Fachbeiträge
Identitäten & Zugriffsrechte systematisch vergeben: So klappt’s mit der Implementierung
von Florian Probst
Gute Planung ist schon der halbe Erfolg. Das gilt auch für die Einführung eines Identity- und Access-Managements (IAM). Eine fundierte Analyse der Anforderungen im Unternehmen vor dem Start des Projekts ist wichtig. Aber das allein reicht nicht. Florian Probst, Experte für Identity- und Access-Management bei TÜV Rheinland, hat zehn Tipps, wie die Einführung eines IAM die Organisation agiler und effizienter macht.
Inhaltsübersicht:
- IAM – was ist das?
- Zehn Tipps: Wie sollte man bei der Einführung eines IAM am besten vorgehen?
- Fazit
Das systematische Management von digitalen Identitäten und Zugriffsrechten, das Identity- und Access-Management (IAM), ist keineswegs neu. Aber seitdem IT-Landschaften ständig komplexer und heterogener werden und sowohl BYOD („Bring Your Own Device“) und Cloud-Services die Unternehmens-Perimeter-Sicherheit immer stärker aufweichen, gewinnt IAM noch mehr an Bedeutung. Denn der Bedarf an die Berechtigungsvergabe und der damit verbundene Pflegeaufwand nehmen ständig zu.
IAM – was ist das?
Ein flexibel aufgestelltes IAM ist sinnvoll für alle Organisationen, die dynamische Geschäftsprozesse und Organisationsstrukturen produktiv abbilden wollen und Mitarbeiter, Geschäftspartner und Kunden einzubinden haben. Ziel des IAM ist es, Anwendungs- und Netzwerksicherheit aktiv zu steuern – unter anderem, indem sich Identitäten dynamisch pflegen und Berechtigungen automatisch provisionieren lassen. Berechtigungsvergaben und Rezertifizierungen sind so jederzeit transparent nachvollziehbar.
Sie profitieren von der Prozessautomatisierung ebenso wie von der schnellen Benutzeranlage und der flexiblen Berechtigungsvergabe. Das Ergebnis sind eine erhöhte Agilität und Effizienz der Organisation, die sich in echten Wettbewerbsvorteilen manifestieren kann.
Ein IAM beinhaltet folgende Funktionen:
- Identity Management (IDM): Verwaltung von Identitäten, Rollen und Berechtigungen von in der Regel natürlichen Personen
- Privileged Identity Management (PIM): Verwaltung von privilegierten Benutzer-Accounts, häufig nicht-personalisiert (Administrator-Accounts)
- Access Management (AM): Befasst sich mit der Authentisierung (z.B. per Passwort) und der Autorisierung (anhand von Rollen/Berechtigungen) von Benutzern
Zehn Tipps: Wie sollte man bei der Einführung eines IAM am besten vorgehen?
1. Tipp: Unternehmen sollten ausreichend Zeit für die Analyse einplanen.
Was soll das IAM leisten, welche Anforderungen sind zu definieren, welche Schnittstellen sind zu berücksichtigen, welche technologischen Erfordernisse gibt es innerhalb des Unternehmens? Ist das Unternehmen überhaupt bereit für die Einführung eines IAM? Wer das erforderliche Know-how nicht im Hause hat, holt sich am besten externe Unterstützung. Selbstgestrickte Lösungen sind am Ende immer teurer als professionelle Kompetenz.
2. Tipp: Ein Projektteam gründen, Verantwortlichkeiten und Rollen definieren.
Da ein IAM-Projekt Schnittstellen zu vielen anderen IT-Systemen in der Organisation hat, ist es umso wichtiger, alle Stakeholder zu identifizieren und sie mit ins Boot zu holen. Wer seine Mitspieler kennt, kann besser entscheiden, welche Strategie die richtige ist – und wie sich auch Projektgegner überzeugen lassen. Ideal ist, wenn dem Projektteam im Unternehmen neben den IT-Fachleuten auch Mitarbeiter aus dem operativen Business angehören, die sich mit den Prozessen im Hause auskennen.
