Bei der Entwicklung und Einführung einer umfassenden Strategie für Identitäts- und Zugriffsmanagement (Identity and Access Management; IAM) sind zu erwartende Kosteneinsparungen sicher eine wesentliche Triebfeder. Doch auch andere Gründe spielen eine wichtige Rolle. Besonders hervorzuheben sind erhöhte Sicherheitsrisiken, die zuverlässige Verwaltung von Zugriffsmechanismen und gesetzliche Regulierungen wie Sarbanes-Oxley und EU DPD 1998.
Die Investition in IAM ist also kein Luxus für Unternehmen, die es sich leisten können, sondern oft zwingend erforderlich. Allein die juristische Haftbarkeit bei etwaiger Nichterfüllung dieser Vorschriften ist Rechtfertigung genug für entsprechende Ausgaben.
IAM ist komplex – komplexer als die meisten anderen IT-Projekte, da gleichzeitig nahezu alle Unternehmensorgane und Prozesse betroffen sind. Deshalb ist es für die Umsetzung einer IAM-Strategie essentiell, dass die Entscheidungsträger das Projekt unvoreingenommen unterstützen.
Tatsächlich war genau das Fehlen dieser Unterstützung in der Vergangenheit einer der Hauptgründe, dass IAM-Projekte fehlschlugen. Heikel sind auch voreilige Versuche, IAM-Technologien zu implementieren, ohne deren Auswirkungen auf das Kerngeschäft und die Unternehmensprozesse zu verstehen. Eine überstürzte Einführung lässt sich auch bei dringendem Bedarf nicht rechtfertigen.
Bezüglich der IAM-Strategie ist eine klare Vorstellung vom erwarteten geschäftlichen Nutzen erforderlich. Im Idealfall werden die IAM-Ziele sowohl von den technisch Verantwortlichen als auch von den Entscheidungsträgern der Geschäftsleitung definiert. Gleichzeitig müssen zukünftige Veränderungen berücksichtigt werden, die auf technischer Ebene oder im Management aufgrund externer Herausforderungen entstehen können. Wer ausschliesslich auf Gewinnmaximierung zielt, handelt gefährlich, riskiert Fehlschläge und macht das an sich schon schwierige Themengebiet nur noch komplexer. Es gilt also, die richtige Balance aller möglichen Vorteile (Benefits) für das Unternehmen herzustellen, ohne die eigentliche Lösung zu verkomplizieren.
Die Priorisierung von Zielen bietet eine gute Möglichkeit, um diese Balance zu schaffen. Dabei wird die verfolgte Strategie in kleine, übersichtliche Phasen zerlegt, die jeweils für sich schon konkrete Ergebnisse liefern. Die in kurzer Zeit und mit geringen Kosten erreichten Resultate sorgen für neuen Schwung und bekräftigen die Unterstützung des Managements. Alle mit einem gewissen Risiko behafteten Bereiche sollten dabei schon zu Beginn angegangen werden.
Häufig genannte Unternehmensziele lassen sich durch Implementierung einer IAM-Strategie erreichen:
• Kostenreduktion: Durch die Eliminierung redundanter Verzeichnisse bei gleichzeitiger Rationalisierung der administrativen Aufgaben wird der Zeitaufwand zur Verwaltung von Identitäten an vielen verschiedenen Speicherorten reduziert. Diese Reduzierung der Benutzerkonten für verschiedene Systeme senkt gleichzeitig die Anzahl der Helpdesk-Anrufe und damit Kosten. Die Zufriedenheit der Anwender steigt.
• Erhöhung der Sicherheit: Durch automatisiertes Entfernen von Zugriffsberechtigungen und nicht mehr genutzten Benutzerkonten (Deprovisioning) wird Missbrauch vorgebeugt: Der Zugriff auf Ressourcen ist nur so lange möglich, wie er tatsächlich benötigt wird.
