Mit IDM in eine Zukunft ohne Passwort

Identity Management (IDM) steht für die zentrale Verwaltung und Synchronisierung von Identitäten digitaler Nutzer inklusive Passwörtern und Zugriffsrechten. Wie vieles in der IT wurde auch diese Problematik bereits vor dem Aufkommen des Buzzword adressiert. Zum Beispiel hat man IDM als Enabler für Single Sign-on eingesetzt. Neben der Zentralisierung der Benutzeradministration zählen der Kostendruck, die Nachvollziehbarkeit von Mutationen auf Zugriffsrechte, gestiegene Sicherheitsanforderungen, regulatorische Bestimmungen und unternehmensübergreifende Informationsnutzung (Federated Identities) zu den Treibern. Insbesondere den Sicherheitsanforderungen, die integraler Bestandteil jedes IDM sein sollten, wird dabei meist zu wenig Gewicht beigemessen. Sicherheit muss gleichzeitig auf zwei Ebenen angegangen werden: im eigentlichen IDM-System als neuralgischem Angriffspunkt und in der unternehmensweiten Sicherheits-Architektur.

Die Einführung eines zentralen IDM geht deshalb mit der Überarbeitung oder der Definition von Prozessen einher wie etwa mit der Vergabe von Zugriffsberechtigungen. Ein weiterer Schwerpunkt ist die Integration bestehender Systeme. All das sowie die Komplexität bestehender Systemlandschaften führen dazu, dass der Aufwand für den Aufbau eines IDM beträchtlich ist. Die Erfolgsfaktoren eines IDM-Projekts sind demgegenüber rasch aufgezählt:

Die «weichen» Faktoren zuerst:

• Meist sind viele verschiedene Organisationseinheiten und Personen betroffen. Damit die Zusammenarbeit klappt und dem Unterfangen gebührend Priorität beigemessen wird, muss das Projekt vom obersten Management getragen werden.

• Der Projektleiter sollte nicht nur ein vertieftes technisches Security- und IT-Architektur-Know-how haben, sondern gleichzeitig über ausserordentliche Kommunikations- und Integrationsfähigkeiten sowie Durchsetzungskraft verfügen.

Hinzu kommen die harten Faktoren:

• Damit Stammdaten automatisch übernommen werden können, ist eine Anbindung an das HR-System anzustreben, um Ein- und vor allem Austritte erkennen zu können.

• Die Integration von bestehenden Systemen und Sicherheitskonzepten muss Projektbestandteil sein.

• Damit ein IDM-System zum Baustein einer
zukunftsgerichteten Gesamtarchitektur werden kann, sollte es als fixer Bestandteil der «Security Service Architektur» positioniert werden; beispielsweise mit der Anbindung an bestehende Directories oder Authentisierungsdienste.
Bereits heute kann man neben Benutzeridentitäten auch jene von Rechnern, Applikationen und Services verwalten. Denkt man das Konzept weiter, könnte sich IDM in Zukunft zu einem ganzheitlichen Informationssystem entwickeln, das die produktive Systemlandschaft widerspiegelt und das etwa das heute weit verbreitete Führen von relevanten Informationen in Spreadsheets überflüssig macht.

Die meisten verfügbaren IDM-Produkte befassen sich aber noch vorwiegend mit der Synchronisation von Passwörtern. Innovative Ansätze gehen jedoch darüber hinaus. Passwörter sollen künftig nicht mehr synchronisiert, sondern abgeschafft und durch eine Authentisierung auf der Basis von «Security Hardware Token» ersetzt werden. IDM kann sich dann auf seine zentralen Aufgaben konzentrieren, nämlich Identitäten zu verwalten und Zugriffsrechte zu vergeben.