Identity- und Access-Management IAM-Projekte mithilfe einer Prozess-orientiertne Strategie umsetzen

Autor / Redakteur: Dirk Wahlefeld, Quest Software / Stephan Augsten

Für die einen beinhaltet Identity und Access Management (IAM) lediglich die Einrichtung von benutzerdefinierten Accounts, für manche ist es die Verwaltung von Personen und Identitäten sowie deren Zugriffsberechtigungen, für andere wiederum verbirgt sich dahinter ein allumfassendes Sicherheitskonzept. Die Definition ist entsprechend vielfältig, sollte sich aber flexibel den Geschäftsprozessen anpassen.

Firmen zum Thema

Das User-Provisioning ist beim Identity- und Access-Management eine fortwährende Aufgabe.
Das User-Provisioning ist beim Identity- und Access-Management eine fortwährende Aufgabe.
( Archiv: Vogel Business Media )

Heterogene und immer komplexer werdende Systemlandschaften sowie knappe Ressourcen sind Alltag in den IT-Abteilungen der Unternehmen – und nun kommt auch noch das Identity- und Access-Management (IAM) hinzu. Natürlich ist das Thema nicht neu. Gerade der Zugriffsschutz auf benutzerdefinierte Konten und die Vergabe von Zugriffsrechten sind Standard. Doch genau an dieser Stelle endet oft das Verständnis für IAM – leider.

Identity- und Access-Management ist ein Oberbegriff, hinter dem sich vieles verbergen kann. So zählt sowohl die Einrichtung einer Rules Engine (die die Vergabe von Zugriffsrechten automatisch steuern soll) zu den IAM-Projekten als auch ein Passwort-Self-Service oder ein Single-Sign-On-Projekt. Jede der genannten Lösungen deckt eine andere spezifische Anforderung ab, die zumeist auch aus verschiedenen Fachabteilungen an die IT herangetragen wird.

Bildergalerie

Diesen Bedürfnissen der Fachabteilungen liegen konkrete Geschäftsprozesse zugrunde, denen sich die Infrastruktur soweit wie möglich anpassen sollte. Denn was für Applikationen wie beispielswiese ERP-Systeme gilt – sie sind die IT-technischen Erfüllungsgehilfen des operationalen Geschäftes – kann und sollte auch für die IAM-Lösung gelten: Auf dem Business basierend sorgt sie zum einen für mehr Sicherheit und ist zum anderen flexibel genug, sich verändernden Bedingungen anzupassen und sogar Prozesse zu optimieren.

Das Ziel vor Augen

Steht IAM auch heute nicht mehr für die große, allumfassende Lösung, die alles bisher Dagewesene über den Haufen wirft, sollte dennoch ein übergreifendes Ziel definiert werden. Denn jede noch so kleine Silo-Lösung hat Einfluss auf andere Bereiche und sei es nur, weil sich unter Kollegen herumspricht, dass die HR-Abteilung jetzt über ein Single-Sign-On verfügt, während die Mitarbeiter der Buchhaltung sich täglich auf mehreren Systemen einloggen müssen.

Ein strategisches Ziel stellt auch sicher, das bei den zum Teil Jahre dauernden IAM-Projekten der Fokus nicht verloren geht. Der Geschäftsalltag unterliegt Veränderungen, die sich schließlich in der Infrastruktur eines Unternehmens widerspiegeln und demzufolge auch das IAM-Projekt entscheidend beeinflussen. Kurz- und mittelfristige Ziele helfen dabei, die Gegebenheiten und Veränderungen besser im Auge zu behalten und sich Ihnen anzupassen. Die Herausforderung dabei ist es, zu verstehen, wie das Geschäft funktioniert und agiert, wie die Prozesse aussehen und wie sie miteinander in Verbindung stehen.

Um sämtliche Prozesse im Unternehmen zu verstehen und von Veränderungen überhaupt etwas mitzubekommen, muss die IT-Abteilung einen regen Austausch von Informationen mit den Fachabteilungen etablieren. Denn die Vorgehensweisen in den Abteilungen existieren aus gutem Grund so wie sie sind, unterliegen internen und externen Anforderungen und wurden mit viel fachlichem Know-how definiert.

Wie die Prozesse sich systemtechnisch übertragen lassen, müssen dann Fachabteilungen und IT-Spezialisten gemeinsam klären. Ein IAM-Projekt verlangt also viel Flexibilität und die Einbeziehung der Fachabteilungen von Beginn an. Dies kann beispielsweise über ein Portal geschehen, in das die Mitarbeiter ihre Change Requests eingeben oder wenigstens formlos über Prozess-Veränderungen informieren.

Diese Informationen mögen vielleicht rudimentär sein und dem Administrator noch nicht genügen, um die Anforderungen umzusetzen. Doch er bekommt damit wenigstens einen Anhaltspunkt, was sich geändert hat und wen er ansprechen kann, um Details zu erfahren. Ein wertvoller Nebeneffekt ist es, dass Änderungen nachvollziehbar werden.

Inhalt

  • Seite 1: IAM ist mehr als nur Passwort-Schutz
  • Seite 2: Kosten, Sicherheit, Compliance
  • Seite 3: Gibt es die allumfassende IAM-Lösung?

Kosten, Sicherheit, Compliance

Mit den Prozessen im Blick können IAM-Lösungen heute mehr, als nur Benutzerkonten absichern. Vor allem die Senkung der Kosten wird immer wieder als eines der Hauptziele definiert. Wenn ein sich ständig änderndes Geschäft mit immer komplexeren Anforderungen mit demselben Mitarbeiterstamm bewältig werden soll, kommt man um eine innovative IAM-Lösung kaum herum.

