Identity Federation Management
Zentrales Nervensystem für Echtzeit-Unternehmen
Die globalisierte Wirtschaft fordert von Unternehmen eine intensive Echtzeitkommunikation, die mit herkömmlicher IT nicht effizient genug gelingt. Identity Federation Management (IFM) eröffnet als Strategie- und Organisationslösung einen Ausweg aus dem Dilemma. Probleme mit der praxisgerechten Umsetzung sind dank der Marktreife der aktuellen Lösungen inzwischen nicht mehr zu erwarten.
Die globalisierte vernetzte Wirtschaft fordert ihren Tribut: Unternehmen und öffentliche
Verwaltungen müssen in Echtzeit sicher und schnell miteinander kommunizieren und zugleich mit
reduzierten Budgets, erhöhten Risiken und komplexen Systemlandschaften kämpfen. Die Partner,
Banken, Lieferanten und andere Kooperationsunternehmen sollen in die Echtzeitprozesse eingebunden
sein. Die seit Jahren bekannte Informationstechnik (IT) stößt unter diesen Voraussetzungen mit
ihren Konzepten an Grenzen, die nur durch konsequenten Einsatz modernster Technikansätze überwunden
werden können.
Sicherheit in einer schnellebigen Welt
Identity Federation Management (kurz IFM) ist hierbei zugleich die Basistechnologie, um
serviceorientierte Architekturen (SOA) und effiziente, sichere Prozesse (siehe Bild 1) einzuführen.
Mit IFM werden Mitarbeiteridentitäten, Kunden- und Lieferantenidentitäten übergreifend und
effizient verwaltet.
Einzelne "Megatrends" und treibende Faktoren im IFM-Bereich sind derzeit Identity Federation –
die "Weitergabe" ausgewählter Identitätsmerkmale eines authentifizierten Anwenders von einem System
zum Anderen zwecks Einsparung mehrfacher Login-Prozesse –, wachsende Anstrengungen zur endgültigen
Ablösung kennwortgestützter Authentifizierungssysteme, die Abwehr von Phishing-Angriffen (siehe
auch LANline 1/2006, Seite 48, "Kein Pardon für 007"), die Einführung von Unified Threat Management
(UTM) und die Notwendigkeit, Zugriffe durch PDAs, Blackberry-Clients und andere mobile Clients
sicher zu regeln.
Hinzu kommt, dass Unternehmen heute rapiden Wandlungsprozessen unterliegen, vor allem wenn sie
expandieren und fusionieren. Sie führen permanent neue Technologien ein und stellen sie
Mitarbeitern, Geschäftspartnern und Kunden zur Verfügung. Die Folge ist eine unüberschaubare Fülle
digitaler Identitäten und steigende Verwaltungskosten. Da die Administratoren überdies immer
strengere Vorschriften für Vertraulichkeit und Datenschutz beachten müssen, werden ihnen immer neue
Zugangs- und Kontrollprojekte aufgebürdet (siehe auch LANline 1/06, "Drin sein ist out", Seite 60).
Daher ist es notwendig, mit den steigenden Anforderungen an die begrenzten Ressourcen effizienter
umzugehen. IFM hilft in dieser Situation dabei, den Zugriff auf Systeme und das Management seiner
Benutzer zu strukturieren.
Bei IFM steht die Technik im Hintergrund
Hervorzuheben ist, dass IFM (siehe Grafik 2) organisationspolitisch geplant und gesteuert werden
muss. Das "Firstline"-Management kann das strategische Werkzeug nicht an die IT-Abteilung
delegieren. Der Chief Information Officer (CIO) oder der Chef des Unternehmens selbst kümmern sich
im Idealfall selbst um das Identity Management und verankern es fest in der Unternehmensstrategie.
Dabei ist auch zu bedenken, dass die Einhaltung von Rechtsvorschriften und Regeln – Stichwort "
Compliance" – bei der Einführung von Identity Management eine wichtige Rolle spielt. Das Management
muss sicherstellen, dass rechtliche Rahmenparameter aus Gesetzen und Regelwerken wie KontraG, Basel
II, Sarbanes Oxley Acts (SOX) sowie BDSG/LDSG, dem HGB und aus der Aktiengesetzgebung eingehalten
werden.
