Wissen, wer wann zugreift

Patrick Schraut ist Senior Consultant bei Integralis Deutschland.

Nacktes Chaos regiert in vielen Firmen den Zugriff auf IT-Systeme: Es existieren Dutzende von Anwendungen, für die sich Mitarbeiter jeweils mit Usernamen und Passwort anmelden müssen. Mit der rapiden Zunahme dieser Zugangscodes steigen die Gefahren. Anmeldeschlüssel werden unters Keyboard geklebt oder an Kollegen weitergegeben, dasselbe Passwort wird mehrfach verwendet - oder schlicht und einfach vergessen. In Vergessenheit gerät auch nicht selten, die Daten ausscheidender Mitarbeiter umgehend aus den Systemen zu löschen. So haben Ex-Kollegen häufig noch Monate nach Beendigung des Arbeitsverhältnisses Zugriff auf wichtige Applikationen wie E-Mail oder Produktionssysteme.

So verursacht, je nach Grösse der Organisation, die Benutzerverwaltung aller -internen und externen Anwender, deren Accounts und Zugriffsrechte für das Unternehmen enorme Kosten. Die IT-Abteilungen, etwa der User-Helpdesk, können die Sicherheit der Unternehmensdaten, wenn überhaupt, nur durch hohen Administrationsaufwand garantieren.

Hauptargumente für die Einführung eines Identity-Access-Management-Systems (IAMS) sind, aufgrund gestiegener Haftungsrisiken, unter anderem Compliance-Vorgaben. Gesetzliche Vorschriften wie Basel II oder der Sarbanes Oxley Act zwingen Firmen, ihre Daten nachvollziehbar vorzuhalten. So muss etwa durch ein Audit belegbar sein, welcher Anwender wann auf welches System zugegriffen hat.

Diese Nachweispflicht besteht beispielsweise auch für alle Transaktionen, die in einem Unternehmen durchgeführt werden (Basel II). Darüber hinaus ermöglicht ein zentralisiertes IAMS revisions-fähige Aussagekraft über Zugriffshistorien. Im Falle eines Incidents ist dies unabdingbar, sind doch nur so forensische Untersuchungen durchführbar.

Wichtige Triebfeder ist auch die immer stärker geforderte Flexibilität der Unternehmen. Firmenzukäufe, neue Partnerschaften oder der Wechsel von Zulieferern erfordern ein ständiges Ändern der Zugangs-Berechtigungen. Aber auch das Verhältnis der Mitarbeiter zum Unternehmen ändert sich laufend - etwa durch Abteilungswechsel, projektbezogene Teamwechsel oder durch Kündigung und Pensionierung.

Die zunehmende Verflechtung von Systemen, Datenbeständen und Aggregatszuständen macht es für die IT-Verantwortlichen immer schwieriger, die ein-zelnen Zugriffsrechte der Anwender zu verwalten. Das führt oft zwangsläufig in ein Chaos aus ungeprüften Zugangsberechtigungsstrukturen und einem Wust verwaister Accounts. Notwendige Reviews werden häufig mangels Personal und Zeit unterlassen.

Die in vielen Unternehmen fehlende Übersicht über die eigenen Anwender verursacht zudem sehr hohe Kosten. Die Benutzerstrukturen sind oft chaotisch und selten valide. Wichtige Ressourcen, wie der User-Helpdesk, werden durch triviale Aufgaben wie Passwortvergabe und Freischaltung von Accounts gebunden. Oft ein riesiger manueller Aufwand, der aber im Unternehmen meist nicht transparent ist. Ressourcen, die durch Einsatz eines zentralen IAMS für wichtigere Tätigkeiten freigesetzt werden können.

Zu Beginn eines Identity- und Access-Management-Projektes sollte ein Team aus der IT-Abteilung und einem erfahrenen IT-Security-Dienstleister eine Machbar-keitsanalyse erstellen, aus der die Gesamtkostenabschätzung abgeleitet werden kann. Dabei werden die gewünschten Kriterien und Funktionen der angestrebten IAM-Lösung als Pflichtenheft erarbeitet, gemäss welchem die in die engere Wahl genommenen Produkte bewertet werden. Dabei ist auch zu berücksichtigen, inwieweit sich die derzeitigen Prozesse mit den ausgewählten Tools abbilden lassen. Hier bieten sich Workshops und Fachgespräche mit dem Dienstleistungspartner an. So erhält man eine Bewertungs-matrix für die Eignung der einzelnen Produkte, inklusive einer recht akkuraten Kostenabschätzung.

Anschliessend sollte ein «Proof of Concept» (POC) den Beweis für die Machbarkeit der angestrebten Lösung erbringen. Hier testet das Team die für eine Lösung am ehesten geeigneten Produkte mit den wichtigsten Systemen in kleinen Testumgebungen. Diese Tests sollten möglichst an Live-Systemen erfolgen. Das verhindert später unangenehme Überraschungen.

