Mehrwerte bei IdM

Mehrwerte bei IdM

identity_management_logo.png

Die folgenden Abschnitte behandeln die Mehrwerte für ein Unternehmen, die durch ein umfassendes Identity Management (IdM) und seine Umsetzung entstehen.

Die genannten Mehrwerte gelten teilweise generell und für das ganze Unternehmen, teilweise auch nur für einzelne Teile (bzw. Einsatzfelder). Das liegt daran, dass einzelne Teile eines Unternehmens durchaus widersprüchliche Anforderungen haben können. Es existieren Stellen, an denen eine möglichst hohe Automatisierung (weniger menschliches Personal) und ein reibungsloser Einsatz von oberster Priorität (Benutzerfreundlichkeit) sind. An anderen Stellen wiederum ist ein sehr hohes Maß an Sicherheit die oberste Vorgabe, worunter unter Umständen die Kosten und die Benutzerfreundlichkeit leiden können.

Allgemeine Mehrwerte

In vielen Unternehmen werden bereits an mehreren Stellen Teile von Identity Management Systemen eingesetzt. Durch die Konzeption und den Einsatz eines umfassenden IdMS ist es möglich, die verschiedenen Teilsysteme und Konzepte in das umfassende System zu migrieren. Eingebunden in eine ganzheitliche Struktur bieten die Systeme durch die gewonnene Vernetzung Mehrwerte. Das schließt die Kontrollierbarkeit (Erhöhung der Sicherheit), die Benutzerfreundlichkeit (SSO über mehrere Systeme) und die Kostenersparnis mit ein. Bisherige (Teil-)IdMS müssen also nicht verworfen, sondern lediglich migriert werden.

Erhöhung der Sicherheit

Durch die Einführung und Anwendung eines umfassenden IdMS wird mehr Sicherheit und Kontrolle von und im Umgang mit IT-Systemen erreicht. Im Folgenden wird ein kurzer Überblick über die Mehrwerte mit Bezug auf Sicherheit gegeben.

Starke Authentifizierungsmethoden

Bei Systemen mit sicherheitsrelevanten Daten und Informationen ist eine starke Authentifizierung unerlässlich. Eine Möglichkeit ist das Konzept von Wissen und Besitz als Zwei-Faktor-Authentifizierung. Ein zusätzlicher dritter Faktor könnte ein biometrisches Merkmal sein.

Vermeiden von Fehlern durch Fehlbedienung (Schwachstelle Mensch)

Mittels eines IdMS können die Zugänge zu Ressourcen und Daten grundsätzlich sicherer und auch einfacher gestaltet werden. Beispielsweise wird durch Single Sign-On sichergestellt, dass der Benutzer statt vieler leicht zu erratender Passwörter nur ein entsprechend starkes Passwort wählt, wodurch für den Benutzer die Notwendigkeit zum Aufschreiben von Passwörter nicht mehr besteht. Durch einen intelligenten User Self Service kann der Anwender bei vergessenen Passwörtern schnell und sicher wieder arbeitsfähig werden.

Kontrolle von System- und Netzzugängen

Ein umfassend eingesetztes Identity Management System stellt sicher, dass alle aktivierten Zugänge genutzt werden und autorisiert sind, während verwaiste und nicht autorisierte Zugänge geblockt oder gelöscht werden. Im Falle des Ausscheidens oder Wechsels eines Mitarbeiters werden automatisch und unverzüglich die Zugangsrechte aufgehoben bzw. modifiziert. Besonderes Augenmerk wird auf die Verwaltung von „privilegierten Nutzern“ wie bspw. Systemadministratoren gelegt, da hier umfangreiche Befugnisse gesammelt sein können.

Automatisierung

Ein besonderer Mehrwert unter dem Aspekt der Sicherheit, aber auch der Kostenreduktion und der Benutzerfreundlichkeit, ist die Möglichkeit zur Automatisierung von Arbeitsabläufen. So kann realisiert werden, dass potentiell kritische Aktionen nicht mehr manuell und auf Abruf getätigt werden, sondern im Normalfall nur noch automatisch, basierend auf definierten Regeln und Workflows.

Nachvollziehbarkeit

Ein IdMS ermöglicht es, alle Aktionen seiner Komponenten nachzuvollziehen. In einer sicherheitskritischen Umgebung muss zu jeder Zeit erkennbar sein, welcher Nutzer aus welchem Grund welche Aktion getätigt hat. Es bestehen aber auch „externe“ Gründe, die das sogenannte Monitoring und Auditing notwendig machen. Einer dieser Gründe ist die sogenannte Compliance.