Erst dann, wenn die Konzeption der passenden IFM-Struktur festgelegt wurde, wird möglichst
maßgeschneiderte Software ausgewählt und eingeführt. Dieser Part fällt dann tatsächlich in den
Zuständigkeitsbereich der IT-Revision, IT-Organisation und der IT-Technik-Abteilung.
IFM ist eine Sache des Managements
Die Verwaltung von Benutzeridentitäten und Zugangsrechten in komplexen Geschäftsumgebungen ist
eine zunehmend schwierige Aufgabe. Der zentrale Faktor ist der schon erwähnte, stark erweiterte
Kreis der Nutzer von Unternehmensnetzen und -anwendungen, der heute auch Kunden, Lieferanten und
Geschäftspartner zu integralen Bestandteilen einer Organisation macht. Vor allem die
Partnerunternehmen legen Wert auf eine einvernehmliche, vertrauenswürdige Beziehung, um
geschäftliche Transaktionen durchzuführen, und verlangen schon aus diesen Gründen ein
professionelles Identity Management. Stehen Websites der Öffentlichkeit zur Verfügung, müssen
außerdem dort Mechanismen eingebaut sein, die mit unerwünschten und unvorhergesehen
Zugriffsversuchen zurecht kommen, wie sie etwa durch Hacker oder möglicherweise verärgerte
ehemalige Mitarbeiter verübt werden. Aber damit nicht genug: Auch Objekte wie Konten, Verträge,
Vertragsnummern und Transaktions-Nummern fallen in den Zuständigkeitsbereich des
Identitätsmanagements (siehe Bild 3 und 4).
IFM hat strategischen Charakter
Da IFM-Projekte strategisch durchgeführt werden müssen, um erfolgreich im Unternehmen umgesetzt
werden zu können, sollte die IT-Abteilung, wenn sie die Implementierung steuert, aus eigener
Initiative das Topmanagement mit ins Boot holen.
Bei der Auswahl der Produkte ist zu bedenken, dass technische "Nice-to-Have"- und Billiglösungen
mit Inselcharakter und sowie Lösungen von Anbietern, die wirtschaftlich in Bedrängnis geraten sind,
nicht die Unternehmensprozesse steuern sollten. Angebote von Herstellern, die möglicherweise ihr
Kerngeschäft absichern wollen, müssen besonders intensiv auf Standardkonformität und Offenheit hin
überprüft werden. Vor allem darf der Kunde eine bestimmte Identity-Management-Lösungen nicht
einfach deshalb wählen, weil deren Hersteller oder Lieferant schon einige andere Projekte im
Unternehmen durchgeführt hat.
Viele Lösungen für das IFM unterstützen auf den ersten Blick zahlreiche verschiedene Anwendungen
und Plattformen im User-Lifecycle-Management und im automatisierten User Provisioning. Allerdings
bewältigen solche Identity-Management-Lösungen oft nur einfache Vorgänge, wie etwa das Anlegen,
Modifizieren und Widerrufen von Benutzeridentitäten, während sich die Access-Management-Lösungen
auf die Abwehr von Viren und Würmern beschränken und dabei die grundlegende Verknüpfung von
Identität und Zugang vernachlässigen. Ohne eine integrierte Lösung wird sich für ein Unternehmen
mit der Zeit nur die Arbeitsbelastung erhöhen, weil es verschiedenartige Lösungen zur Integration
und gemeinsamen Nutzung von Informationen einsetzen muss.
Besondere Beachtung verdient bei der Auswahl eines konkreten Produkts auch seine Kompatibilität
zu offenen Standards. In der Liberty Alliance (LA) etwa sind zurzeit über 70 Unternehmen engagiert,
um offene IFM- und Web-Lösungen zu forcieren. Ziel der LA ist es, ein globales "Ökosystem" von
Identitätslösungen aufzubauen. In diesem Rahmen entstand unter anderem die Security Asserting
Markup Language (SAML), die unter anderem dem sicheren Austausch von Identitätsdaten zwischen
Webservices dient. Microsoft – ohnehin kein Schwergewicht der IFM-Szene – unterstützt
Spezifikationen von IBM, die unter dem Kürzel WS-Federation zusammengefasst sind. Microsoft ist aus
der Liberty Alliance ausgetreten.
