Suchen

Think big, start small IT-Security-Projekte mit Blick in die Zukunft planen und umsetzen

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

In der IT ist gute Planung das A und O – ansonsten stoßen die Systeme schnell an ihre Grenzen. Ein gutes Beispiel hierfür liefert der Bereich Identity und Access Management: Immer mehr Firmen merken, dass sie sich nicht nur um die Identitäten und Zugriffe ihrer Mitarbeiter kümmern müssen. Deshalb greift auch hier die Erfolgsregel für IT-Projekte „Think big – start small“.

Firma zum Thema

Ohne eine vorausschauende Projektplanung geraten IT-Systeme schnell an ihre Grenzen.
Ohne eine vorausschauende Projektplanung geraten IT-Systeme schnell an ihre Grenzen.
( Archiv: Vogel Business Media )

Identity und Access Management steht exemplarisch dafür, was immer wieder in der IT geschieht: Die Lösungsansätze sind zu eng gewählt. Die Konsequenz ist, dass man entweder bestehende Lösungen mühsam erweitern bzw. ablösen muss – oder dass man gar mit mehreren parallelen Lösungen arbeitet, die wiederum nur schwer zu integrieren sind.

Beim Identity und Access Management geht es beispielsweise um die Verwaltung von Identitäten und ihrer Zugriffsberechtigungen. Letztlich muss man also alle Identitäten von Personen kennen, die potenziell Zugriff auf die Informationen und Systeme haben könnten. Im Fokus stehen alle unternehmensrelevanten Informationen und die intern oder extern betriebenen IT-Systeme der Unternehmen.

Dabei wird schnell klar, dass natürlich nicht nur Mitarbeiter, sondern auch Geschäftspartner, Kunden oder Interessenten ohne eine bestehende Kundenbeziehung dazugehören. Also sollte eine Identity und Access Management-Lösung einen durchgängigen Ansatz bieten, um alle diese Zugriffe im Griff zu behalten.

Beziehungsprobleme

Wie wichtig das ist, wird beim Blick auf die Realitäten klar. Ein Bankkunde kann gleichzeitig ein Mitarbeiter dieser Bank sein. Ein Mitarbeiter einer Versicherung kann nebenberuflich als Makler arbeiten und außerdem noch Versicherungsnehmer sein. Ein Mitarbeiter eines Automobilherstellers kann auch Kunde des Unternehmens sein.

Das sind nur einige Beispiele, die aber alle eines gemein haben: Die gleiche Person agiert in verschiedenen Beziehungen zum Unternehmen, hat in der einen oder anderen Weise häufig Zugriff auf Systeme (Online-Banking, Vertragsmanagement,…) und es gibt ganz offensichtliche Herausforderungen für die Funktionstrennung.

Die Realität ist aber, dass verschiedene Mitarbeiter in verschiedenen Systemen gehalten werden und neue Benutzergruppen meist über spezielle Lösungen für Außendienstmitarbeiter, Kunden, Lieferanten etc. Zugriff erhalten. Dabei ist die Öffnung von IT-Systemen über die Unternehmensgrenzen hinweg ja schon lange ein Thema.

Zukunftsorientiert denken

Noch immer ist die Aussage „Uns geht es erst einmal um die Mitarbeiter“ häufig zu hören. Grundsätzlich spricht auch nichts dagegen, die Implementierung mit genau dieser Intention zu beginnen, wenn die drängenden Probleme beispielsweise aufgrund von Compliance-Regelungen in diesem Bereich liegen. Ein Konzept genau dafür zu definieren, ist aber in jedem Fall falsch – weil klar ist, dass die Lösung irgendwann für alle Zugriffe aller möglichen Nutzer funktionieren muss.

Das Konzept darf also nicht mit dieser Einschränkung entwickelt werden, sondern muss auf die Zukunft ausgerichtet sein. Dann kann man gezielt mit einzelnen Lösungen beginnen – „think big, start small“ eben. Und auch das „start small“ ist praktisch immer sinnvoll, weil man kleine Projekte besser beherrschbar sind. Aber kleine Projekte machen eben nur Sinn, wenn sie im richtigen Rahmen umgesetzt werden.

Das gilt natürlich nicht nur für Identity und Access Management, sondern für jeden Teil der IT. Viele Lösungen der IT sind ja letztlich nur erforderlich, weil man Punktlösungen wieder zu einem Ganzen zusammenfügen muss. Die Kunst liegt darin, das große Bild vor Augen zu haben, um es dann in machbaren Schritten entstehen zu lassen – und zwar so, dass man flexibel genug ist, um auch neue Business-Anforderungen und neue technische Entwicklungen mit einfließen zu lassen.

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:2052698)