User-Verwaltung richtig gemacht
Artikel erschienen in Swiss IT Magazine 2010/10
Identity Access Management (IAM), die automatisierte Administration von Benutzerrechten, nimmt in Zeiten erhöhten Sicherheitsanspruches zum Schutz unternehmenskritischer Daten sowie aufgrund von Kostendruck und Compliance-Bestimmungen einen hohen Stellenwert in der IT ein. Führende Analysten bestätigen dies: Laut Gartner ist IAM für 20 Prozent der befragten Unternehmen im Gartner 2010 CIO Survey das Sicherheitsthema mit der höchsten Priorität und damit deutlich an der Spitze der wichtigsten Projekte.
Zum Schutz der sensiblen Daten sollten jedem Anwender stets nur die Berechtigungen und Applikationszugriffe zur Verfügung stehen, die er für seine Tätigkeit benötigt. Die gezielte automatisierte Rechtevergabe schützt vor Datenmissbrauch, garantiert Nachvollziehbarkeit und beschleunigt interne Prozesse, um so produktiver zu sein und Kosten zu sparen.
Folgende zehn Faktoren sind bei der Einführung eines IAM-Systems zu beachten:
1. Lückenlose Berechtigungsverwaltung
Unternehmen sollten in der Lage sein, alle bestehenden Benutzerkonten in Active Directory, Lotus Notes, SAP oder anderen geschäftskritischen Anwendungen auch einer real existierenden und im Unternehmen beschäftigten Person zuordnen zu können. Es gilt, jeden Zugriff auf Informationen von innen und aussen mittels Identity-Access-Management(IAM-)Systemen zu schützen. Durch die sichere und zentrale Vergabe von Zugriffsberechtigungen muss sichergestellt sein, dass Mitarbeiter nur die Zugriffsrechte auf Systeme haben, die sie zum Ausüben ihrer Tätigkeit benötigen und haben dürfen.
Abgesehen vom Sicherheitsaspekt kosten nicht benötigte Anwendungslizenzen viel Geld. IAM-Systeme unterstützen nicht nur die zentrale und schnelle Vergabe von Berechtigungen, sondern, viel wichtiger, auch den sicheren und schnellen Entzug aller erteilten Zugriffsberechtigungen auf Knopfdruck.
2. Klar definierte Zielsetzungen
Der Projekterfolg erfordert klar definierte Zielsetzungen und Leistungen sowie eine straffe Planung und Kontrolle. Dies setzt die enge Zusammenarbeit erfahrener Mitarbeiter auf Kundenseite mit dem IAM-Anbieter voraus. Sie ist von Anfang an notwendig, um die Anforderungen und Zielsetzungen des Kunden bereits im Vorfeld genau zu verstehen und anschliessend in der Projektplanung und über den gesamten Projektzeitraum hinweg effizient arbeiten zu können. Jeder Kunde sollte diese Qualität eines Anbieters daher im Rahmen seiner Lösungsevaluierung prüfen, das heisst die Leistungen mit Blick auf Technologie und Beratungskompetenz im Vorfeld in einem Proof-of-Concept testen. Wichtig ist auch, dem Team geschäftsprozess- und organisationserfahrene Mitarbeiter zur Seite zu stellen. Dies schliesst die Brücke zwischen IT und Business. Geschäftsanforderungen sind nur durch die Verknüpfung von IT und Organisation umsetzbar.
3. Investitionsschutz
Entscheidungsträger scheuen häufig die Projektkomplexität und die damit verbundenen hohen und nicht überschaubaren Aufwendungen zur Einführung einer IAM-Lösung in ihre heterogenen IT-Landschaften. Das Bekanntwerden gescheiterter Projekte und hoher Fehlinvestitionen verstärkt dieses Misstrauen. Dem kann nur erfolgreich begegnet werden, wenn der IAM-Anbieter in der Lage ist, Vertrauen zu erzeugen. Dies geschieht zum einen durch langjährige Erfahrung im IAM-Markt sowie durch die Expertise in der Umsetzung konkreter und zum Teil sehr unternehmens- und branchenspezifischer Anforderungen. Ein Anbieter sollte deshalb auf seine Projekterfahrungen und Referenzen im jeweils adressierten Markt überprüft werden. Auch ein schrittweises Vorgehen bei Einführung und Umsetzung der Anforderungen sowie vorzeigbare und messbare Teilerfolge schaffen Vertrauen für den Projekterfolg.
Einen fairen, überschaubaren und garantierten Preis ermöglicht auch die konkrete Definition der Ziele und des Leistungspakets. Zudem sind Festpreisangebote gerade für den Mittelstand heute keine Seltenheit mehr. Es handelt sich in der Regel um ein Leistungs-paket zur Einführung eines zentralen Berechtigungsmanagements, das sich aus den erforderlichen Lizenzen, deren Wartung und einem definierten Service zur Implementierung zusammensetzt.
4. Anbindung von HR-Systemen
Es ist wichtig, bereits in einem ersten Schritt das HR-System automatisiert anzubinden. Grund dafür ist, dass die Probleme oftmals in der mangelnden oder lückenhaften Abstimmung der Personalabteilung mit der IT beginnen. Sie greifen dann auf das gesamte Unternehmen über. Personalveränderungen werden gar nicht, zu spät oder lückenhaft an die IT gemeldet. Die Fehlerquote steigt zusätzlich durch die manuelle und bereichsspezifische dezentrale Bearbeitung. Unklare Zuständigkeiten durch schlecht kommunizierte Veränderungen bei Reorganisationen und ein fehlendes Monitoring lassen erahnen, wie wenig sicher und transparent sowie schwierig nachvollziehbar Berechtigungsvergaben in der IT administriert werden können.
