Lernen von der Industrie

Produktivität im Identity- und Access-Management steigern

| Autor / Redakteur: Dr. Silvia Knittl / Peter Schmitz

Im Vergleich zur Fertigungs­industrie hat die recht junge IT-Industrie noch viele Möglichkeiten der Optimierung. Sie kann dabei von den bewährten Methoden der klassischen Produktions­planungs­verfahren profitieren.
Im Vergleich zur Fertigungs­industrie hat die recht junge IT-Industrie noch viele Möglichkeiten der Optimierung. Sie kann dabei von den bewährten Methoden der klassischen Produktions­planungs­verfahren profitieren. (© Archivist, Nataliya Hora - stock.adobe.com)

Produktionsbetriebe kennen seit der Ein­füh­rung von Dampfmaschinen den stetigen Opti­mie­rungs­druck. Methodische Verfahren müssen sich weiter entwickeln, um Produktionsprozesse effizienter zu machen. In der IT und speziell im Identity- und Access-Management ist die Opti­mierung allerdings noch kaum anzutreffen. Dabei lassen sich klassische Produktions­planungs­verfahren der Fertigungsindustrie gewinnbringend auf die digitale Welt übertragen.

Typischerweise wird in Produktionsverfahren darauf geachtet teure Maschinen bestmöglich einzusetzen. Daher planen die Ingenieure für möglichst kurze Rüstzeiten, unterbrechungsfreie Durchlaufzeiten, hohe Kapazitätsauslastung, geringe Kapitalbindung und optimalen Personaleinsatz und habe mit ihren Methoden einen hohen Reifegrad erreicht. Im Bereich der internen IT ähnelt der Einsatz der Produktionsmittel oft noch einem typischen Manufakturbetrieb, wo Handwerker verschiedener Professionen hochspezialisierte Teilarbeiten durchführen oder schmuckvolle Individuallösungen fabrizieren, die am Ende zum Ziel eines gemeinsamen Endproduktes bzw. IT-Services beitragen sollen.

In diesem Artikel wird am Beispiel des Identitäts- und Access-Managements (IAM) erläutert, wie die klassischen Produktionsplanungsverfahren der Fertigungsindustrie auf die digitale Welt übertragen werden können. Mittels standardisierter Reifegradbetrachtung kann der Status-Quo der IT ermittelt und basierend darauf Optimierungspotenzial zur Verbesserung der Rüst- und Durchlauf-Zeiten, Kapitalbindung oder Personaleinsatz identifiziert und umbesetzt werden.

Grundlagen der IAM-Systeme

Identity- und Access-Management (IAM)

Grundlagen der IAM-Systeme

18.01.19 - Identity- und Access-Management-Systeme übernehmen als zentrale Authentifizierungs­plattform die Aufgabe, Benutzer zu identifizieren und Zugriff auf genau die Ressourcen zu geben, die er benötigt. Idealerweise ermöglichen IAM-System dies nur zu den Zeiten, die dafür vorgesehen sind. Dazu regeln die Lösungen den Zugriff auf alle Assets im heterogenen Netz und sorgen gleichzeitig für die Erfüllung bestehender Compliance-Vorgaben. lesen

Die Value-Chain für das Identitäts- und Access-Management.
Die Value-Chain für das Identitäts- und Access-Management. (Bild: PwC)

Das Diagramm zur „Value-Chain für IAM“ (siehe links) illustriert eine stark vereinfachte IAM-Wertschöpfungskette. Auf der linken Seite stehen die Zulieferer von Identitäten, wie etwa eine klassische Personalabteilung mit ihren HR-System. Weitere Identitäten können externe Dienstleister, Kunden oder sogar Dinge - wenn das Internet der Dinge (Internet of Things, IoT) betrachtet wird - sein. Auf der rechten Seite der IAM-Nachfrageseite sind interne oder externe Anwendungen auf die mittels IAM-Werkzeugen und –Verfahren ein gesteuerter Zugriff etabliert werden soll.

