Identity-Management

Kein vernetztes Arbeiten ohne digitale Identität

11.06.2007
Von Horst Walther
Die unter dem Begriff Identity-Management, kurz IdM, zusammengefassten Aufgaben gehören seit jeher zu den Pflichten der Unternehmensorganisation. Neu ist allerdings die firmenübergreifende Sicht.

"Rollen sind die DNA der Organisation." Mit diesen Worten verdeutlichte Ron Rymon, Gründer von Eurekify, kürzlich auf der European Identity Conference in München, dass sich Unternehmensprozesse mit Hilfe geeigneter Rollenmodelle erheblich vereinfachen lassen. Überschaubare und leichter zu verändernde Abläufe wiederum verhelfen der Organisation zu mehr Agilität.

Hier lesen Sie ...

  • was unter der "digitalen Identität" zu verstehen ist;

  • woraus sich eine IdM-Infrastruktur zusammensetzt;

  • was IdM Unternehmen bringt;

  • wie sich Firmen für die IdM-Zukunft rüsten können.

Nachdem IdM - das Identity-Managment - in erster Linie eine organisatorische Aufgabe ist und das Rollen-Management ihr anspruchsvoller Kern, zielt diese Disziplin klar auf das Herz der Organisation.

Noch ist sich die Fachwelt allerdings nicht darüber einig, was genau unter "IdM" zu verstehen ist. In einer "natürlichen" Definition lässt sich damit jedoch die ganzheitliche Behandlung digitaler Identitäten bezeichnen - jene Disziplin also, die sich mit den Prozessen digitaler Identitäten über ihren gesamten Lebenszyklus hinweg befasst. Konkret geht es dabei um das Erzeugen, Ändern, Registrieren, das Verteilen, Bereitstellen, Integrieren sowie Transformieren, aber auch das Verwenden, Terminieren und Archivieren digitaler Identitäten.

Die digitale Identität

Zentrum der Überlegungen rund um das Thema Identity-Management ist demnach die digitale Identität. Gemeint ist das Informationsabbild eines Individuums im Kontext spezifischer Informationsanforderungen. Darüber hinaus existiert noch keine einheitliche Definition - sowohl die Strukturierung als auch die Benennung ihrer Komponenten werden in der Fachwelt noch diskutiert. Die Struktur der digitalen Identität wird häufig durch ein Schalenmodell beschrieben.

Die Schalen der digitalen Identität

Foto: Burton Group

Identifikation: Der Kern ist eine im Gültigkeitsbereich eindeutige Identifikation. Das ist die "ID”, der Name oder eine Nummer einer natürlichen oder juristischen Person, einer Anwendung oder Hardwarekomponente. Sie sollte eine mindestens gleiche Gültigkeitsdauer haben wie das Objekt, das sie repräsentiert.

Zertifikate: Die erste Schale bilden die Zertifikate mit je nach Anforderung unterschiedlicher Aussagefähigkeit bis hin zur qualifizierten digitalen Signatur nach dem Signaturgesetz.

Beschreibung: Die zweite Schale machen nach diesem Modell rollenunabhängige, gemeinsame Attribute aus, wie etwa die Adressinformationen oder weitere charakteristische Merkmale.

Rollen und Berechtigungen: In der dritten Schale finden sich die von der Rolle des Inhabers abhängigen Berechtigungen und damit volatilsten, jedoch praktisch bedeutsamsten Merkmale wieder. Sie unterscheiden sich danach, ob eine Person etwa als Kunde, Mitarbeiter, Lieferant oder Gesellschafter auftritt. Die Zugehörigkeit der dritten Schale zur digitalen Identität ist umstritten, denn die hier enthaltenen Objekte weisen eine geteilte Ownership auf und hängen damit nicht mehr allein vom abgebildeten Individuum ab.

Im Gegensatz zur umgangssprachlichen Bedeutung, die die Identität als "Echtheit einer Person oder Sache beziehungsweise völlige Übereinstimmung mit dem, was sie ist oder als was sie bezeichnet wird", definiert, bezeichnet die digitale Identität einen Satz von Attributen zur Identifikation eines Individuums.

Weitere mittlerweile gebräuchliche Begriffe sind "Identity- und Access-Management" (IAM) und "User-Management". Während der erste Begriff auf einen Abnehmer von Identitäten hinweist, beschränkt sich das User-Management ausschließlich auf "Systemnutzer".

Hier wird deutlich, dass das umfassende IdM eine unternehmensorganisatorische Aufgabe darstellt, die weder Teil der Corporate Security noch der IT ist. Allerdings weist diese Infrastrukturaufgabe neben der fachlich organisatorischen eine stark technische Komponente auf.

Warum IdM?

