Identitäts-Management (Identity Management oder ID-Management) ist ein Administrationsbereich, der sich mit der Identifizierung von Individuen in einem System (zum Beispiel Netzwerk oder Unternehmen) beschäftigt. Der Zugang der Individuen zu einer Ressource innerhalb des Systems wird kontrolliert, indem die Benutzerrechte und Einschränkungen mit der festgelegten Identität verglichen werden.

Auf der untersten Ebene wird definiert, was ein Nutzer in einem Netzwerk mit welchen Geräten und unter welchen Umständen tun darf. Heute setzen viele Sicherheitsprodukte den Schwerpunkt auf die Zugangsverwaltung von Mobilgeräten (Mobile Device Management, MDM) zum Unternehmensnetzwerk. In Unternehmen wird Identity Management für die Erhöhung von Sicherheit und Produktivität eingesetzt, um gleichzeitig eigene Kosten und Sicherheitsanstrengungen senken zu können.

Aus Sicherheitsgründen laufen Anwendungen zur Verwaltung des Identitäts-Managements auf einem dedizierten Netzwerk oder Server , entweder On Premise oder in der Cloud. Den Kern eines Indentity-Management-Systems bilden Richtlinien, welche Geräte und Nutzer in einem Netzwerk Zugang haben und was ein Anwender in Abhängigkeit von seinem Gerätetyp, Ort und weiteren Faktoren darf. Alle Faktoren hängen wiederum von den Funktionen der entsprechenden Management-Konsole ab. Dazu gehören auch die Definition der Richtlinien, Berichte, Sicherheitswarnungen und anderen Verwaltungs- und Betriebsanforderungen. Ein Alarm wird zum Beispiel ausgelöst, wenn ein bestimmter Nutzer auf Ressource zugreifen möchte, für die er keine Berechtigung hat. Berichte erzeugen ein Prüfprotokoll, welche Aktivitäten zu welchem Zeitpunkt initiiert wurden.

Viele Identity-Management-Systeme bieten integrierte Verzeichnisse (von zum Beispiel Namen und Adressen), Unterstützung für LAN sowie WLAN und weitere Funktionen für unternehmensspezifische Anforderungen. Da Bring vor own Device (BYOD) mittlerweile für Unternehmen eine strategische Bedeutung hat, sind Funktionen wie beispielsweise automatische Anmeldung von Geräten, Unterstützung verschiedener Betriebssysteme und eine automatische Überprüfung des Gerätestatus üblich.

Heterogene Systeme und unterschiedliche Anwendungen verursachen enorme Kosten bei der Benutzer- und Berechtigungsverwaltung. Deshalb ist die Einführung eines Identity Management-Systems (IdMS) unverzichtbar geworden. Die automatische Erzeugung und Löschung von Benutzer-Accounts sowie die automatische Aktualisierung und Weitergabe von Benutzerinformationen über die Systemgrenzen hinweg senkt den Aufwand für die unternehmensweite IT-Administration und erhöht die IT-Sicherheit und die Datenqualität. Ein IdMS sorgt dafür, dass Änderungen an den Benutzerkonten nur einmal durchgeführt werden müssen und diese systemübergreifend wirksam werden. Eine fehlerträchtige Mehrfachnennung in den verschiedenen IT-Systemen wird dadurch vermieden. Neue Mitarbeiter, die von der Personalabteilung über ein Human Resource-System (HR-System) angelegt werden, können vom ersten Tag an produktiv arbeiten, da es durch ein IdMS möglich ist, automatische Systemzugänge zu erstellen. Bei Verlassen des Unternehmens werden zeitnah die Zugriffe auf die IT-Systeme entzogen. Durch ein IdMS werden die Einzelinformationen, die in der Benutzerverwaltung der verschiedenen Systeme gepflegt werden, zusammengefasst und zentral verwaltet. Ebenso wird die Berechtigungsstruktur in einer heterogenen Systemlandschaft transparenter und besser überprüfbar gemacht.

Identity Management-Lösungen zielen darauf ab, eine einheitliche, systemübergreifende Plattform für die Verwaltung von Benutzeridentitäten, deren Konten und Berechtigungen zu schaffen. Im Mittelpunkt vieler Projekte steht die Neugestaltung der Benutzer- und Berechtigungsverwaltung. Hier sind erfahrungsgemäß die größten Kosteneinsparungen zu erzielen.

