Zentrales IAM im Unternehmen
Identity-Management einführen
Identitätsmanagement ist eine Aufgabe, in der sich Unternehmensführung, IT-Führung und Informationssicherheit überschneiden. Entsprechende Systeme müssen so geplant werden, dass sie die geschäftlichen Aktivitäten eines Unternehmens optimal stützen.
Häufige Zukäufe von Firmen, die Anbindung von Partnernetzen und die Einführung moderner
Anwendungen zur Unterstützung von Geschäftsprozessen stellen für das Identity-Management (IM) der
Unternehmen eine immer größer werdende Herausforderung dar. Der Aufwand für das Verwalten von
Identitäten und Berechtigungen wird unkalkulierbar und die Sicherheitslücken häufen sich. Ein
Mitarbeiter hat oftmals eine Vielzahl von Identitäten für die von ihm genutzten Anwendungen, wie
zum Beispiel den Namen, eine Personalnummer oder eine Emailadresse. Außerdem sind die
administrativen Prozesse für das Anlegen und löschen beziehungsweise das Ändern von Accounts und
Berechtigungen über die unterschiedlichen Anwendungen hinweg nicht homogen. Dies führt dazu, dass
Anwender oftmals lange warten müssen, bis sie einen Account für eine Anwendung bekommen, oder dass
sie beim Ausscheiden aus dem Unternehmen nicht aus allen Anwendungen gelöscht werden. Diese
ungenutzten Accounts in Verbindung mit unzureichend definierten administrativen Prozessen führen zu
einem wachsenden Sicherheitsproblem.
Organisationsübergreifend arbeiten
Eine Lösung der genannten Probleme wird nur dann erfolgversprechend sein, wenn man
Identity-Management als unternehmensweites und organisationsübergreifendes Thema behandelt.
Zunächst einmal sind die fachlichen Anforderungen und Verantwortungen zu analysieren, die aus den
Geschäftsprozessen resultieren (Business Layer). Dies stellt die Basis für die Modellierung von
Identitäten- beziehungsweise Rollen- und Berechtigungskonzepten sowie für das Design der
administrativen Prozesse und Workflows dar (Data-/Information-Layer). Auf technischer Ebene müssen
diese Konzepte durch die Implementierung von Provisionierungsmechanismen und Authentisierungs-
beziehungsweise Autorisierungsverfahren umgesetzt werden (Computational Layer).
Das Vorgehen: Analyse und Umsetzung als zentrale Phasen
Das Vorgehen zur Etablierung einer IM-Lösung erfordert zwei Phasen: Analyse und Umsetzung. Im
Rahmen der Analyse ist zuerst das Soll zu bestimmen. Die Analyse umfasst einerseits Interviews mit
den Fachbereichen des Unternehmens, unter anderem zur Ermittlung der fachlichen Anforderungen, um
Fachrollen auf technische Rollen mappen zu können. Weiter muss das Schutzniveau der Daten
festgelegt werden, um das Design geeigneter administrativer Prozesse und Workflows festzulegen und
angemessene Authentisierungsverfahren auszuwählen. Zudem sind im Rahmen der technischen
Sollfestlegung Anforderungen an die IT-Architektur mit den Verantwortlichen des IT-Bereichs zu
definieren. Dazu gilt es zu überlegen, inwieweit vorhandene Komponenten genutzt werden können.
Während der Festlegung der administrativen Prozesse ist außerdem zu definieren, ob die
Administration zentral und/oder dezentral erfolgen soll oder ob Möglichkeiten für einen
Self-Service gewünscht sind. Das Soll wird außerdem von gesetzlichen Bestimmungen (zum Beispiel dem
Bundesdatenschutzgesetz BDSG) und internen Richtlinien wie beispielsweise Sicherheitsvorgaben
beeinflusst.
Soll-Ist-Analyse für genaue Planung
Im Rahmen einer Soll-Ist-Analyse ist dann zu prüfen, inwieweit die definierten Anforderungen im
Unternehmen bereits umgesetzt sind. Erst auf Basis dieses Ergebnisses nämlich ist es möglich, den
Inhalt, den zeitlichen Rahmen und die Kosten des umzusetzenden Projekts hinreichend genau zu
planen. In der Umsetzungsphase haben die Projektverantwortlichen dann die Aufgabe, Möglichkeiten
für die fachlichen, technischen und administrativen Anforderungen zu evaluieren. Hierzu gehört es,
die entsprechenden Architekturkonzepte zu erstellen, Berechtigungskonzepte zu entwickeln sowie
Prozesse und Workflows zu gestalten und geeignete Systeme zur Provisionierung, Authentisierung und
Autorisierung auszuwählen. Im Rahmen eines "Proofs of Concept" ist schließlich die Machbarkeit zu
überprüfen, bevor der Flächenrollout beginnen kann.
Die Erfolgsfaktoren
Wesentliche Faktoren für die erfolgreiche Einführung eines unternehmensweiten
Identity-Mangements sind unter anderem
eine detaillierte Anforderungsanalyse mit Fachbereich und IT-Bereich,
die Entwicklung eines einfachen, aber flexiblen rollenbasierten
Berechtigungskonzeptes ("Role Based Access Control"),
ein schrittweises Vorgehen (Roadmap), das in einem ersten Schritt die
wichtigsten Anwendungen in das IM integriert,
die Auswahl von Produkten mit Standardschnittstellen und
das Design einfacher und sicherer Prozesse/Workflows in Verbindung mit einem
hohen Automatisierungsgrad.
Die Einführung eines Identity-Mangements muss als unternehmensweite Aufgabe gesehen werden, um
einen wirtschaftlichen und sicheren Betrieb gewährleisten zu können.
Lesen Sie mehr zum Thema
