PDF (158 KB) - Röckle IT-Sicherheit GmbH
PDF (158 KB) - Röckle IT-Sicherheit GmbH
PDF (158 KB) - Röckle IT-Sicherheit GmbH
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Who is who? Erfolgsfaktoren im Identitäts- und<br />
Berechtigungsmanagement<br />
erschienen in: – Die Zeitschrift für Informations-<br />
<strong>Sicherheit</strong>, Ausgabe 2003 # 3, Seite 59<br />
Management und Wissen<br />
Berechtigungsmanagement<br />
Von Haio <strong>Röckle</strong>, Bochum, und Gerhard Schimpf, Pforzheim<br />
E-Business, externe Benutzerkreise,<br />
Unternehmenskooperationen und Forderungen nach Return on<br />
Investment stellen neue Ansprüche an das Identitäts- und<br />
Berechtigungsmanagement. Eine umfassende und<br />
problemorientierte Infrastruktur, die auch die Befindlichkeiten<br />
der Beteiligten berücksichtigt, verspricht jedoch nicht nur<br />
verfahrenstechnische Verbesserungen, sondern auch eine<br />
Unterstützung der Geschäftsziele und bessere<br />
Revisionsmöglichkeiten.<br />
Das Management von <strong>IT</strong>-Identitäten und -Berechtigungen auf den<br />
Plattformen heterogener Systemwelten spielt eine wichtige Rolle für einen<br />
effektiven <strong>IT</strong>-Betrieb. Diese Aufgabe ist sehr komplex, ihre Komplexität lässt sich<br />
aber reduzieren, wenn man die unterschiedlichen Plattformen in einer<br />
geeigneten Infrastruktur nach einheitlichen Richtlinien administriert. Diese<br />
sollten in einem geeigneten Rollenmodell entwickelt, implementiert und gepflegt<br />
und mit geeigneten Software-Werkzeugen durchgesetzt werden. Der Betrieb<br />
solcher rollenbasierter Lösungen erfordert eine Verknüpfung der Prozesse des<br />
Berechtigungsmanagements mit bestehenden Prozessen zur Benutzerverwaltung<br />
und auch der Personalverwaltung.<br />
Solange es um die internen Benutzer eines Unternehmens geht, können<br />
(durchaus komplexe) Rollenmodelle sinnvoll sein, die Organisations- und <strong>IT</strong>-<br />
Strukturen abbilden; dem gegenüber stehen eher einfache Prozesse der<br />
Benutzerverwaltung. Zunehmend werden aber betriebliche Anwendungen für
externe Benutzerkreise geöffnet. Beispiele hierfür sind die Zusammenarbeit von<br />
Unternehmen in Forschungsgemeinschaften, Projektgemeinschaften oder<br />
Lieferketten. Weitere Beispiele ergeben sich aus flexiblen Formen der<br />
Beschäftigung wie Traveling Users, Job Sharing, Home Office und so weiter.<br />
Hier sind die Prozesse der Benutzerverwaltung oft komplex, während sich die für<br />
die Berechtigungsvergabe benötigten Rollen oft einfach aus den bereitgestellten<br />
Anwendungen ableiten lassen.<br />
Für ein Unternehmen ist es dringend erforderlich, einen aktuellen<br />
Überblick zu haben und Zugriffsberechtigungen schnell erteilen und entziehen<br />
zu können. Dies erfordert in der Regel einen hohen Zentralisierungs- und<br />
Automatisierungsgrad. Zur Integration der genannten Sachverhalte sollte man<br />
die Prozesse des Identitätsmanagements und des Berechtigungsmanagements<br />
gemeinsam betrachten und in einer geeigneten Infrastruktur zusammenführen.<br />
Die einschlägigen Marktbeobachter (Gartner Group, Giga Group etc.) rechnen<br />
solchen Infrastrukturen im Erfolgsfall einen sehr günstigen Return on<br />
Investment zu.<br />
Die eigentlich einfache Idee zum Aufbau einer solchen Infrastruktur steht<br />
nun in der Praxis einer unglaublichen Fülle von Detailaufgaben gegenüber. Diese<br />
sind teils technisch, aber in vielen Fällen organisatorischer oder schlicht<br />
