Einbindung in das IT-Service-Management
Integriertes Identity Management
Identity Management erleichtert den rechtskonformen Betrieb von IT-Infrastrukturen und -Ressourcen. Damit die Systeme ihre volle Wirkung entfalten, sollten sie allerdings eng mit den Geschäftsprozessen beim Anwender verknüpft sein.
Durch Akquisitionen und übergreifendes Arbeiten zwischen verschiedenen Unternehmen geht rasch
der Überblick verloren, welcher Anwender Zugriff auf welche Daten und Dienste hat. Dies kann nicht
nur intern ein Sicherheitsproblem bedeuten; es birgt auch die Gefahr, dass das Unternehmen gegen
rechtliche Vorgaben verstößt. So verlangen manche Richtlinien Nachweise darüber, welcher
IT-Administrator zu welchem Zeitpunkt Zugriffsrechte an Mitarbeiter vergeben hat. Mit
Identity-Management-(IdM)-Lösungen können Unternehmen diesen Nachweis erbringen und sich einen
Überblick darüber verschaffen, wer welche Anwendungen nutzen kann.
Eine Voraussetzung, um das Potenzial von IdM-Lösungen auszuschöpfen, stellt die Verknüpfung mit
den Geschäftsprozessen im Unternehmen dar. Deshalb sollte Identity Management in ein ganzheitliches
IT-Governance-Konzept eingebunden sein.
Ursprünglich eine reine Sicherheitslösung, hat sich das Identity Management inzwischen zu einer
Schlüsselkomponente für Unternehmen entwickelt, denn der elektronische Datenaustausch im
Unternehmen und über Unternehmensgrenzen hinweg erfordert stets eine eindeutige Identifizierung von
Benutzern und eine Überprüfung ihrer Berechtigungen. Die zur Authentifizierung hinterlegten Daten
lassen sich mithilfe einer IdM-Lösung besser kontrollieren, und sie erleichtert den Nachweis einer
ordnungsgemäßen Verwaltung. Ändern sich mit Geschäftsprozessen auch die Anforderungen bezüglich der
Zugangsberechtigungen von Benutzern, können IT-Verantwortliche die Modifikationen schnell umsetzen.
Ausgereiftes Identity Management ermöglicht zudem die zentrale Verwaltung von Zugriffsrechten und
damit verbundenen Zugangsdaten. Diese Daten sind heute in den meisten Unternehmen auf verschiedene
Pools mit jeweils unterschiedlichen Zugriffsverwaltungen verteilt.
Durch die zentrale Verwaltung von Zugangsdaten und -berechtigungen fällt es Unternehmen
leichter, rechtlichen Bestimmungen zur Datentransparenz und zur Datensicherheit Folge zu leisten.
In Deutschland sind vor allem Basel II und die Regelungen des Bundesdatenschutzgesetzes (BDSG)
sowie des KontTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) von Bedeutung. So
fordert beispielsweise das BDSG, dass der Schutz von personenbezogenen Daten gewährleistet ist.
Dieses Recht genießen selbstverständlich auch Mitarbeiter. So muss beispielsweise sichergestellt
sein, dass Angestellte nicht die Personalakten von Kollegen einsehen können. Auch
branchenspezifische Vorgaben stellen hohe Anforderungen an Datensicherheit und Transparenz:
Beispielsweise verlangt die im Jahr 2002 gegründete Bundesanstalt für Finanzdienstleistungsaufsicht
(BaFin) Transparenz im Hinblick auf die Solvenz von Banken und Versicherungen sowie den
Anlegerschutz. So hätte beispielsweise ein Zugriff von Unberechtigten auf Konten nicht nur Folgen
für den betroffenen Kunden, sondern auch für die Bank und deren Investoren. IdM-Lösungen helfen bei
der Autorisierung und Authentifizierung eines Anwenders und ermöglichen so die Einhaltung
rechtlicher Anforderungen.