Untersuchungen von Gartner Group oder Forrester Research haben gezeigt, dass im Durchschnitt in deutschen Unternehmen sieben wichtig bis sehr wichtig eingestufte Verzeichnisdienste (engl. Directory Services) gepflegt werden. Interessant ist, dass die Aktualisierung dieser Verzeichnisse von Mitarbeitern erledigt werden, die dafür laut Jobbeschreibung nicht zuständig sind. Dazu gehört zum Beispiel die Pflege des unternehmensweiten Telefonverzeichnisses. Damit hängen die Datenqualität und das Vertrauen in diese Daten stark vom Engagement der mit der Pflege beauftragten Mitarbeiter ab. Das ist in mittelständischen Unternehmen kein erstrebenswerter Zustand.

1. Der Verzeichnisdienst

Verzeichnisse sind eine Auflistung von Informationen über Objekte, die in einer bestimmten Reihenfolge gespeichert sind. Bestes Beispiel hierfür ist ein Telefonbuch. Hier sind die Namen alphabetisch geordnet, die Details zu jeder Person sind deren Anschrift und Telefonnummer. Im IT-Bereich ist ein Verzeichnis eine spezielle Datenbank, die nach Typen sortierte Informationen über Objekte enthält. So werden zum Beispiel Daten zu einem Drucker mit zusätzlichen Informationen wie Standort und druckbare Seiten pro Minute gespeichert. Verzeichnisse erlauben es Anwendern und Applikationen, Ressourcen mit bestimmten Eigenschaften zu finden. So kann man beispielsweise ein Benutzerverzeichnis nach eMail-Adressen oder Faxnummern durchsuchen. Wenn der Name eines Objekts bekannt ist, beispielsweise einer Person oder eines Druckers, lassen sich die dazugehörigen Eigenschaften wie Telefonnummer oder druckbare Seiten pro Minute abrufen. Ist der Name eines bestimmten Objekts unbekannt, durchsucht man das Verzeichnis auf Objekte, die eine der Voraussetzung erfüllen. Dies ist mit der Suche nach einem Handwerker im Branchenbuch vergleichbar. Ein Verzeichnis für sich alleine ist lediglich eine Ansammlung von Informationen, auf die der Zugriff gewährleistet sein muss. Zugriffe können beispielsweise zum Suchen (engl. search), Ändern (engl. modify) oder Hinzufügen (engl. add) von Daten geschehen. Das API (engl. Application Programming Interface), das diesen Zugriff ermöglicht, bezeichnet man als Verzeichnisdienst ( engl. Directories Service). Da Verzeichnisse, im Gegensatz zu relationalen Datenbanken, hierarchische Datenbanken darstellen und für Lesezugriffe optimiert sind, werden sie häufig in Bereichen eingesetzt, in denen eine sehr hohe Anzahl an Lesezugriffen erwartet wird. Dem X.500 Verzeichnisdienst liegt ein objektorientiertes Datenmodell zugrunde, in dem die Objekte durch Beziehungen eine hierarchische Baumstruktur bilden.

In dem Beispiel einer hierarchischen Baumstruktur sind sieben Verzeichniseinträge in drei Ebenen und ihre jeweiligen Attribute (Firma, Abteilung und Name) zu finden. In den Blättern (engl. leave) des Baumes befinden sich die Mitarbeiter-Einträge, darüber sind die jeweiligen Einträge der Abteilungen, in denen die Mitarbeiter tätig sind. An der Wurzel ist der Eintrag der Firma zu finden. Verzeichnisdienste sind Server-Applikationen und bieten als wichtigste Kommunikationsprotokolle das DAP (Directory Access Protocol) oder das LDAP Protokoll (Lightweight Directory Access Protocol) bzw. beide zusammen. Verzeichnisdienste sind darauf optimiert, dass deutlich häufiger gelesen als geschrieben wird. Relationale Datenbanken hingegen sind meist auf Schreib- und Lesezugriffe hin optimiert. Ein Nachteil eines Verzeichnisdienstes gegenüber einer relationalen Datenbank ist die fehlende Unterstützung von Transaktionen und Relationen sowie die fehlende Sicherstellung der referenziellen Integrität. Ebenso gibt es keine aufwändige Abfragesprache wie z.B. SQL bei relationalen Datenbanken. Verzeichnisdienste sind in der Regel objektorientiert, das heißt, dass sie aus einzelnen Objekten bestehen. Funktionen zu diesen Objekten gibt es allerdings nicht. Es hängt also von der Anwendung ab, ob ein Datenbanksystem oder ein Verzeichnisdienst in einem Unternehmen eingesetzt wird.