Wir greifen zur Veranschaulichung als Beispiel eines Ende-zu-ende-Prozesses die Neubeauftragung für einen Zugang zu verschiedenen Anwendungen auf. Dazu erfolgt typischerweise im ersten IAM-Verfahrensschritt eine Registrierung der Person. Anschließend erfolgen verschiedene Verarbeitungsschritte, um eine eindeutige digitale Identität und deren zugeordnete Accounts in den Anwendungen zu generieren. Zu diesen Accounts werden dann durch Bestell- und Genehmigungsverfahren dedizierte Berechtigungen auf Anwendungen eingerichtet.

Optimierungspotenzial in der IT mit klassischen Produktionsplanungsverfahren ermitteln

Nachfolgend beschreiben wir typische Methoden von Produktionsplanungsverfahren und übertragen diese auf die IAM-Wertschöpfungskette mit dem Ziel, Optimierungspotenzial zu identifizieren. Ein zentrales Planungselement dabei ist die Durchlaufzeit. Sie bezeichnet die Zeitspanne vom Beginn der Bearbeitung bis zur Fertigstellung und setzt sich aus Rüstzeit, Bearbeitungszeit, Liegezeit und Transportzeit zusammen.

Die beliebtesten IAM-Systeme 2018

IT-Awards 2018

Die beliebtesten IAM-Systeme 2018

21.11.18 - Wenn es um die Verwaltung von Identitäten und Zugriffsrechten innerhalb eines Unternehmens und dessen Netzwerk geht, leisten Identity- und Access-Management-Systeme (IAM) wertvolle Arbeit. Sie sorgen für Authentifizierung und Autorisierung der Anwender und stellen zentrale Verwaltungs- und Überwachungsmög­lich­keiten bereit. IAM-Systeme sind ein wichtiger Teil jeder IT-Security- und Compliance-Strategie. lesen

Rüstzeiten reduzieren

In Fertigungsprozessen wechselt man beim Rüsten die Werkstoffe oder passt die Maschinen und Anlagen an. In der IT wird hierfür von einer Änderung (Change) gesprochen. Im IAM betrifft das typischerweise Upgrades der Systeme oder die Integration neuer Anwendungen. In Fertigungsprozessen fällt die Rüstzeit im Sinne des Lean-Managements unter verdeckte Verschwendung und es wird daher mit der sogenannten SMED-Methode “Single Minute Exchange of Die” (“Werkzeugwechsel im einstelligen Minutenbereich”) gearbeitet um die Zeiten auf ein notwendiges Minimum zu reduzieren. Unterschieden wird dabei zwischen internen und externen Rüsten. Während bei dem internen Rüsten die Anlagen zwingend stillstehen und zu Unproduktivität führen muss beim externen Rüsten kein Stillstand erfolgen. Übertragen auf die IAM-Prozesse bedeutet dies die Change-Zeiten möglichst kurz zu halten. Um dieses Ziel effektiv zu erreichen, gilt es die folgenden Dimensionen zu optimieren. Dies betrifft die Vorbereitung des Changes, die Durchführung der Umstellung/Integration und das Testen. Zeitersparnisse erzielt man dann durch eine möglichst adäquate Vorbereitung in produktionsnahe Entwicklungs- und Testumgebungen. Weiterhin kann eine vorherige Simulation der Umstellung die Change-Durchführungszeit verkürzen. Dabei können automatisierte Testverfahren eingesetzt werden, die zudem die manuellen Aufwände verringern, das Fehlerrisiko bei der Umstellung minimieren und zusätzliche Zeiteinsparungen generieren.

Liegezeit vermeiden

Ungewollte Wartezeiten werden als Liegezeit bezeichnet. Im IAM betrifft das Zeiten, bei denen Abläufe unterbrochen werden, weil ein z.B. Medienbruch stattfindet oder Daten auf ihre Verarbeitung warten. Medienbrüche entstehen im IAM etwa indem telefonisch beim Servicedesk Bestellungen für Zugänge zu Systemen beantragt werden, diese in einem Ticketsystem dokumentiert werden und dann per Email an den Bearbeiter weitergleitet werden. Bei jedem dieser Teilschritte kann es dazu kommen, dass die Anfrage zunächst „liegt“. Ein weiteres Beispiel ist die Sammlung von zu verarbeitenden Ereignissen, z.B. alle neu registrierten Personen eines Tages im HR-System, welches in der Nacht als Sammeldatei (Batchprocessing) der weiteren Verarbeitung zugeführt wird und bis dahin ebenso „liegt“. Diese Liegezeiten können durch eine durchgängige Digitalisierung und Prozessintegration vermieden werden. Beispielsweise können Nutzer selbst Berechtigungen in einer Art „Shopsystem“ für sich bestellen und werden automatisch der nächsten Bearbeitungsstelle zugeteilt. So können z.B. durch Verwendung von Job-Rollen auch die bestellten Berechtigungen über entsprechende Prozesse automatisiert eingetragen werden. Beantragt z.B. ein Einkäufer den Zugang zum Einkaufssystem erkennt ihn das System aufgrund seiner Einkäufer-Rolle als berechtigte Person und die Zugangsrechte werden ihm dann automatisch zugewiesen.

