Neue Ideen gegen die Komplexität

IAM mal einfach gedacht

| Autor / Redakteur: Dr. Amir Alsbih / Peter Schmitz

Heute weicht der tatsächliche Zustand von IAM-Systemen oft sehr weit von einem Best-Case-Szenario ab.
Heute weicht der tatsächliche Zustand von IAM-Systemen oft sehr weit von einem Best-Case-Szenario ab. (Bild: gemeinfrei)

Große Mittelständler wie auch Enterprise Unternehmen, die mit einer hohen Intensität an IT-Arbeitsplätzen umgehen, spüren oft den Fuß auf der Wachstumsbremse: Das raumgreifende Management von Rollenverteilungen und Zugriffsrechten sorgt ungewollt für Entschleu­ni­gung, IAM-Systeme präsentieren sich unnötig kompliziert, technokratisch und ressourcen­rau­bend. Es ist an der Zeit, sich konventioneller IAM-Modelle zu entledigen.

IAM, also Identity- und Access-Management, ist ein unternehmerisches Ökosystem, in dem berechtigungsbezogene Prozesse, Governance und Technologien ihren zugewiesenen Raum einnehmen. IAM besteht aus Identifikation, Authentisierung und Autorisierung wie folgt:

  • Identity-Management: Einem Mitarbeiter oder Partner wird eine eindeutige digitale Identität zugeordnet. So erhält Karl Kaufmann zum Beispiel seine digitalen Identitäten karl.kaufmann@arbeitgeber.com sowie kaufmann42 im ERP-System.
  • Authentisierung: Ziel ist die eindeutige Identifizierung einer Person beziehungsweise ihrer digitalen Identität durch vertrauenswürdige Mechanismen. Damit sich Karl Kaufmann in der virtuellen Welt bewegen kann, muss er mittels Authentisierung nachweisen, dass ihm diese Identität auch wirklich gehört. Das am meisten verbreitete Mittel dazu ist die Verwendung eines Passworts.
  • Autorisierung: Hierbei geht es darum, einem Anwender, einer digitalen Identität, die Möglichkeit einzuräumen, Rechte wahrzunehmen und Aktionen durchzuführen – und zwar ausschließlich jene, die genehmigt wurden. So stellt die Unternehmensführung beispielsweise sicher, dass Karl Kaufmann als Controller zwar auf die Finanzdaten zugreifen kann, nicht jedoch auf die Forschungsdaten der Entwicklung.

Eine gute IAM-Lösung erreicht drei Ziele: Sie fokussiert die Einhaltung der Governance, also die Erfüllung aller regulatorischen und gesetzlichen Anforderungen. Zeitgleich stellt sie sicher, dass jeder schnellstmöglich über die richtigen Zugriffsrechte verfügt und diese Rechte einfach verteilt werden können. Nur so temporeich und simpel im Einsatz, unterstützt das IAM die Businessziele des Unternehmens und verhindert Unproduktivität derer, die mangels Zugriffs nicht arbeiten können. Zu guter Letzt verliert eine gute IAM-Lösung Kosteneffizienz sowie sorgsamen Umgang mit personellen Ressourcen nicht aus dem Blick.

Im Rahmen ganzheitlicher IT-Sicherheitskonzepte schwimmt sich IAM aktuell aus seiner Rolle einer vermeintlichen Nischendisziplin frei. Die wachsende Bedeutung dieser Komponente, gerade für dezentrale Konzernstrukturen, wird ersichtlich, wenn man sich die heutige Vollvernetzung aller Unternehmensbereiche anschaut. Es existieren nahezu keine Firmen mehr, die alle Aufgaben intern lösen und in denen jeder abteilungsübergreifend alle Partner kennt. Das Andocken Externer an IT-Systeme, seien es Kunden, Dienstleister oder freie Mitarbeiter, führt zu einem erheblichen Mehraufwand in puncto Zugriffsmanagement. Auch die Transformation von Arbeitsprozessen weg von starren Organisationsstrukturen hin zu zeitlich und räumlich flexiblen Projekt-Teams heizt einem steigenden Bedarf an flexiblen, schlanken und skalierbaren Lösungen ein. Sind aber die Voraussetzungen dafür unternehmensintern gegeben?