1.1 Aufbau und Anforderungen an X.500 Verzeichnisse

Der Grundgedanke von X.500, der 1988 von der ISO (International Standard Organisation) und der ITU (International Telecommunications Union) verabschiedet wurde, ist ein globales und verteiltes Verzeichnis, auf das man von überall zugreifen kann. Der Zugang auf die Daten erfolgt über den Directory User Agent (DUA) und das Directory Access Protocol (DAP). Das System besteht aus sogenannten Directory System Agents (DSA), die auf den im Netzwerk verteilten Serversystemen liegen können. Die Verzeichnisdaten können physikalisch gesehen auf mehrere DSA verteilt sein, für den Benutzer stellt sich logisch gesehen aber nur ein Verzeichnis dar. Das X.500 Verzeichnis ist baumartig strukturiert und hat ein namenloses Wurzelobjekt, die sogenannte Root. Die durch das Verzeichnis bereitgestellten Daten bezeichnet man als Directory Information Base (DIB), den Baum selbst als Directory Information Tree (DIT). Die Objekte in einem X.500 Verzeichnis werden durch den Distinguished Name (DN) gekennzeichnet. Im Gegensatz zum LDAP Verzeichnis werden hier die Objekte von der Wurzel bis zum Blatt gelesen. Als Trenner für die einzelnen Knoten dient ein '/' (Slash).
Ein Beispiel für einen DN im X.500 Verzeichnis:
c=de/o=TestFirma GmbH/ou=employees/cn=TestFirma Max TestFa1

Für die Einträge sind Objektklassen definiert, wobei jeder Eintrag mindestens einer dieser Klassen angehört. Innerhalb jeder Objektklasse gibt es wiederum Attributtypen, von denen mindestens einer vorhanden sein muss (engl. mandatory attribute). Somit ist jeder Eintrag in einem X.500 Verzeichnis die Instanz einer oder mehrerer Objektklassen und enthält einen oder mehrere Werte für die einzelnen Attributtypen. Eine Sonderform sind sogenannte Alias-Einträge, die auf Basis des DN eine Referenz auf einen existieren Eintrag darstellen und an verschiedenen Stellen im Baum stehen können. Dieser Eintrag wird somit bei Änderungen am referenzierten Eintrag auch nicht mehrfach gepflegt.
Die grundlegenden Anforderungen an ein X.500 Verzeichnis sind in der folgenden Auflistung zu sehen.

 Anforderungen

Definition

 Modifizierbarkeit

Die Art der gespeicherten Daten muss beliebig ergänzt und verändert werden können.

 Skalierbarkeit

Die Menge an gespeicherten Daten muss beliebig wachsen können.

 Ausfallsicherheit

Ein Verzeichnisdienst muss Mechanismen zur Ausfallsicherheit beinhalten.

 Performance

Ein Verzeichnisdienst muss schnelle Antwortzeiten gewährleisten.

 Sicherheit

Der Zugriff auf die Daten muss auf befugte Personen beschränkt werden können.

 Zugriffsmöglichkeit

Der Verzeichnisdienst muss einen standardisierten Zugriff auf die Daten erlauben.

 

 

 

 

 

 

 

 

 

 

X.500 bietet eine große Vielfalt an Zugriffsbeschränkungen (engl. Access Controls, AC) auf die Baumobjekte. Damit kann gesteuert werden, wer auf welche Daten zugreifen darf, wie sowohl die Beschränkung auf die Einträge als auch auf die einzelnen Attribute aussehen sollen und welche Zugriffsarten (durchsuchen = engl. browse, lesen = engl. read, ändern = engl. modify) bestehen sollen.

