Unter dem Strich zahlt sich diese Sicherheitsinfrastruktur für Unternehmenmit mehr als 500 Mitarbeitern schnell aus.

Die Identitäten bilden die Basis für eine verlässliche wie umfassende Zugriffskontrolle. An diese wiederum ist die gezielte Informationsbelieferung für eigene Mitarbeiter, die der Partner und für Internet-Konsumenten gekoppelt. IDC hat angesichts dieser Konstellation keinen Zweifel: Identitätenmanagement wird für Unternehmen und Verwaltungen eine zunehmend wichtigere, strategische Rolle spielen. Dementsprechend sieht der Marktanalyst den Weltmarkt für diese Technologie förmlich explodieren: von lediglich 600 Millionen Dollar im Jahr 2002 auf knapp 4 Milliarden Dollar im Jahr 2007.

Vier Säulen müssen stehen

Doch wie das anstehende Identitätenmanagement-Projekt anpacken und zu einem reibungslosen Abschluss führen? Zumal ein umfassendes wie wirtschaftliches Identitätenmanagement auf vier Säulen stehen sollten:

• Ein zentrales Corporate-Verzeichnis, der Identity-Store, um darin für jeden Teilnehmer ein verbindliches Benutzer- und Rechteprofil zu hinterlegen, ebenso wie alle IT-Ressourcen und Informationen, die im Zugriff stehen sollen.

• Integration der Verzeichnisse der installierten Zielsysteme – Betriebssysteme, Netzdienste, Anwendungen, Datenbanken, Web-Server, Telefonanlagen –, um ihre Inhalte über das zentrale Corporate-Directory per Synchronisation automatisch auf dem aktuellen Stand zu halten.

• Umfassende Benutzer- und Rechteverwaltung auf Basis des zentralen Corporate-Directory, einschließlich einer Verwaltungvereinfachung über Rollen.

• Einsatz von Single-Sign-on, um die Flut an Zugriffskennungen, verursacht durch die Vielzahl der installierten Zielsysteme, einzudämmen.

Immerhin bietet der Markt mittlerweile Identitätenmanagementsysteme wie »DirX« von Siemens, die im Sinne einer Lösung alle vier Realisierungssäulen adressieren.

Modular gestaltet, kann das Unternehmen das Projekt in übersichtlichen Teilprojekten absolvieren und sogar die Installationsfolge vorgeben. Zwar gibt die Reihenfolge der aufgeführten Säulen den Ideal-Projektablauf wieder. Es ist aber ebenso möglich, zuerst mit Single-Sign-On mit all seinen Kosten- und Sicherheitsvorteilen zu starten und danach die anderen vier Säulen Zug um Zug umzusetzen.

Diese Vorgehensweise in Schritten empfiehlt sich auch mit dem Blick auf die organisatorischen Anforderungen, die das Identitätenmanagement nach sich zieht. In Etappen absolviert, bleibt dem Unternehmen mehr Zeit:

• sich über Zugriffsberechtigungen der einzelnen Teilnehmer oder Teilnehmergruppen klar zu werden,

• redundante Daten sowie Eintragsleichen zu bereinigen,

• neue Sicherheitsstrukturen und -verantwortungen einzuziehen,

• notwendige Abläufe (Workflows) zu etablieren,

• Administrationsaufgaben zu koordinieren,

• auf Basis des organisationsweiten Verzeichnisses bessere Kontroll- und Auditing-Mechanismen einzuführen sowie

• eigene Mitarbeiter wie externe Teilnehmer an die veränderte Zugriffs- und Suchsicht des umfassenden Verzeichnisses heran zu führen.

Diese besonnene Vorgehensweise minimiert von Anfang an auch die Reibungsverluste, die ansonsten schnell auf Kosten des erwarteten Nutzens gehen können.

