![[Schema]](03-3-059-1.jpg)
Technische Verbesserungen durch Identitätsmanagement fördern letztlich auch Geschäftsziele
Das Management von IT-Identitäten und -Berechtigungen auf den Plattformen heterogener Systemwelten spielt eine wichtige Rolle für einen effektiven IT-Betrieb. Diese Aufgabe ist sehr komplex, ihre Komplexität lässt sich aber reduzieren, wenn man die unterschiedlichen Plattformen in einer geeigneten Infrastruktur nach einheitlichen Richtlinien administriert. Diese sollten in einem geeigneten Rollenmodell entwickelt, implementiert und gepflegt und mit geeigneten Software-Werkzeugen durchgesetzt werden. Der Betrieb solcher rollenbasierter Lösungen erfordert eine Verknüpfung der Prozesse des Berechtigungsmanagements mit bestehenden Prozessen zur Benutzerverwaltung und auch der Personalverwaltung.
Solange es um die internen Benutzer eines Unternehmens geht, können (durchaus komplexe) Rollenmodelle sinnvoll sein, die Organisations- und IT-Strukturen abbilden; dem gegenüber stehen eher einfache Prozesse der Benutzerverwaltung. Zunehmend werden aber betriebliche Anwendungen für externe Benutzerkreise geöffnet. Beispiele hierfür sind die Zusammenarbeit von Unternehmen in Forschungsgemeinschaften, Projektgemeinschaften oder Lieferketten. Weitere Beispiele ergeben sich aus flexiblen Formen der Beschäftigung wie Traveling Users, Job Sharing, Home Office und so weiter. Hier sind die Prozesse der Benutzerverwaltung oft komplex, während sich die für die Berechtigungsvergabe benötigten Rollen oft einfach aus den bereitgestellten Anwendungen ableiten lassen.
Für ein Unternehmen ist es dringend erforderlich, einen aktuellen Überblick zu haben und Zugriffsberechtigungen schnell erteilen und entziehen zu können. Dies erfordert in der Regel einen hohen Zentralisierungs- und Automatisierungsgrad. Zur Integration der genannten Sachverhalte sollte man die Prozesse des Identitätsmanagements und des Berechtigungsmanagements gemeinsam betrachten und in einer geeigneten Infrastruktur zusammenführen. Die einschlägigen Marktbeobachter (Gartner Group, Giga Group etc.) rechnen solchen Infrastrukturen im Erfolgsfall einen sehr günstigen Return on Investment zu.
Die eigentlich einfache Idee zum Aufbau einer solchen Infrastruktur steht nun in der Praxis einer unglaublichen Fülle von Detailaufgaben gegenüber. Diese sind teils technisch, aber in vielen Fällen organisatorischer oder schlicht menschlicher Natur. Die stetige Berücksichtigung dieser Details im Vorfeld und projektbegleitend ist entscheidend für den Projekterfolg.
Aus der Sicht der Projektsteuerung sind die Erfolgsfaktoren für Einführung und Betrieb einer plattformübergreifenden Infrastruktur trotz aller Veränderungen dieselben geblieben. Im menschlichen und kommunikativen Bereich gehören dazu der Aufbau und die Führung eines leistungsbereiten und an die Aufgabe angepassten Teams, ein vertrauensvolles Arbeitsklima und die Nutzung der kollektiven Teamdynamik.
Entscheidend ist eine saubere Festlegung der Projektziele, sodass das Projekt jederzeit kommunizierbar ist und der Projekterfolg messbar wird. Zur Umsetzung ehrgeiziger Projektziele sollte man gegebenenfalls mehrere Projektphasen einplanen. Die Projektorganisation erfordert eine Gesamtsicht über die zu implementierende Infrastruktur, inklusive Erfassung der technischen Komponenten, des Umfelds und der beteiligten Personen. In diese Gesamtsicht lassen sich die unterstützten Workflows und Geschäftsprozesse einordnen. Wesentlich ist in jeder Projektphase die Berücksichtigung der menschlichen Randbedingungen.
Infrastrukturen zum Identitäts- und Berechtigungsmanagement können die unterschiedlichsten Ziele unterstützen. Sie sollten für jede Phase eines Implementierungsprojektes explizit festgelegt werden, um einen "Tod durch Anforderung" zu vermeiden. Noch wichtiger ist dabei die Abgrenzung gegenüber den (noch) nicht explizit verfolgten Zielen. Grundsätzlich sind dabei quantitative Ziele zur Effektivitätssteigerung und zu Einsparungen zu berücksichtigen, aber auch qualitative Ziele wie die Verbesserung der IT-Sicherheit oder der Datenqualität.
