Identity- und Access-Management (IAM)

IAM wird zum Business-Enabler

06.11.2013 von Simon Hülsbömer

Unternehmen kämpfen sich heute meist noch grobschlächtig mit der Machete durch den Dschungel der Identitäten: Unzählige Zugriffsberechtigungen wollen verwaltet und immer dynamischer gestaltet werden. Die anstehende Modernisierung des IAM ist eine wahre Herkulesaufgabe.

von Simon Hülsbömer, COMPUTERWOCHE

Herkules selbst aber hätte diese Aufgabe seinerzeit nicht lösen können: die zentrale Verwaltung von Hunderten, Tausenden oder gar Millionen verschiedenen Identitäten, Benutzerkonten und mobilen Geräten mittels IT. Unternehmen der heutigen Zeit müssen sich der Aufgabe jedoch trotzdem stellen, die durch weltweite, teils öffentliche Cloud-Infrastrukturen, zig verschiedene Plattformen und diverse Formfaktoren erst richtig zu einer solchen geworden ist.

Unternehmen müssen darauf achten, sich nicht im Dschungel der Identitäten zu verirren.
Foto: Slavomir Valigursky - Fotolia.com

Das Thema Identity- und Access-Management (IAM) begleitet das Tagesgeschäft der Sicherheitsverantwortlichen so stark wie selten zuvor. Das beweist das "2013 IBM Chief Information Security Officer (CISO) Assessment": Für mehr als die Hälfte der befragten Top-CISOs aus großen Unternehmen weltweit hat es derzeit höchste Priorität - kein Thema wurde häufiger genannt. IAM schwebt schließlich immerzu wie ein Damoklesschwert über allen, deren sensible Daten in den Systemen und Netzen des Unternehmens schlummern - und damit in erster Linie über dem Vorstand. Es ist eine zentrale Komponente der GRC-Strategie (Governance, Risk, Compliance) und weit mehr als nur die Abwehr unbefugter Zugriffe auf Netze und Applikationen. Durch die Dezentralisierung der Systeme, die moderne Gerätevielfalt und die Möglichkeiten, global Zugang zu Cloud-Infrastrukturen herzustellen, ist IAM von einer systembezogenen zu einer nutzer- und datenbezogenen Frage geworden.

Es geht nicht mehr nur darum, Netze zentral abzusichern - die neue Herausforderung besteht darin, Nutzer mit unterschiedlichsten Zugriffsrechten auf unterschiedlichste Systeme unterschiedlichster Abteilungen zu verwalten. Häufig betrifft das weit mehr als das eigene Unternehmen, weil Private- und Public-Cloud-Provider, Geschäftspartner und Beratungsfirmen, die jeweils wieder komplett verschiedene Lösungen einsetzen, gleich mit betroffen sind. Bedenkt man, dass ein Anwender allein zudem noch einen bunten Strauß privater Online- und Offline-Persönlichkeiten mitbringt, entsteht so der schier unüberschaubare Identitätendschungel.

Best in Cloud 2013 - Die Preisträger
Zum dritten Mal kürt die COMPUTERWOCHE die besten Cloud-Initiativen deutscher Anwender. Aus über 50 Bewerbungen wählte unsere Expertenjury folgende Sieger

Die Gewinner in der Kategorie Public Cloud

Platz 3: Novadex GmbH
Individuelles "Golf spielen" entsteht in der Cloud

Platz 2: T-Systems International GmbH
Dokumenten-Lifecycle-Management für Anwälte und Notare

Platz 1: vitero GmbH
Telemedizinische Internetplattform für die Stottertherapie

Die Gewinner in der Kategorie Private/Hybrid Cloud

Platz 3: Fabasoft
Österreichische Banken arbeiten und kommunizieren in der Cloud

Platz 2: EURO-LOG AG
Eine App für alle Transportprozesse bei der GS Frachtlogistik GmbH

Platz 1: Rieger & Dietz GmbH und Co. KG
Prüfservice RUD ID Net schafft Mehrwert für RUD Ketten

