Datendrehscheibe für kontrollierten Workflow
Datendrehscheibe für kontrollierten Workflow Die IT-Prozesse der Unternehmen werden zunehmend genauer an den geschäftlichen Erfordernissen ausgerichtet. Dadurch ergeben sich auch viele neue Möglichkeiten für ein System zur Verwaltung von Rechten, Rollen und Identitäten.
Das Rollen- und Berechtigungsmodell innerhalb der Verwaltung der Identitäten in einem Unternehmen muss auf der Automatisierung der Geschäftsprozesse aufsetzen. Nur so kann man den Überblick darüber behalten, welche Rechte ein bestimmter Mitarbeiter in seiner Rolle bekommt und welche er oder sie nicht mehr benötigen. Das war die Quintessenz unseres ersten Beitrags zum Thema Identitätsmanagement (siehe »Datendrehscheibe für sichere Geschäftsprozesse«, Information Week, 4/2007, Seite 22ff). Eine derart ausgestaltete Datendrehscheibe eignet sich auch gut als Basis für interne und externe Kontrollsysteme. So wird das Identitätsmanagement-System bi-cube IPM von iSM bei E-Plus nicht zuletzt für das SOx-Projekt des Mobilfunk-Betreibers und für das von Wirtschaftsprüfern entwickelte Kontrollverfahren SAS70-Typ 2 bei Atos Origin eingesetzt. »Mit bi-cube IPM lässt sich nicht nur der Nachweis führen, welche Rechte irgendwer gehabt hat, sondern auch dokumentieren, wer gesagt hat, dass er oder sie diese haben sollen«, sagt Professor Dr. Gerd Rossa, Geschäftsführer des Herstellers iSM. Im Übrigen wartet dieses »Identitäts- und Provisionierungs-Management-Werkzeug« (so die Selbstetikettierung) auch mit Selbstüberwachungsfunktionen auf: »Wenn jemand um elf Uhr abends geschäftskritische Berechtigungen erhält, die um ein Uhr in der Früh wieder gelöscht werden, wenn sich ein Administrator selber Rechte gibt oder wenn Einzelrechte, die in sich selber unkritisch sind, in der Kumulierung kritisch werden, dann lösen solche Vorgänge mittlerweile in unseren System eine Alarmmeldung aus« erläutert Gerd Rossa.
Einhaltung von Vorschriften Auch für Peter Weierich, Leiter Marketing und Vertrieb beim Berliner Identitätsmanagementspezialisten Völcker Informatik, ist die Überwachung interner und externer Vorschriften mittlerweile ein wichtiges Antriebselement für die Unternehmen, in Systeme zur Benutzer- und Rechteverwaltung zu investieren. Weierich nennt als Beispiel das Energiewirtschaftsgesetz, das die informationstechnische Trennung von Netzbetrieb und Stromvertrieb vorschreibt. »Wenn ein Netzbetreiber und Stromversorger der Bundesnetzagentur im Konfliktfall nicht lückenlos nachweisen kann, dass er beide Bereiche logisch getrennt hat, dann lässt sich daraus unter Umständen eine ungesetzliche Benachteiligung von Stromvertreibern ohne Netz ableiten und das Unternehmen riskiert im schlimmsten Fall die Zerschlagung«, meint Weierich. Er hält es im Übrigen für sinnvoll, dass interne Richtlinien und gesetzliche Bestimmungen in ein und dasselbe Überwachungskonzept aufgenommen werden, denn dann müsse vom Wirtschaftsprüfer nur noch ein einziges System testiert werden. »Wenn sichergestellt ist, dass alles, was in einem System wie beispielsweise unserem Active Entry abgebildet ist, mit den Gegebenheiten in Lotus Notes, Active Directory oder SAP zur Deckung zu bringen ist, dann hat man damit eine revisionssichere digitale Unterlage, die man jederzeit dem Wirtschaftsprüfer oder auch der Regulierungsbehörde übergeben kann«, erläutert Weierich. Er meint darüber hinaus, dass sich viele Konformitätsprüfungen sehr einfach aus den ohnehin eingebauten Regeln innerhalb des Genehmigungs-Workflows für die Rechtevergabe ableiten ließen. Es sei dazu nur eine zusätzliche explizite Abfrage dessen, was schon in den Regeln drinstecke, notwendig.
SSO und Kontrollsysteme Auch ein gut aufgesetztes Universalpasswort-Verfahren (Single-Sign-on, SSO) kann eine Menge für die interne Kontrolle beitragen. »Da leistungsfähige Single-Sign-On-Lösungen Module für die Revision und das Berichtswesen enthalten, kann bei Bedarf verbindlich dokumentiert werden, inwieweit das Unternehmen Sicherheitsauflagen erfüllt hat«, erklärt Norbert Drecker, Leiter des Competence Centers bei Evidian in Köln. Für Drecker ist eine SSO-Lösung eine zentrale Komponente innerhalb des gesamten Identitätsmanagements. Da sich die Mitarbeiter bei Einführung eines Universalpassworts nicht länger alle möglichen Zugriffskennungen für die verschiedenen Anwendungen merken müssten, könnten sie diese auch nicht vergessen. Das erspare dem Helpdesk-Personal viel Arbeit und dem Unternehmen insgesamt viele Kosten. Schließlich gingen bei vielen Helpdesks heute bis zu 40 Prozent der Arbeitszeit für die Passwort-Verwaltung drauf. Dr. Martin Kuhlmann, Leiter des Produktmanagements bei Beta Systems Software (mit dem Identitätsmanagementwerkzeug »SAM Jupiter«) spricht von einer »Helpdesk-Kostenreduzierung für passwortbezogene Aktivitäten von bis zu 70 Prozent, die durch SSO möglich sei.