Strenge Sicherheitsvorkehrungen verlangen zudem auch die Überwachungsorgane in der Lebensmittel-
und Pharmaindustrie. Die amerikanische Food & Drug Administration (FDA) etwa fordert neben der
strikten Verwendung von personalisierten Benutzerkonten und starken Passwörtern klar definierte und
jederzeit nachvollziehbare Prozesse bei der Vergabe von Benutzerkonten und -berechtigungen.
Ähnliche Vorgaben machen die Lebensmittelüberwachungsämter – das deutsche Pendant zur FDA.
Mitarbeiter wechseln heute häufiger als früher Abteilungen oder Aufgabenfelder. Hinzu kommt der
verstärkte Einsatz von Zeitarbeitskräften. Hier verlieren Unternehmen leicht den Überblick: So
werden laut einer Studie aus dem Jahr 2005 nur etwa 62 Prozent aller Berechtigungen eines Nutzers
bei seinem Ausscheiden aus dem Betrieb gesperrt. Die Ursache: Nur etwa die Hälfte aller Unternehmen
überprüft ihre Rechtevergabe regelmäßig. Bei den Unternehmen, die diees doch tun, sind laut einer
IDC-Studie über 60 Prozent der vergebenen Berechtigungen nicht mehr gültig.
IdM-Lösungen sollen dabei nicht nur für höhere Datensicherheit sorgen, sondern auch die
Effizienz und Produktivität der Mitarbeiter steigern. Deshalb muss eine IdM-Lösung in der Lage
sein, IT-gestützte Geschäftsprozesse und Prozesse, die über das Internet abgewickelt werden,
abzubilden und zu unterstützen. Die IT entwickelt sich in vielen Unternehmen zu einem internen
Dienstleister, der mit seinen IT Services unterschiedliche Geschäftsprozesse unterstützt. Als
Grundlage für diese Aufgabe dienen immer öfter modular aufgebaute und locker verbundene
serviceorientierte Architekturen (SOA). Sie basieren auf Standards und bestehen aus grob
granulierten Diensten, die sich an unterschiedlichen Stellen für ähnliche Geschäftsprozesse immer
wieder verwenden lassen. Bei der Vielzahl von Services in einem solchen Verbund spielt das zentrale
Management von Identitätsinformationen eine große Rolle. Der Treiber sind auch hier die
Geschäftsprozesse.
Effektivität und Sicherheit
Wesentlicher Bestandteil einer Identity-Management-Lösung ist das User-Provisioning, das
sämtliche Prozesse rund um das User-Lifecycle-Management unterstützt und Benutzerprofile über deren
gesamten Lebenszyklus hinweg verwaltet. Neben Standardprozessen wie der Neueinstellung, dem
Abteilungswechsel und dem Ausscheiden eines Mitarbeiters gibt es weitere, oft nicht planbare
Veränderungen wie zeitlich begrenzte Mitarbeit an Projekten anderer Abteilungen, neue oder
veränderte IT-Dienste, die eingebunden werden müssen oder Veränderungen der
Organisationsstruktur.
Eine Komponente für das Access Management gehört ebenfalls zu einer modernen IdM-Lösung, denn
über diese erfolgt die Durchsetzung von Zugriffsrechten. Dabei werden die Berechtigungen eines
Benutzers bei einem konkreten Zugriff auf einen Dienst überprüft. Auch das Single Sign-on ist
darüber geregelt. Geschäftsprozessorientierte IdM-Lösungen bieten die Möglichkeit, das Management
und die Vergabe von Zugriffsrechten innerhalb der Fachabteilungen abwickeln zu lassen. So kann der
Verantwortliche einer Fachabteilung die Zugangsrechte auf der Basis von Geschäftsabläufen vergeben,
ohne Unterstützung aus der IT-Abteilung zu benötigen.
