Identity- und Access-Management als Konsolidierer
Verlockende Einsparungen
Identity Management gilt vielen Anwendern noch immer als hochkomplexer und teurer Ansatz zur Verbesserung des SicherheitsLevels. Bei näherem Hinsehen zeigt sich allerdings, dass die Technik auch große Einsparungspotenziale bietet.
Der durch das Internet erweiterte Aktionsradius hinterlässt in den Unternehmen seine Spuren:
Immer mehr Teilnehmer greifen stationär wie mobil auf Anwendungen mit teils geschäftssensiblen
Daten zu. Hinzu kommt die Migration der Unternehmen ins Voice-over-IP-(VoIP)-Netz. Dadurch erhöht
sich die Anzahl der Applikationen, weil auch IP-Sprach- und -Videokonferenzapplikationen im
internen und externen Zugriff stehen. Angesichts dieser Entwicklung suchen die Unternehmen
verstärkt ihr Heil im Identity- und Access-Management (IAM), um alle Teilnehmer und ihre Rechte
permanent im Griff zu behalten.
Entsprechend progressiv entwickelt sich der Markt für IAM-Software. IDC (International Data
Corporation) setzt für das Jahr 2009 ein Umsatzvolumen von knapp 4 Milliarden Dollar an, mit bis
dahin jährlichen Zuwächsen um zehn Prozent. Der Markt für SSO (Single Sign-on), ein Teil des
IAM-Softwaresets, soll bis 2009 sogar um jährlich 15,9 Prozent wachsen. Denn die Unternehmen
starten gern mit diesem Modul, bevor sie die weiteren, aufwändigeren Etappen des IAM-Projekts wie
Verzeichnisintegration, zentrale Benutzer- und Rechteadministration sowie Rollenmanagement in
Angriff nehmen.
Für den wachsenden IAM-Elan der Unternehmen spricht nicht nur der immense Druck, den immer
größeren Aktionsradius mit immer mehr Anwendungen in seinem Kern durch einen verlässlichen
Zugriffskontrollschirm zu flankieren. Über die Zentralisierung ihrer Sicherheitspolitik und
Zugriffskontrolle mittels IAM winken den Unternehmen durch Konsolidierung, also Vereinfachung ihres
bestehenden, stark fragmentierten IT-Sicherheitsumfelds, zudem erhebliche
Einsparungspotenziale.
Kostenbremse SSO
Bis zu 30 Prozent Einsparung veranschlagt der Marktanalyst Gartner für den SSO-Einsatz. Er
koppelt die Authentisierung (Netzeinwahl) automatisch mit der Autorisierung gegenüber den
Applikationen im Hintergrund. Autorisierungsprivilegien wie Passwörter, schon in größeren
mittelständischen Firmen oft mehr als zwanzig, können dadurch nicht länger von den Teilnehmern
vergessen oder von potenziellen Angreifern abgeschaut werden. Neben dem Zugewinn an Sicherheit für
das Unternehmen erspart das dem Helpdesk, vergessene oder (vermeintlich) gebrochene Privilegien
immer wieder neu ausgeben und den Teilnehmern sicher zuweisen zu müssen. Bis zu 50 Prozent seiner
Arbeitszeit verwendet das Helpdesk-Personal bisher für dieses umständliche Prozedere. Hinzu kommt
der Einsatz von RFID-Chips (Radio Frequency Identification) beispielsweise auf dem Firmenausweis
für einen vereinfachten und zusätzlich abgesicherten Zugriff im Rahmen des SSO. User-ID und
Authentisierungskennwort, gegebenenfalls PIN, werden in diesem Fall automatisch per Funk in das
SSO-System eingestellt, sobald der Teilnehmer in den Leseradius tritt.
