CRN-Interview mit Fabian Beutel von Securelink
»Aus IT-Sicht ist die Einführung einer IAM-Lösung kein Hexenwerk«
Fortsetzung des Artikels von Teil 1
»Teilweise wird die User Experience vernachlässigt«
CRN: Liegen die Herausforderungen bei der Einführung von IAM-Lösungen vornehmlich im IT-Bereich oder im Organisatorischen?
Beutel: Aus reiner IT-Sicht ist die Einführung einer IAM-Lösung kein Hexenwerk, wenn man als Unternehmen einer zielgerichteten und nachvollziehbaren Projektmethodik zur Einführung von neuen Technologien folgt. Außer dem technischen Konzept müssen aber auch die Rollen und Erwartungen hinsichtlich der IAM-Lösung mit den beteiligten Abteilungen und Teams abgestimmt werden. Angst vor der IAM-Einführung, fehlende Motivation oder Skepsis können vor allem zu Beginn der Projekte häufig festgestellt werden. Im Projektverlauf kann man immer wieder beobachten, dass die Frage, wer für Betrieb und Wartung der Lösung verantwortlich ist, nicht final geklärt ist und somit den produktiven Start verschiebt.
Zu den technischen Herausforderungen gehören sowohl die Zusammenarbeit zwischen Cloud-Umgebungen und interner IT-Welt als auch Authentifizierung und Berechtigungskonzept. Was teilweise vernachlässigt wird, ist die User Experience, sprich der Umgang der Anwender mit der Lösung. Die Identifizierung von Ausnahmefällen und Pläne für den Umgang mit alten oder selbst entwickelten Anwendungen sowie den Umgang mit Fehlfunktionen und ein gut geschulter Helpdesk erleichtern auf jeden Fall die Einführung.
CRN: Was sind typische Probleme, die in IAM-Projekten auftreten?
Beutel: Nicht richtig definierte Anforderungen und falsche Erwartungen treten immer wieder auf. Dazu kommen noch die typischen Projekt-Probleme wie Zeitdruck und Ressourcenknappheit. Auf der technischen Seite finden sich mangelhafte Dokumentationen und nicht vorhandene oder nicht standardisierte Schnittstellen, vor allem bei Eigenentwicklungen oder Nischenanbietern. Des Weiteren müssen die Sicherheits- und Compliance-Anforderungen an die IAM-Lösung im Voraus bekannt sein. Vor allem nicht standardisierte Workflows, die das IAM-Produkt nicht einfach umsetzen kann, verursachen nachträglich einen höheren Aufwand oder könnten ein K.O.-Kriterium darstellen.
Ein umfassender PoC, der die Anforderungen der identifizierten Use Cases mit den Funktionen der Lösung unter Einbeziehung der betroffenen technischen Teams vorsieht, ist vor der Einführung der IAM-Lösung sehr empfehlenswert.
CRN: Was ist ihre Empfehlung: Ein möglichst differenziertes Rollenmodell oder lieber ein einfaches, um die Komplexität gering zu halten?
Beutel: Mit zunehmender Unternehmensgröße wird sich ein differenziertes Rollenmodel, das eine gewisse Komplexität aufweist, nicht vermeiden lassen. Entscheidend ist, dass die zur Auswahl stehende IAM-Lösung flexibel mit den sich ändernden und wachsenden Anforderungen umgehen kann. Identitäten liegen heute nicht mehr nur in Form von internen Usern vor. Jedes verbundene Gerät stellt eine Identität dar, die verwaltet, identifiziert, authentifiziert und berechtigt werden muss – ganz gleich ob es sich um Mitarbeiter, Kunden, IoT-Geräte oder smarte Devices handelt. Alles will kommunizieren: innerhalb des Unternehmens, aus dem Unternehmen heraus und in das Unternehmen hinein, und diese Kommunikation muss sicher und nachvollziehbar gestaltet werden.
- »Aus IT-Sicht ist die Einführung einer IAM-Lösung kein Hexenwerk«
- »Teilweise wird die User Experience vernachlässigt«
- »Wichtig ist ein gutes Logging für die SIEM-Anbindung«