Eine weitere wichtige IdM-Funktion ist es, Berichte zu erstellen, und zwar von der
übergeordneten Sicht der Compliance bis auf die Ebene der Zugriffsrechte und Änderungen bei
einzelnen Identitäten. Mit manuellen Identity-Management-Systemen lässt sich der Nachweis eines
lückenlosen Identity-Lifecycle-Managements nur mit großer Mühe erbringen. Auch die automatisierten
Systeme unterscheiden sich im Aufwand, die geforderten Berichte zu erstellen.
Die Systeme sollten revisionssicher sein, damit die Berichte den rechtlichen Vorgaben genügen.
So verlangen zum Beispiel die Regelungen der BaFin (Bundesanstalt für
Finanzdienstleistungsaufsicht), dass eine Aufgabentrennung zwischen der Administration von Systemen
und der Verwaltung von Benutzerkonten und -berechtigungen gewährleistet ist.
Da in vielen Branchen – etwa in der Automobilindustrie – unternehmensübergreifende
Geschäftsprozesse stark zunehmen, muss auch IdM diese Entwicklung unterstützen. Unter dem Begriff "
Federation" führen einige IdM-Anbieter Softwaremodule, mit denen Unternehmen Identitäten gemeinsam
nutzen und verwalten können. Das Access Management ist dann mit externen Angeboten und Diensten
verbunden. So können beispielsweise Mitarbeiter eines Zulieferers direkt und ohne Neuanmeldung an
IT-gestützten Prozessen mitwirken, ohne unerwünschten Zugriff auf unternehmenskritische Daten zu
erhalten.
IdM gehört zur Unternehmens-IT
Gerade in Service-orientierten Architekturen, bei denen Anwendungen nur lose miteinander
verknüpft sind, lassen sich Zugriffsrechte nur schwer kontrollieren. Sichere Geschäftsprozesse
setzen aber genaue Regeln voraus, wer in einem Prozessschritt welche Berechtigungen hat. Ohne ein
umfassendes Management der Identitäten ist der sichere Aufbau einer SOA nicht möglich. Benötigt
wird deshalb ein integrierter Sicherheitsansatz, der die für einen Geschäftsprozess benötigten
Dienste sinnvoll mit dem IdM-System verknüpft. Ein Ansatzpunkt kann hier ein ganzheitliches
IT-Governance-Konzept gemäß eines Rahmenwerks wie COBIT (Control Objectives for Information and
Related Technology) oder der IT Infrastructure Library (ITIL) beziehungsweise das darauf aufbauende
ITSM-Referenzmodell von HP unter Berücksichtigung von Sicherheitsstandards wie ISO 17799 und ISO
27001 sein. Diese Rahmenwerke dienen als Orientierungshilfe beim Design, der Entwicklung und dem
Betrieb von IT Services. Sie sind ein Leitfaden für den Service-orientierten und sicheren Betrieb
einer IT-Umgebung und damit eine entscheidende Voraussetzung für den Aufbau einer SOA.
Nutzen die IT-Verantwortlichen ein solches Rahmenwerk für den Aufbau einer SOA, sollten sie den
Anknüpfungspunkten zum IdM besondere Beachtung schenken. Die genannten ISO-Standards geben
Rahmenbedingungen vor, die mit IdM-Funktionen integriert werden müssen.
Die Anwender berücksichtigen
Geschäftsprozesse ändern sich laufend, und die IT-Abteilung muss diese Änderungen kontinuierlich
abbilden. Da die Prozesse auf der Geschäftsebene weiterentwickelt werden, sollten die
Entscheidungen über Benutzer und Benutzerberechtigungen dort stattfinden. IdM-Lösungen müssen dies
berücksichtigen. Deshalb sollten während eines IdM-Projekts früh die entsprechenden
Geschäftsbereiche im Rahmen eines IT-Services-Management-Konzepts involviert werden. Identity
Management ist ein gemeinsames Projekt, das Menschen, Prozesse und Technik berücksichtigt, weshalb
ein Management-of-Chance-Prozess (MoC) die IdM-Einführung begleiten sollte .
Lesen Sie mehr zum Thema
