Erfolgsfaktoren für IAM-Projekte
Artikel erschienen in Swiss IT Magazine 2009/03
Dass IT-Projekte scheitern oder zumindest nicht so erfolgreich sind wie erhofft, ist nicht neu. Besonders oft ist das im Bereich Identity und Access Management (IAM) zu beobachten, in dem Projekte weit hinter den Erwartungen zurückbleiben. Ein wichtiger Grund hierfür ist die zu technische Ausrichtung der Projekte.
Das Management von Accounts als Teil des Identity und Access Management wird auch heute oft noch in sehr technisch orientierten Projekten angegangen. Schon die wachsenden Anforderungen aus dem Bereich GRC (Governance, Risk Management, Compliance) machen aber deutlich, dass es um weit mehr geht. Daher sind definierte Vorgehensweisen, die Unterstützung von Prozessen und insbesondere von Business-orientierten Rollenmodellen in Unternehmen der Schlüssel zum Erfolg für IAM-Projekte. Erst die Kombination von Technik mit dem Verständnis für das Business führt dazu, dass die Projekte die gesetzten Erwartungen auch wirklich erfüllen.
Die Entwicklung des Identity Management spiegelt die Entwicklung der IT insgesamt wider. Während vor 15 Jahren noch vor allem über die Vor- und Nachteile einzelner Verzeichnisdienste diskutiert wurde, rückten später Integrationsfunktionen über Meta-Directory-Dienste ins Blickfeld, bevor gegen Anfang dieses Jahrzehnts eine Rollen- und Prozessorientierung mit Provisioning-Lösungen zunehmend an Bedeutung gewann. Inzwischen erhält, auch im Kontext der wachsenden Anforderungen im Bereich GRC, die Business-Orientierung immer mehr Gewicht. Identity Management ist also wesentlich mehr als nur das technische Management von Benutzerkonten und ihrer Synchronisation zwischen unterschiedlichen Systemen. Es geht darum, den kontrollierten Zugriff auf sich ändernde Geschäftsprozesse und Informationen sicherzustellen. Diese Kontrolle setzt das Verständnis der Prozesse und Rollen im Business voraus.
Für diesen Wandel ist auch die wachsende Bedeutung von GRC mit-verantwortlich. GRC hat eine Sichtweise, die sich nur auf Compliance bezieht, zunehmend und zu Recht ersetzt. Compliance beschäftigt sich mit der Erfüllung konkreter Anforderungen einzelner Regularien und ist damit ein wichtiges Element von Governance. Governance wiederum steht für die korrekte, ordnungsgemässe Unternehmensführung im Sinne der Corporate Governance oder den korrekten, ordnungsgemässen Betrieb der IT bei der IT-Governance. Compliance ist damit ein Teil von Governance. Gleiches gilt auch für das Risiko-Management, wobei dieses einen eher Prozess-orientierten, dauerhaften Charakter hat und sich nicht nur mit einzelnen, spezifischen Compliance-Anforderungen beschäftigt. Hier geht es um die Definition, Erkennung und Messung und den Umgang mit Risiken als kontinuierliche Aufgabe.
Governance ist also das Dach, das Compliance mit dem Fokus auf konkrete Regularien und das Risiko-Management umfasst. Diese Themen lassen sich wiederum von einer Unternehmensperspektive auf Sichtweisen herunterbrechen, die den Blick auf die IT oder auch Teilbereiche davon richten. Das unternehmensweite Risiko-Management umfasst das IT-Risk-Management, bei dem wiederum oft auch von einem Teilbereich des Identity-Risk-Management die Rede ist.
Unabhängig von den einzelnen Begrifflichkeiten geht es heute darum, einen Gesamtblick zu finden, der die GRC-Anforderungen mit einem zunehmend breiteren Ansatz adressiert. GRC ist ein Thema auf der Ebene des gesamten Unternehmens, das weder nur auf der Business- noch der IT-Ebene adressiert werden kann. Es ist mit dem IAM untrennbar verwoben. Ein wesentlicher Teilaspekt ist die Steuerung des kontrollierten Zugriffs auf Prozesse und Informationen und damit die Frage, welche «Identität» was machen darf. Wer die Herausforderung IAM nicht gelöst hat, wird auch GRC nicht erfolgreich lösen.
Andererseits wird immer deutlicher, dass ohne den Blick auf die Business-Ebene die Herausforderung Identity Management nicht erfolgreich lösbar ist. Das gilt nicht nur, weil GRC zunehmend zum Treiber für IAM-Initiativen wird. Ein Grund hierfür ist auch, dass für die erfolgreiche Lösung vieler der Herausforderungen im Identity Management das Zusammenspiel mit dem Business gebraucht wird. Zudem können viele Teilaspekte nur gemeinsam für beide Ebenen gelöst werden.
