Suchen

Interview zu Digitalen Identitäten Ein Identity Management in Unternehmen lohnt sich

| Autor / Redakteur: Andreas Beuthner / Stephan Augsten

Wer seine verstreuten Datenhaltungssysteme konsolidieren will, muss auch den Zutritt zu den Informationsquellen regeln. Dr. Ralf Wegner, Direktor Informationstechnik, Infrastruktur der Deutschen Forschungsgemeinschaft in Bonn erläutert die Projektstationen und welche Schwerpunkte das IT-Team dem Unternehmen gesetzt hat.

Firma zum Thema

Ralf Wegner, DFG
Ralf Wegner, DFG
( Archiv: Vogel Business Media )

Andreas Beuthner: Was war für Sie der wichtigste Grund zur Einführung einer digitalen Identitätsinfrastruktur?

Ralf Wegner: Der große Arbeitstitel lautete, Abgleich von Systemen einer heterogen gewachsenen Applikationslandschaft. Zudem benötigten wir eine qualitativ verlässliche Datenbasis für neu einzuführende Unternehmensanwendungen im Bereich Antragswesen, Dokumentenmanagement und Zeichnungsworkflows.

Nach welchen Kriterien sind Sie vorgegangen?

In der Einführungsphase war es das Rapid Prototyping. Wir wollten Awareness beim internen Entscheidungsträger schaffen und Problematiken systematisch erfassen. Anfangs gab es nur lesende Vergleiche der Systeme.

Daraus entwickelte das Team einen Vorgehensplan für die Problemfälle. Es galt das Kiss-Prinzip – also mit einfachen, effizienten Minimalattributesets schnelle Erfolge produzieren und dann erst das schwierigere Prozessthema angehen. Jeder sollte das Metadirectory als einfachen Datenrouter ansehen und schwierigere Business-Logiken erst Schritt für Schritt einführen.

Welche Komponenten wurden in die bestehende IT-Umgebung integriert?

Zu den Kernapplikationen gehören Personal- und Facility-Managementsysteme, Finance-Systeme, ActiveDirectory und Exchange, TK-Anlage und Anwendungen für das Teammanagement.

Wie schützt das System sensible Daten?

Es werden im Prinzip keine hochsensiblen Daten erfasst. Im Identity Management geht es um Mitarbeiterstammdaten wie Kontaktdaten, Accountnamen sowie Statusphasen, also Erziehungsurlaub, Abordnungen etc. Neben den Userobjekten werden auch Gruppenobjekte, Kosten- und Leistungskennziffern oder Organisationskennziffern synchronisiert, jedoch keine privaten Adress- oder Gehaltsdaten.

Die Metadirectory-Agenten laufen nur unter geschützten Serviceaccounts. Das Metadirectory selbst läuft ebenfalls nur unter einem geschützten Serviceuser. Die Bedienoberfläche wird nur speziell zugelassenen Administratoren zugewiesen. Alle Attribute wurden mit dem Betriebsrat und dem Datenschutzbeauftragten verhandelt und freigegeben.

Moderne Servertechnik bietet schon einige Möglichkeiten für die Verwaltung von Benutzern. Warum reichen diese bordeigenen Funktionen nicht?

Jede Applikation besitzt für sich Benutzerverwaltungen. Das Downsizing birgt den Fluch, dass jeder Abteilungsbereich nur für sich denkt. Eine allgemeine Verantwortung über die Bedeutung der eigenen Daten für das gesamte Unternehmen wird gerne vergessen.

Die Benutzerstammdaten hält erst ein zentraler Verzeichnisdienst auf einem aktuellen Stand. Ein Metadirectory besitzt zudem zusätzliche Business-Logiken und kann mittels dieser Geschäftsregeln unterschiedlichste Attributtypen über Bildungsregeln und Filtering abgleichen oder voneinander abhängig machen.

Lohnt sich der Aufwand für ein durchgängiges Identity- und Access-Management?

Entweder für große Unternehmen mit sehr vielen Mitarbeitern oder für mittelständische Unternehmen mit einer komplexen Serverlandschaft. Zu letzteren zähle ich auch die DFG. Für uns hat sich der Aufwand auf jeden Fall gelohnt, da hiermit wichtige Optimierungen in der Kommunikation eingeleitet und Verbesserungsmaßnahmen zur Datenqualität transparent und messbar wurden.

Bringen die Maßnahmen einen Zugewinn an Sicherheit?

Ja, da nur noch die wirklichen Zuständigen für die jeweiligen Datenquellen angesprochen werden müssen. Datenmanipulationen werden hierdurch stark eingeschränkt oder sogar ganz vermieden.

Dr. Ralf Wegner ist Direktor Informationstechnik, Infrastruktur bei der DFG. Das Interview führte Andreas Beuthner.

registrieren Sie sich jetzt bei Security-Insider.de

Dieser Artikel stammt aus der Fachzeitschrift INFORMATION SECURITY, dem Vorgänger des TechTarget Magazins. Wenn Sie Interviews wie dieses und weitere hochklassige Analysen und Fachbeiträge in Zukunft regelmäßig und kostenlos nach Hause geliefert bekommen möchten, registrieren Sie sich jetzt bei Security-Insider.de. Mit dem Experten-Know-how aus dem TechTarget Magazin finden Sie dann künftig mehr Zeit für die wichtigen Dinge Ihres Jobs!

Artikelfiles und Artikellinks

(ID:2004884)