3. Tipp: Datenlage bereinigen.
Vor der Migration sollte die Organisation alle bestehenden Benutzerkonten den Beschäftigten im Unternehmen zuordnen, nicht mehr relevante Accounts löschen und Dateninkonsistenzen zwischen verschiedenen Systemen beheben (User-ID-Konsolidierung). So ist sichergestellt, dass die Mitarbeiter nur Zugriffsrechte auf Systeme haben, die sie tatsächlich benötigen und auch wirklich haben dürfen. Ist eine Zuordnung nicht möglich, gilt es die „Datenleiche“ kritisch zu prüfen, die Berechtigungen zu entziehen und damit den Zugriff auf vertrauliche Informationen unmittelbar zu unterbrechen. Das Unternehmen bereinigt so seine Datenlage und spart Geld, weil nicht benötigte Lizenzen gekündigt werden können. Nicht nur vor der Einführung des IAM, sondern auch im laufenden Betrieb sollte die Datenbasis ohnehin regelmäßig bereinigt werden, um unkalkulierbare Sicherheitsrisiken für die Organisation zu vermeiden.
4. Tipp: Die richtige Unterstützung finden.
Ist intern kein IAM-Know-how verfügbar, sollte sich die Organisation externe Fachleute ins Haus holen. Das Beratungshaus sollte die Branche des Auftraggebers verstehen und über Erfahrung mit IAM-Projekten unterschiedlichster Größenordnung verfügen. Auch angegebene Referenzen sollten Auftraggeber ruhig überprüfen. Wichtig ist, dass das IAM-Beratungshaus das Unternehmen von der Analyse über die Konzeption bis zur Produktauswahl und Implementierung begleiten kann. Es sollte bei Bedarf die Projektleitung übernehmen können und den Auftraggeber mit einem festen Mitarbeiterstamm über das gesamte Projekt hinweg unterstützen. Der Auftraggeber sollte vor der Vergabe prüfen, ob die Herangehensweise der Berater dem eigenen Vorgehensmodell entspricht und ob die zukünftigen internen und externen Projektmitarbeiter auch auf der kommunikativen Ebene gut zusammenpassen.
5. Tipp: Konzipieren, planen, kontrollieren.
Ein IAM-Projekt unterscheidet sich nicht von anderen komplexen IT-Projekten. Das heißt, es bedarf eines Konzepts, das den Rahmen und die Ziele definiert, aber auch einem straffen Controlling unterliegt. Im Konzept sollte die Ist-Situation im Unternehmen auch dann berücksichtigt werden, wenn noch gar kein IAM im Einsatz ist, denn auch dann wurden zu diesem Zeitpunkt bereits digitale Identitäten verwaltet, Berechtigungen vergeben bzw. ist die Zustimmung eines Verantwortlichen einzuholen, bevor eine Berechtigung vergeben werden kann. Eine vorhandene Dokumentation ist hierbei hilfreich.
6. Tipp: Testsystem einrichten.
Ein IAM-Projekt ist nicht zu unterschätzen. Sind Analyse und Konzept erstellt, kann die Umsetzung beginnen. Allerdings sollte man bei großen und hochanpassbaren Systemen nicht dem immer noch verbreiteten Irrtum aufsitzen, dass es mit „ein bisschen Konfigurieren“ bereits getan sei. Zu empfehlen ist, dass neben dem Produktionssystem auch ein produktionsnahes Testsystem zur Verfügung steht. Hier können mögliche Anpassungen durchgespielt werden, bevor es in die eigentliche heikle Phase, das Migrieren der Systeme und der Daten, geht. Diese Phase sollte besonders sorgfältig vorbereitet sein, denn eine Inkonsistenz von Daten kann je nach Größe der Organisation gleich mehrere hunderte oder gar tausende von Benutzern betreffen und damit kostenträchtige Produktivitätsverluste und Frustration bei den Mitarbeitern erzeugen. Dies gilt übrigens ebenso für die Arbeit in der Testumgebung, da das IAM mit zahlreichen anderen Testsystemen Daten austauscht. Eine fehlerhafte Datenbasis kann hier ebenfalls zum Misserfolg angrenzender Test-Projekte führen.
