Ein ideales Paar Zugriffskontrolle und Business-Service-Management im Verbund

Ordnungsmerkmale

erschienen in: <kes> 2005#6, Seite 80

Rubrik: Management und Wissen

Schlagwort: Identity Management

Zusammenfassung: Bisher stellten IT-Sicherheit und das Geschäftsprozess-Management keine Einheit dar. Dieser für Unternehmen aufwändige und damit kostspielige Zustand ändert sich jedoch gravierend: Nachdem das Management von Geschäftsprozessen unter der Flagge von Business-Service-Management (BSM) endlich die gleiche Prozessebene wie die Zugriffskontrolle erreicht hat, können nun beide Hand in Hand gehen.

Autor: Von Mustafa Doekmetas, Darmstadt

Mit dem Verschmelzen von Zugriffskontrolle und Business-Service-Management (BSM) zeichnen sich für Unternehmen verheißungsvolle Perspektiven ab: Sie können Zugriffe auf ihre Anwendungen im Einklang mit garantierten Service-Levels für die Geschäftsprozesse besser absichern. Und auch die Entscheider dürfen sich über lohnende Einsparungen freuen: Ihnen erspart die Integration der beiden Managementdisziplinen doppelten Betriebsaufwand. Der Trend zu einem umfassenden Identity- und Access-Management (IAM) über den kompletten Aktionsradius – Intranet, Extranet, Internet – verstärkt noch diese Synergie, die Geschäftsprozesse auch unternehmensübergreifend, verlässlicher und wirtschaftlicher vor Angriffen von innen und außen zu schützen. Tatsächlich standen sich beide Aufgaben schon immer nah: Erst müssen interne wie externe Teilnehmer ihre Zugriffsrechte für einzelne Applikationen nachweisen, dann dürfen sie an Geschäftsprozessen mit partizipieren.

Berührungspunkte für eine kollektive Abschirmung vitaler Geschäftsabläufe gibt es mehr als genug: Das beginnt mit einer gemeinsamen Verwaltung von Administratorrechten und -rollen (Gruppenrechten) über das IAM-System, anstatt diese separat für beide Managementwelten zu definieren, gesondert einzugeben, zu pflegen und bei Bedarf zu löschen. Eine derartige konsolidierte Rechte- und Rollenverwaltung reduziert nicht nur den Verwaltungsaufwand sowie das Risiko an Fehleinträgen und gefährlichen "Rechteleichen". Über ein Repository sind zudem alle Einträge, einmal erfasst oder verändert, automatisch auf dem aktuellen Stand. Aufgrund der besseren Bordmittel können über eine IAM-Lösung Administratorrechte und -rollen außerdem oft detaillierter vergeben und dadurch besser eingegrenzt, anschließend alle Administratoraktivitäten über integrierte Auditing- und Reporting-Werkzeuge eingehender verfolgt und ausgewertet werden.

Das trägt insgesamt zu einer höheren Zugriffssicherheit und einem verlässlicheren Schutz der Geschäftsprozesse bei. Eine übergeordnete Administrator-Rechteinstanz für beide Managementdisziplinen ergibt aus einem weiteren Blickwinkel Sinn: Sie ermöglicht es Unternehmen, eine übergreifende Administrationsstrategie zu etablieren, die nicht nur auf die Anforderungen an die Zugriffskontrolle eingeht, sondern auch die Sensitivität einzelner Prozesse für das laufende Geschäft einbezieht.

----------Anfang Textkasten----------

BPO sanfter und sicherer

Outsourcing-Offerten wie Business Process Outsourcing (BPO) werden heute von Unternehmen weiterhin nur zögerlich angenommen. Das könnte sich über das sichere Zusammenspiel von Identity- und Access-Management (IAM) mit Business-Service-Management (BSM) bald ändern. Verlässliche Rechte- und Rollenzuweisungen sowie verbindliche Zuordnungen von Administrationshoheiten über IAM ermöglichen es Unternehmen, einzelne Geschäftsbereiche mit ihren Prozessen sanfter an einen Service-Provider zu delegieren, ohne dafür wie heute die dort angesiedelten Systeme auslagern zu müssen. IAM mit seinem geschäftsprozessflankierenden Zugriffsschutz könnte so buchstäblich zum Wegbereiter für ein – für beide Seiten lohnendes – BPO werden. Das setzt allerdings voraus, dass die prozessbegleitende IAM-Initiative in diesem Fall von den Service-Providern ausgeht.

----------Ende Textkasten----------

Zentrale Zugriffskontrolle

Für die Delegation der Administratorrechte und -rollen an das IAM spricht zudem, dass hierüber ohnehin die Zugriffskontrolle für alle Kommunikationsteilnehmer abgewickelt wird. So kann ein Administrator innerhalb seiner Verwaltungshoheit schnell und gezielt neue Teilnehmerrechte oder -rollen vergeben beziehungsweise bestehende Teilnehmerprivilegien verändern. Mit Blick auf das BSM heißt das: Neue Mitarbeiter oder Mitarbeiter in veränderter Funktion können schneller mit ihren individuellen Zugriffsrechten "produktiv geschaltet" werden. Diese durchgehende Verwaltung von Teilnehmerrechten und -rollen über IAM verhilft dem Unternehmen dazu, bei Strategiewechseln oder Firmenzusammenschlüssen die veränderten Geschäftsabläufe sicher, schnell und wirtschaftlich durch eine angemessene Zugriffskontrolle zu flankieren.

