Ahnungslosigkeit beim IAM

Der Weg zu verlässlichen IAM-Kennzahlen

| Autor / Redakteur: Dr. Silvia Knittl / Peter Schmitz

Unternehmen müssen zu den wichtigsten IAM-Prozessen über genaue Kennzahlen verfügen. Bei Geschäftsprozessen ist das längst üblich.
Unternehmen müssen zu den wichtigsten IAM-Prozessen über genaue Kennzahlen verfügen. Bei Geschäftsprozessen ist das längst üblich. (Bild: gemeinfrei / Pixabay)

Im Bereich von IT-Sicherheit und Identity- und Access-Management (IAM) sind aussage­kräftige Kennzahlen in vielen Fällen absolute Mangelware. Einen nachvollziehbaren Grund für das Fehlen gibt es nicht, schließlich setzen Unternehmen bei Geschäftsprozessen schon lange auf vergleichbare Kennzahlen. Es wird Zeit, dass die IT-Security hier nachzieht.

Neulich im Flieger auf dem Heimflug aus dem Ausland: Nach pünktlichem Boarding konnte der Flieger nicht abheben. Eine gewohnte Situation: Mal wieder war mehr Gepäck an Bord als Passagiere. Alles musste ausgeladen und erneut geprüft werden. Das Resultat: eine volle Stunde Verspätung.

Die Anzahl der gemeldeten Gepäckstücke versus Anzahl der Passagiere sind einfache, abzählbare Kenngrößen, um die Sicherheit im Flugverkehr zu gewährleisten. Im Bereich von IT-Sicherheit und Identity- & Access-Management (IAM) sind solch prägnante Kennzahlen leider nach wie vor in vielen Fällen absolute Mangelware. Einen nachvollziehbaren Grund für das Fehlen gibt es nicht.

Kennzahlen und IT-Sicherheit

Im IAM werden Mitarbeitern, Kunden oder Dingen digitale Identitäten zugewiesen. Diesen digitalen Identitäten sollen passgenaue Zugriffsrechte auf Anwendungen haben. So einfach dies klingt, die Komplexität ergibt sich in der Umsetzung aufgrund der Anzahl der betroffenen Stakeholder und Geschäftsprozesse – zumeist alle Identitäten, alle Geschäftsprozesse und damit alle Anwendungen, Systeme, Berechtigungen und deren jeweilige Lebenszyklus- und Statusübergänge.

Cyber-Sicherheit ist nach einer aktuellen globalen CEO-Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC kein Thema für ein Drittel der deutschen CEOs . Nur so kann ich mir erklären, dass es in Kundenprojekten oft Herausforderungen beim Abfragen sehr einfacher Kennzahlen gibt. Die Anzahl der Mitarbeiter im Vergleich zur Anzahl der digitalen Identitäten und deren zugeordneten Kennungen führen vielfach zu gravierenden Unstimmigkeiten. Häufig sind intern keine Vorgaben vorhanden, die ein regelmäßiges IT-Sicherheitsreporting und damit die Ermittlung dieser Kennzahlen einfordern. Besonders knifflig wird es, wenn es um die Auskunft geht, wer die IT- und Fachverantwortlichkeit für eine Anwendung hat. So wie jedes Gepäckstück einem Passagier zugeordnet wird, sollte jede Anwendung dedizierte verantwortliche Ansprechpartner haben. Ebenso sollten auch Zugänge (Accounts) insbesondere auch privilegierte Zugänge (z.B. Administrator-Accounts) nicht unbeaufsichtigt sein, sondern Verantwortlichen zugeordnet sein. Sollten diese Personen das Unternehmen verlassen oder ihre Zuständigkeit ändern, ist es notwendig, diese Information nachzuführen. Sollte, hätte, könnte: Als Beraterin muss ich immer wieder feststellen, dass dies in der Realität häufig nicht der Fall ist.

Mangelhafte Reife in den Kern- und Unterstützungsprozessen

Die wichtigsten Kernprozesse im IAM sind der Ende-zu-Ende Lebenszyklus der digitalen Identitäten, der Lebenszyklus der Kennungen und Berechtigungen sowie der Lebenszyklus der zugeordneten Berechtigungsbestell- und -genehmigungsverfahren. Ähnlich einer Zulieferkette in Industriebetrieben leben diese Prozesse von der Zulieferung der richtigen Daten im richtigen Format zur richtigen Zeit. Falsche oder fehlende Inhalte in der „Datenlieferkette“ können zu Störungen im Ablauf, unproduktiven Wartezeiten und schlimmstenfalls zur Reduzierung der IT-Sicherheit führen. Beispiele sind fehlendes Austrittsdatum für die zeitnahe Deaktivierung von Benutzerkennungen und –zugriffen oder falsche Informationen der Organisationszuordnung, die ggf. Systemberechtigungen beeinflusst.