Das Management digitaler Identitäten gewinnt zunehmend an Bedeutung. Das hat mehrere Gründe: Zum einen erfordert das heutige Denken in kompletten Geschäftsprozessen eine sowohl einheitliche als auch übergreifende Infrastruktur. Zum anderen setzt der Trend zur Ressourcenvirtualisierung - etwa in Form von Service-orientierten Architekturen (SOA), Web-Services oder Grid-Computing - eindeutige digitale Identitäten sowie automatisierte Rechteprüfungen voraus.

Mit der unternehmerischen Dynamik steigt aber auch der Bedarf an Rollen- und Rechteänderungen. Daneben verbietet ein heute generell höheres Sicherheitsbewusstsein die "gut gemeinten" Workarounds der Vergangenheit. Auch machen die durch E-Business und elektronisch unterstützte Supply Chains verschwimmenden Unternehmensgrenzen eine neue, identitätsbasierenden Sicherheitsarchitektur erforderlich.

Schließlich versuchen externe Auflagen wie SOX (Sarbanes-Oxley Act) oder Basel II, den Risiken elektronisch verketteter Geschäftsprozesse zu begegnen. Diese Vorgaben sind jedoch nur mittels Automatisierung zu erfüllen.

IdM im Wandel

Lebenszyklus einer digitalen Identität
Lebenszyklus einer digitalen Identität
Foto: SG

Die Aufgaben des IdM sind nicht neu - sie sind seit jeher fest mit den betrieblichen Abläufen verbunden. Auch in der restlichen Welt waren Parolen, Reisedokumente, Schlüssel, Burgmauern mit ihren Toren und Wachen seit Jahrhunderten üblich. Analog dazu verhält es sich mit der Nutzung von Computersystemen.

Neu ist jedoch, dass die zuvor auf Personal-, Kunden- und Nutzer-Management sowie andere Unternehmensfunktionen aufgeteilten Aufgaben heute als Ausprägungen einer einheitlichen Disziplin betrachtet werden.

So wie das IdM fachlich erst seit kurzer Zeit als eine Disziplin betrachtet wird, sind auch die unterstützenden Verwaltungssysteme und operativen Komponenten unabhängig voneinander und ohne Rücksicht aufeinander entwickelt worden.

Dabei lassen sich drei große Entwicklungen ausmachen: Die Idee einer Public Key Infrastructure (PKI) für eine auf Zertifikaten basierende starke Authentisierung lässt sich bis in das Jahr 1976 zurückverfolgen. Die CCITT1 (Comite Consultatif Internationale de Telegraphie et Telefonie) und heutige ITU-T2 (International Telecommunications Union-Telecommunication) wiederum kam 1988 mit der ersten Spezifikation eines Verzeichnisdienstes nach dem "X.500"- Standard heraus. Noch heute sind die gängigen Verzeichnisdienste von diesen Entwicklungen geprägt.

Etwa fünf Jahre später begann das NIST3 (National Institute of Standards & Technology) mit seinen Arbeiten über rollenbasierende Zugriffssteuerung (RBAC: Role Based Access Control). Darauf beruhen alle späteren Zugriffsverfahren über Rollen-Mechanismen.

Die auf diese Weise entstandenen Systeme - etwa Metaverzeichnisse, PKI-Komponenten oder Web-Access-Tools - weisen eine hohe funktionale Überlappung auf und lassen sich nicht problemlos zu einer vollständigen IdM-Infrastruktur zusammenstellen.

Die IdM-Komponenten

Die wichtigsten Bestandteile einer IdM-Infrastruktur:

Metaverzeichnisdienste: Dabei handelt es sich um Integrationskomponenten, die digitale Identitäten aus Verzeichnissen und anderen Informationsquellen auslesen, regelbasiert konsolidieren und in einem Zielverzeichnis ablegen. Sie werden erforderlich, wenn die Vielzahl an verteilten Identity-Informationen heutiger Großunternehmen vereinheitlicht werden soll.

PKI-Komponenten: Sie dienen als Werkzeuge, wenn eine starke Authentisierung erforderlich ist. Die Verwaltungsprozesse, die für den Betrieb einer PKI notwendig sind, gelten als aufwändig und haben einen breiten Durchbruch daher bisher verhindert.

Role-Management-Systeme: Sie unterstützen die Erzeugung und Verwaltung von Rollen für die Berechtigungsvergabe. In der Spezialisierung des Role Minings erzeugen sie aus vorhandenen Zugriffsberechtigungen durch Cluster-Analysen Vorschläge für die Rollenbildung.

