IAM als »One-stop-Shop«: Das bessere Berechtigungsmanagement

bild vero certus IAMIdentity und Access Management ist leichter gesagt als getan – erst recht in Zeiten, in denen die Risiken immer größer und unüberschaubarer werden. Dass etwas getan werden muss, steht dabei außer Frage. Viel zu tief sind schließlich die Wunden der jüngsten Vergangenheit, wo sich kriminelle Täter Zugang zu geheimen Daten verschafft haben – etwa in Fällen wie RSA und Lockheed Martin. Insbesondere die zunehmende Nutzung von Cloud-Diensten stellt erfahrene IAM Spezialisten vor große Herausforderungen, muss doch eine täglich wachsende Vielzahl an Services eingebunden werden. Welche Lösungsansätze versprechen hierbei eine (daten-)sichere Zukunft? Und: Gibt es sie überhaupt, die »(daten-)sichere Zukunft«? Wie können sich Unternehmen wirksam gegen Angreifer wehren?

Proaktiv handeln

Die Sicherstellung der Vertraulichkeit und Integrität von Daten fängt nicht zuletzt damit an, den Zugriff auf Daten in Abhängigkeit ihres Schutzbedarfes zu regeln – und zwar proaktiv! Dazu braucht es eine Klassifizierung der Daten und klare Zuordnungen der Verantwortlichkeiten für diese Daten. Erfahrungsgemäß obliegt das dem Fachbereich und nicht der IT. Deshalb ist es naheliegend, dass die IT dem Fachbereich Werkzeuge zur Verfügung stellt, die einerseits bei der Klassifizierung der Daten unterstützen, aber auch den Antrags- und Genehmigungsprozess für den Zugriff auf diese Daten so abbilden, das man kein IT-Experte sein muss. Ganz im Gegenteil: Der Projektleiter eines Automobilherstellers muss seinem Team aus internen und externen Mitarbeitern zur Entwicklung eines neuen Modells die Möglichkeit bieten, die für ihre Arbeit notwendigen Datenzugriffe selbst zu beantragen, ohne dass sie wochenlang damit beschäftigt sind herauszufinden, welche Zugriffsrechte sie eigentlich brauchen, wer dafür zuständig ist und wer das genehmigen muss.

Scope-Cut statt Scope-Creep

Wer sich an der Planung, Konzeption und Implementierung eines Identity-Management-Werkzeugs versucht hat, kennt die Probleme ebenso wie Anwender und Betreiber der Lösung: Die beste Planung und Vorbereitung wird durch den stetigen Wandel der Organisation konterkariert. So mussten etwa Anwender der ersten Stunde leidvoll erfahren, dass ein anfänglich überschaubar anmutendes Projekt zur Automatisierung der Vergabe von Berechtigungen binnen kürzester Zeit zu einem Multi-Projekt-Moloch epischen Ausmaßes anschwoll. Einfache Antragsprozesse für Anwender, Vorgesetzte, Fachpersonal und Führungskräfte sollen gleichermaßen abgebildet werden. Hinzukommen neue Anforderungen, wie etwa nicht nur Identitäten und Konten zu erstellen, sondern diese auch fein-granular mit Berechtigungen zu versehen, sowie regelmäßig im Rahmen einer Re-Zertifizierung zu prüfen, Abweichungen vom SOLL kenntlich zu machen und automatisch beheben zu lassen. Die Folge: Ein harter Scope-Cut, der die Erwartungen der Fachbereiche unerfüllt lässt und somit den Boden für mangelnde Akzeptanz ebnet und letztlich wieder dazu führt, das Berechtigungen über klassische Ticketsysteme beantragt und manuell administriert werden. Das genügt heutigen regulatorischen Anforderungen in keinster Weise und ebnet Tür und Tor für unautorisierte Datenzugriffe. By the way: Da hilft auch die beste Verschlüsselung nichts, wenn sich der Eindringling auf diese Weise Zugriff verschafft.

