CRN-Interview mit Susanne Haase von One Identity
»IAM-Projekte sind eine Chance, Prozesse zu überdenken«
Fortsetzung des Artikels von Teil 1
»Wichtig sind schnell vorzeigbare Erfolge«
CRN: Was sind typische Fehler, die in IAM-Projekten gemacht werden?
Haase: Zu viel zu schnell zu wollen, keine durchdachten und definierten Prozesse und kein dediziertes Projektteam zu bilden. Das sind wohl die häufigsten Fehler. Identity-Governance-Projekte sind auch Infrastruktur-Projekte, und die erfordern eine gute Zusammenarbeit unterschiedlicher Abteilungen. Es geht bei IAM immer um die Umsetzung von Prozessen in Technik. Die Technik kann die beste der Welt sein, wenn die Prozesse des Unternehmens nicht klar definiert und sinnvoll sind, erzielt man keinen Mehrwert oder scheitert komplett.
Ein IAM-Projekt ist eine Chance, Prozesse zu überdenken und zu optimieren. Der Versuch, althergebrachtes ungeprüft in eine neue Technologie umzusetzen, ist eine vertane Chance. Firmen tun also gut daran sicherzustellen, dass genügend interne Ressourcen und ein erfahrener Projektleiter zur Verfügung stehen, um den geplanten Projektverlauf einzuhalten, Abhängigkeiten zwischen diesem und anderen Projekten realistisch zu bewerten und die Zusammenarbeit mit anderen Abteilungen sicher zu stellen. Es gilt, Meilensteine zu definieren. Und die sollten nicht zu weit in der Zukunft liegen und auch nicht zu weit voneinander entfernt sein. Starten sollte man mit den Aufgaben, mit denen sich schnell vorzeigbare Erfolge erzielen lassen. Das ist wichtig für den Fortgang und das Standing des Projekts. Am besten erzielt man eine Arbeitserleichterung, zum Beispiel durch die Automation von einfachen, normalerweise manuellen Prozessen, etwa das Zurücksetzen von Passwörtern.
CRN: Warum benötigen privilegierte Benutzerkonten einen besonderen Schutz, reichen ein IAM und Mehrfaktor-Authentifizierung da nicht aus?
Haase: Nein, leider reicht ein reines IAM-System nicht aus, denn bei privilegierten Konten genügt es nicht zu wissen, wann sich der privilegierte Benutzer angemeldet hat. Dazu kommt, dass man eine Mehrfaktor-Authentifizierung zwar für Personen vorsehen kann; technische Accounts, die in Anwendungen oder Geräten verwendet werden, sind davon aber ausgenommen. Hier schafft nur eine automatisierte Änderung des Passworts nach Gebrauch und in bestimmten Zeitabständen mehr Sicherheit.
Es geht also um automatisierte Änderung und geregelte Herausgabe des Passwortes, Sitzungsüberwachung und die Prüfung, ob die Aktionen eines privilegierten Nutzers auf einem System dem entsprechen, was er üblicherweise so tut, die sogenannten Behaviour Analytics. Das kann nur ein dediziertes PAM-System. Neben dem Verwalten von Passwörtern für Server, Datenbanken und das Netzwerk hat man damit die Möglichkeit, alle Aktivitäten vollständig nachzuvollziehen. Mittels solcher Session-Protokolle ist es möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, was er mit diesen Informationen tut. Mit der durchgängigen Protokollierung werden zusätzlich Audit- und Revisionsanforderungen zuverlässig erfüllt.
CRN: Inwieweit sind IAM und PAM organisatorische und keine reinen IT-Themen?
Haase: Die Basis beider Themen sind Prozesse. Zunächst müssen genau die im Unternehmen abgestimmt und definiert werden. Das muss immer abteilungsübergreifend erfolgen. Im Fall von IAM müssen diese Prozesse zum Beispiel mit der HR-Abteilung, der Organisationsabteilung, der Revision und natürlich den unterschiedlichen Abteilungen, in denen die zu verwaltenden Systeme sitzen, definiert werden. Ein IAM- oder PAM-Projekte als reines IT-Thema zu behandeln, funktioniert schon allein deshalb nicht.
- »IAM-Projekte sind eine Chance, Prozesse zu überdenken«
- »Wichtig sind schnell vorzeigbare Erfolge«
- »Ein IAM läuft nicht über Jahre unverändert weiter«