menschlicher Natur. Die stetige Berücksichtigung dieser Details im Vorfeld und<br />
projektbegleitend ist entscheidend für den Projekterfolg.<br />
Aus der Sicht der Projektsteuerung sind die Erfolgsfaktoren für<br />
Einführung und Betrieb einer plattformübergreifenden Infrastruktur trotz aller<br />
Veränderungen dieselben geblieben. Im menschlichen und kommunikativen<br />
Bereich gehören dazu der Aufbau und die Führung eines leistungsbereiten und<br />
an die Aufgabe angepassten Teams, ein vertrauensvolles Arbeitsklima und die<br />
Nutzung der kollektiven Teamdynamik.<br />
Entscheidend ist eine saubere Festlegung der Projektziele, sodass das<br />
Projekt jederzeit kommunizierbar ist und der Projekterfolg messbar wird. Zur<br />
Umsetzung ehrgeiziger Projektziele sollte man gegebenenfalls mehrere<br />
Projektphasen einplanen. Die Projektorganisation erfordert eine Gesamtsicht<br />
über die zu implementierende Infrastruktur, inklusive Erfassung der technischen<br />
Komponenten, des Umfelds und der beteiligten Personen. In diese Gesamtsicht<br />
lassen sich die unterstützten Workflows und Geschäftsprozesse einordnen.<br />
Wesentlich ist in jeder Projektphase die Berücksichtigung der menschlichen<br />
Randbedingungen.
Projektziele<br />
Infrastrukturen zum Identitäts- und Berechtigungsmanagement können<br />
die unterschiedlichsten Ziele unterstützen. Sie sollten für jede Phase eines<br />
Implementierungsprojektes explizit festgelegt werden, um einen "Tod durch<br />
Anforderung" zu vermeiden. Noch wichtiger ist dabei die Abgrenzung gegenüber<br />
den (noch) nicht explizit verfolgten Zielen. Grundsätzlich sind dabei quantitative<br />
Ziele zur Effektivitätssteigerung und zu Einsparungen zu berücksichtigen, aber<br />
auch qualitative Ziele wie die Verbesserung der <strong>IT</strong>-<strong>Sicherheit</strong> oder der<br />
Datenqualität.<br />
Hauptziel einer solchen Infrastrukturlösung sind in der Regel<br />
Einsparungen, die aus einer Verbesserung administrativer Abläufe resultieren.<br />
Nach der Grundregel "<strong>IT</strong> supports Business" ist dabei zu beachten, dass die<br />
Einsparungen durch solche Verbesserungen jedoch nicht nur in der Reduktion<br />
des Aufwands der Administration liegen. Deutlich höhere Einsparungen können<br />
sich im Tagesgeschäft der betroffenen Benutzer ergeben. In Einzelfällen ließ sich<br />
die Zeit, um neu eingestellte oder versetzte Mitarbeiter voll arbeitsfähig zu<br />
machen, von mehreren Wochen auf wenige Stunden verkürzen. Auch eine<br />
Reduktion von Nacharbeiten durch Verbesserung der Administrationsqualität<br />
führt zu – teils deutlichen – Einsparungen. Die erwünschten Einsparungen sind<br />
möglichst quantitativ und auf die betroffenen Abläufe bezogen festzuschreiben.<br />
Technische Verbesserungen durch Identitätsmanagement fördern letztlich auch<br />
Geschäftsziele<br />
Ein Schritt zu effektiverer Administration ist die plattformübergreifende<br />
Angleichung der Administrationsprozesse zur Steigerung der Einfachkeit und<br />
Übersichtlichkeit. Diese Angleichung ermöglicht ein Re-Engineering dieser<br />
Prozesse in Richtung von Vergabe-Workflows und delegierter Administration bis
hin zu eigenen Berechtigungsanträgen der Benutzer, dem so genannten Self-<br />
Provisioning. Die übersichtlichere Administration auf einer gemeinsamen<br />
Infrastruktur verbessert aber auch die Revisionsfähigkeit des Gesamtsystems.<br />
Zum Aufbau der Infrastruktur stehen Software-Werkzeuge zur Verfügung,<br />