Eine Bestandsaufnahme

Zum jetzigen Zeitpunkt weicht der tatsächliche Zustand der IAM-Systeme weit von einem Best-Case-Szenario ab. So mangelt es an Richtlinien oder diese sind widersprüchlich, die Begründung für die Gewährung des Zugangs ist schlecht oder gar nicht dokumentiert und es existieren mehrere „Quellen der Wahrheit“ für Schlüsselinformationen wie Identitäten, Rollen oder den Mitarbeiterstatus. Diese fehlende Eindeutigkeit reduziert die Compliance erheblich, was zur Folge hat, dass Kontrollen nicht oder nur oberflächlich möglich sind. Kennt niemand den Soll-Zustand, so bleiben auch die Abweichungen von diesem im Dunkel. Ein weiterer Risikoherd entsteht, wenn Mitarbeiter ihre Zugänge behalten, obwohl sie die Abteilung wechseln oder gar das Unternehmen, womöglich noch zum Mitbewerber, verlassen.

Im Darknet der Rechte

Präsentieren sich Tools als wenig benutzerfreundlich und flexibel und sind die Zeitfenster bis zur Freigabe einer Berechtigung groß, dann machen diese Schwachpunkte den Weg frei für die Ausbildung von Schatten-IT. Dabei organisieren sich die Mitarbeiter Mittel und Wege, um ihrer Arbeit nachzukommen. Sie bauen ein Paralleluniversum an IT-Strukturen auf, das niemand kennt und das keiner Richtlinie entspricht. Über diese Schatten-IT werden auf einmal kritische Daten verarbeitet und verteilt. Dieses Phänomen erklärt unter anderem die Schwemme ungesicherter Daten, die dann im nächsten Schritt in Cloud-Umgebungen auftauchen und in Form von Meldungen zu Sicherheitsvorfällen für erhebliche Medienpräsenz sorgen. So unterlief beispielweise dem Beratungshaus Accenture ein Datensicherheits-Malheur, bei dem vertrauliche Daten ungeschützt auf Webservern lagen. Passworteingabe? Fehlanzeige!

Konfuse, schleppende IAM-Lösungen produzieren hohe Kosten. Die hohe Komplexität dieser Systeme haben zur Konsequenz, dass in Enterprise-Unternehmen üblicherweise 50 bis 150 Personen den IAM-Betrieb durchführen, also die Software verwalten, Mitarbeitern die entsprechenden Rechte ausrollen und ihnen diese einzelfallbezogen wieder entziehen. Zusätzliche Kosten entstehen durch Produktivitätsverlust, wenn Personen nicht wissen, welche Rechte sie für ihre Arbeit benötigen, oder teils Wochen und Monate auf ihre Berechtigung warten. Auch ist die Flexibilität und Agilität der betroffenen Unternehmen gering, da technologische Änderungen Auswirkungen auf eine Vielzahl von Rollen haben. Insofern scheuen die IT-Abteilungen technisch oder organisatorisch sinnvolle Änderungen.

Mangellage

Laut der Studie Identity- & Access-Management 2017 von IDG Research setzten zum Erhebungszeitraum nur 38 Prozent der befragten Unternehmen eine IAM-Lösung ein. Selbst wenn sich diese Anzahl im Jahr 2018 noch gesteigert hat, existiert erheblicher Nachholbedarf. Taucht bei aktuellen Implementierungen Unzufriedenheit auf, so resultiert diese zumeist aus der Kombination dreier Faktoren:

  • Ein verständliches und standardisiertes Modell fehlt. Die Frage, warum eine Person Zugriff auf Daten hat, wird also nicht beantwortet.
  • Ein zusammenhängendes, vollständiges und skalierbares Governance-Modell fehlt. Damit existiert keine einheitliche Richtlinie, die den gesamten Lebenszyklus eines Rechts für alle Benutzer in gleicher Art und Weise abdeckt. Existiert zum Beispiel für externe Partner ein anderer IAM-Prozess als für Mitarbeiter oder Kunden, entstehen Komplexität und Fehler.
  • Ein benutzerfreundliches Tool fehlt. Die meisten Lösungen sind technokratische Systeme von Technikern für Techniker, die wesentliche IAM-Bezugsgruppen, den normalen Mitarbeiter und das Management, nicht adressieren. Zudem funktionieren sie nicht in Umgebungen mit einer hohen Anzahl von Benutzern, Systemen und Daten.