• Verbesserung der Zugriffsverwaltung: Durch eine rollenbasierte Zugriffskontrolle wird sichergestellt, dass die Benutzer zur richtigen Zeit und in korrektem Umfang alle notwendigen Berechtigungen besitzen. Jedem Benutzer werden jeweils bestimmte Rollen zugeordnet, wobei jede Rolle einem Satz einheitlich definierter Zugriffsberechtigungen entspricht.
• Einhaltung der Vorschriften: Durch die Implementierung effizienter Kontrollmechanismen einschliesslich der vollen Historisierung aller Vorgänge werden alle behördlichen Auflagen bezüglich der Identität von Personen erfüllt.
Deutlichen Mehrwert kann jedes Unternehmen erzielen, das Infrastruktur und Prozesse der IAM-Strategie auf einer zuverlässigen Plattform aufbaut und gleichzeitig die zentralen geschäftlichen Herausforderungen annimmt. Dieser Mehrwert zeigt sich primär in einer Kostenreduktion durch Effizienzsteigerung, Konsolidierung und weniger Helpdesk-Anrufe, verringertes Sicherheitsrisiko, Einhaltung gesetzlicher Auflagen und besseren Informationszugriff.
Verzeichnisdienste (Directory Services) als Hauptspeicherort für Identitäten liefern zentrale Funktionalitäten für die Zugriffssteuerung und bilden somit das wichtigste Fundament für ein effizientes Identity Lifecycle und Access Management. Oft wurden die Verzeichnisdienste zur Unterstützung spezifischer Anwendungen ohne einheitliches Konzept quasi ad hoc installiert, was zu einem «Verzeichnis-Dschungel» führte. Meta Directories sollen Abhilfe schaffen: Daten aus verschiedenen Quellen werden zentral verarbeitet und an andere Verzeichnisse weitergegeben (Synchronisation).
Signifikanter Schwachpunkt dieser Vorgehensweise ist jedoch deren starke Abhängigkeit von den Datenlieferanten. Sind diese nicht in der Lage, Daten in hoher Qualität und über effiziente, zuverlässige Mechanismen an das Meta Directory zu liefern, kann dieses auch keinen Mehrwert generieren.
Um einen gangbaren Weg zu finden, muss in einem ersten Schritt mittels umfassender Datenerhebung aller Directories festgestellt werden, wer der Datenlieferant (Data Supplier) welcher Daten ist und welche Systeme oder Geschäftseinheiten diese Daten als Kunden (Data Customer) beziehen. Positiver Nebeneffekt dieser Datenerhebung: Überflüssige Directories können erkannt und in naher Zukunft abgeschaltet werden, was zusätzliche Kosteneinsparungen bringt.
Ausserdem wird der Servicegedanke institutionalisiert. Das heisst, sowohl Lieferanten als auch Kunden der Daten werden offiziell benannt und erkennen den formellen Rahmen ihrer Beziehung an. In entsprechenden Vereinbarungen wird festgehalten, welche Daten zu welchem Zeitpunkt in welcher Qualität an das Meta Directory geliefert oder von dort bezogen werden. Diese Formalisierung bietet den zusätzlichen Vorteil, dass etwaige Änderungen der Datenlieferung früh genug kommuniziert und entsprechende Massnahmen vorbereitet werden können. Früher führten unerwartete Änderungen nicht selten zu Serviceausfällen, die fast alle Datenkunden betrafen. Jetzt sind die Stakeholders bekannt und die Lieferbeziehungen formal geregelt.
Der Ansatz Data Supplier/Data Customer führt also zu einer Steigerung der Datenqualität, einer Steigerung der Effizienz, der Optimierung von Synchronisationswegen und zum Wegfall überflüssiger Directories. Da das zentrale Verzeichnis über alle Daten verfügt, lässt es sich auch um zusätzliche Dienste wie etwa einen zentralen User Self Service ergänzen. Und Zentralisierung ermöglicht die höchsten Kosteneinsparungen: Je mehr Dienste zentral zur Verfügung stehen, desto günstiger und effizienter können sie angeboten werden.
IAM-Projekte erfordern Efforts von IT und Business
Kai Kaufholz arbeitet als Senior Principal Consultant bei Avanade, einem Joint Venture von Accenture und Microsoft.
