Wider Erwarten geht die IT-Welt nicht den Weg der technischen Konsolidierung. Stattdessen bewegen wir uns von einer standardisierten Architektur in die genau entgegengesetzte Richtung:
Mobile Devices werden zu Endgeräten und basieren auf mindestens drei unterschiedlichen Betriebssystemen.
Cloud-basierte Applikationen (SaaS) sind zunehmend eine Alternative zu eigenen Installationen
Führende SW-Hersteller (etwa MS, Oracle, SAP) verweigern sich einer Standardisierung und reklamieren jeweils für sich einen Alleinvertretungsanspruch. Bestes Beispiel hierfür ist die Verweigerung, die Schnittstelle SPML als Standard-Interface für das Provisioning zu berücksichtigen.
Welche Auswirkungen hat dies auf das Identity-und-Access-Management (IAM)? Heute findet die Berechtigungsverwaltung in den meisten Unternehmen technologie- oder applikationsbezogen statt. Differenziertere Rollenmodelle sind bei mächtigen Applikationen zwar vorhanden, arbeitet ein Nutzer aber mit mehreren Applikationen, finden eine übergreifende Berechtigungszuweisung, revisionssichere Dokumentation von Datenveränderungen und Kontrolle auf Prozessverletzungen nicht statt. Der Trend zu mobilen Endgeräten und zu Cloud-Services erhöht den Aufwand für die Berechtigungsverwaltung erheblich. Stellt man sich nur vor, aus der Cloud nicht in sich geschlossene Applikationen zu beziehen, sondern Applikationsteile (Services) die dann in die eigene IT-Landschaft integriert werden, wird sofort die Komplexität des dann notwendigen Berechtigungsmanagements deutlich.
Vorreiter Banken
Unternehmen, die heute ein IAM einsetzen, hatten oftmals erhöhte Sicherheitsanforderungen als Treiber. Vielfach sind dies Banken und Versicherungen, bei denen der Umgang mit vertraulichen personenbezogenen und geschäftlichen Daten immanenter Bestandteil der täglichen Arbeit der IT- Nutzer ist. Die revisionssichere Nachvollziehbarkeit von durchgeführten Transaktionen spielt in diesen Branchen ebenfalls eine wesentliche Rolle. Neuere Anforderungen, wie die oben genannten, aber auch zum Beispiel Data Loss Protection, lassen ein strukturiertes Berechtigungsmanagement ohne ein IAM jedoch in Zukunft für die Mehrzahl von Unternehmen zur Herausforderung werden.
Ergänzt wird diese Entwicklung durch die verschärften Anforderungen an das IT-Risiko-Management und die Einhaltung der Compliance-Vorgaben, die zwangsläufig eine applikations- und systemübergreifende Sicht verlangen. Die Anforderungen der gesicherten Trennung von Verantwortlichkeiten (Separation of Duties) ist gesichert nur applikationsübergreifend möglich.
Getrieben wird dies unter anderem durch die Divergenz der Plattformen und Applikationen. Natürlich sind auch unternehmens- und geopolitische Entwicklungen als Treiber dieses Aspektes zu sehen. Unternehmen werden mehr und mehr internationalisiert beziehungsweise sind weltweit unterwegs und werden damit mit verschiedenen Rechtssystemen und Kulturen konfrontiert. Bestes Beispiel hierfür sind die unterschiedlichen Sichtweisen in Bezug auf den Datenschutz in Europa und den USA. So verhindern zum Beispiel die Anti-Diskriminierungsrichtlinien der USA die Nutzung des Geschlechtes und des Geburtsdatums, um eine gesicherte Identifizierung eines Users in verschiedenen IT-Systemen beziehungsweise eine Dublettenprüfung vornehmen zu können.
|
Weitere Wetten finden Sie im CIO-Jahrbuch 2014.
Jahrbuch 2014 - Neue Prognosen zur Zukunft der IT |
Was ein IAM leisten sollte
Ein leistungsfähiges Identity-und-Access-Management übernimmt idealerweise folgende Aufgaben:
-
Aufgabenbezogene Berechtigungen
-
Rollen und Prozesse
-
Logon-Manager
-
Gesicherte Authentifikation
-
Password-Management
-
Bereitstellung von Ressourcen
-
Weitergabe der Identität
-
Automatische Anmeldung
In der Technologie des IAM gibt es dazu zwei Entwicklungsrichtungen:
-
Leistungsfähige Script-Lösungen zur Modellierung (Vertreter: zum Beispiel Oracle, IBM)
-
Standardlösungen (Vertreter: bi-Cube)
Der erste Weg wird vornehmlich von großen Konzernen gegangen, da er ihnen erlaubt, ihre eingefahrenen, aber oft nur suboptimalen Prozesse weitgehend beizubehalten. Erkauft wird dieses Vorgehen mit einem Faktor zehn der Implementierungskosten. Somit verbietet sich die Scriptvariante für kleinere und mittlere Unternehmen. Es bleibt ihnen nur Variante zwei: Wenn die Standardlösung noch konfigurierbar ist und diverse Standard-Interfaces bietet, sind damit die konkreten Gegebenheiten eines Unternehmens aber auch weitgehend abbildbar. Unterstützt wird die Ausweitung des Nutzerkreises auf den Mittelstand durch die Cloud-Entwicklung und die Möglichkeit des Managed-Services durch geeignete Dienstleister, wodurch sich der Bedarf an geeignetem Fachpersonal auf die Unternehmensspezifik in der Modellierung beschränkt.
