Jackson Shaw hatte erstmals 1986 mit Identity Management zu tun, zu einer Zeit also, als der Begriff noch gar nicht formuliert war. Mittlerweile hat er Jahre als Entwickler und Vermarkter von Identity- und Access-Management hinter sich. Derzeit arbeitet er für die kanadische Firma Quest Software, zuvor war lange für Microsoft tätig. Aus seiner Erfahrung leitet er sieben Tipps für CIOs ab.
Shaws Einschätzung ist positiv: Identity Management hat sich zwar erst in den vergangenen fünf, sechs Jahren etabliert, künftig wird das Thema aber selbstverständlich auf der Tagesordnung stehen. Das hat verschiedene Ursachen. Zum Einen arbeiten Unternehmen mit immer mehr verschiedenen Systemen. Zum Anderen geben Regierungen und Behörden immer mehr Compliance vor. Nicht zuletzt gewinnt Identity Management auch durch die steigende Zahl mobiler Mitarbeiter an Bedeutung.
CIOs, die ihr Identity Management auf Vordermann bringen wollen, rät Jackson Shaw Folgendes:
1. Definition überprüfen. Zunächst einmal sollte der Entscheider genau auf die Definition der Anbieter zu achten. Interessant ist, ob die Produktbeschreibung Ressourcen innerhalb und außerhalb der Firewall umfasst und ob sie verspricht, mehrere Passwörter in ein einziges zu integrieren. Weil sich für Identity Management noch keine genaue Definition gefunden hat, können die kleinen, aber feinen Abweichungen einen erheblichen Unterschied ausmachen.
2. Nicht zu viel auf Automatisierung geben. Hauptgrund für Identity-Management-Projekte ist meist eine zu komplexe Infrastruktur. Jackson Shaw: "Vermeiden Sie möglichst den scheinbar einfachen Ausweg, alle Prozesse zu automatisieren." Das sei oft nur eine vorübergehende Lösung. "Aber das Endergebnis werden ineffiziente, wenn auch automatisierte Identity-Prozesse sein", so der Spezialist weiter.
3. Nicht noch mehr Verzeichnisse anlegen. Unternehmen haben meist mehrere Verzeichnisdienste auf LDAP-Basis, die synchronisiert werden müssen. Der CIO sollte nach Sinn und Zweck all dieser Verzeichnisse fragen und warum es so viele gibt oder so viele von verschiedenen Anbietern. Dazu Jackson Shaw: "Falls möglich, konsolidieren Sie rund um das Verzeichnis eines Anbieters. Oder schaffen Sie die Verzeichnislösung eines Anbieters komplett ab. So beseitigen Sie auch die Notwendigkeit, zusätzliche Lizenzen zu halten und zu aktualisieren."
Skepsis bei Angaben über TCO und ROI
4. Auf kurz- bis mittelfristige ROI-Erfolge konzentrieren. Nach Shaws Beobachtung sind viele Identity-Management-Projekte daran gescheitert, dass sie zu lang gebraucht haben. Sein Tipp: Mit dem Teil beginnen, der den Anwendern am meisten nutzt. Dann sieht die Führungsriege, dass das Projekt auf einem guten Weg ist.
Aus langjähriger Erfahrung rät Shaw übrigens davon ab, Herstellerangaben zu Return on Invest (ROI) und Total Cost of Ownership (TCO) zu viel Glauben zu schenken. Oft hätten Anbieter für Produkttests gezahlt oder sichergestellt, dass Business-Szenarien so gewählt sind, dass ihre Produkte optimal passen.
5. KPIs festlegen. Der Erfolg eines Identity-Management-Projekts muss anhand von Key Performance-Indikatoren (KPIs) überprüfbar sein. Dazu zählen die Rückgänge der Anrufe beim Help Desk, Steigerung der Sicherheit und Zunahme der Produktivität.
6. Auf einem Machbarkeitsnachweis bestehen. Als er selbst noch Identity-Management-Produkte verkaufte, habe er die Frage nach dem Proof of Concept (POC) gehasst, gibt Jackson Shaw offen zu. Heute weiß er, dass die Kunden recht hatten.
Er sagt: "Die Anbieter mögen dagegenhalten und den POC bezahlt sehen wollen, aber geben Sie nicht nach. Sie sollten die Kosten für ein POC-Statement entweder als Pre-Sales-Spesen verbuchen oder Ihnen wenigstens Ihre POC-Ausgaben bei einem späteren Kauf vollständig anrechnen." Schließlich stelle sich die Frage, ob Anbieter wirklich an einer Partnerschaft interessiert sind, wenn sie sich nicht auf ein POC-Statement einlassen wollen.
7. Nur nicht die Kontrolle verlieren. Wenn ein ordentlicher Proof of Concept erfolgt ist, weiß der CIO jedenfalls, dass die Produkte des Anbieters mit seiner eigenen Umgebung klar kommen. Mehr aber leider auch nicht. Seine Fragen müssen daher lauten, ob er Vorab-Warnungen bekommt, falls etwas schief geht und die Systeme ausfallen. Oder ob er Diagnose-Werkzeuge erhält oder bei jedem kleinen Schluckauf die Support-Hotline anrufen muss.
Darüberhinaus hält es Jackson Shaw für unerlässlich, die Voraussetzungen für das Tagesgeschäft zu studieren. Das beinhaltet, wie die Lösung gesichert und wiederhergestellt wird oder ob ein Datenbank-Backend erforderlich ist.
Biometrie braucht noch fünf Jahre
Identity Management-Experte Jackson Shaw erwartet, dass künftig die Kombination virtueller und physischer Sicherheitstolls auf der Agenda stehen wird. Dabei gibt er jedoch zu Bedenken, dass Lösungen für biometrische Elemente wie Fingerabdruck oder Iris noch wenig ausgereift sind. In rund fünf Jahren, so seine Einschätzung, ist der Markt deutlich weiter.
Und nicht nur der Markt. Shaw glaubt, dass "Big Brother"-Ängste und die Furcht vor allgegenwärtiger Überwachung mit den kommenden Generationen abnimmt. Die "Generation Nintendo" etwa sei mit Informations-Technologie aufgewachsen und betrachte biometrische IT-Security-Lösungen weit rationaler als das Gros heutiger Firmenbelegschaften, so Jackson Shaw.
Jackson Shaw hat 15 Jahre Erfahrung in dem White Paper "Grundsätze des Identity Management", herausgegeben von Quest Software, zusammengefasst.