Zentrale Benutzer- und Rechteadministration
Nochmals das gleiche Einsparungspotenzial, bis zu 30 Prozent, setzt Gartner für das Dreigestirn
aus Verzeichnisintegration, zentralisiertem Benutzer- und Rechtemanagement sowie Rollenmanagement
an. Die Einspareffekte sind hier: eine vereinfachte, stets konsistente und damit insgesamt
pflegeleichtere und wirtschaftliche Administration sämtlicher Teilnehmer und ihrer Rechte im
Intranet, in Extranets und im Internet – auch im Sinne einer zentralisierten strategischen
Zugriffskontrolle, die schnell internen (Organisation), externen (Markt) oder rechtlichen
Veränderungen angepasst werden kann.
Bisher von den Unternehmen, die in Richtung IAM aufbrechen, weitgehend unentdeckt sind die
mittelbaren Einsparungen, die sich ihnen über IAM als Konsolidierer im angrenzenden
IT-Sicherheitsumfeld erschließen werden. Auch wenn sie meist nicht ad hoc realisierbar sind,
sollten die Entscheider die vereinfachenden Effekte der zentralisierten IAM-Architektur kennen, um
vor Fehlplanungen und Fehlinvestitionen gefeit zu sein. Von der Seite der Hersteller können sie nur
bedingt Aufklärung in Richtung Konsolidierung ihres fragmentierten IT-Sicherheitsumfelds rund um
IAM erwarten. Viele von ihnen bauen ihre angestammten Sicherheitssysteme progressiv aus, obwohl
diese konzeptionell nicht mehr in moderne, zentralisierte IT-Sicherheitskonzepte passen, wie sie in
Zukunft mehr noch als heute gefordert sind.
Bereinigung der Authentisierungs- und Anwendungsprotokollserver
Die Authentisierungsserver wie Radius (Remote Authentication and Dial-In User Service) und
Tacacs+ (Terminal Access Controller Access Control) sind Beispiele für diesen Aspekt. Sie
übernehmen heute noch die Netzeingangskontrollprüfung gegenüber den Teilnehmern und delegieren
diese zur Autorisierung an weitere Server wie FTP (File Transfer Protocol), Telnet (Terminal over
Network), SMTP (Simple Mail Transfer Protocol), POP-3 (Post Office Protocol, Version 3), IMAP
(Internet Message Access Protokoll) und HTTP (Hypertext Transfer Protocol). Dies geschieht, obwohl
die Ablösung solcher komplexen Installationen, jede mit eigenem Directory, das separat
administriert werden muss, abzusehen ist. Wieso nämlich sollten derart verwaltungsaufwändige
Serververbünde, aus Verfügbarkeitsgründen oft redundant ausgelegt, weiterhin Dienst tun, wenn das
IAM-Modul SSO beide Aufgaben mit übernehmen kann? Auch der Verweis der Anbieter auf im Verbund aus
Authentisierungs- und Anwendungsprotokollserver integrierte Accounting-Funktionen verliert schnell
an Zugkraft, wenn sie mit den nachfolgend aufgeführten Abrechnungsperspektiven innerhalb des
IAM-Systems verglichen werden:
Die Identitäten für eine kostenstellen- (über Rollen) oder benutzerbezogene
Abrechnung (Individualrechte) sind durch zentrale Administration und automatische Synchronisation
aller beteiligten Server- und Anwendungsverzeichnisse besser abgesichert,
die Abrechnung basiert nicht nur auf der Nutzung der Anwendungsprotokolle,
sondern auf der der Geschäftsanwendungen selbst,
die Fakturierung von Anwendungsdiensten fügt sich strategisch ins
Gesamtkonzept der umfassenden Zugriffskontrolle ein – wichtig auch für eine breit angelegte interne
Nutzungssteuerung über festgelegte Bezugspreise,
über Auditing- und Reporting-Werkzeuge, die in IAM integriert werden, kann der
Verbrauch von Anwendungen gegenüber den Nutzern eindeutig belegt und dokumentiert werden.