Die Finalisten in der Kategorie Cloud Enabling Infrastructure

Platz 3: Deutsche Telekom AG
Wie Kleinbetriebe den Business Marketplace nutzen

Platz 2: Akamai Technologies GmbH
Mehr Sicherheit und Performance für den E-Commerce bei der redcoon GmbH

Platz 1: Informatica GmbH
Höhere Datenqualität für die Nobel Biocare AG

Sonderpreis: Best Business Idea

BRZ Deutschland GmbH
Eine Cloud-basierte Branchenlösung für Bauunternehmen

Sonderpreis: Innovation Award

Fabasoft
Österreichische Banken arbeiten und kommunizieren in der Cloud

Viele offene Fragen

Martin Kuppinger sieht die IAM-Schwächen in den Geschäftsprozessen.
Foto: KuppingerCole

Wer nicht genau nachvollziehen kann, wann welche Nutzer welche Rechte für Systeme und Anwendungen benötigen, was sie dann mit diesen Rechten genau tun und mit welchen Geräten diese Rechte wahrgenommen werden, bekommt über kurz oder lang ein Problem. Es entstehen gleich mehrere neue Fragen, die Anwender an ihre aktuelle Infrastruktur stellen müssen: Wie qualitativ hochwertig sind die Identitätsdaten? Wie dynamisch und risiko-basiert sind die IAM-Systeme? Und nicht zuletzt: Wie sorgfältig sind die Geschäftsprozesse aufgesetzt, auf die die IAM-Systeme fußen? Martin Kuppinger, Principal Analyst bei KuppingerCole, stellt den Zusammenhang zwischen den Fragen her: "Die Qualität von Identitätsdaten ist heute oft schwach, weil die Prozesse zwischen Business, HR und IAM nicht ausreichend definiert sind." Diese fehlende Datenqualität sei besonders dann eine Hürde, wenn Geschäftsprozesse mit Partnerunternehmen aufgebaut werden sollen (Stichwort "Connected Enterprise"). Schließlich müsse man sich darauf verlassen können, dass die Authentifizierung von Nutzern zuverlässig sei und einwandfrei funktioniere.

Für Andrew Hindle wird die 'Identität' zum Mittelpunkt des Managements.
Foto: David Adamson (www.davidadamsonphotography.com)

"IAM wird immer mehr zum Business-Enabler", sagt Kuppinger. "Ein gutes IAM ist eine Voraussetzung für die Einbindung von Geschäftspartnern und Kunden. Der Zugang zu Systemen und Informationen muss gesichert erfolgen - Zugriff kann man aber nur steuern, wenn man auch die Identitäten im Griff hat." Das wird auch vom Analystenhaus Ovum bestätigt: So kommt der "2013 Enterprise Insights Survey", eine Umfrage unter 6700 IT-Managern, zu dem Ergebnis, dass IAM heute fachbereichsübergreifend eine wichtige Rolle spielt. Auch auf der Nürnberger IT-Security-Messe it-sa waren sich die meisten IAM-Experten einig, dass sich der Bereich aus der Nische der IT-Sicherheit gelöst und das "große Ganze" erreicht hat. Andrew Hindle, technischer Marketingchef beim Cloud-IAM-Anbieter Ping Identity, prognostiziert: "Richtig eingesetzt, geht es bei der nächsten Generation des IAM um viel mehr als IT- und Sicherheitsaspekte. Je mobiler Nutzer werden und je dezentraler die geschäftlichen Prozesse, desto wichtiger wird die 'Identität' als Dreh- und Angelpunkt eines effizienten Managements."