Direkten und indirekten Einsparungen auf der Spur

Und das Identitätenmanagement, planvoll und in Einklang mit der Organisation umgesetzt, birgt für Unternehmen wie öffentliche Verwaltungen viele Nutzeneffekte in sich. Durch den mittlerweile hohen Reifegrad dieser Sicherheitsinfrastruktur und ihre modulare Gestaltung hat sich zudem die Rentabilitätsgrenze von Identitätenmanagementsystemen weiter nach unten verschoben. Schon für Unternehmen ab 500 Mitarbeitern und fünf Zielsystemen kann sich der Einsatz dieser Sicherheitsinfrastruktur lohnen. Für mittelgroße und große Unternehmen ist eine Amortisierung der Gesamtlösung bereits nach zwölf Monaten möglich. Danach können auf Grund der vielen Nutzen mit direktem oder indirektem Einsparungspotenzial – Kostenreduzierung, Effizienz-/Produktivitätszuwächse, Sicherheitszugewinn – Jahr für Jahr beachtliche Summen gutschreiben, um nicht nur das IT-Budget auf Dauer zu entlasten.

Wo im einzelnen beim Identitätenmanagement für Unternehmen wie öffentliche Verwaltungen das direkte und indirekte Einsparungspotenzial steckt, das lässt sich am besten entlang der Ideal-Projektierungslinie – Corporate-Directory, Verzeichnisintegration, Benutzer- und Rechteverwaltung, Single-Sign-On – aufdecken. Mit dem organisationsweiten Corporate-Directory wird eine umfassende Informationsbasis etabliert, um darin alle Teilnehmer, Rechte und IT-Ressourcen zu führen. Das bringt für die Administratoren, den Helpdesk, die Sicherheitsstrategen und Benutzer gleichermaßen Vorteile mit sich. Die Administratoren behalten so alle eingetragenen Identitäten und ihre Rechte aufwandarm im Überblick, inklusive aller Änderungen, wenn neue Mitarbeiter kommen, Mitarbeiter gehen oder sich Standort oder Funktion von Mitarbeitern ändern.

Mit dem Informationsreservoir des Corporate-Directory im Rücken kann auch das Helpdesk-Personal schneller und effizienter und somit weniger personalaufwändig die Benutzer unterstützen. Auch den Sicherheitsstrategen bietet das organisationsweite Verzeichnis einen umfassenden Überblick über alle Identitäten und ihre Rechte. Das eröffnet ihnen exzellente Kontroll- und Auditing-Perspektiven, um dadurch den Zugriffskontrollschirm noch sicherer zu schließen und Schäden durch Sicherheitsverletzungen zu minimieren. Ändern sich Sicherheitsrichtlinien, können die zudem via Corporate-Network schneller und konsequenter in Zugriffskontrolle umgesetzt werden. Auch das reduziert für das Geschäft gefährliche Einstiegslöcher und minimiert parallel den Aufwand.

Auch die eigenen Mitarbeiter sowie externe Teilnehmer profitieren vom Corporate-Directory, nämlich durch einen schnellen Zugriff auf die berechtigten Zielsysteme und eine beschleunigte Informationssuche. Zumal dieses übergeordnete Verzeichnis außer mit den Identitäten, Rechten und IT-Ressourcen nach Belieben mit weiterführenden Informationen gefüllt werden können. Damit bleibt den Mitarbeitern mehr Zeit, ihrer eigentlichen Tätigkeit nachzugehen, gleichbedeutend für das Unternehmen mit Produktivitätsgewinn. Darüber hinaus eröffnet das Informationspotenzial des Corporate-Directory den Mitarbeitern bessere Perspektiven zur Selbsthilfe, anstatt immer wieder zeit- und kostenintensiv den Helpdesk in Anspruch zu nehmen. Zu alledem vereinfacht »eine« über die gesamte Organisation verbindliche Verzeichnisschnittstelle, nämlich die des Corporate-Directory, die Entwicklung neuer Applikationen, ebenfalls verbunden mit Kosteneinsparungen.

Verzeichnisintegration schlägt über Konnektoren die Brücke zwischen Corporate-Directory und den installierten Zielsystemen. Auf diese Weise können beispielsweise die Mitarbeiterprofile aus dem Human-Resource-System in der Personalabteilung direkt per Workflow ins übergeordnete Verzeichnis übernommen werden. Letztlich ist die Verzeichnisintegration der Garant für viele geldwerte Vorteile:

• stark reduzierter Administrationsaufwand, weil Einträge nur einmal erfasst, geändert und bei Bedarf gelöscht werden müssen, statt bisher separat in jedem installierten Verzeichnis,E permanent eindeutige und aktuelle Identitäten, Regeln und IT-Ressourcen über alle eingesetzten Zielsysteme; diese bilden die solide Basis für eine umfassende und verlässliche Zugriffskontrolle, um das Geschäft besser vor Schäden durch Sicherheitsverletzungen zu schützen,

