Datendrehscheibe für sichere Geschäftsprozesse
Datendrehscheibe für sichere Geschäftsprozesse Identitätsmanagement als zentrale Personen- und Datendrehscheibe ist das wesentliche Funktionselement für sichere Geschäftsprozesse. Es stellt zunächst einmal viel mehr eine organisatorische als eine technische Aufgabe dar.
Viele Unternehmen sind hervorragend gegen anonyme Angreifer gesichert, sind aber offen wie ein Scheunentor gegenüber internen Schnüfflern. Während sie nach außen imposante Firewall-Kaskaden aufgebaut haben, herrscht bei der Benutzer- und Rechteverwaltung oft das blanke Chaos. »23 Prozent aller Unternehmen löschen nach unseren Erhebungen ihre Nutzerkonten nicht, sobald sie nicht mehr benötigt werden«, sagt Klaus Scherrbacher, Geschäftsführer des Stuttgarter Systemintegrators Deron. Die Identitätsmanagement-Spezialisten des herstellerunabhängigen Beratungshauses haben schon mehr als 50 große Projekte abgeschlossen und kennen die Schwachstellen in den Unternehmen sehr genau. »Anonyme und verwaiste Konten stellen in vielen Unternehmen ein erhebliches Gefährdungspotenzial dar«, sagt Scherrbacher und gibt ein Beispiel: »Da soll beispielsweise für einige Vertriebler ein VPN-Zugang für den Zugriff auf vertrauliche Unternehmensdaten von unterwegs aus eingerichtet werden. Der Vertrieb verspricht eine Liste mit den berechtigten Personen nachzuliefern. Das passiert nie, inzwischen hat die IT – gewiss hemdsärmelig, aber gutwillig – einen Zugang unter der Benutzerkennung Vertrieb und dem Kennwort Einwahl eingerichtet, über den eine zweistellige Zahl von Vertriebsleuten zugreift«. Das klingt sehr abenteuerlich, aber Scherrbacher spricht von tatsächlichen Erlebnissen aus seiner Beratertätigkeit. Auch die Fortsetzung der Geschichte sei nicht erfunden: Nach einiger Zeit wechsle einer der Vertriebsleute zur Konkurrenz und greife fortan über den genannten Account Vertrieb auch weiterhin auf die vertraulichen Daten seiner alten Firma zu. Unternehmen mit solchen und ähnlichen Leckstellen im internen System gibt es laut Scherrbacher viele. Gestopft werden können diese nur durch ein lückenloses Identitätsmanagement, das im Falle von umfassenden Zuliefererstrukturen, wie beispielsweise in der Automobilindustrie, nur firmenübergreifend gelöst werden kann. »Ein Entwickler bei einem Automobilzulieferer hat in der Regel auch Rechte in Systemen des jeweiligen Autobauers«, erklärt Scherrbacher, deshalb müsse ein Ausscheiden dieses Entwicklers nicht nur im System des Zulieferers, sondern auch im System des Abnehmers, also des Automobilherstellers, bekannt gemacht werden.
Rechte, Rollen und Prozesse Die Beispiele zeigen, dass eine saubere Auflistung von Konten, Personen, Rollen und Rechten alles andere als trivial ist. Viele beschäftigen sich deshalb lieber mit der Etablierung der nächsten Firewall-Kaskade. Das Problem der Verwaltung von Rechten, Nutzern und Konten ist nämlich nur zum kleineren Teil ein technisches Problem. Weit mehr ist es eine organisatorische Aufgabe oder anders ausgedrückt: es müssen sichere Geschäftsprozesse definiert werden. Dem haben sich alle technischen Disziplinen im Umfeld der Nutzer- und Rechteverwaltung unterzuordnen, ob es sich um ein Universalpasswort (Single-Sign-on), interne Kontroll- und Berichtssysteme, automatisierte Genehmigungsprozesse oder auch den Helpdesk handelt. »Durch seinen zentralistischen Ansatz kann ein Identitätsmanagementsystem stark fragmentierte Sicherheitsinstallationen ordnen«, sagt denn auch Lars Weimer, verantwortlich für Informationssicherheit im Bankenbereich beim Beratungsunternehmen Ernst & Young. Diese Ordnungsfunktion erspare den Unternehmen auf lange Sicht unnötige Produkt-, Betriebs- und Wartungskosten und helfe ihnen insgesamt bei der besseren Steuerbarkeit der IT-Sicherheit. Der Zusammenhang zwischen einer funktionierenden Nutzer- und Kontenverwaltung und der IT-Sicherheit im Ganzen ist evident, wenn auch in den meisten Unternehmen nur rudimentär umgesetzt. Partnerschaften zwischen IT-Dienstleistern für innere Sicherheit einerseits und äußere Sicherheit andererseits, wie sie zum Beispiel zwischen Deron und Integralis bestehen, können eine schnelle Zusammenführung aber sicher befördern. Dazu kommt auch noch die Integration der vielfältigen physischen Zugangslösungen in die IT-Sicherheitssysteme, was zu einer ganz neuen (oder vielmehr ganz alten) Form von Identitätsprüfung führt. »Die Schloss-Hersteller spielen verstärkt mit den IT-Sicherheitsspezialisten zusammen, und zwar dergestalt, dass beispielsweise eine logische Zugangsberechtigung an einem System nur wirksam werden kann, wenn die betreffende Person physisch im Raum ist, sagt Matthias Rosche, Leiter der Consultingabteilung bei Integralis.