Hauptziel einer solchen Infrastrukturlösung sind in der Regel Einsparungen, die aus einer Verbesserung administrativer Abläufe resultieren. Nach der Grundregel "IT supports Business" ist dabei zu beachten, dass die Einsparungen durch solche Verbesserungen jedoch nicht nur in der Reduktion des Aufwands der Administration liegen. Deutlich höhere Einsparungen können sich im Tagesgeschäft der betroffenen Benutzer ergeben. In Einzelfällen ließ sich die Zeit, um neu eingestellte oder versetzte Mitarbeiter voll arbeitsfähig zu machen, von mehreren Wochen auf wenige Stunden verkürzen. Auch eine Reduktion von Nacharbeiten durch Verbesserung der Administrationsqualität führt zu – teils deutlichen – Einsparungen. Die erwünschten Einsparungen sind möglichst quantitativ und auf die betroffenen Abläufe bezogen festzuschreiben.
Technische Verbesserungen durch Identitätsmanagement
fördern letztlich auch Geschäftsziele
Ein Schritt zu effektiverer Administration ist die plattformübergreifende Angleichung der Administrationsprozesse zur Steigerung der Einfachkeit und Übersichtlichkeit. Diese Angleichung ermöglicht ein Re-Engineering dieser Prozesse in Richtung von Vergabe-Workflows und delegierter Administration bis hin zu eigenen Berechtigungsanträgen der Benutzer, dem so genannten Self-Provisioning. Die übersichtlichere Administration auf einer gemeinsamen Infrastruktur verbessert aber auch die Revisionsfähigkeit des Gesamtsystems.
Zum Aufbau der Infrastruktur stehen Software-Werkzeuge zur Verfügung, welche die administrativen Abläufe plattformübergreifend automatisieren können. Der Funktionsumfang dieser Software-Werkzeuge variiert stark hinsichtlich der bestehenden System-Konnektoren, der unterstützten Rollen- und Richtliniensemantik, den vorhandenen Workflows sowie den Möglichkeiten für Auditing und Kontrolle. Dementsprechend kann solche Software grob in die Kategorien Metadirectory, rollenbasierte Berechtigungsvergabe und Provisioning unterteilt werden. Die Produktauswahl ist nach Erfahrung der Autoren ein nicht zu unterschätzender Projektschritt.
Der Automatisierungsgrad, den ein solches Werkzeug erzielen kann, ist eng mit Kosten und Aufwand für dessen Einführung verbunden. Auch die Datenqualität und Fehlertoleranz der angebundenen Systeme spielt hierbei eine Rolle, eine hundertprozentige Automatisierung ist in der Regel nicht möglich oder nicht bezahlbar. Der gewünschte Automatisierungsgrad ist deshalb vorab als Projektziel festzulegen, außerdem sollte man einen eigenen Projektabschnitt zur Behandlung von Fehlern und Ausnahmesituationen vorsehen.
Ausgangspunkte für die Einführung einer Berechtigungsinfrastruktur sind in vielen Fällen auch die IT-Revision und der Wunsch nach einer Verbesserung der IT-Sicherheit des Gesamtsystems. Erfahrungsgemäß muss ein erfolgreiches Projekt auch die Anforderungen an Kontrolle, Auditing und IT-Sicherheit bereits bei der Festlegung der Projektziele möglichst genau definieren. Für Kontrolle und Auditing erfolgt dies durch die Einbeziehung der IT-Revision. Dieser Punkt darf nicht unterschätzt werden, da die Anforderungen der Revision aus übergeordneten und nicht modifizierbaren Vorschriften entstehen, die aus Gesetzen zur Wirtschaftsprüfung oder aus einem betriebsweiten Risikomanagement herrühren.