• Bereinigung von redundanten Einträgen und Eintragsleichen über alle Verzeichnisse, hierdurch sind zusätzlich gefährliche Einstiegslöcher im Zugriffskontrollschirm mit im Angriffsfall möglichen finanziellen Schäden ausgeschlossen,

• kostensparende zentrale Rechteverwaltung innerhalb des Corporate-Directory, wobei diese Rechte, beispielsweise repräsentiert durch Passwörter, automatisch auf die spezifische Syntax der Zielsysteme abgebildet werden sowie

• einfachere, flexiblere und schnellere Auslagerung von Teilen der IT an einen externen Dienstleister, weil das Corporate-Directory einschließlich Verzeichnisintegration eine saubere Trennung von einzelnen Verwaltungshoheiten eröffnet.

Mit der zentralen Benutzer- und Rechteverwaltung via Corporate-Directory winken den Unternehmen weitere Nutzen, die direkt oder indirekt in Einsparungen quantifiziert werden können. Durch sie können neue oder veränderte Rechteprofile zeitnah dem jeweiligen Teilnehmer zugewiesen werden. Das minimiert nicht nur zwischenzeitliche Zugriffslücken, wenn Mitarbeiter gehen, neue Mitarbeiter kommen oder der Standort beziehungsweise die Funktion von Mitarbeitern sich ändert. Zusätzlich wird dadurch die Informationsgabe gegenüber Intranet, Extranets und Internet beschleunigt und abgesichert. Auf diese Weise können zudem neue Mitarbeiter schneller »produktiv geschaltet« werden. Besonders wirtschaftlich und effizient ist für die Unternehmen der Einsatz von Rollen, die jeweils bestimmte Abteilungen, Arbeitsgruppen, Geschäftsbereiche oder beispielsweise bestimmte Kundensegmente repräsentieren. Teilnehmer, die einem solchen Profil zugeordnet werden, erhalten automatisch alle darin definierten Rechte. Solche Profile tragen nicht nur zu einer noch wirtschaftlicheren Rechtezuweisung bei, inklusive einer zusätzlichen Beschleunigung der Informationsgabe. Auch die Rechteverwaltung wird dadurch weiter vereinfacht, was sich zudem reduzierend auf den Monitoring- und Auditing-Aufwand auswirkt.

Vereinfachter Zugriff durch SSO

Auch der Single-Sign-On-Mechanismus als vierte Säule des Identitätenmanagements trägt wesentlich zu mehr Wirtschaftlichkeit, Effizienz und Sicherheit im Rahmen der Zugriffskontrolle bei. Über ihn werden alle notwendigen Zugriffskriterien, beispielsweise Logins oder Passwörter, dem Teilnehmer-PC automatisch im Hintergrund zugewiesen, ohne dass der Teilnehmer sie zu sehen bekommt. Im Web-Umfeld wird der Zugang zu den Zielsystemen direkt im Portal freigeschaltet. Dem Teilnehmer reicht damit sein generelles Login und sein Authentisierungspasswort für den Netzzugang aus, um danach auf alle berechtigten Zielsysteme zuzugreifen. Die Vorteile dieses intelligenten Schachzugs:

• Keine vergessenen Autorisierungspasswörter mehr, die immer wieder vom Helpdesk angefordert und von dort sicher den Teilnehmern zugewiesen werden müssen. Ohne SSO verwendet das Helpdesk-Personal zwischen 30 bis 60 Prozent seiner Arbeitszeit auf dieses umständliche und immer wiederkehrende Prozedere.

• Autorisierungspasswörter können nicht mehr in falsche Hände geraten und damit für Datendiebstahl oder -manipulation missbraucht werden.

• Ohne Zutun des Teilnehmers können Passwörter länger und komplexer inklusive vorgeschriebener Verwendung bestimmter Sonderzeichen ausgelegt werden. Das macht sie angriffssicherer.

• Durch die direkte Kopplung von Authentisierung und Autorisierung werden die Zugriffe und dadurch die gezielte Informationsgabe weiter beschleunigt.

