| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Bereits seit einigen Jahren beschäftigen sich Unternehmen und größere Organisationen verstärkt mit dem Thema Identity- und Access-Management (IAM). Die Motivation ist häufig die Erfüllung regulatorischer Anforderungen, erhoffte Effizienz- und Effektivitätssteigerungen oder auch eine angestrebte Erhöhung der Sicherheit von Prozessen und Unternehmens-Assets (vgl. S. 15). Neben diesen unzweifelhaft vorhandenen Vorteilen und dem Potenzial, das IAM einem Unternehmen bietet, werden die mit ihm verbundenen direkten oder indirekten Risiken jedoch häufig eher stiefmütterlich behandelt.
Doch je mehr ein IT-gestütztes IAM die Steuerung und Verwaltung von Identitäten und den ihnen zugeordneten Zugängen und Berechtigungen in einem Unternehmen übernimmt, umso mehr nimmt auch dessen Kritikalität, Sicherheitsrelevanz und strategische Bedeutung für das Unternehmen zu – zumal IAM-Implementierungen vermehrt nicht nur Zugriffsberechtigungen in ITK-Umgebungen, sondern auch den Zutritt zu Standorten, Räumlichkeiten und Produktionsanlagen verwalten.
Unternehmen adressieren die Verfügbarkeit und schnellstmögliche Wiederherstellung eines IAM in der Regel auf der Basis existierender Disaster-Recovery-(DR)-Verfahren unter Einbeziehung von Best Practices der Hersteller zugrundeliegender Hard- und Software. Weitergehende Fragen hinsichtlich der Auswirkungen einer umfassenden IAM-Störung in Bezug auf die unternehmerische Kontinuität werden hingegen häufig nur unzureichend betrachtet:
Betrachtet man die Kernaufgaben eines IAM, dann wird die hohe Bedeutung dieser speziellen Fragen deutlich: Ein solches System dient derzeit in der Mehrzahl der Unternehmen noch der ausschließlichen Verwaltung von Identitäten natürlicher Personen. Es steuert die Vergabe sowie den Entzug von Zugangsberechtigungen zu Ressourcen und damit Unternehmens-Assets. Typischerweise ist das IAM dabei als unterstützendes System in eine Vielzahl von Geschäftsprozessen eingebunden. Das Bereitstellen von Zugangsrechten für Kunden und Lieferanten über Internetportale, die Administration von Zugriffsberechtigungen zum geschützten Intra- und Extranet oder vielfach auch das Verwalten von Logon-Berechtigungen zu Sicherheitsdomänen und dedizierten IT-Diensten in LAN-Segmenten sind nur einige Beispiele für typische Aufgaben eines IAM. Beruht das Geschäftsmodell eines Unternehmens zudem auch noch in Teilen oder ganz auf föderativen Ansätzen, so wird die Relevanz einer dedizierten Katastrophenvorsorge für ein IAM umso höher.
Bei der Beurteilung der Bedeutung eines IAM für ein Unternehmen ist es notwendig, sich die Aufgaben des Systems zunächst klar vor Augen zu führen. Dabei reicht es nicht aus, das IAM nur aus der Sicht einer Unternehmens-IT zu beleuchten! Vielmehr ist die Betrachtung der Einbindung in den vollumfänglichen Kontext der Geschäftsabläufe wichtig. Denn die Identitäten der Akteure mit den ihnen zugewiesenen Berechtigungen sowie Rollen sind ein elementarer Bestandteil im Ablauf eines jeden elektronischen Geschäftsprozesses. Sind diese im IAM hinterlegten Informationen nicht verifizierbar oder nur eingeschränkt verfügbar, kann es zu Verzögerungen oder Ausfällen im Geschäftsablauf kommen. Daher ist zu empfehlen, im Rahmen einer gezielten Katastrophenvorsorge die Kritikalität des IAM im Unternehmen zu bestimmen und eine dedizierte Strategie für das Aufrechterhalten seiner Grundfunktionen zu entwickeln.
