In den Unternehmen steigt aufgrund der DV-Durchdringung nicht nur die Zahl der internen IT-Benutzer und Anwendungen. Mit der Einführung von E-Business-Applikationen wächst auch die Zahl der extern in der ein oder anderen Form zugreifenden Benutzer. Dies stellt die IT-Administration in Bezug auf Benutzerverwaltung und Zugriffskontrolle vor neue Herausforderungen. Immer wieder tauchen Probleme auf, wenn etwa der Systemzugriff zu lange dauert, Benutzerlisten nicht auffindbar sind oder die Anwender ihre Passworte vergessen haben. Es gilt unter anderem, die Administration interner und externer Benutzer zu organisieren und bei veränderten Aufgaben eines Mitarbeiters möglichst schnell neue Zugriffsberechtigungen dafür einzurichten, ihn schnell online zu schalten und von häufigen Anmeldeprozeduren zu befreien.
Es wird deutlich, dass es neben der Verschlechterung der IT-Sicherheit durch intransparente Administrationsprozesse gleichzeitig das Problem stark ansteigender Kosten im Bereich Benutzer-Management und Rechteverwaltung gibt. Diese Situation ist dadurch bedingt, dass bislang die Applikationen im Mittelpunkt stehen und somit für jedes System eine eigene Benutzer- und Rechteverwaltung existiert. Der mit Identity-Management verfolgte Ansatz besteht deshalb darin, die Fokussierung von der Applikation hin zum Benutzer zu vollziehen. Das bedeutet, dass nun nur noch zwei Fragen zentral zu beantworten sind: Wer ist der Benutzer, und was braucht der Benutzer?
Technisch umfasst die Lösung neben einem Verzeichnis (Directory) zur zentralen Speicherung der Benutzer im Wesentlichen drei Komponenten: das Benutzer-Management (User-Management), die Authentifizierung sowie die Steuerung der Zugriffe (Access Control) auf verschiedene Applikationen. Für alle Komponenten stehen bewährte Lösungen von unterschiedlichen Herstellern zur Verfügung.
Das User-Management beinhaltet Verfahren, um die Verwaltung großer Anwenderzahlen - typischerweise in Millionenhöhe - zu ermöglichen. Es koordiniert herkömmliche IT-Anwendungen mit ihren Benutzern und den zugehörigen Rechten, das wird auch als Resource Provisioning bezeichnet. Das Benutzer-Management umfasst:
- Automatische Workflow-Prozesse zur Anlage neuer Nutzer in IT- und Unternehmensinfrastrukturen, um den Zugriff auf Anwendungen und Systeme zur Erfüllung ihrer Aufgaben (Provisioning) zu ermöglichen;
- automatisches Entfernen ehemaliger Nutzer aus dem System;
- Selbst-Management der Anwender sowie
- Delegation von Management-Funktionen.
Authentifizierung
Die Authentifizierung bietet verschiedene Vertrauensebenen, auf denen die Identität einer Person überprüft wird (sind Personen auch diejenigen, die sie zu sein vorgeben?). Wichtig ist dies zum Beispiel für Geschäftstransaktionen. Eine Authentifizierung kann je Anwender oder Anwendung mit verschiedenen Mechanismen erfolgen. Dazu gehören Benutzernamen und Passwörter, PINs, digitale Zertifikate (PKI), Tokens (Secur-ID), biometrische Verfahren (Fingerabdruck oder Netzhaut), Smartcards und elektronische Ausweise.
Die Zugriffsteuerung stellt sicher, dass Benutzer nur auf diejenigen Anwendungen und Ressourcen Zugriff haben, die sie sehen beziehungsweise benutzen dürfen. Sie bietet eine Infrastruktur für einen gemeinsamen Ansatz von Authentifizierung und Autorisierung. Ferner ermöglicht sie einen Single-Sign-on auf Web-Anwendungen und verringert die Betriebskosten bei der Rechtevergabe.