Allerdings sollte der erste Schritt des Single Sign-On, die Authentisierung, als Eintrittskarte zu allen berechtigten Zielsystemen besonders sicher ausgelegt werden. Dazu empfiehlt sich der Einsatz eines Token-Verfahrens oder einer Chipkarte, auf der alle Zugriffskriterien hinterlegt sind. Dann geht für die Unternehmen der SSO als gleichsam wirtschaftliches, effizientes und sicheres Zugriffskontrollverfahren mit hohem Einsparungspotenzial auf.

Info

Sicherheitszugewinn durch Identitätenmanagement lohnt

Die Aberdeen Group bestätigt indirekt, dass in der umfassenden, zentralisierten Identitäten- und Zugriffsverwaltung für die Unternehmen ein großer Sicherheitsnutzen steckt. Der Analyst schätzt den Schaden, der 2003 weltweit durch direkten und indirekten Identitätenmissbrauch entstand, auf 24 Milliarden Dollar, fast dreimal so hoch wie im Jahr zuvor. Dieser veranschlagte Schaden hat etwa die gleiche Größenordnung wie der von IDC für das gleiche Jahr bezifferte Weltumsatz im IT-Sicherheitsmarkt. Danach dürfte die gezielte Investition ins Identitätenmanagement und der daraus zu erwartende Nutzen, die Minimierung eines stark wachsenden Schadensrisikos, für die Unternehmen in einem sehr profitablen Verhältnis stehen.

Fazit

Wenn sich auch nicht alle Nutzen des Identitätenmanagement direkt quantifizieren lassen: Unter dem Strich zahlt sich diese Sicherheitsinfrastruktur für Unternehmen größer 500 Mitarbeiter schnell aus. Zumal Einsparungen, erreicht über ein Identitätenmanagement-Modul, budgetschonend in folgende Projektschritte einfließen können. Wie hoch im Einzelfall – abhängig von der Größe der Installation, dem Umfang der Partnerbeziehungen und dem Anteil des Internet-Geschäfts am Gesamtumsatz – die Einsparungen durch das Gesamtprojekt ausfallen, können sich Unternehmen wie öffentliche Verwaltungen mittels »Hipath Buisness Case Builder« (www.siemens/hipath) von Siemens durchkalkulieren lassen. Anders als mit anderen Kalkulationswerkzeugen wird hier bei den nur indirekt quantifizierbaren Größen mit moderaten Annahmen operiert. So wird beispielsweise nur ein kleiner Teil des Zeitgewinns als Produktivitätsgewinn zugeschlagen. Um den Zugewinn an Sicherheit in Ersparnissen zu quantifizieren, werden nur Zahlen und Risikoanalysen anerkannten Marktanalysten verwendet, bei vergleichbaren Analysen die niedrigeren Werte herangezogen.

Info

Zusatzeinsparer Asset-Management

Das umfassende und stets eindeutige Corporate-Directory kann beliebig mit weiterführenden Informationen gefüllt werden, so beispielsweise mit Angaben zu verliehenen Vermögensgütern wie Handys, anderen mobilen Geräten, Tankkarten, Firmenwagen oder Fachliteratur. Verlassen Mitarbeiter das Unternehmen oder ändert sich ihre Position und damit ihr Leihanspruch, kann das, beispielsweise durch die Personalabteilung, zeitnah über das Corporate-Directory nachvollzogen werden. Mitarbeiter können sogar termingekoppelt automatisch per Workflow zur Rückgabe der Leihgüter aufgefordert werden. Vermögensverluste gehören dadurch für das Unternehmen der Vergangenheit an.

Das Ergebnis dieser Kalkulation ist eine Ausrechnung aufgeschlüsselt in Return-on-Investment, Amortisierung, Kapitalwert, Risiko des Investitionsverzichts, Total-Benefit-of-Ownership, Total-Cost-of-Ownership und kumulierter Cash-Flow, die sich nah an der Praxis und Marktentwicklung bewegt. Was dem Unternehmen zusätzlich bleibt, ist eventuelle ersparniszehrende Reibungsverluste einzurechnen, die bei der Abstimmung von Organisation und Technologie auftreten können. Doch genau die können Unternehmen wie öffentliche Verwaltungen erheblich minimieren, indem sie ihr Identitätenmanagement-Projekt in wohl koordinierten Stufen angehen. Jürgen Görtz, Vice President Business Development Security, Siemens Information & Communication Networks