Ein Beispiel: Ein Automobilhersteller führt ein neues Modell ein. Neben den geänderten Produktions- und Genehmigungsprozessen müssen neue Verantwortlichkeiten, möglicherweise neue und versetzte Mitarbeiter sowie erweiterte Ressourcen im System abgebildet werden. Das heißt, die Mitarbeiter brauchen andere oder zusätzliche Berechtigungen, der Abteilungsleiter muss mit entsprechenden Befugnissen ausgestattet werden.

Von Hand ist das für die IT-Experten kaum zu bewältigen. Eine prozess- und rollenbasierte IAM-Lösung kann hier wesentlich für Erleichterung sorgen, indem sie zahlreiche Aufgaben teil- oder vollautomatisiert erledigt. Und dies greift nicht nur während der Modell-Umstellung selbst. Auch im normalen laufenden Betrieb nimmt IAM der IT-Abteilung Arbeit ab und optimiert durch klar fest gelegte Regeln und teilautomatische Ausführung den Prozess selbst gleich mit.

Zugriffsmanagement ist eine andauernde Aufgabe

Neben den Kosten steht die Sicherheit im Fokus einer IAM-Lösung. Dazu zählt die Vergabe von Zugriffsberechtigungen an befugte Mitarbeiter ebenso wie die Einrichtung personenbezogener Benutzerkonten und die Mehrwege-Authentifizierung wenn nötig. Darüber hinaus ist die regelmäßige Revisionierung der Identitäten sehr wichtig.

Das bedeutet, dass einem Mitarbeiter nicht immer nur neue Rechte hinzugegeben, sondern sie ihm entsprechend auch wieder entzogen werden. Denn was passiert zum Beispiel, wenn ein Kollege aus dem Einkauf in die Rechnungskontrolle wechselt und ihm dabei alle Zugriffsrechte erhalten blieben? Er würde unter Umständen nun Rechnungen von Aufträgen prüfen, die er selbst initiiert hat. Das ist nicht nur vor der Rechnungsprüfung schwer zu rechtfertigen, es können dadurch auch schwerwiegende Fehler übersehen werden.

Ein ebenso typisches Beispiel ist der Auszubildende, der während seiner Lehrzeit alle Abteilungen durchläuft. An jeder Station erhält er entsprechende Befugnisse, um seine Aufgaben erledigen zu können. Wird sein Account nicht richtig revisioniert, hat er am Ende Zugriff auf alle Ressourcen des gesamten Unternehmens.

Zu den selbstverordneten Sicherheitsstandards im Unternehmen kommen jene, die externe Behörden definieren. Die Einhaltung von Compliance-Vorschriften ist nicht erst seit Basel II und der damit zusammenhängenden Beurteilung der Vergabe von Krediten geschäftskritisch. So ist die bereits angesprochene Nachvollziehbarkeit von Veränderungen und deren Auslösern ein wichtiges Kriterium.

Hilfreich sind dabei entsprechende Reporting-Mechanismen, die entsprechende Daten, insbesondere Soll-/Ist-Vergleiche lesbar aufbereiten und im Idealfall automatische Prozesse initiieren, die etwaige Verletzungen der Richtlinien aufdecken und in einen Workflow übergeben können.

Inhalt

  • Seite 1: IAM ist mehr als nur Passwort-Schutz
  • Seite 2: Kosten, Sicherheit, Compliance
  • Seite 3: Gibt es die allumfassende IAM-Lösung?

Gibt es die allumfassende IAM-Lösung?

Die oft scheinbar unüberschaubare Komplexität wird spätestens dann sichtbar, wenn das IAM-Projektteam definiert wird. Jede der oft zahlreichen Abteilungen hat nicht nur unterschiedliche Prozesse, sondern auch eine eigene Infrastruktur mit speziellen Applikationen und Directories.

Wurde die Infrastruktur mit strategischer Weitsicht aufgebaut, kann die künftige IAM-Lösung jetzt auf Standard-Schnittstellen aufsetzen. Dies erleichtert sowohl die Installation als auch die Konfiguration erheblich. Dennoch gibt es heute kein einzelnes Produkt, das sämtliche IAM-Anforderungen eines Unternehmens abdecken kann.

Teilprojekte müssen definiert werden, um diese mit spezialisierten Einzellösungen zu bewältigen. Auch diese sollten dann natürlich wieder über entsprechende Schnittstellen verfügen, damit sie zu einem Ganzen integriert werden können.

Fazit

IAM ist ein großes Thema, das seinen ganzheitlichen Ansatz zwar bewahrt hat, aber heute anders umgesetzt wird als noch vor wenigen Jahren. Wurden die Lösungen damals eher wie ein Korsett übergestülpt, das schon nach kurzer Zeit nicht mehr passte, weil sich das operative Geschäft geändert hatte, beziehen sie heute die Geschäftsprozesse von Beginn an mit ein.

Dies erfordert Vorarbeit und die Einbeziehung der Fachabteilungen, zahlt sich aber aus. Denn nur so kann eine IAM-Lösung von Anfang an die nötige Flexibilität aufweisen, um mit dem Geschäft mitzuhalten.

Dirk Wahlefeld ist Solution Architect bei Quest Software.

Inhalt

  • Seite 1: IAM ist mehr als nur Passwort-Schutz
  • Seite 2: Kosten, Sicherheit, Compliance
  • Seite 3: Gibt es die allumfassende IAM-Lösung?

(ID:2047599)