Die Frage, wer welche Zugriffsberechtigungen erhält, hängt an der Rolle, die jemand im Unternehmen einnimmt. Die Frage, welche Rollen sich gegenseitig ausschliessen, ist eine der Kernfragen in GRC-Konzepten, adressiert über den Ansatz der SoDs (Segregation of Duties). In diesem Zusammenspiel ist GRC eher die Business-Ebene, während die Umsetzung auf der IT-Ebene durch das IAM übernommen wird.
Das wird an zwei Stellen besonders deutlich, den Prozessen und den Rollen. Eine der Herausforderungen in jedem Identity-Management-Projekt ist die Definition der Prozesse. Die häufig zu findende Betrachtungsweise, dass Änderungen aus dem HR-System kommen, ist dabei meist unvollständig. Denn oft gibt es andere Geschäftsprozesse. Externe Mitarbeiter können zum Beispiel in einer Vertreter-Datenbank angelegt sein, in der sich auch die Änderungen widerspiegeln. Andere Identitäten werden von Geschäftspartnern über Federation-Mechanismen bereitgestellt oder über Self-Service-Schnittstellen eingegeben. Nur wer sich mit den Prozessen im Business beschäftigt, kann auch das Identity-Management-System richtig gestalten.
Noch stärker sind die Abhängigkeiten bei Rollen. Viele Identity-Management-Projekte scheitern an fehlenden Rollenmodellen. Auf der Ebene der IT gibt es allenfalls Systemrollen einzelner Anwendungen, aber typischerweise keine übergeordneten Business-Rollen. Die IT ist aber auch nicht in der Lage, diese zu definieren, sondern muss hier eng mit dem Business zusammenarbeiten. Das gilt auch für die Verknüpfung dieser Rollen mit Systemrollen.
Entsprechend braucht es für ein erfolgreiches Identity-Management-Projekt Mitspieler aus der IT ebenso wie aus dem Business. In der IT sind dabei die oft technisch geprägten Anforderungen der Administratoren wie die der IT-Revision, von Datenschützern und anderen Gruppen, zu berücksichtigen. Ebenso ist eine Zusammenarbeit mit den Fachbereichen bis hin zur Unternehmensorganisation erforderlich, um die Prozesse und Rollen in der richtigen Weise gestalten zu können.
Es ist entscheidend, die richtige Perspektive für die Projekte zu haben und sowohl die Zielrichtung und Treiber als auch die Teams entsprechend zusammenzustellen. Denn wenn es um die Sicherung von Geschäftsprozessen geht, ist auch deren Verständnis erforderlich. Wer den Zugriff auf Prozesse kontrollieren will, kann das nur im Kontext dieser Prozesse realisieren.
Dass das komplexer ist als die Daten zwischen zwei Verzeichnissen technisch zu synchronisieren, steht ausser Frage. Die Projekte, die scheitern oder nicht den gewünschten Erfolg haben, leiden aber nicht darunter, dass die Herausforderung zu komplex wäre, sondern dass nicht die richtigen Personen mit der richtigen Zielsetzung daran arbeiten. Das Wissen über die Branche, in der ein Produkt eingesetzt wird, ist ebenso eine Grundvoraussetzung für ein erfolgreiches Projekt wie der Einbezug der Personengruppen, die überhaupt in der Lage sind, Business-Rollen oder Segregation of Duty-Regeln zu definieren.
Hersteller, wie beispielsweise Beta Systems haben einen Ansatz gefunden, der genau auf diese Anforderung reagiert und fürs IAM eine Schnittstelle zum Business schafft. Ziel ist es, eine Lösung bereitzustellen, die modular, Service- und Prozess-orientiert und erweiterbar ist. Erweiterbar auch für die Produkte von Drittanbietern. Gerade im Bereich des Identity Management ist das wichtig, weil dort bei kaum einem Unternehmen Lösungen von nur einem Hersteller zum Einsatz kommen. Wird die übergeordnete Herausforderung GRC betrachtet, gilt das noch mehr. Denn Identity Management ist zwar ein wichtiger Baustein, um die GRC-Anforderungen zu erfüllen, aber keineswegs der einzige. Archivierungsfunktionen als Teil des Enterprise Content Management (ECM) gehören beispielsweise ebenso dazu. Nur mit flexiblen, modularen Integrationsfunktionen und einer klaren Service-Orientierung sind diese Herausforderungen effizient zu lösen.