Identity- und Access-Management Ressourcen, Rollen und Rechte sichern und in Verzeichnissen abbilden
Was wäre ein Großkonzern, der die Zugangsrechte seiner Mitarbeiter manuell vergibt? Vor allem eins: Undenkbar! Denn Sicherheit, Compliance und Effizienz gehört nicht zu den Tugenden, sondern zu den Pflichten der heutigen Unternehmenswelt. Erfüllen lassen sie sich mit einem automatisierten Identity- und Access-Management (IAM).
Anbieter zum Thema
Einer der wichtigsten Gründe, weshalb sich Unternehmen mit dem Thema IAM beschäftigen, ist nach wie vor die Einhaltung von Compliance-Vorgaben. Ebenso erhoffen sie sich davon optimierte Geschäftsabläufe und verringerte Risiken. IAM ermöglicht beispielsweise eine zuverlässige organisationsübergreifende Zusammenarbeit genauso wie sichere Internetportale für Millionen Nutzer.
Prinzipiell ist ein automatisiertes Identitäts- und Zugriffsmanagement bei einer Unternehmensgröße ab 1.000 Mitarbeitern unerlässlich, es zählt aber auch der Grad der IT-Durchdringung. Vorreiter bei der Einführung von IAM sind deshalb auch die Finanzdienstleister und Automobilhersteller, die schon jahrelang sehr viele komplexe, oft länderübergreifende IT-Systeme unterhalten. Ihr Verwaltungsaufwand und gleichzeitig auch die Sicherheitslücken waren dabei überproportional gestiegen.
Doch für alle Branchen gilt: Strenge gesetzliche Richtlinien wie Basel II oder EuroSOX zur Verlässlichkeit veröffentlichter Finanzdaten schrauben den Dokumentations- und Sicherheitsaufwand immer weiter nach oben. Ein IAM-System, das über geeignete Audit- und Report-Funktionen verfügt, hilft beim Beantworten von Auditoren-Fragen zum Nachweis der Compliance-Konformität.
Zugriffe auf Daten lassen sich zuverlässig nachvollziehen und kontrollieren. Dies wiederum spart Kosten für langwierige Audits und Revisionen. Einsparungen lassen sich auch durch das Konsolidieren heterogener Landschaften erreichen. Je mehr Systeme sowie dazugehörige Rollen und Rechte man zentralisieren kann, umso größer der Effekt.
Viele Unternehmen und Organisationen haben heute mehrere verschiedene IAM-Systeme implementiert. Diese schlagen mit hohen Betriebskosten zu Buche. Doch bei der Konsolidierung ist nicht nur eine leistungsfähige Technologie gefragt, sondern auch professionelle Beratung und Implementierung, die Kunden- und Branchen-orientiert alle Geschäftsprozesse sowie alle daran Beteiligten mit einbezieht.
Inhalt
- Seite 1: Gründe fürs IAM
- Seite 2: Eine Frage des Timings
- Seite 3: Zugang und Zugriff unter Kontrolle
Eine Frage des Timings
Bei der technischen Schritt-für-Schritt-Umsetzung ist die richtige Reihenfolge entscheidend für den Erfolg. Die Basis für die meisten IAM-Projekte ist eine Directory-Funktion. Dieses zentrale Verzeichnis speichert – ähnlich einem Telefonbuch – die digitalen Identitäten anhand von Informationen über Mitarbeiter, Kunden und Geschäftspartner. Auch andere Daten, wie beispielsweise öffentliche Schlüssel für eine Public KeyInfrastruktur (PKI), können darin sicher vorgehalten und verwaltet werden.
Der erste Schritt besteht also darin, sämtliche Verzeichnisse, die bereits im Unternehmen bestehen, zentral in einem Meta-Directory zusammenzuführen, um die Daten konsistent zu halten. Neue Informationen müssen dadurch nur noch einmal eingepflegt werden und aktualisieren sich automatisch in allen Unterverzeichnissen.
Vor allem beim E-Business spielt das Verzeichnis eine wichtige Rolle: Da man sein Gegenüber nicht kennt, benötigen diese Anwendungen eine sichere Authentifizierung. Directory-basierte Lösungen können dies leisten, weil sie Benutzer-Stammdaten und öffentliche Schlüssel für Public-Key-Infrastrukturen als Basisinformationen sicher verwalten.
Dass das System für mehrere hundert Millionen Benutzer ausgelegt ist, macht es nicht nur für organisationsinterne Projekte, sondern auch für öffentliche Anwendungen wie Internetportale interessant. So kann es auch Daten zu Abonnenten von Web-Diensten oder anderen Teilnehmern an E-Business-Verfahren vorhalten.