 

1.2 LDAP

LDAP ist Standardprotokoll für den Zugriff auf Verzeichnisdaten und ist heute bei den meisten Verzeichnisdiensten im Einsatz. Es hat sich gegenüber des DAP Protokolls durchsetzen können, da es einfacher aufgebaut strukturiert ist. DAP ist als Protokoll des obersten Layers (Application Layer) im ISO/OSI-Referenzmodell auf die kompletten darunter liegenden OSI-Layer angewiesen. In vielen IT-Umgebungen sind aber nicht alle Schichten des OSI-Modells verfügbar bzw. können nur mit sehr hohem Aufwand implementiert werden.

Als Protokoll der Anwendungsschicht des TCP/IP-Protokoll Stack ermöglicht LDAP den Datenzugriff per Netzwerkkommunikation, aufbauend auf den darunter liegenden Protokollschichten, Transport, Internet und Netzwerk. Die Architektur ist im RFC2251 (Lightweight Directory Access Protocol v3) beschrieben. Somit ist LDAP nicht mehr von den vielen Schichten des OSI-Referenzmodells abhängig. Dadurch wird die Performance erhöht und die Implementierung ist um vieles einfacher. Man unterscheidet einerseits das Protokoll LDAP, welches Zugriff auf die Daten und Operationen an den Daten regelt und andererseits das LDAP-Verzeichnis, in welchem die Daten nach dem LDAP-Datenmodell abgelegt sind. Der größte Teil der Verzeichniszugriffe wurde in der Vergangenheit über das LDAP-Protokoll abgewickelt. Die Verzeichnisse selbst blieben aber auf Basis von X.500 bestehen. Der LDAP-Client greift auf den Verzeichnisdienst zu, indem er die LDAP-API aufruft. Ein X.500 Server kann mit diesen Nachrichten des Clients jedoch nichts anfangen. Der LDAP-Client und der X.500 Server verwenden unterschiedliche Kommunikationsprotokolle. Der Client nutzt TCP/IP mit dem LDAP-Protokoll, der Server basiert auf dem OSI-Protokollstack und benutzt das DAP-Protokoll. Daher kommuniziert der Client mit einem Gateway, der die Anfragen an den X.500 Server weiterleitet. Dieses Gateway bezeichnet man auch als LDAP-Gateway, der für den X.500 Server wiederum einen Client darstellt. Der LDAP-Server muss also TCP/IP und den OSI-Protokollstack implementiert haben.

Als der Einsatz von LDAP weiter zunahm, wurden Verzeichnisdienste entwickelt, auf die man direkt mit einem LDAP-Client zugreifen konnte. Dies macht einen X.500 Server weitgehend überflüssig. Der LDAP-Server kann somit direkt auf das Verzeichnis zugreifen, anstatt nur als Gateway zu dienen. Einen LDAP-Server, der direkt auf ein Verzeichnis zugreifen kann, bezeichnet man auch als einen Stand-alone-LDAP Server. Stand-alone deswegen, da dieser von einem X.500 Server unabhängig ist. Seitens der Clients ist nun jeder Server, der das LDAP-Protokoll implementiert hat, ein LDAP-Verzeichnisdienst-Server, unabhängig davon, ob dieser nun als Gateway oder als Stand-alone-Server seinen Dienst verrichtet. Das Verzeichnis, auf das hierüber zugegriffen wird, nennt man LDAP-Verzeichnis. Einer der bekanntesten Stand-alone-LDAP Server ist slapd, eine Open Source Implementierung von OpenLDAP.

Jeder Eintrag bzw. jedes Objekt in einen LDAP-Verzeichnisbaum, dem sogenannten DIT (Directory Information Tree) enthält einen eindeutigen Namen den DN (engl. Distinguished Name). Innerhalb des DIT gibt der DN den eindeutigen Pfad von der Wurzel (engl. root) bis zu dem entsprechenden Eintrag bzw. Objekt (engl. leave, deutsch Blatt) an. Ein Beispiel für einen DN in einem LDAP Verzeichnisbaum:
cn=TestFirma Max TestFa1, ou=employees, o=TestFirma GmbH, c=de