Durchgängige Dokumentensicherheit

Bei elektronischen Dokumenten ist zum einen die Reglementierung des Zugriffs von Bedeutung, zum anderen sollte bestimmt werden, wie mit dem Dokument verfahren werden darf. Neben der korrekten Arbeitsweise ist auch die Integrität des eigentlichen Dokuments ein Schutzziel. Ein IdMS kann die Dokumentensicherheit über Labeling und Signaturen gewährleisten und zudem die Grundlage für z.B. die Rechtsverbindlichkeit von Dokumenten biet

Gewährleistung von Compliance

Mit Compliance ist die Einhaltung von Gesetzen und Vorschriften sowie eine generell regelkonforme Arbeitsweise des gesamten IT-Systems eines Unternehmens gemeint. So bietet ein IdMS einen zusätzlichen Mehrwert, indem die Einhaltung von Sicherheitsrichtlinien und Normen sowie Datenschutzkonformität ermöglicht bzw. gewährleistet werden. Neben der Einhaltung der oftmals vielfältig gegebenen Vorschriften ist insbesondere die Überprüfbarkeit der Einhaltung von Bedeutung. Es ist möglich, eine vorgeschriebene, regelkonforme Arbeitsweise darzulegen und in unterschiedlicher Ausprägung und Tiefe Dritten gegenüber zu beweisen.

Kostenreduktion

Ein weiterer Mehrwert, der allerdings erst nach der initialen Einführung eines IdMS entsteht, ist die Kostenreduktion. Dieser Mehrwert ist oft der Hauptbeweggrund, um die Einführung eines IdMS voranzutreiben. Die Einführung eines IdMS bringt Kosteneinsparungen mit sich, da die Aufstellung eines modernen Konzepts für die Administration der IT-Infrastruktur zu einer Rationalisierung führt. Das komplexe System zur Verwaltung von Benutzern und Rechten in einem Unternehmen wird maßgeblich vereinfacht. In der nachfolgenden Liste werden nur die wichtigsten Teilbereiche für diese Kosteneinsparung dargestellt.

Delegated Administration

Dieser Begriff beschreibt die Dezentralisierung des Rechte- und Rollenmanagements eines IdMS. Die Verwaltung wird an diejenigen Stellen im System delegiert, an denen die Rollen tatsächlich entstehen bzw. eingesetzt werden. Das hat zwei Vorteile. Zum einen kommt es z.B. bei Rollenänderungen nicht mehr zu zeitlichen Verzögerungen, da nicht mehr ein zentrales u.U. überlastetes IT-Team zuständig ist, sondern ein kleineres und organisatorisch leichter zu erreichendes Team mit delegierten Rechten. Zum anderen werden die Rollen mit spezieller Sachkenntnis und Fähigkeit verwaltet, da sich die entsprechende Administration in einem Zuständigkeitsbereich befindet, der mit den verwalteten Rollen in engerer Beziehung steht. Die Kostenreduktion wird einerseits durch die Zeitersparnis erreicht, andererseits durch die vereinfachte Bearbeitung der Änderungen, bei der weniger Fehler oder Nachfragen anfallen.

Prozessautomatisierung

Die Automatisierung von Prozessen hat mehrere Vorteile, an dieser Stelle soll vor allem die Reduzierung der Opportunitätskosten (auch Alternativkosten, Verzichtskosten oder Schattenpreis genannt) genannt werden. Ein IdMS kann durch Automatisierungen versuchen, dass möglichst wenig Gelegenheiten zur Nutzung von Ressourcen vergeudet werden. Konkret bedeutet dies: Wenn dem Benutzer eines IT-Systems eine Aufgabe übergeben wird – sei es bei der Ersteinstellung der Person oder bei der Bildung von Teams oder Arbeitsgruppen – sollen unmittelbar und automatisiert die korrekten Rollen und Rechte übergeben werden. Dies führt zu einer direkten Arbeitsfähigkeit des Benutzers und verringert die Opportunitätskosten auf ein Minimum.

User Help Desk-Reduzierung

Ein umfassend eingesetztes IdMS unterstützt die Verwaltung von Identitäten und der entsprechenden Benutzer und bringt so eine Unterstützung für den User Help Desk mit sich. Durch die geringere Beanspruchung des User Help Desk werden nicht nur Kosten eingespart, sondern es wird gleichzeitig auch die Sicherheit erhöht. Denn wenn weniger Personen mit den sicherheitskritischen Benutzerinformationen umgehen müssen entsteht weniger Angriffsfläche (Stichwort Social Engineering und Gefahren von Innen).