(E)-SSO-Tools: So genannte (Enterprise) Single-Sign-on-Systeme fungieren eher als Hilfskonstruktion. Sie dienen zur Synchronisation der Passwörter unterschiedlicher Systeme und deren Weiterleitung. Auf diese Weise muss sich ein Anwender im Idealfall nur einmal anmelden, um auf alle für ihn freigeschalteten Systeme zugreifen zu können.

User-Provisioning-Systeme: Mit ihrer Hilfe lassen sich Berechtigungen automatisiert beantragen, vergeben und entziehen. Über Konnektoren können sie die Benutzerberechtigungen direkt in die zu versorgenden Zielsysteme einspeisen und zu Kontrollzwecken wieder auslesen.

Verzeichnisdienste: Directory-Services sind üblicherweise das Kernelement einer IdM-Infrastruktur. Auf das Speichern großer Mengen kurzer Datensätze und häufige Lesezugriffe ausgelegt, nach einem hierarchischen Schema organisiert und mit einem standardisierten (LDAP-) Zugriff (Lightweight Directory Access Protocol) versehen, dienen sie heute in der Regel als Identitätsspeicher.

Virtuelle Verzeichnisdienste: Sie positionieren sich als leichtgewichtige Alternative zu Metaverzeichnisdiensten. Anders als diese erzeugen sie die Ergebnismenge zur Laufzeit und liefern meist an eine Anwendung zurück, die eigentlich einen LDAP-Verzeichnisdienst erwartet. Sie vermeiden damit Konflikte um die Hoheit über autoritative Daten.

Web-Access-Management-Tools: Dabei handelt es sich um ursprünglich für Web-Applikationen entwickelte Authentisierungs- und Autorisierungs-Komponenten.

Federated-Identity-Management-Komponenten: Sie ermöglichen die Weitergabe von Identitäten und Rollen über Organisationsgrenzen hinweg. Diese Komponenten basieren in der Regel auf SAML 2.0. und den darauf aufsetzenden Protokollfamilien der Liberty Alliance oder des WS-Stacks, eines Konsortiums um Microsoft und IBM.

Ergänzt werden diese Komponenten häufig durch Workflow-, Messaging- und/oder Reporting-Systeme.

Was IdM bringt

Ein konsequent umgesetztes, firmenweites IdM erhöht den Organisationsgrad im Gesamtunternehmen, wie er sich (etwa nach CMMi) über die jeweilige Prozessreife ausdrücken lässt. Das ermöglicht es, Abläufe zu automatisieren und damit die Agilität des Unternehmens zu steigern.

Ganz praktisch wirkt sich das aus, wenn Firmen ein E-Business-Modell einführen wollen. Sie kehren damit das Innere nach außen, wollen ihre für den internen Gebrauch entworfenen Prozesse extern nutzen lassen - und zwar in einer zumutbaren Sitzungslänge und möglichst rund um die Uhr. Zu diesem Zweck müssen auch an den Prozess angeschlossene Zulieferer von Dienstleistungen eingebunden werden.

Die zunehmende "Öffnung "der Netze und die dadurch verschwimmenden Grenzen der Organisation erfordern sowohl einen flexibleren Zugang als auch mehr Sicherheit. Die traditionelle Firewall kann das nicht leisten. Sie wird lernen müssen, was eine Identität ist - und sich auf den Schutz der Firmen-Assets zurückziehen müssen.

Prozesse, Rollen, Regeln - und eben Identitäten - definieren die erforderliche Organisation, die mit Aufnahme des Geschäfts umgesetzt sein und dann laufend optimiert werden muss. So kostspielig dies auch sein mag - laufendes Nachbessern im operativen Geschäft ist in jedem Fall teurer.

IdM: Die Verantwortlichkeiten

Identitätsbasierende Prozesse verlagern die Verantwortung für das Management der Identitäten vom Ausführungszeitpunkt zum Design- beziehungsweise Administrationszeitpunkt.

Doch wer soll dafür zuständig sein? Auf diese Frage hat bislang kaum ein Unternehmen eine überzeugende Antwort gefunden. Häufig sind die diesbezüglichen Verantwortlichkeiten in der IT-Administration angesiedelt. Das wird ihrer geschäftlichen Bedeutung aber nicht gerecht und stößt auch in den Fachabteilungen auf wenig Akzeptanz.

Die Personalverwaltung mit ihrer natürlichen Affinität zu Personen und deren Einstufung wiederum fühlt sich in der Regel nur für die (fest) Angestellten zuständig. Zudem arbeitet sie selten "realtime", wie es das Access-Management fordert.

Nachdem digitale Identitäten und Rollen zentralen, deren Umsetzung in konkrete Zugriffsberechtigungen aber lokalen Charakter haben, sollte der Schnitt durch das IAM zwischen dem "I" (Identity-) und dem "A"(Access-Management) liegen. Das ist schon deshalb sinnvoll, weil IdM eben nicht nur eine Hilfsdisziplin des Access-Management darstellt und sich keineswegs auf Sicherheitsaspekte beschränken lässt.