Eine vollständige IFM-Lösung sollte effektive Geschäftsprozesse bereitstellen und alle Abläufe
in einen straffen, erweiterbaren Workflow integrieren. Die ideale IFM-Lösung muss sämtlichen
Anforderungen eines Unternehmens genügen, ohne den laufenden Geschäftsbetrieb zu stören. Die
umfassende Unterstützung von Anwendungen und Plattformen, die Automatisierung des Workflows und der
Vergabe von Berechtigungen sowie die Verbindung von alten Systemen mit neuen verteilten Umgebungen
und webbasierten Diensten sind entscheidend, damit Unternehmen die Integration in bestehende
Geschäftsprozesse wirklich schaffen.
E-Government und Gesundheitswesen
Besondere Beachtung findet Identity Management in Bereich E-Government. IFM gilt hier als Mittel
der Wahl, um die Binnenmodernisierung etwa einer Kommunalverwaltung voranzutreiben und die internen
Prozesse zu optimieren und beispielsweise die verwaltungsübergreifende Kommunikation zu fördern.
Der IFM-Einsatz ermöglicht es unter anderem, dass etwa eine Kommunalverwaltung ihre "Datenhoheit"
trotz interkommunaler Zusammenarbeit behält. Die kommunale Selbstverwaltung ist damit garantiert,
ohne dass der digitale Datenaustausch ausgebremst wird.
In Belgien etwa werden in dreiJahren acht Millionen Bürger eine elektronische ID-Karte besitzen,
die als sichere Lösung zur Identifizierung, Authentifizierung sowie Signatur dient. IFM-Hersteller
Sun ist in diesem Fall der Lieferant. In Braunschweig liefert Siemens eine Lösung, die tausenden
von Schülern eine sichere Nutzung ihrer PCs erlaubt.
Die Stadt Stockholm schließlich setzt Produkte von CA ein, um über einer Million von Bürgern und
Mitarbeitern elektronische Dienste zur Verfügung zu stellen. Der verwaltungsübergreifende Verbund
von Haupt- und Subportalen bei Bund, Ländern und Kommunen kann allerdings nur mit einem offenen und
neutralen IFM-Konzept realisiert werden.
Ein weiterer Sektor mit hohem IFM-Bedarf ist das Gesundheitswesen. Hier soll der Kostendruck
durch so genannte Fallpauschalen eingedämmt werden, und die elektronische Patientenakte (EPA) und
die Gesundheitskarte wurden auserkoren, die Wertschöpfungsketten zu optimieren. Zugleich müssen
Kliniken ihre Workflows optimieren und die IT-Kosten in den Griff bekommen. Insbesondere die vielen
Zielsysteme und Sicherheitsanforderungen bezüglich Paragraph 9 (Personendatenschutz) stellen die
Krankenhäuser dabei vor immer schwerere Herausforderungen.
Bei einer Klinik mit zwischen 800 und 1000 Betten lassen sich im Jahr mittels IFM durchaus viele
hunderttausend Euro Kostenoptimierungspotenzial erzielen.
Fazit
Die Vorteile, die ein Unternehmen durch IFM-Projekte gewinnen kann (Bild 5) liegen auf der Hand,
aber die Einführung ist nicht unproblematisch: Die Anwender müssen automatisierte und sichere
Lösungen einsetzen,aber die Implementierung geschieht zumeist im Rahmen von wirtschaftlichen und
strukturellen Veränderungen, die ihrerseits eine höhere Effizienz der administrativen Funktionen,
eine strengere Einhaltung gesetzlicher Vorschriften und Kostensenkungen bei der Verwaltung von
Anwendern und Zugangsrechten bedingen. Ein neutraler Beratungspartner kann bei IFM-Projekten "der
verlängerte Arm" des Unternehmens sein, um strategische IFM-Lösungen investitionssicher zu
etablieren.
Werner Schönenkorb ist geschäftsführender Gesellschafter von IMC – Identity
Management Consulting.
Lesen Sie mehr zum Thema