welche die administrativen Abläufe plattformübergreifend automatisieren<br />
können. Der Funktionsumfang dieser Software-Werkzeuge variiert stark<br />
hinsichtlich der bestehenden System-Konnektoren, der unterstützten Rollenund<br />
Richtliniensemantik, den vorhandenen Workflows sowie den Möglichkeiten<br />
für Auditing und Kontrolle. Dementsprechend kann solche Software grob in die<br />
Kategorien Metadirectory, rollenbasierte Berechtigungsvergabe und Provisioning<br />
unterteilt werden. Die Produktauswahl ist nach Erfahrung der Autoren ein nicht<br />
zu unterschätzender Projektschritt.<br />
Der Automatisierungsgrad, den ein solches Werkzeug erzielen kann, ist<br />
eng mit Kosten und Aufwand für dessen Einführung verbunden. Auch die<br />
Datenqualität und Fehlertoleranz der angebundenen Systeme spielt hierbei eine<br />
Rolle, eine hundertprozentige Automatisierung ist in der Regel nicht möglich<br />
oder nicht bezahlbar. Der gewünschte Automatisierungsgrad ist deshalb vorab<br />
als Projektziel festzulegen, außerdem sollte man einen eigenen Projektabschnitt<br />
zur Behandlung von Fehlern und Ausnahmesituationen vorsehen.<br />
Ausgangspunkte für die Einführung einer Berechtigungsinfrastruktur sind<br />
in vielen Fällen auch die <strong>IT</strong>-Revision und der Wunsch nach einer Verbesserung<br />
der <strong>IT</strong>-<strong>Sicherheit</strong> des Gesamtsystems. Erfahrungsgemäß muss ein erfolgreiches<br />
Projekt auch die Anforderungen an Kontrolle, Auditing und <strong>IT</strong>-<strong>Sicherheit</strong> bereits<br />
bei der Festlegung der Projektziele möglichst genau definieren. Für Kontrolle<br />
und Auditing erfolgt dies durch die Einbeziehung der <strong>IT</strong>-Revision. Dieser Punkt<br />
darf nicht unterschätzt werden, da die Anforderungen der Revision aus<br />
übergeordneten und nicht modifizierbaren Vorschriften entstehen, die aus<br />
Gesetzen zur Wirtschaftsprüfung oder aus einem betriebsweiten<br />
Risikomanagement herrühren.<br />
Die Verantwortlichkeit für die <strong>IT</strong>-<strong>Sicherheit</strong> des Gesamtsystems ist oft<br />
nicht eindeutig zuzuordnen, sodass sich die Anforderungen nur<br />
bereichsübergreifend erarbeiten lassen. Verbesserungen der <strong>IT</strong>-<strong>Sicherheit</strong><br />
entstehen durch eine Reduktion der Fehlerhäufigkeiten und speziell der<br />
Entfernung nicht (bzw. nicht mehr) gebrauchter Benutzerkonten und<br />
Berechtigungen, dem so genannten De-Provisioning. Ein weiterer Effekt kann<br />
die Reduktion der Anzahl plattformeigener Administratorkonten sein; dem
stehen allerdings neue Datenspeicher und Zugangsmechanismen für sensitive<br />
Authentifizierungs- und Berechtigungsinformationen gegenüber.<br />
Deshalb gilt es, die gewünschten Effekte zur <strong>IT</strong>-<strong>Sicherheit</strong> detailliert<br />
abzuschätzen und die Infrastruktur selbst möglichst sicher aufzubauen und<br />
durch wirksame Maßnahmen zu schützen. Die Anforderungen an die <strong>IT</strong>-<br />
<strong>Sicherheit</strong> der Infrastruktur sind in der Planungsphase zu vereinbaren und als<br />
Projektziel festzuschreiben. Dasselbe gilt für die Ziele der Datenqualität an den<br />
zentral einzurichtenden Datenbeständen.<br />
Gesamtsicht<br />
Infrastrukturen zum Identitäts- und Berechtigungsmanagement sind in<br />
die verschiedensten Daten- und Organisationsstrukturen eines Unternehmens<br />
eingebunden. Dadurch können in vielerlei Hinsicht Abhängigkeiten entstehen,<br />