Unabhängig von der präferierten Lösung sollte die IT-Abteilung sich erst im zweiten Schritt mit der Produktauswahl beschäftigen und zuvor die dringend nötige Prozessanalyse durchführen. Unterstützen kann hierbei ein Partner mit entsprechendem Know-how, der solche Lösungen schon bei anderen Firmen realisiert hat und mit Bedacht an das Thema IAMS herangeht.

Die IT-Landschaften heutiger Unternehmen sind meist komplexe Systeme aus Mainframes, Workstations, diversen Datenbanken und Betriebssystemen, Mailservern und anderen Komponenten. Ebenso hetrogen sind die Benutzergruppen. Ob Geschäftsleitung, User-Helpdesk oder Buchhaltung - sie alle benötigen Zugriff auf die verschiedensten Anwendungen und Systeme.

Die IT-Abteilung steht also vor der Aufgabe, alle personenbezogenen Benutzerdaten dieser Mitarbeiter inklusive Zugangs- und Nutzungsrechten nicht nur zentral zu administrieren, sondern bei Bedarf auch zu ändern oder ganz zu entfernen. Dafür setzen die IT-Abteilungen «Identity Manager» ein, die in der Regel auch über ein Tool zur regelbasierten Zugriffsvergabe (Provisionierung) verfügen und dem Benutzer - je nach Funktion und Aufgabe im Unternehmen - automatisch individuelle Zugriffsrechte erteilen. Zudem bieten viele Identity-Management-Lösungen Schnittstellen zu einem Access Manager, der die Zugriffsrechte für Portale verwaltet und «Single Sign On» (SSO) ermöglicht.

Auch angehängte Verzeichnisdienste («Datenrepositories») spielen eine wichtige Rolle. Dahinter kann sowohl ein Metadirec-tory als auch ein einfaches, einer bestimmten Sicherheitsarchitektur zugeordnetes Repository stehen. Umfasst die Lösung sowohl einen Identity Manager als auch einen Verzeichnisdienst, wird häufig eine «Public Key Infrastruktur» (PKI) implementiert. Sie erlaubt etwa die Ablösung der Authentisierung mit verschiedenen Passwörtern durch biometrische oder Chipkarten-basierte Verfahren («Smartcard Management»). Ein weiteres Schlagwort bei IAMS ist das «Federated Identity Management». Dabei geht es um die Übertragung von Identitätsinformationen zwischen verschiedenen Plattformen über eine definierte Schnittstelle. Das macht beispielsweise in einem Netzwerk eigenständiger Anbieter webbasierter Services Sinn, bei dem sich der Anwender nur einmal anmelden soll. Dadurch wird eine einheitliche, virtuelle Identität verwendet.

Ein grosses Problem vieler Unternehmen ist die wachsende Zahl von Usernamen und Passwörtern, die sich Mitarbeiter merken müssen. Daher betrachten viele Analysten - neben der regelbasierten Zugriffsvergabe - die Themen «Single Sign On» (Einmalanmeldung) und «Smartcard Management» als wachstumsträchtige Zukunftsmärkte im IAM-Segment.

Mit Single-Sign-On-Lösungen kann ein Anwender nach nur einmaliger Authentifizierung auf alle Systeme und Dienste, für die er eine Berechtigung besitzt, zugreifen, ohne sich jedes Mal aufs Neue anmelden zu müssen. Diese Authentifizierung erfolgt wahlweise via User-ID und Passwort oder über Einmalpasswörter respektive Smartcard. Alle weiteren Anmeldevorgänge werden vom SSO automatisch übernommen, völlig transparent für den Anwender. Die Vorteile: Der Mitarbeiter profitiert von mehr Komfort, die Firma von seiner höheren Effizienz und von der Möglichkeit, mit SSO einheitliche, starke Passwort-Policies zu vergeben und durchzusetzen.

Verzichtet das Unternehmen zugunsten einer Smartcard-Management-Lösung ganz auf die Nutzung von Passwörtern, schafft es die Basis für einen multifunktionalen Alleskönner: Der digitale Firmenausweis bietet nicht nur eine starke 2-Faktor-Authentisierung, sondern dient zugleich als Plattform für hochmoderne Verschlüsselungs- und Signaturlösungen, Gebäudezutrittskontrolle und sogar Bezahlfunktionen. Mit einer Smartcard-Management-Lösung kann der komplette Lifecycle einer Smartcard gemanagt werden. Dazu gehören die Neuausgabe von Karten, die Ausstellung von Ersatzkarten, das Entsperren (lokal und remote) und Updaten von Karten sowie Self-Services.