Häufig entstehen auch Liegezeiten aufgrund eines Engpasses bei dem Bearbeiter, wenn z.B. nur der Vorgesetzte die Genehmigung für einen Systemzugang bestätigen kann und eine Urlaubsvertretung im IAM-Verfahren nicht abgebildet worden ist. Bei letzterem Beispiel kann durch eine geeignete Personaleinsatzplanung, d.h. die angepasste Zuordnung der Zuständigkeiten, das Verfahren beschleunigt werden. Hierbei ist z.B. zu prüfen, ob denn nur ein Vorgesetzter Berechtigungen für Systeme genehmigen darf oder es etwa risikoarme Standardberechtigung gibt, bei der Genehmigungsschritte sogar weggelassen werden können.

Transportzeit verkürzen

Die Transportzeit ist die benötigte Zeit, um Erzeugnisse vor und nach der Bearbeitung zu transportieren. In IAM-Verfahren werden Daten von System zu System transportiert (transferiert). Dieser Transport erfolgt i.d.R. zeitnah. Sind Massenänderungen bei einer hohen Zahl von Identitäten erforderlich, kann dies zu längeren Übergabezeiten führen. Ein Beispiel sind z.B. Datenänderungen von Studierenden an Universitäten, wo jedes Semester bei allen Studierenden mindestens das Datenfeld der Semesterangabe angepasst wird. Lösungsmöglichkeiten sind z.B. das flexible Zuschalten von parallelen Transportkanälen oder der Einsatz von schnellerer Hardware. Transportzeitverluste entstehen auch bei der Verwendung von Papieranträgen bei Registrier- oder Bestellvorgängen. Hier wird der Papierantrag als Begleitdokument zu den verschiedenen Akteuren transportiert. Verkürzt werden kann dies durch die Digitalisierung von Papiervorgängen im Bestellsystem.

IAM-Services müssen zum Unternehmen passen

Herausforderungen bei IAM-Services

IAM-Services müssen zum Unternehmen passen

09.11.18 - Cloud-Services für Identity and Access Management (IAM) senken nicht nur die Betriebskosten, sondern auch den Bedarf an IAM-Expertise im eigenen Unternehmen. Gleichzeitig besteht aber die Herausforderung, wie sich mit Standard-Services die individuellen Aufgaben für IAM im Unternehmen bewältigen lassen. Die Antwort liegt in der Anpassung der IAM-Services. lesen

Fertigungskosten verringern

Die Fertigungskosten sind ein Teil der Herstellkosten und bestehen u.a. aus Ressourceneinsatz im Produktionsprozess, indirekt anfallenden Gemeinkosten, Sondereinzelkosten der Fertigung oder Kosten der Qualitätskontrolle. In der Produktion können Fertigungskosten durch den Einsatz von standardisierten Werkzeugen reduziert werden. Standardisierungen können z.B der DIN-Norm folgen. Das DIN wurde 1917 gegründet, die erste Norm galt Maschinenverbindungsstiften. IAM-Standardwerkzeuge und technische Protokolle beschleunigen die Umsetzung und verringern damit die Kosten. Ein Beispiel von IAM- technische Protokolle ist SAML (Security Assertion Markup Language), ein offener Standard zum Austausch von Authentisierungs- und Autorisierungsdaten. Analog zu den „Verbindungsstiften“ in der Produktion dienen Konnektoren bei IAM-Systemen zur Verbindung zu den Anwendungen. Daher bieten IAM-Tools häufig Konnektoren standardmäßig für gängige Systeme, wie etwa Datenbanken oder SAP an.