Aus dieser Mangellage heraus formt sich in herkömmlichen IAM-Systemen eine Komplexität, die das folgende Beispiel verdeutlicht:

Im einfachsten Fall hat ein Benutzer Zugriff auf ein System oder eben nicht. Bei einem Benutzer und einem System gibt es also zwei Möglichkeiten. Gibt es zwei Systeme, so hat dieser Benutzer auf jedes der Systeme Zugriff oder eben nicht, also vier Möglichkeiten. Jedes weitere System verdoppelt also schon bei einem einzelnen Benutzer die Möglichkeiten. Damit liegt das Problem in einem typischen IAM-Tool in der exponentiellen Komplexitätsklasse O(2^n).

Wie grundlegend falsch dieser Ansatz ist, zeigt sich schon allein daran, dass es für Unternehmen inzwischen üblich ist, mehrere Tausend Rollen zu besitzen. Welches Unternehmen hat jedoch mehrere Tausende HR-Positionen? Diese Diskrepanz zwischen der IT-Welt und der gelebten Praxis in Unternehmen ist der Grund, mit dem derzeitigen Paradigma zu brechen und sich einen radikal neuen Ansatz zu überlegen. Ziel muss es sein, ein effizientes User-Access-Governance(UAG)-Tool zu schaffen, das über mehrere Daten- und Anwendungstechnologien hinweg benutzerfreundlich und wirtschaftlich ist. Doch wie kann das aussehen?

Neuer semantischer Ansatz

Sieht man sich zunächst an, wie Menschen Zugriff beschreiben, dann gestaltet sich dies in der Regel wie folgt:

  • Klaus Kaufmann arbeitet als Entwickler im Team MIRA (wer, die Rolle und das Team).
  • Entwickler schreiben und testen Code (Liste an Aktivitäten für diese Rolle, unabhängig von der Person Klaus Kaufmann oder den IT-Systemen).
  • Team MIRA gehört der Namespace MIRA_CODE sowie ein Testserver MIRA_TEST (definiert den Ort, an dem die Rollen und somit die Aktivitäten wirken, bzw. die Systeme, auf denen die Rechte provisioniert werden müssen). Alle Variablen sind also zunächst einmal unabhängig voneinander und das Konzept nicht technokratisch. Vielmehr beschreibt es die Tätigkeiten einer Rolle allgemeinverständlich in Business-Sprache. Nun kommt einmalig eine technische Sicht dazu, in der der IT-Administrator eine Aktivität verlinken muss.
  • Erstellen eines Templates, das die Aktivität „Code schreiben“ mit einem Platzhalter-Team im richtigen Tool entsprechend seiner technischen Möglichkeiten verknüpft.

Ein Benutzer hat dabei immer eine Rolle in einem Team und kann niemals nur eine Rolle haben oder nur einem Team angehören. Durch die Kombination dieser beiden Variablen ermitteln sich seine Rechte.

Simplify your IAM.
Simplify your IAM. (Bild: MIRA)

Aus diesem semantischen Ansatz heraus erklärt sich, warum eine Person Zugriff hat. Die Begründung liegt in den Antworten auf folgende Fragen: Wer (Identität) soll Zugang erhalten? Was braucht ein Benutzer(Rolle), um Zugang zu erhalten, und wo (Team) kann er diesen Zugang nutzen? Dazu kommt die technologiespezifische Bereitstellung der Assets und Daten durch den Besitzer mit der Frage, wie der Benutzer auf das IT-Asset zugreift (Aktivitäten, Berechtigungen).

In diesem Zusammenspiel teilt sich eine Berechtigung also in vier Variablen auf, die unabhängig voneinander verwaltet werden können. Dies ermöglicht es zum einen den Verantwortlichen, Entscheidungen in ihrem Kompetenzbereich zu treffen, zum anderen entsteht ein dynamisches Rechtekonzept.