Neben den Kernprozessen sind auch Unterstützungsprozesse mit zu betrachten. So liefern die Personalprozesse die Rohdaten der internen und externen Mitarbeiter für das IAM. Das Client-Management sorgt dafür, dass diese dann auch ein System zur Verfügung haben und das Anwendungsmanagement dafür, dass die richtigen Anwendungen installiert und zugriffsbereit sind. Eine mangelhafte Reife in Form schlecht integrierter oder digitalisierter Prozesse wirkt sich negativ auf die Performanz des IAM aus und kann zu einer mäßigen Reife der IT-Sicherheit führen.

Reifegrad-Assessment als Ausgangspunkt der Digitalisierung

Wir empfehlen ein mehrdimensionales Reifegrad-Assessment als Ausgangspunkt der Digitalisierung von IAM. Die betrachteten Dimensionen sind u.a. die IAM-Kern- und Unterstützungsprozesse, die IAM-Governance, das heißt Rollen- und Verantwortlichkeiten, Vorgaben, und die zugehörige IT-Architektur und IT-Systemlandschaft. Die Reife wird klassisch in fünf Stufen gemessen, wobei die erste Stufe jede Organisation automatisch hat. In der zweiten Stufe erfolgt das IAM ad hoc, ab der dritten Stufe sind Prozeduren vorhanden, allerdings hängen diese vom Verständnis der beteiligten Mitarbeiter ab. Ab der dritten Stufe sind Standards etabliert, welche ab der Reifegradstufe vier regelmäßig gemessen und basierend darauf Verbesserungen angestrebt werden. Ab der fünften Stufe erfolgt die kontinuierlichen Optimierung. In unseren Projekten ergeben unsere Reifegradevaluationen im Durchschnitt meist Ausprägungen unterhalb der dritten Stufe.

Ausbalancierte Maßnahmenpläne und Wirksamkeitsmessung

Mit Hilfe solcher Reifegrad-Assessments können Umsetzungspläne zur Erhöhung des Reifegrads etabliert werden. Wobei es wichtig ist abzuwägen, in welchen der betrachteten Dimensionen welche Reife von der Organisation erzielt werden soll und faktisch kann. Eine Erhöhung des Reifegrads in allen Dimensionen ist meist nicht zielführend und führt zu unübersichtlichen Programmen. Daher sollte man sich auf die für die jeweilige Organisation relevanten Dimensionen zuerst fokussieren. So wurde bei einer untersuchten Organisation festgelegt, dass der Integrationsgrad der Tools entlang der „Datenlieferkette“ vom derzeitigen Reifegrad 2 auf 4 erhöht werden soll. Dazu wurden verschiedene Phasen definiert, wie Evaluation der Fähigkeiten der bisherigen Tools, Identifizierung von technischen Integrationsschritten, bis hin zur Programmierung von automatischen Schnittstellen, die festgelegte Prozesskennzahlen unmittelbar berücksichtigen und ermitteln und dem Management als regelmäßige Reports zur Verfügung stellen.

Zurück zu meinem Flug: Da gab es dann noch Glück im Unglück und der Anschlussflug wurde erreicht. Zwar ohne Gepäck, aber immerhin. Die Koffer wurden nachgeliefert. Auch dies betrifft eine Kennzahl – die der Kundenzufriedenheit. 76 Prozent der Unternehmen halten laut der oben zitierten PwC-Studie ihr Unternehmen für widerstandsfähig gegenüber Cyberattacken und 93 Prozent der Befragten sagen, dass Daten über die Risiken, denen das Unternehmen ausgesetzt ist, kritisch für deren Entscheidungen sind. Dennoch erhalten lediglich 22 Prozent der Umfrageteilnehmer dazu vollständige Daten. Eine kontinuierliche Verbesserung des Reifegrads, wie hier im Artikel dargestellt, kann Abhilfe schaffen.

Über die Autorin: Dr. Silvia Knittl ist Expertin für Identity- & Access-Management bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46049435 / Benutzer und Identitäten)