die für die Durchführung des Projektes wesentlich sind. Bei den technischen<br />
Komponenten werden diese Abhängigkeiten besonders deutlich, sind aber<br />
meistens durch Standardmethoden zu erfassen und zu bewältigen. Mit Hinblick<br />
auf beteiligte Personen stellen sich die Abhängigkeiten oft wesentlich komplexer<br />
dar: Beteiligt sind möglicherweise Administratoren, Verantwortliche und<br />
Benutzer betroffener Systeme, die im Hinblick auf Veränderungen jeweils andere<br />
Interessen und Hintergründe besitzen.<br />
Einbettung und Abgrenzung des Identitäts- und Berechtigungsmanagements<br />
Benutzerinformationen können in Verzeichnissen auf den<br />
verschiedensten Systemen vorliegen (z. B. im Personalwesen, in Applikationen,<br />
Abteilungslisten oder Telefonverzeichnissen) und unterliegen dort völlig
unterschiedlichen Anforderungen an Aktualität, Vollständigkeit, Verfügbarkeit<br />
oder <strong>Sicherheit</strong>. Die Zusammenführung solcher Informationen in einer<br />
gemeinsamen Infrastruktur hat damit auch Auswirkungen auf die genannten<br />
Verzeichnisse und die darauf zugreifenden Applikationen inklusive der<br />
Verantwortlichen, Administratoren und Benutzer.<br />
Rollen für die Bündelung von Benutzerrechten werden aus<br />
organisatorischen Informationen des Unternehmens hergeleitet. Diese können<br />
in Form von Geschäftsprozessmodellen, Organigrammen, Stellenbeschreibungen<br />
oder Ähnlichem bereits vorliegen und für das Rollen-Engineering nutzbar sein.<br />
Falls solche Informationen nicht vorliegen, muss das Rollen-Engineering<br />
vollständig und separat während der Implementierung der Infrastruktur<br />
aufgesetzt werden. In diesem Fall ist es wichtig, sich gegen aufwändige<br />
Anforderungen der Unternehmensorganisation an die Rollen-Modellierung<br />
abzugrenzen.<br />
Ohne eine plattformübergreifende Infrastruktur erfolgt die Pflege der<br />
Zielsysteme und Ressourcen separat. Deshalb bestehen in diesem Fall für jedes<br />
Zielsystem getrennte Verantwortlichkeiten und Arbeitsabläufe. Die<br />
Zusammenführung der Abläufe hebt diese Trennung in einem bestimmten Maß<br />
auf und ersetzt sie durch ein Zusammenspiel zwischen systeminternen und<br />
infrastrukturellen Tätigkeiten. Es ist besonders wichtig, hier das Verständnis<br />
und den Rückhalt der Systemverantwortlichen sicherzustellen, denn ohne die<br />
Mitwirkung der Systemverantwortlichen können keine Verbesserungen der<br />
administrativen Prozesse erreicht werden. Ähnliches gilt für die Einbeziehung<br />
solcher Ressourcen, deren Zuweisung über manuelle Anweisungen an die<br />
entsprechenden Verantwortlichen erfolgt.<br />
Bei der Implementierung sollte man regelmäßig die Revision einbeziehen,<br />
um das Erreichen der vereinbarten Ziele zu überprüfen und letztlich<br />
sicherzustellen. Dasselbe gilt für die festgelegten Ziele der <strong>IT</strong>-<strong>Sicherheit</strong>. In der<br />
Regel erfolgt dies durch geeignete Umsetzung der <strong>IT</strong>-<strong>Sicherheit</strong>srichtlinien im<br />
Rollenmodell sowie prototypische Prüfung der Workflow- und Auditingprozesse.<br />
Rahmenbedingungen<br />
Oft scheitern Projekte nicht an der Komplexität technischer Sachverhalte,<br />
sondern wegen menschlicher Schwächen und mangelnder Kooperation oder<br />
Kommunikation. In jedem der beschriebenen Gebiete bestehen<br />
Verantwortlichkeiten und Interessen, die durch die Einführung einer<br />
Infrastruktur zum Identitäts- und Berechtigungsmanagement berührt werden.