7. Tipp: Schrittweise vorgehen.
Wie in vielen IT-Projekten ist es empfehlenswert, nicht in einem Schritt den großen Wurf anzugehen, sondern im Projektverlauf iterativ vorzugehen, da sonst zeitliche Verzögerungen und erhöhter Aufwand vorprogrammiert sind. Beispielsweise sollten zuerst nur einige wenige wichtige Systeme angebunden und damit automatisiert werden. Mit diesen Erfahrungen lassen sich weitere Arbeitspakete viel besser in Angriff nehmen. Wesentlich für den Erfolg des Projektes ist es auch, andere Projekte, die schon laufen oder in Zukunft geplant sind, zu berücksichtigten, damit keine unvorhergesehenen Abhängigkeiten zu Konflikten führen.
8. Tipp: Prozesse sauber definieren.
Die erforderlichen Prozesse für die Verwaltung von Benutzern und Berechtigungen sollten sauber definiert und aufeinander abgestimmt sein. Wichtig ist, hier auch auf Vollständigkeit zu achten. Erfahrungsgemäß passiert es leicht, dass bestimmte vom Standard abweichende Eigenschaften von Benutzergruppen (z.B. Azubis, Externe) übersehen werden und diese dann durch das Raster fallen (z.B. beim Wechsel von einer Organisationseinheit zu einer anderen).
9. Tipp: Automatisierung und Standardisierung auch nach der Implementierung großschreiben.
Der Anteil manueller Benutzerverwaltung sollte so niedrig wie möglich sein, auch um Identitäts-Doubletten oder unterschiedliche Gültigkeitszeiträume zu vermeiden. Erfahrungsgemäß sind bis zu 80 Prozent der Routineaufgaben mit vernünftigem Aufwand automatisierbar.
10. Tipp: Auch die Re-Zertifizierung planen.
Zugriffsberechtigungen sind nicht für die Ewigkeit gemacht, sondern müssen regelmäßig überprüft werden - auch dies lässt sich mit einem IAM professionell über eine Standardisierung und Automatisierung von festgelegten Zeiträumen planen.
Fazit
Ein IAM ist innerhalb der IT-Infrastruktur ein wichtiges Instrument, um Geschäftsprozesse und Projekte dynamischen Anforderungen wirklich effektiv anzupassen. Effizientes und flexibles IAM wird damit auch für das einzelne Unternehmen zu einem echten Wettbewerbsvorteil, denn bei Projektdurchführungen oder Restrukturierungen ist eine deutlich schnellere Anpassung von Berechtigungen möglich. Das Sicherheitsniveau steigt, der Produktivitäts- und Effizienzgewinn des Einzelnen zahlt sich aus – durch eine höhere Flexibilität und Dynamik der gesamten Organisation am Markt.
Diese Artikel könnten Sie auch interessieren
Fachbeitrag IT-Sicherheit
7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation
Fachbeitrag IT-Sicherheit
IT-Sicherheit - auch im Homeoffice
Titelthema Gesetzgebung
Datensicherheit als Grundlage für Wissensmanagement
von Peter Böhret
Titelthema Gesetzgebung
Wissenstransfer als Schlüssel zur Datensicherheit
von Kurt-Jürgen Jacobs, Bernhard Schieß
Titelthema Gesetzgebung
Transparenz und Wissensdatenbank: Der Marktplatz IT-Sicherheit
von Dustin Pawlitzek, Sebastian Spooren