Die Kostensenkungspotenziale, die durch den zentralen Identity-Management-Ansatz geschaffen werden, sind offensichtlich: Eine vereinheitlichte und zumindest teilautomatisierte Administration von Benutzern und Zugriffsrechten senkt die Betriebskosten und beschleunigt die Prozesse in diesem Bereich. Für die Investitionsentscheidung reichen oft Zeitmessungen beim Anlegen neuer Benutzer und ihrer Zugriffsrechte oder Statistiken über die Anzahl an benutzerverwaltungsbezogenen Anfragen beim Helpdesk aus. Üblicherweise sind Helpdesk-Mitarbeiter zu einem erheblichen Prozentsatz mit dem Zurücksetzen von Passwörtern oder der Bearbeitung von falsch eingerichteten Anwenderzugriffen ausgelastet.
Zusätzlich stehen aber auch spezielle "Identity Management RoI-Rechner" zur Verfügung. Neben dem Kostensenkungsargument bietet die gewonnene Transparenz durch zentral hinterlegte Sicherheitsregeln und automatisierte Workflows zur Vergabe, Modifikation und Löschung von User Accounts gleichzeitig eine erhöhte Sicherheit.
Erfolgsfaktoren
Die aufgezeigten Potenziale sind jedoch an spezifische Faktoren gebunden, ohne die eine merkliche Kostenreduzierung und Erhöhung der Sicherheit nicht erfolgen kann. Die beiden wichtigsten Faktoren sind zum einen eine hinreichend große Anzahl an Benutzern und zum anderen eine hinreichend große Anzahl an Applikationen. Bei den Benutzern geht man üblicherweise von mehr als 1000 Anwendern aus, wobei hier nicht nur interne Mitarbeiter, sondern auch die eingebundenen Kunden, Partner und Lieferanten enthalten sind. Bei den Applikationen (typischerweise im zwei- bis dreistelligen Bereich) spielen vor allem die existierenden beziehungsweise geplanten Anwendungen im E-Business-Bereich die entscheidende Rolle. Der Grund: Automatisierte und vorgefertigte Lösungen beschränken sich derzeit fast ausschließlich auf diesen Bereich. Sollen auch konventionelle Applikationen wie ERP-Systeme angebunden werden, ist mit aufwändigen Integrationsprojekten etwa bei der Schnittstellen-Programmierung zu rechnen.
Erfolgreiche Projekte zur Einführung von Identity-Management weisen daher folgende Merkmale auf:
- Es liegt eine Strategie vor, aus der die Zielrichtung und die spezifischen Potenziale der Technik für das Unternehmen hervorgeht.
- Zur Einführung wird ein praxiserprobtes Vorgehensmodell verwendet.
- Da es in der Regel zu komplex ist, eine Komplettlösung in einem Schritt einzuführen, sollte eine Roadmap vorhanden sein, die den Ausbauplan der Gesamtlösung im Zeitablauf aufzeigt.
- Die Komplexität bei der Entwicklung eines unternehmensweiten Benutzerrechterollenkonzepts sowie der Aufwand bei der Integration der Applikationen darf in der Planungsphase nicht unterschätzt werden.
Die Absicht, bei einer Investition in mehr Sicherheit gleichzeitig Geld zu verdienen, erscheint, als wolle man zwei widersprüchliche Ziele miteinander vereinen. Begreift man Identity-Management aber als Wertschöpfer und setzt das Einführungsprojekt richtig auf, so kann sich die Entscheidung gerade in Zeiten extremen Kostendrucks lohnen. (ue)
*Dr. Jörg Obenauf ist Wirtschaftsinformatiker und als Manager bei Pricewaterhouse-Coopers im Bereich Identity-Management tätig.
Angeklickt
Mit E-Business und Internet-Portalen steigt die Zahl der meist externen Benutzer, deren Identitäten und Zugriffsrechte von der Administration eingerichtet und verwaltet werden müssen. Eine wachsende Herausforderung angesichts unübersichtlicher, applikationsorientierter Prozesse. Der Aufwand steigt, im schlimmsten Fall ist die IT-Sicherheit gefährdet. Wer jedoch den Benutzer in den Mittelpunkt stellt, findet am Markt Lösungen für das Identity-Management, mit denen die Administration aufgrund automatisierter Verfahren von vielen Aufgaben entlastet wird. Allerdings gilt es verschiedene Voraussetzungen für die erfolgreiche Durchführung von Identity-Management-Projekten zu beachten.
Abb: Der Benutzer im Mittelpunkt
Wer ist der Benutzer, und was braucht er, das sind die zentralen Fragen. Quelle: Pricewaterhouse-Coopers