Identitäten sicher verwalten
Der zweite Schritt hängt von den Zielen des Unternehmens ab. Geht es darum, die internen Identitäten mit den zugehörigen Rechten in einer Organisation effizient zu verwalten, dann wird im gleichen Zug eine Identity-Management-Lösung integriert.
Das IAM-Produkt gewährt den richtigen Personen Zugriff auf die richtigen Ressourcen zur richtigen Zeit. Dafür teilt eine zentrale Verwaltungskomponente jedem Mitarbeiter die Zugangsrechte zu IT-Ressourcen basierend auf Rollen, Regeln und Prozessen automatisiert zu. Diesen Vorgang nennt man auch Provisioning.
Ausgereifte Produkte spezialisierter Anbieter enthalten zudem Funktionen zur Ablaufsteuerung, zum Monitoring und für Audit-Zwecke. Damit sorgt das System für eine hohe Informationssicherheit, eine transparente Kostenkontrolle und senkt den Administrationsaufwand spürbar. Darüber hinaus unterstützt es dabei, Gesetze und interne Vorschriften im Rahmen der Compliance einzuhalten und die Aktionen lückenlos nachvollziehbar zu dokumentieren.
Inhalt
- Seite 1: Gründe fürs IAM
- Seite 2: Eine Frage des Timings
- Seite 3: Zugang und Zugriff unter Kontrolle
Zugang und Zugriff unter Kontrolle
Web 2.0 sowie Internetportale und -anwendungen schaffen heute neue, gewinnbringende Geschäftsmodelle. Doch sie müssen hinreichend abgesichert sein. Das heißt, es muss kontrolliert werden, wer worauf zugreifen darf. Steht der Schutz vor unberechtigten Zugriffen auf Internetportale oder Web 2.0-Anwendungen im Vordergrund, dann folgt zunächst die Anbindung einer Zugangslösung. Sie regelt die Benutzerzugriffe und setzt sie auf der Grundlage von zentralen und rollenbasierten Sicherheitsrichtlinien durch.
Ein Beispiel dafür ist eine IAM-Lösung mit DirX von Siemens IT Solutions and Services. Sie basiert auf einer Service-orientierten Architektur und unterstützt die relevanten Standards für Authentifizierung, Autorisierung, Federation, Provisioning, Audit und Web Security. Rollenbasierte Rechte und delegierte Administration erleichtern den Aufwand zur Pflege der Systemsicherheit.
Das Access-System unterstützt mit Single Sign-On die einmalige Anmeldung für den Zugriff auf mehrere Web-Anwendungen. Web Single Sign-On wird heute in der Praxis häufig am Anfang eines IAM-Projekts realisiert. Denn es bringt den Unternehmen gleich einen greifbaren Vorteil, indem es viele Passwörter ersetzt.
Ist der Kern des Identity-Managements eingeführt, lassen sich zusätzlich Audit- und Reporting-Funktionen integrieren, um den Revisionsprozess noch effizienter zu gestalten. Unternehmen können damit lückenlos nachvollziehen, wer wann was wo geändert hat.
Um Fragen wie „Wer hat im letzten Monat auf Finanzdaten zugegriffen?“ oder „Wer hat den Benutzern dafür Zugriffsrechte gegeben?“ zu beantworten, mussten bisher Audit-Logs aus mehreren Anwendungen ausgewertet werden. Unterschiedliche Formate oder verschiedene Benutzeridentitäten derselben Person erschwerten und verteuerten diese Auswertungen erheblich.
Die Technik allein ist nicht entscheidend
Ein Erfolgskriterium bei der Umsetzung von IAM-Projekten ist die transparente und umfassende Kommunikation. Sowohl der Betriebsrat als auch die Mitarbeiter sollten von Anfang an einbezogen werden.
Folgende Fragen gilt es etwa zu klären: Welche persönlichen Daten werden im System gespeichert? Wie sicher sind sie? Wie passen die Pläne mit dem Arbeitsrecht zusammen? Welche Vorteile haben die Mitarbeiter? Mit der Akzeptanz der Nutzer steht und fällt der Erfolg der IAM-Implementierung.
Da ein IAM-Projekt ein strategisches und kein reines IT-Projekt ist, sollte es mit einem Strategieworkshop beginnen, in dem die Rahmenbedingungen des Vorhabens diskutiert und festgelegt werden. Diese Beratungsphase muss alle Fachbereiche einbeziehen. Denn sie dient einem klaren Verständnis, was sowohl IT-seitig als auch auf der Management-Seite abgebildet werden soll.
Wolfgang Hirsch ist General Manager Global Competence Center Security bei Siemens IT Solutions and Services.
Inhalt
- Seite 1: Gründe fürs IAM
- Seite 2: Eine Frage des Timings
- Seite 3: Zugang und Zugriff unter Kontrolle
(ID:2051761)