Dieses Beispiel zeigt, dass der DN vom Blatt bis zur Wurzel gelesen wird. Durch die Kommata werden die einzelnen Knoten (engl.: cn = common name, ou = organizational unit, o = organization und c = country), aus denen sich der DN zusammensetzt, getrennt. Jeder Knoten, der durch eine weitere Komponente den Pfad des Vorgängers erweitert, nennt man RDN (engl. Relative Distinguished Name). In dem oben gezeigten Beispiel wurde der Knoten des DN ou=employees, o=TestFirma GmbH, c=de mit dem RDN cn=TestFirma Max TestFa1 erweitert. Der RDN besteht aus dem Attribut des Objektes mit dem dazugehörigen Wert.
Um Daten zwischen dem Server und dem Client auszutauschen und die Daten auf dem LDAP Server zu synchronisieren existiert das ASCII basierende Dateiformat LDIF (Lightweight Directory Interchange Format). Der Inhalt einer LDIF-Datei könnte so aussehen:

dn: cn=TestFirma Einkauf testei1, ou=employee, ou=TestFirma GmbH, o=de
objectclass: organization
objectclass: inetOrgPerson
objectclass: top
ou: TestFirma GmbH
l: München
description: Einkauf
telephoneNumber: +49-89-123-456

facsimileTelephoneNumber: +49-89-123-987-456

mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

dn: cn= TestFirma Vertrieb testve1, ou=employee, ou=TestFirma GmbH, o=de
objectclass: organization
objectclass: top
objectclass: inetOrgPerson
ou: TestFirma GmbH
l: München
description: Vertrieb
telephoneNumber: +49-89-123-456
facsimileTelephoneNumber: +49-89-123-987-551

dn: cn= TestFirma Support testsu1, ou=employee, ou=TestFirma GmbH, o=de
objectclass: organization
objectclass: inetOrgPersonbr>objectclass: top
ou: TestFirma GmbH
l: München
description: Support
telephoneNumber: +49-89-987-4562

facsimileTelephoneNumber: +49-89-123-987-466

mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Folgende Operationen sind im LDAP für den Zugriff auf ein Directory definiert:

Operation

Beschreibung

BIND

Anmeldung des Benutzers an ein Directory.

UNBIND

Abmeldung des Benutzers von einem Directory.

SEARCH

Suche unterhalb eines Einstiegspunktes, dem sogenannten Base Distinguished Name (Base DN) nach Einträgen im Directory.

Modify

Änderung eines Eintrages.

ModifyDN

Änderung des relative Disitinguished Name (RDN) eines Eintrages.

ADD

Hinzufügen eines Eintrages an einer beliebigen Stelle im Directory.

DELETE

Löschen eines Eintrages.

COMPARE

Vergleich zweier Attributwerte.

Tabelle 2: LDAP Operationen

 

1.3 Meta Directory vs. virtuelles Directory

Mail- und Rechneradressen, Profile von Benutzern und Netzwerk-Ressourcen, digitale Telefonbücher, Fax-Listen, Personaldatenbanken, die Schlüsselverwaltung oder elektronische Gelbe Seiten sind nur einige Beispiele für die Vielfalt der Adressverzeichnisse, die heute in einem mittelständischen Unternehmen zu finden sind. Und obwohl häufig dieselben Daten, wie beispielsweise Mitarbeiternamen, Kostenstellen und Abteilungsbezeichnungen in mehreren Verzeichnissen parallel benötigt werden, geschieht die Pflege dieser Verzeichnisse (engl. Directories) zumeist einzeln. Das Resultat ist eine hohe Redundanz der Informationen, eine erhöhte Anzahl von Fehlerquellen und ein hoher Pflegeaufwand der Daten. Abhilfe schafft hier das sogenannte Meta Directory (Metaverzeichnis), das über definierte Schnittstellen auf vorhandene, verteilte Directories und Datenbanken zugreift, dort die vorgehaltenen Daten sammelt, konsolidiert und in Echtzeit weltweit jedem Mitarbeiter zur Verfügung stellt. Änderungen werden nur noch einmal eingegeben und automatisch in allen angeschlossenen Directories nachgezogen. Unabhängig davon, mit welchem Mail-System oder mit welcher Web-Anwendung die Benutzer arbeiten, zu jeder Zeit lassen sich die benötigten Informationen schnell und zuverlässig unternehmensweit finden.