Nebengelagerte Prozesse
Der Nutzungsbereich eines IAM ist nicht scharf abgegrenzt. Mit den applikationsneutralen Funktionen und Regelwerken lassen sich diverse andere tangierende Prozesse abbilden beziehungsweise unterstützen. Beispiele wären:
-
Übergreifende interne Leistungsverrechnung: Durch die genaue Zuweisung von IT-Ressourcen (Applikationen oder Applikationsbestandteilen) kann die tatsächliche IT-Nutzung gemessen, optimiert und fakturiert werden.
-
Integration eines Single-Sign-On (SSO): Für die Nutzer ist nur noch ein Passwort notwendig, die vielfach stattfindende Passwortnotierung auf Merkzetteln kann entfallen, striktere Passwortregeln können vergeben werden, die Akzeptanz für eine Zwei-Faktoren-Authentifizierung wird gegeben.
-
PW-Self-Service: Ein IAM ermöglicht durch die zentrale Passwortverwaltung und bei Einsatz einer Zwei-Faktoren-Authentifizierung den Passwort-Reset durch den Nutzer selber, gerade für größere Unternehmen ein nicht zu unterschätzender Kostenfaktor und Effizienzgewinn.
-
Integriertes Zertifikats-Management: eine wesentliche Erleichterung bei der Collaboration mit Dritten, aber auch bei der Nutzung von Cloud beziehungsweise Web-Services sowie
mobilen Endgeräten.
-
Abwesenheitsverwaltung: Welche Tätigkeiten dürfen während der Abwesenheit eines Nutzers durch einen anderen durchgeführt werden und welche nicht? Durch ein strukturiertes Rollenmodell unterstützt ein IAM zum Beispiel eine einfache Aufteilung des Tätigkeitsfeldes eines Nutzers auf mehrere andere Nutzer bei Urlaub oder Krankheit.
-
Data Loss Protection: Nach durchgeführter Datenklassifizierung kann ein IAM vorgeben, wer welche Daten sehen und wie der Nutzer sie verändern beziehungsweise behandeln darf.
Freie Gestaltung von Antragsprozessen (zum Beispiel durch RSA-Token oder VPN): Da ein IAM die Organisationsstruktur eines Unternehmens kennt, ist die Ablösung der oftmals papiergestützten Antragsprozesse durch einen integrierten Workflow möglich. Ein maßgeblicher Effizienzgewinn, der gleichzeitig zu einer revisionssicheren Ablage führt.
Wenn ein IAM modular gestaltet ist, ist es nicht nur ein Werkzeug zur zentralen Verwaltung von Berechtigungen sondern ein zentrales Organisationswerkzeug, das Rationalisierungseffekte mit erhöhter Security und effektivem Risk-Management vereinigt.
Im Jahr 2024 wird sich die Nutzung von Cloud-Services auch für kleinteilige IT-Prozesse flächendeckend durchgesetzt haben. Es wird keinen Unterschied für die IT-Nutzer mehr geben, ob sie von mobilen oder stationären Endgeräten aus arbeiten. Und einzelne Nutzer werden sich kaum noch einzelnen Applikationen zuordnen lassen. Gleichzeitig werden sich die Anforderungen an die Revisionssicherheit von durchgeführten Prozessen und an die Datenintegrität erheblich verschärfen.
Ein plattformübergreifendes IAM ist das Bindeglied zwischen Geschäftsprozessen und IT-Applikationen. Ein Rollenmodell ist eine tätigkeitsbezogene Struktur der Geschäftsprozesse eines Unternehmens und hat im ersten Ansatz noch nichts mit der IT und deren Applikationen zu tun. Ein Fachrollenmodell wird erst durch ein IAM auf die Berechtigungen der einzelnen Applikationen projiziert. Somit ist das IAM in der einen Hälfte ein Modellierungs-Tool der Geschäftsprozesse, das dann aber die direkte Verbindung zu den Berechtigungssystemen in den Applikationen schafft.
Fazit
Mitarbeiter, die Abteilungen wechseln, aus Unternehmen ein- und austreten oder Führungs- und Kostenverantwortung übernehmen, lassen sich nur durch eine über den Applikationen und Services angeordnete Plattform regeln. Hierbei sind etwa Überschneidungen sowie Vor- und Nachlaufzeiten zu berücksichtigen, wobei die Compliance-Anforderungen auch in den Überdeckungsphasen zu beachten sind. Risikobezogene Freigabeprozesse und deren Nachvollziehbarkeit sind weitere Anforderungen an diese neutrale IAM-Plattform. Die Sicherstellung von Kosten- und Arbeitseffizienz durch die Orchestrierung verschiedener Services bei gleichzeitiger Gewährleistung der entsprechenden Sicherheit wird die Kernaufgabe eines jeden IT-Bereiches werden und ist ohne ein IAM im beschriebenen Umfang nicht zu leisten.
|
Weitere Wetten finden Sie im CIO-Jahrbuch 2014.
Jahrbuch 2014 - Neue Prognosen zur Zukunft der IT |