Durchreichen von Identitäten schwierig Die Integration von Rollen, Rechten und Nutzern zwischen Zulieferer und Abnehmer ist in Deutschland mit seiner starken mittelständischen Wirtschaftsstruktur ein besonders heißes Thema. Einige Problemfelder wurden schon weiter oben skizziert. Auch das »Durchreichen von Rechten und Identitäten« sollte deshalb in vielen Unternehmen auf der Tagesordnung stehen. »Der Trend hierbei geht von eher sternförmigen Topologien, wie sie für die Konstellation Automobilzulieferer/ Hersteller typisch sind, zu Ablaufketten, über die eine Gesamtwertschöpfung verteilt ist«, sagt CA-Berater Dr. Hannes Lubich. Jeder Teil-Dienstleister wolle dabei auf authentischen Daten aufsetzen, beispielsweise um sicher zu stellen, dass seine Leistung auch bezahlt wird, solle aber gleichzeitig nur diejenigen Daten und Identitätsmerkmale sehen, die für seinen Prozessschritt relevant seien. Dass im Prinzip sowohl funktionierende Werkzeuge als auch das Kundeninteresse für die Weiterleitung von Identitätsinformationen über mehrere Unternehmen hinweg vorhanden seien, betont Markus Löffler, Experte für Identitätsmanagement bei BMC. Allerdings setze »Föderierung ein Vertrauensverhältnis voraus, das ein Unternehmen erst garantieren könne, wenn die Benutzerverwaltung und die dazu gehörenden Prozesse stimmten«. Mit anderen Worten heißt das, dass die Unternehmen erst einmal ihre organisatorischen Hausaufgaben machen müssen: Die »Zauber-CD Identitätsmanagement«, die bloß in das Laufwerk einzulegen ist und alles läuft, die gibt es nicht und wird es nie geben. Zentrale Berechtigungsverwaltung als Herzstück Professor Gerd Rossa, Geschäftsführer des Identitätsmanagement- und Provisionierungsspezialisten iSM, sieht das Vorhandensein von Föderierungslösungen auch im technischen Bereich weit skeptischer als Löffler. Er hat zwar auch festgestellt, dass das Durchreichen der Identitäten über verschiedene Systeme und Geschäftspartner eine zunehmende Rolle spielt, meint indes, dass »umfassend einsetzbare und passfähige Verfahren derzeit fehlen«. Für Rossa hat dieses Thema deshalb in der Praxis noch nicht die Bedeutung erreicht, die man vor wenigen Jahren prognostiziert habe. Das liege sicherlich auch an den konkurrierenden Gremien W2* und Liberty Alliance, zwischen denen sich allerdings mittlerweile eine Annäherung abzeichne. Insgesamt bleibe auf diesem Feld »immer noch etwas für das klassische Single-Sign-on übrig«. Herzstück einer umfassenden inneren Ordnung und Sicherheit im Unternehmen ist und bleibt für Rossa die »zentrale Berechtigungsverwaltung und die Automatisierung der Prozesse über diese zentrale Komponente«. Prozessautomatisierung ist eines der Schlüsselworte für Rossa. Das ganze Rollenmodell müsse auf der Prozessautomatisierung aufsetzen, denn nur so könne man die Wechselprozesse steuern, bei denen Fragen, welche Rechte ein Mitarbeiter neu bekomme und welche er nicht mehr benötige, geklärt werden müssten. Am Rechtemanagement macht Rossa auch die Beziehung des Identitätsmanagements zur umfassenden Sicherheitsstrategie eines Unternehmens fest. Rossa nennt als Beispiel den Mobilfunkbetreiber E-Plus, bei dem bestimmte Rollen das Merkmal »geschäftskritisch« bekämen. Dies würde dann an den hauseigenen IT-Sicherheitsverantwortlichen weitergemeldet und eine Begründung gegeben, weshalb ein bestimmter Mitarbeiter diese Rechte bekommen habe. Wie wichtig Denken in Prozessen ist und wie wichtig gleichzeitig auch die möglichst weitgehende Automatisierung dieser Prozesse ist, unterstreicht Jörg Hinnemann von Atos Origin, das die entsprechenden Systeme für E-Plus betreibt: »Zuweisung und Entzug von Systemberechtigungen laufen bei uns in einem definierten Prozess ab. Das sorgt für eine klare Verteilung der Zuständigkeiten und eine zeitnahe Bearbeitung der benötigten Systemberechtigungen für die Anwender.«
Identitätsmanagement und SOA Die Prozessorientierung ist nicht zuletzt die Voraussetzung dafür, die Rechte- und Nutzerverwaltung mit internen Kontrollsystemen zu verknüpfen, um die vielfältigen Anforderungen gesetzlicher und betrieblicher Regularien und deren Erfüllung auch jederzeit dokumentieren zu können. »Gerade wenn es um Berechtigungen geht, werden bei uns regelmäßig Konformitätschecks in das System eingebaut, dergestalt dass beispielsweise automatisch abgeprüft wird, ob eine Richtlinie verletzt würde, wenn eine angefragte Berechtigung an den anfragenden Mitarbeiter vergeben würde«, erläutert Peter Weierich, Leiter Vertrieb und Marketing beim Berliner Identitätsmanagementspezialisten Völcker Informatik. Nicht zuletzt bildet die Ableitung der Nutzer- und Rechteverwaltung aus den Geschäftsprozessen die Grundlage dafür, dass diese als Grundlagenmodul in eine allgemeine serviceorientierte Architektur (SOA) eingebunden werden kann. »Manche überziehen aber auch das Thema SOA, indem sie beispielsweise auch den Zugang über SOA laufen lassen wollen«, mahnt Weierich. Das gehe dann in der Regel schief. Davon wird unter anderem der zweite Teil dieser Artikelserie im nächsten Heft handeln.