Bei der Frage nach der Kritikalität eines IAM erweisen sich die Verfahren und Vorgehensmodelle des Business-Continuity-Managements (BCM) als hilfreich. Im angelsächsischen und nordamerikanischen Raum gilt ein professionelles BCM sehr häufig als elementare Disziplin und Aufgabe zur Sicherung der Überlebensfähigkeit eines Unternehmens im Katastrophenfall – und besitzt auch eine entsprechend hohe Aufmerksamkeit bei der Geschäftsführung. Ein vergleichbares Verständnis und die entsprechende Wahrnehmung des Managements sind jedoch in der stark mittelständisch geprägten deutschen Unternehmenslandschaft häufig erst im Entstehen begriffen. Entsprechende Lücken in der planerischen Katastrophenvorsorge sind daher nicht nur in Bezug auf die Dienste und Systeme des Identity- und Access-Managements vorzufinden; eine gründliche Auseinandersetzung mit der Thematik ist auch über den Spezialfall des IAM hinaus von Bedeutung.
Offensichtlich stellt sich im Rahmen eines Business-Continuity-Managements zunächst die Frage nach den potenziellen Folgen, die der Ausfall eines bestimmten Systems hat. Wichtig ist dabei vor allem die Bestimmung möglicher Auswirkungen auf die Fähigkeit des Unternehmens, sein operatives Kerngeschäft im Fall des Falles weiterführen zu können, um auch eine Katastrophenlage wirtschaftlich zu überleben. Es steht also nicht allein die klassische Disaster-Recovery-Planung der IT-Abteilung im Vordergrund, die üblicherweise die Wiederherstellung eines IT-Systems und der zugehörigen Informationsobjekte mit Sicht auf einen in der Zukunft liegenden möglichen Schadensfall behandelt. Diese zielt eher auf die prophylaktische Risikoverminderung ab – betrachtet also vorrangig den Zeitstrahl vor dem Eintritt eines Schadensfalls.
Beim Business-Continuity-Management geht es hingegen primär um die Frage, welche Maßnahmen zu treffen sind, um bei einem tatsächlich eingetretenen Schadens- oder Katastrophenfall die unternehmerische Kontinuität aufrechtzuerhalten oder schnellstmöglich wiederherzustellen – und darum, welche konkreten Systeme, Prozesse und Ressourcen hierzu als kritisch anzusehen sind. Es stehen also, um das Bild des Zeitstrahls wieder aufzunehmen, stärker die Maßnahmen nach dem Eintritt eines Schadens im Fokus. Erst beide Ansätze zusammen, Disaster-Recovery- und Business-Continuity-Planning, ergeben jedoch ein vollständiges Konzept zur Katastrophenvorsorge.
Ein im Rahmen des BCM zu betrachtendes "System" kann durchaus vielfältig sein: Es kann unterschiedlichste Produktions- oder IT-Systeme, umfassende Geschäftsprozesse, verschiedenste Ressourcen sowie betriebliche Zusammenhänge und auch beliebige Kombinationen davon abbilden. Dementsprechend stellt sich noch vor der Analyse möglicher Auswirkungen eines Schadens die Frage nach der genauen Definition und Abgrenzung des zu analysierenden Systems.
Eine solche Abgrenzung ist für IAM anhand vorhandener Dokumente (z. B. fachliche Grob- und Feinkonzepte, Prozessdokumentationen oder Systembeschreibungen) in der Praxis leider nur selten in erforderlicher Güte möglich, da notwendige Dokumentationen häufig veraltet, lückenhaft oder schlichtweg nicht (mehr) vorhanden sind. So muss häufig im Rahmen einer vorgeschalteten Ist-Aufnahme zunächst das IAM-System exakt definiert und gegenüber seinen Nachbarsystemen abgegrenzt werden. Dabei sollten die folgenden vier Schwerpunkte im Fokus liegen:
Die bei der Ist-Aufnahme gesammelten Informationen liefern wesentliche Basisdaten für den ersten Schritt in Rahmen der BCM-Planung. Als Teil des Elements "Understanding the Organization" nach dem BCM-Lifecycle-Modell des British Standard BS 25999 dienen sie dazu Aufgaben, Abhängigkeiten, Querverbindungen und Verantwortlichkeiten des IAM-Systems im Kontext des Kerngeschäfts des Unternehmens zu identifizieren. Ganz entscheidend ist jedoch, dass die aus der Ist-Aufnahme resultierende Abgrenzung des Systems eine erfolgreiche Business-Impact-Analyse (BIA) in der nachfolgenden Phase überhaupt erst ermöglicht.
