Identitätsmanagement ist eine Aufgabe, in der sich Unternehmensführung, IT-Führung und Informationssicherheit überschneiden. Entsprechende Systeme müssen so geplant werden, dass sie die geschäftlichen Aktivitäten eines Unternehmens optimal stützen.

Häufige Zukäufe von Firmen, die Anbindung von Partnernetzen und die Einführung moderner Anwendungen zur Unterstützung von Geschäftsprozessen stellen für das Identity-Management (IM) der Unternehmen eine immer größere Herausforderung dar. Der Aufwand für das Verwalten von Identitäten und Berechtigungen wird unkalkulierbar und die Sicherheitslücken häufen sich. Ein Mitarbeiter hat oft eine Vielzahl von Identitäten für die von ihm genutzten Anwendungen, wie etwa den Namen, eine Personalnummer und eine E-Mail-Adresse. Außerdem sind die administrativen Prozesse für das Anlegen und Löschen beziehungsweise das Ändern von Accounts und Berechtigungen über die unterschiedlichen Anwendungen hinweg nicht homogen. Dies führt dazu, dass Anwender oftmals lange warten müssen, bis sie einen Account für eine Anwendung bekommen, oder dass sie beim Ausscheiden aus dem Unternehmen nicht aus allen Anwendungen gelöscht werden. Diese ungenutzten Accounts in Verbindung mit unzureichend definierten administrativen Prozessen führen zu wachsenden Sicherheitsproblemen.

Organisationsübergreifend arbeiten

Eine Lösung der genannten Probleme wird nur dann erfolgreich sein, wenn man Identity-Management als unternehmensweites und organisationsübergreifendes Thema behandelt. Zunächst sind fachliche Anforderungen und Verantwortungen zu analysieren, die aus Geschäftsprozessen resultieren (Business Layer). Dies stellt die Basis für die Modellierung von Identitäten- beziehungsweise Rollen- und Berechtigungskonzepten und für das Design der administrativen Prozesse und Workflows dar (Data-/Information-Layer). Auf technischer Ebene müssen die Konzepte durch die Implementierung von Provisionierungsmechanismen und Authentisierungs- beziehungsweise Autorisierungsverfahren umgesetzt werden (Computational Layer).

Das Vorgehen zur Etablierung einer IM-Lösung erfordert zwei Phasen: Analyse und Umsetzung. Im Rahmen der Analyse ist zuerst das Soll zu bestimmen. Die Analyse umfasst einerseits Interviews mit den Fachbereichen des Unternehmens, unter anderem zur Ermittlung der fachlichen Anforderungen, um Fachrollen auf technische Rollen mappen zu können. Weiter muss das Schutzniveau der Daten festgelegt werden, um das Design geeigneter administrativer Prozesse und Workflows festzulegen und angemessene Authentisierungsverfahren auszuwählen. Zudem sind im Rahmen der technischen Sollfestlegung Anforderungen an die IT-Architektur mit den Verantwortlichen des IT-Bereichs zu definieren. Dazu gilt es zu überlegen, inwieweit vorhandene Komponenten genutzt werden können. Während der Festlegung der administrativen Prozesse ist außerdem zu definieren, ob die Administration zentral und/oder dezentral erfolgen soll oder ob Möglichkeiten für einen Self-Service gewünscht sind. Das Soll wird außerdem von gesetzlichen Bestimmungen (zum Beispiel dem Bundesdatenschutzgesetz BDSG) und internen Richtlinien wie Sicherheitsvorgaben beeinflusst.

Soll-Ist-Analyse

Im Rahmen einer Soll-Ist-Analyse ist dann zu prüfen, inwieweit die definierten Anforderungen im Unternehmen bereits umgesetzt sind. Erst auf Basis dieses Ergebnisses nämlich ist es möglich, den Inhalt, den zeitlichen Rahmen und die Kosten des umzusetzenden Projekts hinreichend genau zu planen. In der Umsetzungsphase haben die Projektverantwortlichen dann die Aufgabe, Möglichkeiten für die fachlichen, technischen und administrativen Anforderungen zu evaluieren. Hierzu gehört es, die entsprechenden Architekturkonzepte zu erstellen, Berechtigungskonzepte zu entwickeln sowie Prozesse und Workflows zu gestalten und geeignete Systeme zur Provisionierung, Authentisierung und Autorisierung auszuwählen. Im Rahmen eines „Proofs of Concept“ ist schließlich die Machbarkeit zu überprüfen, bevor der Flächen-Roll-out beginnen kann.

Die Erfolgsfaktoren

Wesentliche Faktoren für die erfolgreiche Einführung eines unternehmensweiten Identity-Managements sind

eine detaillierte Anforderungsanalyse mit Fachbereich und IT-Bereich,

die Entwicklung eines einfachen, aber flexiblen rollenbasierten Berechtigungskonzepts („Role Based Access Control“),

ein schrittweises Vorgehen (Roadmap), das zunächst die wichtigsten Anwendungen in das IM integriert,

die Auswahl von Produkten mit Standardschnittstellen und

das Design einfacher und sicherer Prozesse/Workflows in Verbindung mit einem hohen Automatisierungsgrad.

Die Einführung eines Identity-Mangements muss als unternehmensweite Aufgabe gesehen werden, um einen wirtschaftlichen und sicheren Betrieb gewährleisten zu können.