Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > In fremder Hand

Identity Management outsourcen

In fremder Hand

20. Oktober 2005, 23:16 Uhr | Dr. Martin Kuhlmann/wj Dr. Martin Kuhlmann ist Product Line Manager SAM Jupiter bei Beta Systems in Berlin.

Will ein Unternehmen Identity-Management-Aufgaben nach außen vergeben, muss es vorab organisatorische Hausaufgaben erledigen und darf nicht allein technisch denken. Die Aufgabenverteilung sollte besonders gut geplant werden.

Wirtschaftliche Gründe stehen vielfach im Vordergrund, wenn Unternehmen Outsourcing-Projekte
auch im IT-Security-Bereich initiieren. Die Vorteile liegen klar auf der Hand: Anstatt in
aufwändigen Großprojekten unternehmenseigene Ressourcen zu binden, können Unternehmen durch das
Auslagern von Security-Dienstleistungen Kosten senken und auf professionell geschultes
Experten-Know-how externer Partner zurückgreifen. Nicht zuletzt dadurch lässt sich auch die
Qualität in der IT-Security steigern. Dies gilt insbesondere für komplexe organisatorische und
technische Prozesse, wie sie im Identity Management (IdM) vorliegen. Doch Vorsicht: Experten warnen
davor, Sicherheit allzu leicht aus der Hand zu geben. Damit IdM-Outsourcing-Projekte halten, was
sie versprechen, bedarf es einer strukturierten und praxiserprobten Herangehensweise. Dazu zählen
eine exakte Definition der Aufgabenverteilung, transparente und lückenlose Kontrollmechanismen
sowie die Wahl eines geeigneten Partners.

Das Auslagern der IT-Security im Bereich Identity Management erfordert eine strukturierte
Vorbereitung, die mit der Definition einer plausiblen Aufgabenverteilung beginnt. Dabei ist vor
allem festzulegen, welche Aufgaben in fremde Hände gegeben und welche durch unternehmenseigene
Ressourcen erfüllt werden können. Eine richtige, das heißt praktikable Aufgabenverteilung
entscheidet allein schon über den Erfolg oder Misserfolg eines IdM-Outsourcing-Projekts. Hier nur
nach technischen Gesichtspunkten zu entscheiden, wäre ein großer Fehler.

Aufgaben plausibel verteilen

Bei IdM-Outsourcing-Projekten müssen Administratoren und IT-Sicherheitsverantwortliche in der
Lage sein, jederzeit ein aktives Risikomanagement betreiben zu können. Dementsprechend sollten
Aufgaben wie etwa die Kontrolle der Administratorrechte und -tätigkeiten niemals aus der Hand
gegeben werden. Um festlegen zu können, wer welche Rechte wie beantragen und genehmigen darf,
bedarf es tiefer struktureller Kenntnisse über die Geschäftsprozesse im Unternehmen. In der Regel
verfügen nur interne Mitarbeiter und Administratoren über dieses Wissen. Eine solche Kernaufgabe
auszulagern, wäre also grob fahrlässig. Verbleibt die Kontrolle über die Administrationsprozesse
hingegen im Unternehmen, können durchaus sicherheitsrelevante Aufgaben wie etwa die routinemäßige
Berechtigungsvergabe oder der Passwort-Management-Help-Desk an einen externen Partner übergeben
werden.

Die Realisierung eines IdM-Outsourcing-Projekts setzt immer eine enge Zusammenarbeit zwischen
dem externen Partner und den Administratoren im Unternehmen voraus. Die Praxis zeigt, dass
Outsourcing-Partner normalerweise eher in Technologien und weniger in Prozessen denken. Doch exakt
diese bringen dem Unternehmen den eigentlichen Mehrwert. Genau hier liegt einer der kritischen
Punkte bei der Realisierung eines IdM-Outsourcing-Projekts. Denn beim Identity Management können
konzeptionelle Aufgaben und operatives Geschäft nicht voneinander getrennt werden. Insbesondere bei
der rollenbasierten Administration, die Zugriffsrechte nach Aufgabenbereichen wie etwa
Sachbearbeiter, Berater und so weiter bündelt und den jeweiligen Mitarbeitern zuweist, kommt dieser
Aspekt zum Tragen: Lässt sich die Definition der korrekten Berechtigungsbündel aus den
entsprechenden Organisationsstrukturen, Geschäftsprozessen oder Arbeitsplatzprofilen ableiten,
erfordern Aufbau und Pflege eines Rollenkonzepts tiefe Kenntnisse der Unternehmensorganisation.
Dieses Wissen haben in der Regel nur interne Mitarbeiter. Empfehlenswert ist es hier, einen
verantwortlichen Rollenadministrator einzusetzen, der mit Unterstützung der Fachabteilungen für
korrekte Benutzerrollen sorgen kann. Auf der anderen Seite bringt der Outsourcing-Partner sein
spezielles Know-how hinsichtlich der technischen Aspekte der Anwendungen, Services und Systeme ein,
für die Berechtigungen vergeben werden sollen. Ein reger, vertrauensvoller Austausch unter
Federführung des Unternehmens ist also die Voraussetzung für eine fundierte Administration und ein
sauberes Rollenkonzept.