Die Kapitalbindung ist ein wesentliches Element der Herstellkosten. Ein Einflussfaktor der Kapitalbindung ist die Fertigungstiefe und wird durch Make or Buy-Entscheidungen gesteuert. Im „Buy“-Fall wird die Herstellung outgesourced. Auch für IAM können statt des Kaufs, Installation und Wartung der Software Outsourcing-Lösungen eingesetzt werden, z.B. als Cloud-Anwendung (Identity as a Service). Somit transferieren sich die Kosten von Capex in Opex und die Kapitalbindung wird reduziert.

Zunehmende bieten Identitätsanbieter standardisierte Identitäten oder eine Vermittlungsplattform für diese an. Dieses Thema wird auch als „Bring your own Identity“ bezeichnet. In diesem Fall werden bereits festgelegte digitalen Identitäten, wie etwa eine FacebookID, wiederverwendet. Ein Plattformbeispiel in Deutschland ist Verimi. Im Bereich der öffentlichen Dienste wurde für das sogenannte eGovernment das Design-Prinzip „once only“ postuliert, d.h. die Vermeidung von Mehrfacherfassungen. Auch hierbei können Identitätsanbieter und Vermittlungsplattformen unterstützen, indem ein einmal registriertes Bürgerkonto für andere Dienste mitverwendet wird. Die eIDAS-Regulierung regelt dazu auf EU-Ebene die gegenseitige Anerkennung von elektronischen Identitäten und garantiert somit eine Vergleichbarkeit in Europa.

Fazit

Die ersten Dampfmaschinen wurden bereits vor ca. 300 Jahren im Bergbau eingesetzt und dann stetig im Wirkungsgrad verbessert und im Zusammenspiel mit anderen Maschinen die Wertschöpfung erhöht. Die daher vergleichsweise junge IT-Industrie hat noch vielfältige Möglichkeiten der Optimierung. Wir haben am Beispiel des Identitäts- und Access-Managements gezeigt, dass eine Übertragung bewährter Methoden der klassischen Produktionsplanungsverfahren auf IT-Services möglich ist und damit ebenfalls eine gesteigerte Wertschöpfung erzielt werden kann.

Eine solche methodische Herangehensweise analog der Ingenieure in Fertigungsbetrieben hält sukzessive Einzug in die IT-Welt. Diese Ingenieurvorgehensweise hat in der Industrie zu enormer Kosteneffektivität und damit zu Kosteneinsparungen geführt. Diese Methodik kann auch auf die IT- und IAM-Welt übertragen werden. Im IAM-Bereich führt das über die Digitalisierung und Einführung von Tools und Methoden zu Prozessverbesserungen, Beschleunigung von Verfahren und einer höheren Benutzerakzeptanz.

Damit ist Optimierungspotenzial systematisch erkennbar und für Unternehmen realisierbar. Ein so optimiertes IAM dient jedoch nicht nur effektiven und effizienten Lenkung von Zugängen zu Anwendungen, sondern ist auch ein wichtiger Baustein der IT-Sicherheitsarchitektur einer Organisation. Ein schlecht designtes IAM öffnet Tür und Tor für Hacker. Hacker haben ihre Wertschöpfungsketten allerdings bereits derart optimiert, dass schon von Hacking-as-a-Service gesprochen wird. Hier haben auch Personen ohne IT-Kenntnisse die Möglichkeit, Services zu buchen, inkl. Geldzurückgarantie, Beschwerdeprozesse oder Bewertung der Hacker-Servicequalität. Es ist für Unternehmen also unerlässlich, den eigenen IAM- und IT-Sicherheits-Reifegrad anzupassen.

Über die Autorin: Dr. Silvia Knittl ist Senior Managerin bei PwC Deutschland im Bereich Cyber Security mit Schwerpunkt Identity & Access Governance. Ihre Arbeit umfasst Digital Identity Strategy, Roadmap- und Architekturdesign sowie Datenanalyse. Sie verfügt über mehr als 14 Jahre Erfahrung im IAM und begann als Ingenieurin im Leibniz-Rechenzentrum, dem IT-Dienstleister der Münchner Hochschulen. Sie promovierte 2012 an der Technischen Universität München und studierte Informatik an der Ludwig-Maximilians-Universität München.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45851853 / Single Sign-on)