Pre-Audit-Checks

Ein Identity Management System kann eine „Simulation“ von z.B. Compliance-Audits (Überprüfung der Übereinstimmung mit einem Regelwerk) ermöglichen. Werden potentielle Unstimmigkeiten und Probleme frühzeitig erkannt und behoben, kann die Wahrscheinlichkeit verringert werden, dass der eigentliche Audit fehlschlägt und eine Nachbearbeitung notwendig wird.

Zentralisierung von Aufgaben

Die zentralisierte Ausführung von Aufgaben steht in direktem Zusammenhang mit der Automatisierung von Prozessen. Die Erfahrung zeigt, dass ein massiver Teil der Aufgaben im Bereich der Benutzer- und Berechtigungsverwaltung automatisiert ablaufen kann. Dies bewirkt eine wesentliche Kosteneinsparung. Einen weiteren Punkt bei der Geschäftsprozessoptimierung (GPO) stellt die Lizenzoptimierung dar. Viele Softwareprodukte werden im Geschäftsumfeld nach Anzahl genutzter Lizenzen abgerechnet. Durch ein zentral gesteuertes Management der Lizenzen werden nicht genutzte, aber bezahlte Lizenzen aufgedeckt, die einen nicht zu unterschätzenden Kostenfaktor darstellen.

Steigerung der Benutzerfreundlichkeit

Ein weiterer Mehrwert des IdM ist die Benutzerfreundlichkeit und die damit einhergehende Verbesserung der Dienstgüte und Produktivität. Eine durch IdMS geförderte (Geschäfts-)Prozessoptimierung erhöht wie bereits beschrieben die Effizienz, erspart Zeit und gewährleistet die zukünftige Handlungsfähigkeit.

Enabling vs. Restricting

Im Zusammenhang mit Handlungsfähigkeit wird oft von „Enabling instead of Restricting“ gesprochen. So besteht heutzutage die Hauptaufgabe eines IdM darin, dass dem Anwender ermöglicht wird (engl. „to enable sth.“: etw. ermöglichen) genau das zu tun, wofür er vorgesehen ist. Der Trend geht also weg vom „Restricting“ (engl.: „to restrict sth.“: etw. einschränken), also dem Schutz des Systems durch Einschränkung des Nutzers mittels Sicherheitskontrollen und dergleichen.

Daten-Synchronisierung

Die Synchronisierung von Daten führt insofern zu einer erhöhten Benutzerfreundlichkeit und auch Dienstgüte, als dass den Anwendern zu jeder Zeit und möglichst an jedem Ort die richtigen Informationen zur Verfügung stehen. Ein IdMS ist unter anderem dafür zuständig, dass im gesamten Organisationskontext die Informationen einheitlich vorliegen, also beispielsweise keine unterschiedlichen Versionen existieren und keine Duplikate vorhanden sind.

Single Sign-On und User Self Service

Single Sign-On (SSO, zuweilen übersetzt als „Einmalanmeldung“) erleichtert den Zugriff auf IT-Systeme und Dienste. Dieser Mechanismus bewirkt nicht nur eine höhere Benutzerfreundlichkeit, sondern durch die Zeitersparnis auch einen Anstieg der Produktivität. Eng mit SSO ist auch der User Self Service verbunden. Statt auf einen User Help Desk (UHD) zurückzugreifen, wird dem Benutzer mehr Kontrolle und Selbstbestimmung eingeräumt. Vergessene Passwörter können beispielsweise vom Benutzer über den User Self Service selbst zurückgesetzt werden, ohne auf die Hilfe des User Help Desk angewiesen zu sein.

Vorteile bei Auditing und Protokollierung

Nicht nur der „gewöhnliche“ Anwender erfährt eine Verbesserung der Benutzerfreundlichkeit, sondern auch privilegierte Anwender wie Systemadministratoren oder Auditoren. So ist ein IdMS in der Lage, mittels automatisch generierter Reports auf sicherheitskritische Ereignisse hinzuweisen, sodass nur noch diese Fälle zu betrachten sind. Der Auditor muss somit weniger Protokollierungsdaten auswerten und auf sicherheitskritische Ereignisse hin überprüfen. Der Administrator wird zusätzlich durch die vielen Informationen bei der Problembehebung unterstützt.