Ein weiterer erfolgsentscheidender Aspekt liegt in der Kont-rolle der Maßnahmen. Schließlich
können fehlerhaft vergebene Zugriffsrechte unwissentlich zu riskanten Sicherheitslöchern führen.
Dementsprechend sind interne Administratoren gefordert, transparente Prozesse und geeignete
Kontrollmaßnahmen ein- und durchzuführen. Nur so lassen sich Fehler frühzeitig erkennen und direkt
beseitigen. Das hält die Risiken für beide Seiten langfristig überschaubar. Eine weitere
empfehlenswerte Maßnahme bei der Berechtigungsvergabe für Endanwender ist beispielsweise die
Festlegung der erforderlichen Genehmigungsschritte in einem elektronischen Workflow-System.
Kontrollmechanismen wie das Vier-Augen-Prinzip bei der Vergabe sensibler Berechtigungen können
damit verlässlich eingehalten und mit Hilfe von Administrations-Logs revisionssicher gemacht
werden. Mit solchen Maßnahmen verfügen interne Administratoren sowie der externe Dienstleister über
einen klaren und nachvollziehbaren Administrationsprozess.

Gleichzeitig müssen die internen Sicherheitsadministratoren jederzeit das IT-Sicherheitsniveau
richtig einschätzen können und die Ergebnisse an die zuständigen IT-Sicherheitsverantwortlichen im
Unternehmen reporten. Eine lückenlose Dokumentation aller Aktivitäten zu Berechtigungen und
Sicherheitseinstellungen stellt sicher, dass Sicherheitsverstöße durchgängig nachvollzogen werden
können. Damit behält der Administrator die Kontrolle über die Aktivitäten des externen Partners und
insgesamt über die Qualität der IT-Sicherheit. Dabei ist zu berücksichtigen, dass eine einfache
Protokollierung der Aktivitäten in Form von Log-Dateien beim Nachweis der Einhaltung von Gesetzen
und Standards ("Compliance") wie Sarbanes-Oxley, Basel II oder ISO 17799 (siehe Beitrag "
IT-Sicherheit in Zeiten offener Netze", Seite 14) nicht ausreicht. Vielmehr müssen interne
Administratoren über eine systematische Log-Archivierung und die Möglichkeit einer einfachen
Log-Auswertung verfügen können. Erst so sind Administratoren in der Lage, gezielt über historische
Benutzerrechte zu informieren. Spezielle Softwarelösungen von IdM-Anbietern adressieren diese
Thematik. Solche Lösungen unterstützen die Analyse der Informationen zu Berechtigungsänderungen für
Systeme wie Unix, Linux, Windows oder Mainframe.

Der Outsourcing-Partner

Dass Unternehmen und externer Dienstleister gleichfalls von dem Outsourcing-Szenario profitieren
können, ist letztlich auch von der eingesetzten IdM-Software abhängig. Die Skalierbarkeit,
Mandantenfähigkeit und funktionale Flexibilität der eingesetzten Lösung leistet einen wesentlichen
Beitrag zur Erfüllung aller zunächst gestellten Aufgaben. Dabei interessiert den
Outsourcing-Partner insbesondere, ob die Lösung noch weitere Kunden bedienen kann. Schließlich
stellen die Administrationskonzepte und Richtlinien von Unternehmen verschiedener Branchen
unterschiedliche Anforderungen. Empfehlenswert ist der Einsatz einer IdM-Lösung, die solche
unterschiedlichen Konzepte und Richtlinien mit geringem Aufwand abbilden und möglichst in einem
einzigen System parallel betreiben kann. Verfügt die Lösung über ein transparentes und an den
realen Administrationsaufgaben orientiertes Abrechnungsmodell, profitieren beide Parteien eines
Outsourcing-Abkommens.

Sicherheitsrelevante Aufgaben können bei einer richtigen Aufgabenteilung sowie durchgehenden
Kontrolle und Transparenz durchaus bedenkenlos ausgelagert werden. Mit einem messbar niedrigen
Risiko, dem richtigen IdM-Tool und einem geeigneten kaufmännischen Modell können
IdM-Outsourcing-Projekte erfolgreich werden. Unter diesen Voraussetzungen lassen sich mit solchen
Outsourcing-Projekten erhebliche Synergieeffekte, Einsparpotenziale und Qualitätsverbesserungen für
das IT-Sicherheits-Management erzielen. Zahlreiche existierende Verträge in diesem Bereich
bestätigen deren Erfolg.

Mit zentralem Identity Management und damit verbundenem Single Sign-on schaffen sich Unternehmen
leider auch einen neuen Single Point of Failure – eine Ressource, von deren Funktionstüchtigkeit
das gesamte Kommunikationsgeschehen in der Organisation abhängt und die obendrein hoch interessante
persönliche Daten beherbergen kann. Saboteure und Datendiebe wissen dies auch. Gut dokumentierte
Failover-Mechanismen und Redundanz sind für Identity-Management-Systeme also Pflicht, ob sie nun
intern oder extern betrieben werden.

Einen weiteren Artikel zum Thema Outsourcing von IT-Sicherheit finden Sie in diesem Heft unter
dem Titel "Sicherheit nach Maß" auf Seite 30. wj

Lesen Sie mehr zum Thema

Lampertz GmbH & Co. KG
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice

Matchmaker+
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
Panduit

Panduit

WatchGuard Technologies

WatchGuard Technologies
AixpertSoft GmbH

AixpertSoft GmbH
HP Deutschland GmbH

HP Deutschland GmbH