spezifische Policies oder Richtlinien. Damit ermöglichen diese Systeme das Managen von Benutzern, Berechtigungen und ihren Privilegien innerhalb von Systemen und Unternehmen - und sogar über deren Grenzen hinweg. IAM-Systeme stellen somit den Kern einer jeden IT-Infrastruktur dar. Aus diesem Grund sind IAM-Migrationsprojekte unternehmenskritisch und bringen bei lückenhafter Planung und Umsetzung hohe Risiken mit sich.

Building Blocks

Grundsätzlich beinhaltet eine Migration von IAM-Systemen mehrere Ebenen, sogenannte "Building Blocks":

• Migration auf Daten- und IT-Ebene

• Migration auf Prozessebene

• Migration auf Ebene der Compliance-Policies

Während für die Migration auf Daten- und IT-Ebene bewährte Verfahren existieren, verlangt die Migration der Prozesse auch fachlichen Input. Das gilt etwa für Self-Services, Genehmigungsverfahren und Institutionalisierung des Vier-Augen-Prinzips oder auch für die Funktionstrennung (Segregation of Duties - SoD). Für die Migration von Policies, wie Attestierung oder ein internes Kontrollsystem (IKS), bedarf es zudem einer fundierten Kenntnis der geltenden regulatorischen Anforderungen.

Neun Faktoren

Folgende neun Faktoren müssen deshalb bei der Planung eines Migrationsvorhabens berücksichtigt werden:

• Scope und Art der Migration definieren

Mandanten, Federation und Modularität der technischen Lösung beeinflussen die Art der Migration - Migration, Big Bang, Parallelbetrieb etc. sind die Möglichkeiten, die je nach Mandant hier infrage kommen.

• Risikobewertung vornehmen

Ein Hauptrisiko bei Migrationsvorhaben ist laut Information Systems Audit and Control Association (ISACA) ein übersteigerter Optimismus, der dazu führt, dass kritische Aspekte unterschätzt werden. Je nach Art des abzulösenden und des zukünftigen IAM-Systems können auf jeder Ebene unterschiedliche Risiken auftreten. Als Faustregel gilt: Je herstellerspezifischer beziehungsweise je weniger standardisiert der jeweilige Building Block ist, desto wahrscheinlicher kommt es zu Inkompatibilitäten oder Friktionen. Aus Sicht der ISACA sind bereits Datenextraktionen oder Umwandlungen kritisch und Bereinigungen fehleranfällig. Deshalb ist es sinnvoll, für jeden Building Block eine eigene Risikobewertung vorzunehmen.

• Werkzeugunterstützung sicherstellen

Bei jeder Migration ist vorab zu prüfen, für welchen Building Block Werkzeuge benötigt werden und ob diese vom Hersteller oder von Drittanbietern bezogen werden. Unter Umständen sind sogar Eigenentwicklungen erforderlich.

• Anforderungen bestehender Servicemanagementprozesse beachten

Migrationen in IAM-Systemen betreffen die gesamte Anwendungs- und Facharchitektur. Ein formalisierter Change-Management-Prozess stellt ihren strukturierten Ablauf sicher.

• Archivierungs- und Rollback-Konzept erstellen

Sowohl die Anforderungen an die Betriebssicherheit als auch an die Compliance verlangen die Möglichkeit, bei Bedarf den Ursprungszustand wiederherstellen zu können. Effektive Archivierungs- und Rollback-Konzepte sind daher unerlässlich.

• Kommunikationsplan festlegen

IAM-Migrationen sind meist Großvorhaben. Daher müssen alle betroffenen Stakeholder identifiziert und einbezogen werden. Ein Kommunikationsplan zur Steuerung ist überdies wichtig.

• Testpläne erstellen

Die Building Blocks "Daten- und IT", "Prozesse" und "Compliance-Policies" stellen jeweils unterschiedliche Anforderungen an das Testen und benötigen daher eigene Testpläne. Beispielsweise müssen auf der Daten- und IT-Ebene Schnittstellen und Datenformate getestet werden. Bei Prozessen hingegen steht ein reibungsloser und korrekter Ablauf im Vordergrund. In der Summe müssen diese Pläne dann das Gesamtbild widerspiegeln.

• Ressourcenplan aufstellen

Ein vollständiger Ressourcenplan bei IAM-Migrationen umfasst die Planung von Budget und notwendigen Skills. Bei der Budgetplanung sind auch die Kosten für Lizenzen von Migrationswerkzeugen zu berücksichtigen. Liegt ein Herstellerwechsel vor, sind zudem Skills hinsichtlich beider Produkte unerlässlich. Oft helfen die Hersteller oder ihre Partner dabei und federn so die zusätzliche Belastung neben dem Tagesgeschäft ab.

• Herstellersupport eruieren

Produkt- oder Versionswechsel haben oftmals zeitkritische Komponenten. Gerade bei der Ablösung von Produkten/Versionen ist es wichtig, den Herstellersupport rechtzeitig sicherzustellen.

Fazit

Eine Migration im IAM-Umfeld ist deutlich anspruchsvoller als übliche Migrationen. Nicht nur Umfang und Komplexität der zu migrierenden Daten sind immens - handelt es sich hier doch um die komplette fachliche Architektur eines Unternehmens. Ohne entsprechende Prozess- und Governance-Expertise geht nichts. Eine erfolgreiche IAM-Migration zeichnet sich dadurch aus, dass sie für die Endbenutzer transparent erfolgt. Mittels einer sorgfältigen Risikoabschätzung aller relevanten Building Blocks können jedoch auch Großmigrationen im IAM-Umfeld reibungslos und erfolgreich vonstatten gehen. (sh)