Ohne Identitäts-Management keine Compliance
Artikel erschienen in Swiss IT Magazine 2006/01
Wer Dokumente und Änderungen an ihnen verfolgen will, muss auch mit Sicherheit wissen, wer wann was an den Datensätzen gearbeitet hat. Damit kommt dem Identity und Access Management (IAM) bei der Erfüllung von Compliance-Anforderungen eine zentrale Rolle zu. Kaum ein grösseres Unternehmen, das sich darum heute nicht mit dem Thema beschäftigt, und auch international tätige KMU kommen in Zugzwang. Aber nicht nur die gegenwärtige Regulierungswelle, auch Kosteneinsparungen durch eine zentrale Verwaltung und Synchronisierung von digitalen Identitäten, Nutzungs- und Zugangsberechtigungen sowie der Wunsch, endlich von der User-ID/Passwort-Authentifizierung wegzukommen, veranlassen derzeit viele Unternehmen dazu, eine IAM-Infrastruktur zu implementieren.
Kein Wunder also, dass der Anbietermarkt derzeit in Bewegung ist wie kaum ein zweites Software-Segment (siehe Tabelle Seite 32). Die grossen Business-Software-Hersteller stehen unter dem Druck, ihre Angebote zu vervollständigen, denn IAM wird immer mehr zu einer zentralen Grundlage des gesamten IT-Managements und insbesondere der Security.
Stefan Wengi, CTO des Zürcher Softwarehauses AdNovum Informatik, sieht IAM denn auch als mögliche Plattform-Grundlage, auf der in Zukunft die ganze IT eines Unternehmens aufsetzen könnte. Das IAM würde dann die gesamte produktive Systemlandschaft widerspiegeln und dabei nicht nur menschliche Benutzeridentitäten verwalten, sondern auch das Inventar und die Berechtigungen aller Rechner, Applikationen, Zertifikate und Services enthalten. Ein solcher integraler Ansatz wäre vor allem auch aus sicherheitstechnischen Überlegungen sinnvoll, ist Wengi überzeugt.
Wichtig sei aber vor allem auch, dass man IAM in erster Linie als Prozess- und Organisationsprojekt verstehe und nicht bloss als Technologieprojekt mit Produkteschwergewicht, präzisiert Philipp Färber, Sicherheitsexperte bei AdNovum. Erst müssen in einem Unternehmen die Rollen und Prozesse sauber definiert sein. Dies ist häufig kein triviales Unterfangen, da praktisch alle Organisationseinheiten und Mitarbeiter betroffen sind und sich vielfach dabei auch die Verantwortlichkeiten ändern.
Erst wenn diese Prozess- und Organisationsebene sauber definiert ist, macht die Implementation eines technischen Systems Sinn. Heute steht laut Färber bei vielen Firmen die Anbindung von HR-Systemen (Human Resources) im Vordergrund, damit Ein- und Austritte in Echtzeit mit den Nutzerberechtigungen synchronisiert werden können.
Eine der anspruchsvollsten Aufgaben innerhalb eines IAM-Projektes ist die Bestimmung der einzelnen Unternehmensrollen. Diese müssen relativ grob definiert werden, damit das System auch skaliert. Zudem muss heute oft ein gemischter Weg mit Unternehmensrollen und integrierten applikationsspezifischen Gruppenhierarchien begangen werden, weil viele ältere Applikationen kein Rollenkonzept enthalten.
Aber nicht nur die Projekte selber sind anspruchsvoll, auch
bei der Tool-Auswahl gilt es einiges zu beachten. Das Finden des oder der geeigneten Identity- und Access-Management-Tools (IAM) ist alles andere als einfach. Aus den Angaben der Hersteller lassen sich jedenfalls kaum entscheidende Unterschiede herauslesen: Alle können alles und das auch noch perfekt. Dies entspricht aber keinesfalls der Realität, wie Wengi aus eigener Erfahrung weiss.
Vor allem die Sicherheit ist in den IAM-Systemen recht unterschiedlich implementiert. Bei einigen merke man, dass erst im nachhinein eine Security-Schicht über sie gelegt worden sei, so Wengi. Für die Produkte-Auswahl sollten darum einige sicherheitsrelevante Punkte abgeklärt werden:
Wie funktioniert die Administratoren-Authentifizierung und wie sind die entsprechenden Verbindungen geschützt? Bietet das System Möglichkeiten zu einer starken Authentifizierung und Verschlüsselung?
Wie sicher werden die Passwörter gespeichert?
Welche Privilegien erhält das IAM in Drittsystemen wie SAP oder Siebel? Wie sind diese Systeme an das IAM angebunden?
Verwendet der Anbieter ein zentrales Modell mit einer zentralen Datenbank oder einen föderalen Ansatz.
Zu diesen IAM-spezifischen Punkten kommen für Wengi weitere grundlegende Software-Auswahlkriterien dazu. So ist für ihn ein Hersteller, der konsequent auf offene Standards setzt, einer proprietären Lösung vor allem aus Gründen des Investitionsschutzes klar vorzuziehen. Auch sollte man sich über die Lizenzpolitik und die Zuverlässigkeit des Anbieters kundig machen, wenn man keine unschönen Überraschungen erleben will.
IAM-Anbieter: Ein Markt in Bewegung