Wann immer ein Individuum die Unternehmensgrenze passiert, sollte dessen (zentrale) digitale Identität erzeugt werden, unabhängig davon, ob die Person als "User" wirkt (also schon oder noch Ressourcen nutzt). User zu sein ist bereits eine Rolle. Ob nun ein Angestellter über das HR-System, ein Kunde über das CRM-System beziehungsweise das "Interessent-IAM" oder ein Partner über das PRM-System (Partner-Relationship-Management) in das Firmenökosystem eintritt - in jedem Fall gilt es, dessen digitale Identität über einen zentralen Service bereitzustellen.

Wenn die digitale Identität das digitale Abbild eines Individuums ist, sollte dessen Lebenszeit auch die seiner digitalen Identität bestimmen. Aus Unternehmenssicht muss Letztere während dieser Zeit global und eindeutig sein.

Im Hinblick auf die Ownership für das IAM gilt demnach: Eine zentrale Verantwortung sichert eine durchgängige Architektur. Hierzu muss jedoch eine neue Unternehmensfunktion geschaffen werden, die konzeptionell arbeitet, aber den erforderlichen technischen Sachverstand besitzt.

IdM: Ein Ausblick

Angesichts der anstehenden Industrialisierung der Dienstleistung werden Kosten- und Compliance-Druck sowie der Zwang zu mehr Agilität zu umwälzenden Veränderungen im Bereich IdM führen. Folgende Faktoren werden die Entwicklung nachhaltig beeinflussen:

Die Service-Orientierung ist sowohl Lösung als auch Herausforderung: In einer SOA lässt sich die traditionell starke Überlappung der monolithischen IAM-Komponenten endlich in monofunktionale Services auflösen. Spätestens jetzt aber kann die Autorisierung des Servicezugriffs nicht mehr Bestandteil der Applikation sein, sondern muss als eigener Service auf Prozessebene wirken.

Aber auch Open-Source-basierendes und nutzerzentriertes IdM werden die Sicht auf die digitale Identität verändern: Open-ID, Cardspace, Higgins, Bandit & Co. sind demnach Produkte und Initiativen, mit denen sich Unternehmen auseinander setzen müssen.

Analysten prognostizieren der Identity-Federation-Technik einen baldigen Durchbruch. Dies wird letztendlich zu einer Verschmelzung von klassischem und föderiertem IdM führen.

Der wachsende Compliance-Druck wiederum zwingt zur Automatisierung und Zentralisierung der betroffenen Prozesse. Die in diesem Zusammenhang zu beantwortenden, "einfachen Fragen" machen ein End-to-end-Auditing - vom System über Rollen und Regeln bis hin zum Individuum - notwendig, wie es heute noch selten möglich ist.

Der Kostendruck der Globalisierung verlangt nach effizienten und agilen Prozessen. Wenn sie, wie im Regelfall das IdM, nicht das Kerngeschäft berühren, sollten sie möglichst als Standards preisgünstig "von der Stange" zu erwerben sein. Damit wird die Standardisierung von Rollen und Abläufen über Referenzmodelle Aufschwung erhalten. So hat sich beispielsweise die Nifis-Inititative GenericIAM zum Ziel gesetzt, generische Prozesse für das IAM zu entwickeln.

Das Motto heißt: "Industrialisierung der Dienstleistung". Eine dahin gehende Transformation der Unternehmensorganisation ermöglicht es, den Globalisierungs- und Compliance-Anforderungen gleichermaßen gerecht zu werden. Federation, SOA und Referenzmodelle fungieren hier als Enabler. Verfahren und Produkte der User-Centric-Bewegung schließlich können dabei helfen, die Benutzer dazu zu bewegen, in dieser "Maschinerie" mitzuwirken.

Fit für die IdM-Zukunft

Um die anstehenden Veränderungen im IdM-Bereich zu meistern, sollten Unternehmen

  • eine verbindliche und gelebte IAM-Strategie entwickeln, die konkret formuliert sein muss;

  • dem Firmeninteresse folgend Rollen und digitale Identitäten zentral führen;

  • Zugriffsberechtigungen dezentral verwalten. Letztere müssen sich allerdings zu Compliance- und Security-Zwecken zentral auswerten lassen;

  • eine zentrale IAM-Ownership einichten, damit sich Prozesse, Definitionen, Schnittstellen des IAM nicht auseinanderentwickeln;

  • als wirksamste Voraussetzung firmenweit für eine hohe Prozessreife sorgen, denn es lassen sich keine "Inseln der Ordnung in einem Meer von Chaos" schaffen. (kf)