Zugriffskontrolle und BSM als funktionale Einheit zu sehen, macht sich jedoch noch aus einem weiteren Grund bezahlt: Die Behebung von Problemen, die innerhalb des Business-Service-Managements registriert und identifiziert werden, kann über den Einblick in die Zugriffsrechte der einzelnen Teilnehmer bedarfsgerechter priorisiert werden (wer ist in welchem Umfang vom Problem betroffen?).

Dringend gebraucht wird eine solche tiefe Einsicht in die Teilnehmerrechte auch für die Help-Desk-Unterstützung innerhalb der BSM-Domäne: Über sie können Geschäftsprozess-Problemauswirkungen besser qualifiziert werden, um zuerst dort, wo am dringendsten notwendig, Support zu leisten. Die Lösungskomponente dazu: ein Web-Portal im Zusammenspiel mit einer Web-Administrationskomponente, das die einzelnen Zugriffsrechte und -rollen gegenüber dem BSM spiegelt.

Gezielt und schnell alarmiert

Auch die gezielte Alarmierung von Administratoren und betroffenen Teilnehmern lässt sich aus einer zentralen Informations-Datenbank des IAM-Systems heraus komfortabler und sicherer als mit den Bordmitteln des BSM lösen. Der Lohn: eine schnellere Problembehebung sowie eine stabilere Zugriffskontrolle und Geschäftsprozessabwicklung. Dabei bestehen meist zwei Alternativen, die Alarmierung aus dem IAM-System heraus anzustoßen: Einerseits über Informationsmethoden des BSM-Systems selbst, die durch Events des IAM-Systems angestoßen werden (ein Lösungsbeispiel dafür ist eTrust Security Command Center von CA). Und zum anderen über eine üblicherweise vorhandene Schnittstelle zum externen Programmaufruf (Batch Job).

Damit die von Geschäftsprozessproblemen betroffenen Teilnehmer – intern wie extern bei Geschäftspartnern und Kunden – im Alarmfall nur zulässige Informationen zu sehen bekommen, werden wiederum alle zentralen Rechte und Rollen gebraucht, die im IAM-System hinterlegt sind. Es steuert dazu fein granulare Zugriffsprivilegien zum Berechtigungsumfang bei, um einen Informationsmissbrauch, beispielsweise durch Wettbewerber, zu verhindern.

Vorteile im Verbund

Nicht zuletzt sprechen triftige Gründe dafür, die Geschäftsprozesse des Unternehmens künftig stärker unter dem Aspekt der Zugriffskontrolle zu sehen: Sie hält über integrierte Auditing-Werkzeuge genau fest, wer wann auf welche geschäftsprozessstützende Applikation zugegriffen hat. Auf diese Weise können Unternehmen neue gesetzliche Anforderungen sowie interne Controlling- und Revisionsauflagen lückenlos und effizient erfüllen.

Darüber hinaus macht ein gemeinschaftliches Event-Management für IAM und BSM Sinn, anstatt es jeweils an den Grenzen der Managementdomänen enden zu lassen. Ein solches übergreifendes Event-Management spart dem Unternehmen aber nicht nur doppelten Aufwand und damit Geld: Die durchgehende Event-Sicht wird dringend gebraucht, um Alarme des jeweils anderen Managementbereiches schnell und verlässlich zu erkennen. Zwei Beispiele von vielen mögen das verdeutlichen: Wenn nach einer dreimaligen Falscheingabe des Authentifizierungspassworts innerhalb der IAM-Domäne ein Mitarbeiter vom Geschäftsprozess entkoppelt wird, so ist diese Meldung genauso wichtig für das BSM. Umgekehrt sollte innerhalb der IAM-Domäne sofort transparent werden, wenn durch Probleme innerhalb der BSM-Domäne einzelne Geschäftsapplikationen nicht mehr oder nur unter Performance-Einschränkungen im Zugriff liegen – das erspart unter anderem, dem Problem innerhalb der Sicherheits-Domäne nachzugehen.

Zwei Wege stehen den Unternehmen heute offen, dieses gemeinschaftliche Event-Management zu realisieren:

Sichere IAM-Strukturen

Eines steht außer Frage: Die neue, durchgehende Managementsicht wird zwangsläufig in der Administration neue Aufgabenverteilungen nach sich ziehen. Auch Informationsabläufe, beispielsweise in Gang gesetzt über Workflows, werden sich durch das anstehende Zusammenspiel von Zugriffskontrolle und BSM ändern müssen. Nur so wird ein kollektives Handeln zwischen beiden, bisher getrennten Administrationsinstanzen möglich sein. Gerade die IT-Sicherheit wird dabei zu Recht auf zusätzliche Sicherheitsrisiken hinweisen, die durch den erweiterten Managementansatz drohen könnten.

Dabei steuert jedoch gerade das Identity- und Access-Management (IAM) eine professionelle Rechteverwaltung bei, um auch die wechselseitigen Zugriffe zwischen beiden Managementdisziplinen hinreichend abzusichern. Noch mehr: Es eröffnet zusätzlich, gestützt durch eine gezielte Replikation von Verwaltungsdaten, die Voraussetzungen, Administrationshoheiten verlässlich zwischen beiden Bereichen zu trennen. Erste Anwender wie SwissLife Belgien nutzen derartige sichere IAM-Strukturen sogar bereits, um Firmenkunden die Verwaltung ihrer eigenen Versicherungskontraktdaten einzuräumen. Von daher sollte der Ehe zwischen Zugriffskontrolle und BSM auch aus organisatorischer Sicht eigentlich nichts im Wege stehen.

Mustafa Doekmetas ist Director Business Development Enterprise System Management EMEA bei Computer Associates (CA) in Darmstadt.