Kern eines jeden Business-Continuity-Managements ist die Durchführung einer Business-Impact-Analyse (BIA). Für das spezielle System des IAM ist hierbei das Erkennen und Bewerten von Abhängigkeiten der Geschäftsprozesse von den im IAM verwalteten Informationen wesentlich. Man beachte, dass Unternehmen durchaus auch schon Formen föderativer Geschäftsmodelle realisiert haben, sei es unter einem hergebrachten B2B-Ansatz oder auch unter direkter Verwendung von Federated-Identity-Management. Bei der Durchführung einer BIA für IAM ist es daher wichtig, mögliche Auswirkungen auf Seiten eines derart eingebundenen Geschäftspartners ebenfalls in die Untersuchungen einzubeziehen. Gerade bei föderativen Modellen kann sich eine teilweise Störung oder gar der komplette Ausfall des IAM kritisch auf die Geschäftsaktivitäten aller beteiligten Partner auswirken. Hier tritt also die bereits diskutierte Notwendigkeit der klaren Abgrenzung des Systems besonders deutlich hervor.
Darüber hinaus sind auch Sicherheitsfragen bei der Betrachtung möglicher Auswirkungen einer Katastrophe von Bedeutung: Da ein IAM der Administration von Identitäten, Berechtigungen sowie Rollen und damit letztlich dem Zugang zu Ressourcen und Unternehmenswerten dient, ist es wichtig zu erarbeiten, welche Sicherheitsrisiken ein Ausfall oder eine Störung des IAM nach sich ziehen kann. Es empfiehlt sich hier, eine Sicherheitsbetrachtung mit spezieller Fokussierung für das IAM (und seinen Ausfall) durchzuführen, die neben entsprechenden Risikobetrachtungen auch den Schutzbedarf der im IAM vorliegenden Informationen berücksichtigt. Im Mittelpunkt sollte dabei die Aufrechterhaltung der Sicherheit unternehmerischer Kernprozesse stehen, die zwingend zum Überleben des Unternehmens im Katastrophenfall erforderlich sind.
Die Durchführung einer BIA für IAM konzentriert sich somit im Wesentlichen auf wenige, jedoch elementare Aspekte – die Kernfragen lauten:
Bei der Beantwortung dieser Fragen und den spezifischen Bewertungsmaßstäben ist eine möglichst umfassende Betrachtung der Kette von Abhängigkeiten wesentlich: Selbst wenn im Katastrophenfall die IT-Systeme des IAM unbeschädigt und funktionsfähig sind, könnten dennoch unterstützende Infrastruktur und steuernde Geschäftsprozesse empfindlich gestört sein. Zudem ist von einer eingeschränkten Verfügbarkeit beim Personal auszugehen. Dementsprechend muss im Rahmen der BIA erfasst, bewertet und erkennbar werden, welche Informationen, Prozesse und Ressourcen des IAM zwingend für das Fortbestehen der Handlungsfähigkeit des Unternehmens im Katastrophenfall erforderlich sind. Erst dann lässt sich eine Strategie zur Sicherstellung der Business Continuity unter dem Einfluss eines empfindlich gestörten IAM sinnvoll erstellen.
Eine erfolgreiche BIA ist stark von der aktiven Unterstützung durch Mitarbeiter des Unternehmens abhängig. Nur die eigenen Mitarbeiter sind in der Lage, die erforderlichen Informationen und Einschätzungen zu liefern, aus denen sich letztendlich die bestehenden Abhängigkeiten des Unternehmens von seinem IAM herleiten lassen. Externe Mitarbeiter sind im Rahmen einer BIA hilfreich, wenn sie nachweislich die erforderliche Expertise besitzen – sie sollten jedoch eher begleitend im Sinne einer Moderation und Qualitätssicherung im Projekt tätig werden. Die externen Kräfte müssen dabei in der Lage sein, die Annahmen und Aussagen der Internen kritisch zu hinterfragen, die Gesamtheit möglicher Abhängigkeiten im Blick zu behalten und unabhängige Sichtweisen einzubringen.
Leider zeigt sich immer wieder, dass bei der Durchführung einer BIA für IAM der Fokus oft zu stark auf Infrastrukturelementen und Informationsobjekten liegt, aber die Prozessabhängigkeiten und Anforderungen des Kerngeschäfts aus unternehmerischer Sicht nicht ausreichend betrachtet werden. Gerade die Analyse dieser beiden Risikobereiche ist aber elementar und damit vorrangig zu betreiben, da in ihnen die wesentlichen Einflüsse des IAM auf die operative Handlungsfähigkeit des Unternehmens offensichtlich werden.