Diese Interessen bieten viele offene und versteckte Konfliktherde, die sich<br />
nachteilig auf den Projektverlauf auswirken können. Das Dilemma der<br />
Projektleitung besteht oft gerade darin, auf detaillierte Informationen von<br />
Mitarbeitern angewiesen zu sein, deren Tätigkeiten oder Verantwortlichkeiten<br />
sich ändern oder künftig ganz entfallen. Diese Einzelinteressen müssen<br />
detailliert abgewogen werden, um einen Rückhalt für das Projekt sicherzustellen.<br />
Dabei erscheint es wesentlich, die Vorteile der Einführung in Form der<br />
festgelegten Projektziele offen zu kommunizieren.<br />
Der erste Schritt hierfür ist die Verankerung des Projekts im<br />
Management, um für eventuell auftretende Probleme geeignete Eskalationswege<br />
zu schaffen. Dies erfordert in der Regel Klarheit über den zu erwartenden Return<br />
on Investment, der deshalb messbar und kontrollierbar kalkuliert sein muss.<br />
Der nächste Schritt besteht darin, festzustellen an welchen Stellen<br />
Verantwortlichkeiten durch die Einführung der Infrastruktur reduziert werden.<br />
Für den Projekterfolg ist es unerlässlich, für die betroffenen Mitarbeiter mit<br />
Unterstützung des Managements frühzeitig berufliche Perspektiven zu<br />
entwickeln. Gleichzeitig sollte man Aufgaben definieren, damit Klarheit<br />
geschaffen wird, wie diese Mitarbeiter das Erreichen der Projektziele und des<br />
erwünschten Nutzens unterstützen können. Der Anteil dieser Personen am<br />
Projekterfolg muss für alle – auch und gerade für das Management – deutlich<br />
erkennbar sein. Ein Ausgleich der Verantwortlichkeiten nach Abschluss des<br />
Projekts oder einzelner Projektphasen sollte besprochen werden.<br />
Nach der Einführung der Infrastruktur ist es möglich, dass verschiedene<br />
Mitarbeiter der <strong>IT</strong>-Abteilungen im Tagesgeschäft weniger selbstständig arbeiten<br />
können als vorher, weil die Infrastruktur verschiedene Regeln und Richtlinien<br />
vorgibt. Die Unzufriedenheit, die an diesen Stellen entstehen kann, ist in vielen<br />
Fällen auf eine Unkenntnis der Gesamtsituation zurückzuführen. Durch<br />
geeignete projektbegleitende Schulungen können solchen Mitarbeitern sowohl<br />
geänderte Abläufe erklärt als auch die Hintergründe, der Nutzen der<br />
Änderungen und die Einbettung in die gesamte <strong>IT</strong> des Unternehmens<br />
verdeutlicht werden. Arbeiten, die durch Automatisierung wegfallen, lassen sich<br />
in der Regel durch anspruchsvollere Tätigkeiten im Betrieb der Infrastruktur<br />
oder an anderen Stellen ersetzen.<br />
In diesem Sinne sind die Befindlichkeiten der Beteiligten zu<br />
berücksichtigen. Eine Motivation für das Identitäts- und<br />
Berechtigungsmanagement erreicht man durch die Kommunikation der
Projektziele und des Anteils jedes Einzelnen daran sowie die Unterstützung des<br />
Managements.<br />
Fazit<br />
Die Einführung einer Infrastruktur für Identitäts- und<br />
Berechtigungsmanagement ist sowohl aus technischer als auch aus<br />
organisatorischer Sicht außerordentlich komplex. Projektziele müssen realistisch<br />
festgelegt und offen kommuniziert werden. Die Unterstützung des Managements<br />
muss gewährleistet sein. Die technische Infrastruktur, die betroffenen Prozesse<br />
und die Befindlichkeiten aller Beteiligten müssen berücksichtigt werden. Unter<br />
diesen Voraussetzungen ergeben sich jedoch höchst interessante Möglichkeiten<br />
für Effektivitätssteigerung, Qualitätsverbesserung und Einsparungen.<br />
Dr. Haio <strong>Röckle</strong> ist Geschäftsführer der <strong>Röckle</strong> <strong>IT</strong>-<strong>Sicherheit</strong> <strong>GmbH</strong> in Bochum<br />
( www.roeckle.de), Gerhard Schimpf ist Inhaber der SMF-Team<br />
Unternehmensberatung für <strong>IT</strong>-<strong>Sicherheit</strong> ( www.smfteam.de).<br />
zur -Website (www.kes.info)<br />
© SecuMedia-Verlags-<strong>GmbH</strong>, 55205 Ingelheim (DE),<br />
2003 # 3, Seite 59<br />
|<br />
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail.<br />
Vielen Dank.
Change language