Besondere Vorsicht ist angesichts des ausgeprägten Trends zum IAM vor Herstellerofferten
geboten, die ihre Authentisierungs-/Anwendungsprotokollserverinstallationen über proprietäre
Architekturen umständlich ins IAM einzubinden versuchen. Nicht nur, dass diese Gesamtkonstruktion
hoch komplex, kostspielig in der Anschaffung und Verwaltung, fehleranfällig sowie herstellerbindend
ist – ein Unternehmen, das sich für eine solche herstellerspezifische Zwischenlösung entscheidet,
wird darüber keine Amortisierung seiner Investitionen in Hard- und Software sowie in hoch
spezialisiertes Personal für den Betrieb dieser Lösung ohne Zukunft erreichen können.
Die Geschwindigkeit der Webmigration ist ausschlaggebend
Ein Selbstläufer ist die system- und betriebsbereinigende Authentisierungs- und
Autorisierungsübernahme durch IAM, genauer gesagt durch den SSO nicht. Der Grund: Die bestehenden
Anwendungsprotokolle wie FTP, Telnet, POP3, SMTP und IMAP sind auf das Handling der spezifischen
Authentisierungs-Tokens von Radius oder Tacacs+ ausgelegt. Sie für eine direkte Authentisierung und
Autorisierung durch IAM gefügig zu machen, hieße, massiv und ohne Standardvorgaben in die einzelnen
Anwendungsprotokolle einzugreifen. Anders sieht die Ausgangssituation mit HTTP und
webserverbasierenden Anwendungen aus: Sie sind bereits auf die direkte Authentisierung und
Autorisierung durch IAM via Portal ausgelegt.
Insider raten angesichts dieser Ausgangssituation den Unternehmen, in SSO und später ins
komplette IAM-System zuerst die Webapplikationen zu integrieren und erst danach, je nach
Teilnehmerzahl, die Client-/Server- und Legacy-Anwendungen einzubinden. Parallel sollten die
Unternehmen ihre Trennung von den proprietären und verwaltungsintensiven
Authentisierungs-/Anwendungsprotokollserververbünden mit dem Einsatz des Authentisierungsstandards
IEEE 802.1x einleiten. Hintergrund: Mit der Migration der klassischen Applikationen ins Web und ins
IAM-System wird das Unternehmen diesen Authentisierungsstandard beibehalten sowie nacheinander die
Authentisierungsserverinstallation reduzieren und Anwendungsprotokoll-Server – FTP, Telnet, SMTP,
POP3, IMAP – ausmustern können. Bei der Integration von SQL-Datenbanken sowie von
Nichtdatenanwendungen wie IP-Telefonie und IP-Video-Conferencing in SSO und ins IAM-System sind die
spezifischen Authentisierungs-Tokens der alten Welt ohnehin kein Problem. Sie kommen von Haus aus
ohne separate Authentisierungs- und Anwendungsprotokollserver aus.
IAM und VPN Hand in Hand
Auch im Feld der VPNs (Virtual Private Networks) steht mit dem Wechsel zum IAM in den
Unternehmen eine kostensparende Konsolidierung an. Der treibende Faktor ist dabei ebenfalls die
Migrationsgeschwindigkeit ins Web. Gegenüber Webapplikationen sind SSL-VPNs (Secure Socket Layer)
gefragt, deren verschlüsselter Tunnel auf Sitzungsebene bis zu den Zielsystemen reicht. IPSec-VPNs
hingegen funktionieren auf Netzwerkebene. Ob künftig Sitzungstunnels innerhalb des SSO mit einer
direkten Übergabe an die Autorisierung mittels SAML (Security Assertion Markup Language) oder einer
Kombination aus SSL-VPN-Box am lokalen Netzwerkeingang und SAML für den Rest der
Verschlüsselungsstrecke zum Einsatz kommen werden, darüber gehen die Einschätzungen noch
auseinander.