Der Nutzer bestimmt die Authentifizierung

Steve Watts legt die Entscheidungsgewalt über die Authentifizierungswege in die Hände der Nutzer.
Foto: SecurEnvoy

Aus der Theorie in die Praxis: Eine IAM-Infrastruktur ist immer nur so modern wie ihre Benutzerschnittstellen. Deshalb ist es wichtig, auch bei der Wahl der Authentifizierungssysteme eine gewisse Flexibilität zu erreichen. Abgesehen davon, dass es von der Wichtigkeit der zu schützenden Daten und Systeme abhängt, wie stark abgesichert etwas sein muss, schlägt der Fokus auf den einzelnen Nutzer spätestens hier voll durch: "Der Trend geht in Richtung Komfort - dahin, dem Nutzer die Wahl zu überlassen", erklärt Steve Watts, CEO von SecurEnvoy, das tokenlose Authentifizierungslösungen anbietet. Er glaubt, dass Unternehmen deshalb mittelfristig alle möglichen Authentifizierungswege gleichzeitig anbieten - tokenlose via SMS, QR-Code-Scans oder NFC genauso wie klassische Kombinationen aus Smartcard und Einmalpasswort und andere Mehrfaktor-Systeme, die mit biometrischen Erkennungsmerkmalen arbeiteten. Im Idealfall sind Single-Sign-On-Lösungen vorhanden, die die Identifikationsdaten über mehrere, gleich kritische Systeme und Applikationen, verwalten und so eine mehrmalige Identifikation ersparen.

One person, many identities
Die Vielzahl an digitalen Identitäten und Passwörtern, die ein Nutzer bewältigen muss, lässt sich durch Single-Sign-On (SSO) reduzieren. Im Idealfall reicht eine Zugangskontrolle für alle genutzten Anwendungen. Dies kann zum Beispiel eine biometrische Zugangskontrolle sein wie bei BioID.

Twitter - Sign in
Social-Media-Dienste wie Twitter bieten sich als Identitätsdienst an, so dass zum Beispiel die Twitter-Zugangsdaten auch für andere Online-Dienste genutzt werden können - vorausgesetzt, diese unterstützen die Anmeldung über Twitter.

Alternative Mozilla Persona
Neben dem Identitätsdienst OpenID bietet sich auch Mozilla Persona an, um einheitliche Anmelde-Verfahren bei mehreren Webseiten zu schaffen.

One E-Mail to rule 'em all
Bei Mozilla Persona dient die E-Mail-Adresse des Nutzers als eindeutiges Kennzeichen, über das verschiedene Anmelde-Verfahren auf Webseiten vereinheitlicht werden können.

ClaimID OpenID
Einer der führenden Identitätsdienste im Internet ist OpenID. Dieser wird auch von zahlreichen Identitätsmanagement-Lösungen unterstützt, die Unternehmen für das interne Netzwerk und für Cloud-Dienste einsetzen.

CA CloudMinder
Die Lösung CA CloudMinder bietet Single-Sign-On für eine Vielzahl von Anwendungen, ob im eigenen Netzwerk oder in der Cloud. Zusätzlich werden Self-Service-Funktionen angeboten, mit denen die Nutzer zum Beispiel selbst ein Passwort zurücksetzen können.

SecureAuth IdP
Für die SSO-Lösung SecureAuth IdP gibt es spezielle mobile Apps, mit denen sich die SSO-Zugänge auch über mobile Geräte nutzen lassen.

Aveska MyAccess Mobile
Für die SSO-Plattform MyAccessLive gibt es mobile Zugriffsmöglichkeiten, mit denen Administratoren Nutzeranfragen zu neuen oder geänderten Zugängen mobil bearbeiten können.

Dass Unternehmen bisher zwar Authentifizierungslösungen betreiben, dahinter aber meist keine großartig durchdachte IAM-Strategie steckt, verwundert ob der Komplexität das Themas nicht. Branchenweit üblich ist den Ergebnissen der Ovum-Studie zufolge eine solche nur in stark regulierten Bereichen, also dort, wo es gesetzliche Vorgaben erfordern - wie dem Banken- und Versicherungswesen. Und selbst dort sind die implementierten Systeme überholungsbedürftig: Fast 60 Prozent der von Ovum Befragten aus der Bankenbranche wollen im Laufe der kommenden 18 Monate auf neuere IAM-Lösungen umsteigen. Hier schließt sich der Kreis zu den CISOs, die sich verstärkt mit IAM-Implementierungen und entsprechenden Migrationsprojekten herumschlagen.