Identitätsmanagement und SSO Dass das Thema SSO sowohl von den Einsparpotenzialen als auch der Nutzerorientierung interessant ist, bestreitet niemand. Kontrovers wird SSO indes hinsichtlich seiner Stellung innerhalb des Identitätsmanagements diskutiert. Während Drecker von Evidian SSO als Einstieg in das Identitätsmanagement propagiert, sagt Weierich von Völcker, dass eine SSO-Lösung »von einer Identitätsmanagementplattform völlig unabhängig sei, und zwar sowohl technisch als auch logisch«. Gerd Rossa formuliert im Gespräch sogar provokant, dass »SSO immer ein Zeichen dafür ist, dass die Architektur des Identitätsmanagements nicht stimmt«, will heißen: SSO ist kein Identitätsmanagement, und wenn es als solches verkauft wird, dann stimmt etwas an der Systemgrundlage nicht. Keine Frage: SSO-Techniken stützen sich letztlich auf Zielsysteme wie Active Directory, Lotus Notes oder SAP und nur dadurch indirekt auf die Datendrehscheibe »Identitätsmanagement», da letztere die Identitätsdaten in die einzelnen Zielsysteme einspeist. Von der technischen Seite gibt es zwei Vorgehensweisen, um ein einziges Passwort für alle Anwendungen einsetzen zu können. Die eine Alternative kann man unter den Schlagworten Kerberos /SAML und die andere unter dem Schlagwort »enterprise SSO« zusammenfassen. Bei ersterem muss jede der Anwendungen, die mit dem Universalpasswort erreicht werden soll, die Vermittlungssprache (also Kerberos oder SAML) verstehen, bei letzterem ist das nicht nötig, dafür muss aber auf jedem Desktop ein Stückchen Software installiert werden, das dann die Berechtigung des Anwenders für ein Anwendungsprogramm durchreicht. Der Aufwand dürfte in beiden Fällen in etwa gleich sein. Enterprise SSO bietet vor allem Beta Systems an. Ein drittes Feld sind SSO-Lösungen, die speziell im Umfeld von Webservices Passwort-Dienste leisten. Entsprechende Module gibt es beispielsweise in Systemen wie Tivoli Access Manager oder CA SiteMinder. Web-SSO gewinnt durch die überall entstehenden Portallösungen eine immer größere Bedeutung.
Dynamische Identitäten Wie im ersten Teil des Artikels am Ende angedeutet, wird die Verbindung von Identitätsmanagement und serviceorientierten Architekturen (SOA) eines der wichtigsten Themen der nächsten Zeit. Inwieweit es sich nur um Dampfplaudereien handelt und inwieweit dafür eine tatsächliche technische Basis vorhanden ist, wird sich bald herausstellen. Hartmut Kaiser, Produktmanager Software-Development bei Sun sieht jedenfalls eine klare Linie bei Identitätsmanagementsystemen von eher statischen Kontrollsystemen zu Lösungen für die Flexibilisierung des Workflows. Im Zuge dieser Entwicklung werden sich auch Unternehmen ins Identitätsmanagement einklinken, die man bis dato dort noch nicht geortet hat wie beispielsweise Oracle. Dieses Unternehmen wird nach Aussage von Jens Kürschner, Director Middleware Sales, die nächste Version des »Business Process Manager in den Oracle Identity Manager als Standard-Workflow-Engine« integrieren. Im Übrigen werde in der SOA-Welt lose miteinander gekoppelter Geschäftskomponenten »auch die lose Kopplung von Identitäten wichtig«. Auch andere Anbieter aus der Szene der Infrastruktur-Software wie beispielsweise Bea Logic versuchen sich via SOA ein Standbein in der Szene der Identitäten-Verwaltung zu schaffen. Bea kooperiert in diesem Punkt mit CA. Dass man das Thema SOA und Identitätsmanagement auch überziehen kann, erläutert Peter Weierich von Völcker an einem Beispiel. Ein größeres Unternehmen habe sich kürzlich ein SOA-fähiges Modul vorgestellt, das zentral den Zugang zu den verschiedenen Zielsystemen verwalte. Das sei ziemlich blauäugig gewesen, denn in der heutigen IT-Landschaft gebe es massenweise Zielsysteme, die Wartezeiten zwischen fünf und 30 Sekunden hätten. Eine Zentralisierung der Zugangs- und Identitätsverwaltung könne in einem solchen Kontext also nur schiefgehen.