Die Verantwortlichkeit für die IT-Sicherheit des Gesamtsystems ist oft nicht eindeutig zuzuordnen, sodass sich die Anforderungen nur bereichsübergreifend erarbeiten lassen. Verbesserungen der IT-Sicherheit entstehen durch eine Reduktion der Fehlerhäufigkeiten und speziell der Entfernung nicht (bzw. nicht mehr) gebrauchter Benutzerkonten und Berechtigungen, dem so genannten De-Provisioning. Ein weiterer Effekt kann die Reduktion der Anzahl plattformeigener Administratorkonten sein; dem stehen allerdings neue Datenspeicher und Zugangsmechanismen für sensitive Authentifizierungs- und Berechtigungsinformationen gegenüber.
Deshalb gilt es, die gewünschten Effekte zur IT-Sicherheit detailliert abzuschätzen und die Infrastruktur selbst möglichst sicher aufzubauen und durch wirksame Maßnahmen zu schützen. Die Anforderungen an die IT-Sicherheit der Infrastruktur sind in der Planungsphase zu vereinbaren und als Projektziel festzuschreiben. Dasselbe gilt für die Ziele der Datenqualität an den zentral einzurichtenden Datenbeständen.
Infrastrukturen zum Identitäts- und Berechtigungsmanagement sind in die verschiedensten Daten- und Organisationsstrukturen eines Unternehmens eingebunden. Dadurch können in vielerlei Hinsicht Abhängigkeiten entstehen, die für die Durchführung des Projektes wesentlich sind. Bei den technischen Komponenten werden diese Abhängigkeiten besonders deutlich, sind aber meistens durch Standardmethoden zu erfassen und zu bewältigen. Mit Hinblick auf beteiligte Personen stellen sich die Abhängigkeiten oft wesentlich komplexer dar: Beteiligt sind möglicherweise Administratoren, Verantwortliche und Benutzer betroffener Systeme, die im Hinblick auf Veränderungen jeweils andere Interessen und Hintergründe besitzen.
![[Schema]](03-3-059-2.jpg)
Einbettung und Abgrenzung des Identitäts- und
Berechtigungsmanagements
Benutzerinformationen können in Verzeichnissen auf den verschiedensten Systemen vorliegen (z. B. im Personalwesen, in Applikationen, Abteilungslisten oder Telefonverzeichnissen) und unterliegen dort völlig unterschiedlichen Anforderungen an Aktualität, Vollständigkeit, Verfügbarkeit oder Sicherheit. Die Zusammenführung solcher Informationen in einer gemeinsamen Infrastruktur hat damit auch Auswirkungen auf die genannten Verzeichnisse und die darauf zugreifenden Applikationen inklusive der Verantwortlichen, Administratoren und Benutzer.
Rollen für die Bündelung von Benutzerrechten werden aus organisatorischen Informationen des Unternehmens hergeleitet. Diese können in Form von Geschäftsprozessmodellen, Organigrammen, Stellenbeschreibungen oder Ähnlichem bereits vorliegen und für das Rollen-Engineering nutzbar sein. Falls solche Informationen nicht vorliegen, muss das Rollen-Engineering vollständig und separat während der Implementierung der Infrastruktur aufgesetzt werden. In diesem Fall ist es wichtig, sich gegen aufwändige Anforderungen der Unternehmensorganisation an die Rollen-Modellierung abzugrenzen.
Ohne eine plattformübergreifende Infrastruktur erfolgt die Pflege der Zielsysteme und Ressourcen separat. Deshalb bestehen in diesem Fall für jedes Zielsystem getrennte Verantwortlichkeiten und Arbeitsabläufe. Die Zusammenführung der Abläufe hebt diese Trennung in einem bestimmten Maß auf und ersetzt sie durch ein Zusammenspiel zwischen systeminternen und infrastrukturellen Tätigkeiten. Es ist besonders wichtig, hier das Verständnis und den Rückhalt der Systemverantwortlichen sicherzustellen, denn ohne die Mitwirkung der Systemverantwortlichen können keine Verbesserungen der administrativen Prozesse erreicht werden. Ähnliches gilt für die Einbeziehung solcher Ressourcen, deren Zuweisung über manuelle Anweisungen an die entsprechenden Verantwortlichen erfolgt.
Bei der Implementierung sollte man regelmäßig die Revision einbeziehen, um das Erreichen der vereinbarten Ziele zu überprüfen und letztlich sicherzustellen. Dasselbe gilt für die festgelegten Ziele der IT-Sicherheit. In der Regel erfolgt dies durch geeignete Umsetzung der IT-Sicherheitsrichtlinien im Rollenmodell sowie prototypische Prüfung der Workflow- und Auditingprozesse.