Core IAM jetzt – Erweiterungen später

Mit Hilfe der Erfahrungen aus 20 Jahren Identity & Access Management ist eine Implementierung heute nicht einfacher als damals – eine Abgrenzung lässt sich jedoch durch die Etablierung agiler Entwicklungsmethoden und die Fokussierung auf Kernfunktionen leichter durchsetzen. Unter Nutzung von vorkonfektionierten Standardkonnektoren für SAP, ActiveDirectory, Datenbanken und Personalsystemen können binnen kurzer Zeit funktionale IAM-Kernsysteme produktiv laufen. Mittels geschickt angepasster, ebenfalls vorgefertigter Regelwerke und der dynamischen Einbindung tagesaktueller Organigramm-Informationen und Abwesenheitsprüfungen durch Exchange Crawling, lassen sich sowohl eine hohe Akzeptanz als auch eine hohe Nutzungsfrequenz von Anfang an erreichen.

Essenzieller Erfolgsfaktor bei der Planung der IAM-Systeme ist es, die Kernsysteme mit zielgruppenorientiertem Self Services zu ergänzen. Ein Ingenieur eines Fahrzeugprojektes wird sich leicht damit tun, Zugriffe auf die Projektdaten zu beantragen, wenn er das in einem Web Shop-System tun kann, in dem er sein Projekt und die entsprechenden Baugruppen für das Fahrzeug findet, auf die er Zugriff benötigt. Die Dateneigentümer haben ihrerseits die Möglichkeit, die Zugriffsberechtigungen im Servicekatalog des Web Shops zu publizieren und zu definieren, wer im Falle eines Antrags genehmigen muss.

One-Stop Shops moderner IAM 2.0 Lösungen bieten darüber hinaus die Möglichkeit, Access Governance Prozesse, wie Funktionstrennungsprüfungen (SoD) oder die Re-Zertifizierung bestehender Berechtigungen, abzubilden. »Think big, start small« heißt hier die Devise: Der Servicekatalog des Web Shops und die damit verbundenen Prozesse können sukzessive nach Inbetriebnahme des IAM-Kernsystems ausgebaut werden.

Cloud-Anbindung einfacher als gedacht

Als generell neue Anforderung haben die »off-premise« gehosteten Anwendungen der Software-as-a-Service-Anbieter Einzug in die Lastenhefte der IAM Spezialisten gehalten. Erste erfolglose Ansätze wie SPML (Service Provisioning Markup Language) sind heute durch schlankere Protokolle wie SCIM (Simple Cloud Identity Management) oder OpenID Connect ersetzt worden. Zusammen mit OAuth und User Managed Access (UMA) bieten die aktuellen Versionen der Anbieter wie ForgeRock, Gluu, und Okta heute schon ein breites Spektrum an Optionen für die Cloud und die Nutzung von SaaS. Auch hier ist die Integration in die bestehende IAM-Prozesslandschaft eine oft vernachlässigte Herausforderung. Dabei ist die Einbindung dieser Berechtigungsstrukturen in einen One-Stop-Shop oft technisch einfacher realisierbar, als bei der ein oder anderen Legacy-Anwendung, die im hauseigenen Rechenzentrum ihren Dienst tut.

Fazit

Um den wachsenden Risiken zu begegnen sind neue, zukunftsweisende Konzepte gefragt. Eine wesentliche Voraussetzung für die Einbindung etwaiger IT ist und bleibt die Einbeziehung der Mitarbeiter und die gemeinsame Gestaltung funktionierender Prozesse. Mit Hilfe moderne Ansätze, wie etwa One-Stop-Shops können Access-Governance-Prozesse, wie Funktionstrennungsprüfungen (SoD) oder die Re-Zertifizierung bestehender Berechtigungen vergleichsweise einfach abgebildet werden. Welchen Lösungsansatz ein Unternehmen auch favorisiert: Unterm Strich sollte die Lösung erweiterbar sein und für die Risiken von morgen vorbereitet werden können.

Stefan Schaffner

___________________________________

Stefan Schaffner, CEO, Vero Certus GmbH

 

Weitere Artikel zu