Von der Rolle

Eine Rolle definiert sich in diesem vorgestellten Modell einmalig durch die Kombination von Aktivitäten. So umfasst beispielsweise die Entwicklerrolle die Aktivitäten zum Schreiben von Code, Testen von Code und Bereitstellen von Code. Aktivitäten sind auf allen Ebenen verständlich, weil sie im Unternehmenskontext Sinn ergeben und mit technischen Ansprüchen verknüpft sind. Die Verwaltung des Zugriffs über Teams anstelle von festen Organisationsstrukturen ermöglicht echte Agilität. Das im Konzept definierte Team kann formal oder virtuell existieren. In beiden Fällen definiert es die Menge der IT-Assets, die einer Rolle innerhalb des Teams zur Verfügung stehen. Die Rolle in Kombination mit dem Team führt zur vollautomatischen Bereitstellung aller benötigten Assets für den Benutzer. Die Entwicklerrolle in diesem Beispiel wird für alle Entwickler in der Organisation gleich verwendet. Auf diese Art und Weise wird eine Rolle nur ein einziges Mal erstellt, was den Aufwand für alle Beteiligten erheblich reduziert.

Wer kennt wen – vier Augen sehen mehr

Der Prozess und das dahinterstehende Tool laufen intuitiv und selbststeuernd ab: Ein Benutzer beantragt eine Rolle in einem oder mehreren Teams innerhalb eines Self-Service-Portals wie zum Beispiel die Entwicklerrolle in Team Web und die Testerrolle im Team Mobile. Bei jeder Änderung müssen der Vorgesetzte und der Team-Besitzer die Rolle genehmigen, um das konzeptimplizierte Vier-Augen-Prinzip zu wahren. Liegen beide Genehmigungen vor, vollzieht das System die entsprechende Änderung automatisch. Alle Änderungen an Rechten sind mit einer Vier-Augen-Freigabe konfiguriert. Rollen können nur erstellt, verändert oder gelöscht werden, wenn zwei Rollenmanager die entsprechende Änderung autorisieren. Auch Rechte werden nur erteilt, wenn der Vorgesetzte und der Team-Besitzer den entsprechenden Benutzer für die Rolle im Team autorisieren. Anders verhält es sich beim Entzug der Rechte, hier genügt es, wenn beispielsweise der Benutzer selbst sich die Rolle entzieht, der Vorgesetzte oder der Besitzer des Teams.

Parallel wirken sich Änderungen einer Aktivität sofort auf alle Rollen aus, ähnlich verhält es sich mit allen technischen Ansprüchen, die die Aktivitäten auf Systeme abbilden. Ein Aufwand entsteht somit immer nur an einer einzigen Stelle, egal auf wie viele Mitarbeiter, Rollen, Aktivitäten oder Systeme sich dieser auswirkt. Damit liegt die Komplexitätsklasse des vorgestellten Modells bei O(1) und entspricht einem konstanten Aufwand, was deutlich effizienter ist als die exponentielle Komplexitätsklasse O(n^2) bei konventionellen Systemen.

Der Anspruch an dieses IAM-Konzept ist, dass es sich nahe an den wirtschaftlichen Maximen eines Großunternehmens und eng an dem Arbeitsalltag eines klassischen IT-Anwenders orientieren muss. So möchten Mitarbeiter mit Führungsaufgaben wissen und mitlenken, wie ihre Mitarbeiter die Arbeitszeit verbringen. Teamleiter kennen diese Mitarbeiter aus der täglichen Praxis in der Gruppe und können deren Arbeit einschätzen. Naheliegend ist also, dass sowohl der fachliche Vorgesetzte als auch der Teamleiter zur Genehmigung einer Rolle die Freigabe erteilen. Auf dieser Vier-Augen-Basis, die die jeweiligen Erfahrungen und Kompetenzen der einzelnen Mitarbeitergruppen fokussiert, baut sich das komplette Berechtigungs-, Rollen- und Aktivitäten-Konzept auf. Es trennt Geschäftsrollen von der Technologie und kann durch eine einmalige Definition von unternehmensspezifischen Prozessen implementiert werden. Am Ende steht ein hoher Automatisierungsgrad für alle Bereiche des IAM – getriggert durch das hohe Vertrauen in die Entscheidungen der Anwender auf allen Ebenen des User-Access-Governance-Modells.

Über den Autor: Dr. Amir Alsbih ist CEO von KeyIdentity und spezialisiert auf Identity- und Access-Management-Lösungen. Der Doktor der Ingenieurwissenschaften im Fach Informatik und ehemalige IT-Sicherheitschef der Haufe Gruppe hat über 15 Jahre Berufserfahrung in der IT-Security-Branche. An der Albert-Ludwigs-Universität Freiburg lehrte er angewandte Informationssicherheit und IT-Forensik.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45778006 / Benutzer und Identitäten)