Fazit

Die sich verändernden Rahmenbedingungen machen eine Neuordnung des IAM-Marktes und entsprechender Unternehmensstrategien notwendig. Es hilft aber nichts, den zweiten Schritt vor dem ersten zu machen: Viele Unternehmen müssen sich erst einmal darüber klar werden, was sie überhaupt benötigen. Eine Hilfe könnten die Cloud-Provider sein, die zunehmend IAM-Lösungen anbieten, die keine komplexe Integration in die Unternehmenssysteme erfordern. Mit dem Eintritt von Salesforce.com in das bisherige Hoheitsgebiet der IAM-Anbieter kommt nun zudem die Möglichkeit hinzu, Cloud- und On-Premise-Systeme miteinander zu verbinden. Salesforce bietet Identitätsverwaltung für Fachabteilungen aus der Cloud und alternativ on Premise an - der richtige Schritt auf dem Weg zu mehr Nutzerakzeptanz. Ziehen weitere Player nach, könnte das Thema IAM nicht nur zum Top-Thema für den CISO, sondern berechtigterweise auch für den CEO werden. Hindle resümiert: "Der Wettbewerb ist besonders positiv für die Kunden, aber auch für die Branche als Ganzes, denn das verbessert die Sicherheit und erhöht schneller den Komfort für die Nutzer."

12. Zuerst die Anforderungen in den einzelnen Teilprojekten kennen, dann die Produkte entsprechend einführen.
Wer zuerst die tollen Produkte einführt, um sich dann Gedanken darüber zu machen, wozu sie eigentlich gut sind, hat schon verloren.

11. Nur die besten Projektmanager einsetzen.
Teamfähigkeit und Kommunikationsgabe sind entscheidend. Nur dann können sich die vielen kleinen Teilprojekte zu einem großen Gesamtprojekt zusammenfügen.

10. IAM als Teil der gesamten GRC-Infrastruktur begreifen und entsprechend einbinden.
Welche Rolle spielt IAM in der GRC-Infrastruktur (Governance, Risk Management, Compliance)?

9. Regeln und Abläufe frühzeitig festlegen.
Verwantwortlichkeiten festzulegen, ist eine Herkulesaufgabe. Einfacher wird es, wenn klar ist, was es dem Business bringt (Punkt 2).

8. Die Fachbereiche müssen die IAM-Kontrolle behalten.
Die Usability sollte gewahrt bleiben - der Endanwender muss verstehen, was es ihm bringt - er muss es beherrschen und gerne einsetzen wollen.

7. IAM-Umgebungen flexibel gestalten, um Abhängigkeiten von einzelnen Herstellern einzudämmen.
Nichts ist schlimmer als eine spätere Zwangsmigration, weil ein bestimmter Anbieter zu teuer geworden ist oder die Anforderungen des Unternehmens nicht mehr erfüllen kann/will.

6. Alle Beteiligten rechtzeitig einbinden.
Ob Sicherheits-Experte oder Entwickler oder Vorstand: Wer soll welche Rechte bekommen? Alle Hierarchieebenen mit ins Boot holen!

5. Projekt in mehrere Teilprojekte aufteilen.
Aber nicht die Schnittstellen untereinander ignorieren!

4. Nicht nur Mitarbeiter-Identitäten beackern, sondern alle Systeme.
IAM betrifft verschiedene Zielgruppen - Mitarbeiter, Partner, Kunden - die alle adäquat verwaltet werden wollen. Wichtig: Das System muss mitwachsen können.

3. Großes Ziel im Auge haben, aber klein beginnen.
Erst denken, dann handeln: Welches Gesamtziel soll erreicht werden? Welche Prioritäten bestehen? Nicht an einer x-beliebigen Stelle mit irgendwas beginnen.

2. Nutzen fürs Business herausstellen
Die IT gibt das Geld aus, das das Business bereitstellt. Also muss kommuniziert werden, warum es nötig ist.

1. IAM verstehen lernen
Welcher Unternehmensbereich hat welche Vorstellungen? Wer hat welche Anforderungen?