Oft scheitern Projekte nicht an der Komplexität technischer Sachverhalte, sondern wegen menschlicher Schwächen und mangelnder Kooperation oder Kommunikation. In jedem der beschriebenen Gebiete bestehen Verantwortlichkeiten und Interessen, die durch die Einführung einer Infrastruktur zum Identitäts- und Berechtigungsmanagement berührt werden. Diese Interessen bieten viele offene und versteckte Konfliktherde, die sich nachteilig auf den Projektverlauf auswirken können. Das Dilemma der Projektleitung besteht oft gerade darin, auf detaillierte Informationen von Mitarbeitern angewiesen zu sein, deren Tätigkeiten oder Verantwortlichkeiten sich ändern oder künftig ganz entfallen. Diese Einzelinteressen müssen detailliert abgewogen werden, um einen Rückhalt für das Projekt sicherzustellen. Dabei erscheint es wesentlich, die Vorteile der Einführung in Form der festgelegten Projektziele offen zu kommunizieren.
Der erste Schritt hierfür ist die Verankerung des Projekts im Management, um für eventuell auftretende Probleme geeignete Eskalationswege zu schaffen. Dies erfordert in der Regel Klarheit über den zu erwartenden Return on Investment, der deshalb messbar und kontrollierbar kalkuliert sein muss.
Der nächste Schritt besteht darin, festzustellen an welchen Stellen Verantwortlichkeiten durch die Einführung der Infrastruktur reduziert werden. Für den Projekterfolg ist es unerlässlich, für die betroffenen Mitarbeiter mit Unterstützung des Managements frühzeitig berufliche Perspektiven zu entwickeln. Gleichzeitig sollte man Aufgaben definieren, damit Klarheit geschaffen wird, wie diese Mitarbeiter das Erreichen der Projektziele und des erwünschten Nutzens unterstützen können. Der Anteil dieser Personen am Projekterfolg muss für alle – auch und gerade für das Management – deutlich erkennbar sein. Ein Ausgleich der Verantwortlichkeiten nach Abschluss des Projekts oder einzelner Projektphasen sollte besprochen werden.
Nach der Einführung der Infrastruktur ist es möglich, dass verschiedene Mitarbeiter der IT-Abteilungen im Tagesgeschäft weniger selbstständig arbeiten können als vorher, weil die Infrastruktur verschiedene Regeln und Richtlinien vorgibt. Die Unzufriedenheit, die an diesen Stellen entstehen kann, ist in vielen Fällen auf eine Unkenntnis der Gesamtsituation zurückzuführen. Durch geeignete projektbegleitende Schulungen können solchen Mitarbeitern sowohl geänderte Abläufe erklärt als auch die Hintergründe, der Nutzen der Änderungen und die Einbettung in die gesamte IT des Unternehmens verdeutlicht werden. Arbeiten, die durch Automatisierung wegfallen, lassen sich in der Regel durch anspruchsvollere Tätigkeiten im Betrieb der Infrastruktur oder an anderen Stellen ersetzen.
In diesem Sinne sind die Befindlichkeiten der Beteiligten zu berücksichtigen. Eine Motivation für das Identitäts- und Berechtigungsmanagement erreicht man durch die Kommunikation der Projektziele und des Anteils jedes Einzelnen daran sowie die Unterstützung des Managements.
Die Einführung einer Infrastruktur für Identitäts- und Berechtigungsmanagement ist sowohl aus technischer als auch aus organisatorischer Sicht außerordentlich komplex. Projektziele müssen realistisch festgelegt und offen kommuniziert werden. Die Unterstützung des Managements muss gewährleistet sein. Die technische Infrastruktur, die betroffenen Prozesse und die Befindlichkeiten aller Beteiligten müssen berücksichtigt werden. Unter diesen Voraussetzungen ergeben sich jedoch höchst interessante Möglichkeiten für Effektivitätssteigerung, Qualitätsverbesserung und Einsparungen.
Dr. Haio Röckle ist Geschäftsführer
der Röckle IT-Sicherheit GmbH in Bochum (![[externer Link]](../../../../images/link.gif)
www.roeckle.de), Gerhard Schimpf ist
Inhaber der SMF-Team Unternehmensberatung für IT-Sicherheit
( www.smfteam.de).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003#3, Seite 59
| 