Zeigt die BIA, dass im Unternehmen eine kritische Abhängigkeit vom IAM besteht, dann sollte man eine spezifische Business-Continuity-(BC)-Strategie für das IAM entwickeln. Ihr Ziel ist es sicherzustellen, dass Prozesse und Geschäftsabläufe mit kritischer Abhängigkeit vom IAM auch im Katastrophenfall – gegebenenfalls unter Inkaufnahme tolerierbarer Einschränkungen – weiterlaufen können, ohne dass das Unternehmen in seinem Kerngeschäft und seiner Überlebensfähigkeit über einen vertretbaren Zeitraum hinaus signifikant gefährdet wird.
Hierzu sollte die BC-Strategie für das IAM auch wirkungsvolle Maßnahmen vorsehen, welche die Abhängigkeiten von IAM-Funktion reduzieren – diese Maßnahmen können infrastrukturell, prozessual, operativ oder auch personell erforderlich sein, um das angestrebte Ziel zu erreichen. Erhöhte infrastrukturelle Ausfallsicherheit in als kritisch identifizierten Bereichen ist dabei ein offensichtlicher Teil der Strategie.
Die BC-Strategie muss aber auch berücksichtigen, dass Ressourcen und Infrastruktur im Katastrophenfall weiträumig nicht oder nur eingeschränkt verfügbar sein können und entsprechende Vorsorge treffen. Hierzu empfiehlt sich die Erarbeitung von Notfallprozessen mit zugehörigen Rollen und Basisberechtigungen, die im K-Fall schnell an verfügbares Personal vergeben werden können und dann sicherstellen, dass als kritisch identifizierte IAM-Funktionen auch von Remote-Standorten zu betreiben sind.
Mit Eintritt des Katastrophenfalls greifende Verantwortlichkeiten und Entscheidungskompetenzen in Bezug auf das IAM sind weitere wesentliche Teile der Strategie. Zur Aufrechterhaltung der Sicherheit bei Störung oder Ausfall des IAM sind zudem Verfahren und Fallback-Lösungen zu definieren, die kritische Unternehmenswerte vor Zugriff durch unberechtigt erlangte Zugangsberechtigungen infolge des Desasters schützen.
Ein weiterer Aspekt sind IAM-Aufgaben bei der schnellstmöglichen Wiederherstellung der Handlungsfähigkeit nach einer Katastrophe. Ein IAM kann durch die zentrale Vergabe von Zugangsberechtigungen relativ schnell und flexibel auf sich ändernde Infrastrukturbedingungen reagieren. Sind zum Beispiel im Zuge eines Störfalls Standorte unverfügbar, sodass Unternehmensfunktionen ausgelagert werden müssen, dann hat das IAM eine Schlüsselaufgabe beim Transfer der Zugangsberechtigungen. Aspekte des Wiederanlaufs nach einer kritischen Störung sollten ebenfalls berücksichtigt werden; dabei ist zwischen Wiederanlauf des IAM selbst sowie dem Wiederanlauf der damit interagierenden Infrastruktur und Prozesse zu unterscheiden.
Im Rahmen einer Business-Continuity-Strategie definierte Maßnahmen sollte man – so irgend möglich – in wiederkehrenden Intervallen testen! Nur das ermöglicht ein Erkennen von Schwachstellen und Lücken in der Strategie und den daraus abgeleiteten Vorsorgemaßnahmen. Letztendlich ist jegliches Business-Continuity-Management ein fortgesetztes Anpassen und Verbessern von Strategie und Maßnahmen zur Minderung der Risiken im Katastrophenfall. Solange das BCM mit den Veränderungen des Unternehmens, der Prozesse und der ITK-Infrastruktur Schritt hält und diese auch ausreichend Niederschlag finden, hat man jedoch einen, wenn nicht den wesentlichen Schritt zum Überleben im Katastrophenfall getan.
Holger Meyer ist Consultant Business Continuity, Security & Governance bei BT Germany.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#3, Seite 21
tag:kes.info,2007:art:2007-3-021
|