Weitgehend einig sind sich die Markt- und Technologiekenner hingegen, dass mit dem Vordringenden
der Webtechnologie und des IAM mit Fokus Geschäftsanwendungen die Tage von zu kurz greifenden
IPSec-VPNs gezählt sind. Auch – wichtig für Neuinvestitionen: Die Terminierung der
VPN-Funktionalität an den LAN-Eingängen und ihre Einbettung in Frontsysteme wie Firewalls wird
damit an Bedeutung verlieren. Für diese Einschätzung sprechen, neben den funktionalen, auch
kaufmännische Gründe: Softwarebasierende SSL-VPNs können Kosten sparender als hardwarebasierende
IPSec-VPN-Lösungen hergestellt und preisgünstiger vermarktet werden. Zudem kommen sie im Gegensatz
zu IPSec-VPNs ohne permanente Client-Software aus. Diese braucht dementsprechend von den
Unternehmen dezentral weder installiert und konfiguriert noch administriert, abgesichert und
gewartet zu werden. Bei SSL-VPNs wird die notwendige Client-Funktionalität, beispielsweise per
Java-Applet, dynamisch auf stationäre wie mobile Endgeräte geladen, nach Abschluss der
Kommunikation automatisch gelöscht – auch dies ein zusätzlicher Sicherheitsfaktor. Darüber hinaus
wird sich mit dem Einsatz verschlüsselter Sitzungstunnel à la SSL die Verwaltung von VPNs wiederum
Kosten sparend vereinfachen. Dafür notwendige Einträge wie Authentisierungszertifikat,
Authorisierungsinformationen, Rolleninformationen, Abteilung und Zuständigkeitsbereich können
zentral im IAM-System geführt, also hier erfasst, gepflegt und bei Bedarf gelöscht werden.
Starkes mobiles SSO bereinigt Softwarebestand
Darüber hinaus wird das IAM-System seine Konsolidierungswellen über mobile Verbindungen
aussenden, wenn auch einzelne Hersteller mit Hinweis auf die oft schlichte Passwortauthentisierung
noch eine mangelnde Sicherheit der mobilen SSO-Zugriffe monieren und demzufolge mit einer Vielzahl
an proprietärer und teurer Zusatzsoftware wie automatischer Geräte-, Software- und
Release-Erkennung, intelligenten Geräteagenten und lokalen Passwortspeichern aufwarten. Schon sind
Sicherheits-Tokens für Handys, PDAs und Smartphones abzusehen, die viele dieser vermeintlich
angesagten Sicherheitsprogramme obsolet machen werden. Denn durch das Sicherheits-Token mit
Einmal-passwort und zufallsgeneriertem PIN wird starkes SSO unterwegs selbst im unsicheren
Internetcafé abhörsicher greifen, zumal ergänzende Mechanismen, wie die Eingabe von Buchstaben und
Zahlen per Mausklick auf einem eingeblendeten Tableau mit willkürlich angeordneten Zeichen, das
Abschauen erschweren und das Onlinenachvollziehen von ad hoc eingegebenen Passwörtern und PINs
unmöglich machen werden.
Resümee
Die Hinwendung der Unternehmen zum Identity- und Access-Management birgt für sie sowohl
lukrative unmittelbare als auch mittelbare Einsparungen durch eine überlegte Konsolidierung. Sie
haben es dabei mit ihrer Migration zur Webtechnologie selbst in Hand, ihr IT-Sicherheitsumfeld über
IAM zügig zu bereinigen und ihr Sicherheitsbudget für zukunftsweisende Investitionen –
beispielsweise die Projektierung der zweiten IAM-Etappe nach erfolgter Umsetzung des SSOs – zu
entlasten.
Was für die Unternehmen, neben den erreichbaren Einsparungen durch Vereinfachung, aber fast noch
wichtiger ist: Sie haben mit IAM erstmals die Chance, mit kostentreibenden Altlasten und
Wildwüchsen aufzuräumen und ihre IT-Sicherheit strategisch wie technisch zentral in den Griff zu
bekommen.
Lesen Sie mehr zum Thema