5. Projektstart mit einem Cleanup
Cleanup bedeutet «aufräumen» und schafft die Voraussetzung für eine saubere Berechtigungsmanagement-Basis. Um die Frage zu beantworten, welche Berechtigungen ein Benutzer im Unternehmensnetzwerk hat, müssen zuerst die einzelnen Accounts des Benutzers dem physischen User zugeordnet werden. Dieser Prozess der sogenannten User-ID-Konsolidierung ist der erste wichtige Schritt. Ver-waiste Accounts, Benutzer ohne Berechtigungen oder umgekehrt können in einem weiteren Schritt schnell entdeckt werden. Dazu gibt es spezielle Werkzeuge, die diese Aufgabe übernehmen und sehr schnell, in einem gesonderten Bericht, die «Berechtigungsleichen» aufzeigen.
6. Einführung von Berechtigungsrollen
Berechtigungsbündel, das heisst Rollen, reduzieren signifikant den Administrationsaufwand und unterstützen den Automationsprozess. Hier werden Einzelberechtigungen von Benutzern mit identischen Aufgaben im Unternehmen zu einer Rolle zusammengefasst. Sogenannte Role-Mining-Werkzeuge unterstützen die Definition und fortlaufende Optimierung von Berechtigungsrollen. Die bereinigten Berechtigungsdaten werden in Abhängigkeit zu der bestehenden Aufbau- und Prozessorganisation transparent dargestellt. Die gute Visualisierung der Analyseszenarien im Rollenfindungsprozess schafft dann die notwendige Transparenz und Nachvollziehbarkeit.
Die Automatisierung des Berechtigungsmanagements durch Einführung und Verwendung von Rollen erzielt sehr hohe Einsparpotenzia-le. Die Erfahrung zeigt, dass durch das rollenbasierte Administrieren von Berechtigungen ein Automatisierungsgrad von mehr als 90 Prozent erreicht werden kann.
7. Self-Service-Funktionen
Benutzerzufriedenheit und -komfort rücken zunehmend in den Projektmittelpunkt. User-orientierte, intuitive und Web-basierte Anwendungen für Password-Reset-Self-Services sind daher von Vorteil. Sie steigern die Performance der Mitarbeiter, da diese nicht lange auf ihr neues Passwort warten müssen. Zudem reduzieren sie die Kosten und den Administrationsaufwand des Helpdesks. Statistische Erhebungen in Unternehmen zeigen, dass jeder dritte Anruf beim Helpdesk dem Zurücksetzen von Passwörtern zuzuordnen ist.
Die Benutzer-Self-Services gehen heute bereits so weit, dass die Funktionen einfach über Unternehmensportale genutzt werden können. Per Knopfdruck kann ein Mitarbeiter dann vom Büromaterial über den PC bis hin zum Berechtigungszugriff auf erforderliche Systeme und Anwendungen einfach eine Bestellung auslösen.
8. Re-Zertifizierung
Personelle oder strukturelle Änderungen im Unternehmen beeinflussen ständig die Zugriffsberechtigungen der Mitarbeiter auf Informationen. Dies erfordert die kontinuierliche Prüfung und Aktualisierung bestehender Berechtigungsstrukturen. Diesen Prozess – regelmässig eine derartige Attestierung vorzunehmen – bezeichnet man als Re-Zertifizierung. Dabei werden in festgelegten Zeitabständen bereits einmal attestierte beziehungsweise genehmigte Berechtigungen neu bestätigt. Dies erfolgt auf Bereichsleiter- beziehungsweise Management-Ebene und wird in einem Zertifizierungsprozess durch die IT umgesetzt.
9. Notwendige Funktionstrennung
Funktionstrennung oder auch bekannt als «Segregation-of-Duties» ist ein weiterer Garant für erfolgreiche IAM-Projekte. Es gilt, sich auszuschliessende Berechtigungsvergaben für Mitarbeiter auf Rollenebene zu beseitigen. Im Bereich der Banken beispielsweise bedeutet dies, dass Mitarbeiter keine Berechtigungen besitzen dürfen, die sowohl in Markt als auch in Marktfolge Zugriffe erlauben. Ein Beispiel wäre die Annahme und Freigabe eines Kreditantrages durch ein und dieselbe Person.
10. Brücke zwischen Business und IT
Heute ist es wichtig, die Mitarbeiter über ihre Aufgabe und Rolle im Unternehmen in einem ganzheitlichen Lebenszyklus zu betrachten und zu administrieren. Vom Managen reiner technischer Berechtigungen haben sich IAM-Lösungen weit entfernt. Sie müssen viel stärker geschäftsprozessorientiert und über businessorientierte Rollen in die komplexen Unternehmensstrukturen eingebunden werden. Sie müssen kurz gesagt die Brücke zwischen Business und IT schlagen.
Unternehmen müssen sehr flexibel mit Veränderungen umgehen können. Merger und Akquisitionen fordern ihnen und ihrer IT ein hohes Mass an Agilität ab. Jene Anwender, die heute schon gut gerüstet sind, haben den bes-ten Wettbewerbsvorteil in der Zukunft.