  • Meta Directory

Ein Meta Directory ist ein Verzeichnisdienst, der die Daten anderer Verzeichnisdienste zentral zusammenfasst. Die Hauptaufgabe eines Meta Directory Dienstes (engl. Meta Directory Services) besteht darin, verschiedene Zielsysteme miteinander zu verbinden und deren Datenbestände zu integrieren, zu sammeln, zu konsolidieren, zu synchronisieren und zu aktualisieren. Sie sind ein wichtiger Bestandteil des Identity Management (IdM) und dienen als Speicher für digitale Identitäten, die wiederum eindeutige Objekte innerhalb des Meta Directory kennzeichnen. Mit Hilfe einer zentralen Datenbank (engl. Repository) und einer zentralen Provisioning Engine (Versorgungsprozess) wird die Synchronisation durchgeführt. Alle Datenänderungen in den einzelnen Verzeichnissen werden dabei vom Meta Directory erkannt und in die angeschlossenen Zielsysteme weitergeleitet.

Die Vorteile von Meta Directories sind neben der Reduktion der Administration und des damit verbundenen Ressourcen- und Kostenaufwandes auch der Bestand konsistenter Daten. Neben der erhöhten Sicherheit durch aktuelle Datenbestände führen auch die Steigerung der Produktivität durch effizientere Administration von Unternehmensdaten, Vermeidung von Hierarchie-Barrieren, aktuelle Autorisierung der Benutzer und hohe Flexibilität zu der großen Akzeptanz für den Einsatz von Meta Directories. Die große Problematik bei einem initialen Aufbau eines Meta Directory ist, dass die teilweise komplexen Datenflüsse zwischen den angeschlossenen Datenquellen konzeptioniert und implementiert werden müssen. Andererseits besteht, wie bei einem zentralen Verzeichnisdienst, das Problem der Zusammenlegung aller lokalen Berechtigungen in ein zentrales Berechtigungsmanagement.

  • Virtuelles Directory

Ein virtuelles Directory ist eine zentrale Komponente, die Anfragen (engl. queries) der LDAP-Clients an die betreffenden Quellsysteme weiterleitet. Der Unterschied zu einem Meta Directory besteht darin, dass die Daten aus den Directories abgerufen werden, eine permanente Speicherung findet nicht statt. In einem virtuellen Directory brauchen auch keine Daten untereinander synchronisiert werden, da die Ergebnisse einer Anfrage aus einem oder mehreren Verzeichnissen zusammengestellt werden. Aus Sicht der Anwendungen verhält es sich wie ein normales Meta Directory, an das LDAP-Queries gesendet werden. Ein virtuelles Directory ist dann sinnvoll, wenn die Daten in unterschiedlichen Directories vorhanden sind und unabhängig voneinander verwaltet werden. Zum Beispiel bei weltweit agierenden Unternehmen, die in ihren ausländischen Standorten eigene HR-System für die Mitarbeiter administrieren. Hier kann mit einem virtuellen Directory eine konzernübergreifende Sicht hergestellt werden. Die Administration der Systeme bleibt dabei aber weiterhin dezentral, was unternehmenspolitisch gesehen auch die einfachere Lösung ist. Für eine zentrale Verwaltung der Daten ist ein Meta Directory aber zu bevorzugen. Der Nachteil eines virtuellen Directories ist im Bereich der Performance zu finden. Denn eine Abfrage bedeutet einen zusätzlichen Zugriff auf das virtuelle Directory, auch kann eine Weiterleitung der Anfragen Zeit- und Ressourcenaufwand kosten. Des Weiteren ist die Verfügbarkeit der Daten zur Laufzeit nicht garantiert. Dadurch kann es vorkommen, dass Anfragen an ein virtuelles Directory nicht durchgeführt werden können oder nur unvollständige Daten geliefert werden.

 

2. Identity Management

Identity Management (IdM) war ursprünglich eine Komponente von Sicherheitslösungen. Die Administratoren verwalteten damit Daten für die Anmeldung an ein System oder für eine begrenzte Anzahl von Anwendungen. Sie richteten Benutzerkonten ein, definierten Zugriffsrechte und beschränkten und überwachten so den Zugriff auf einzelne Dienste. IdM hat sich aber immer mehr von einer reinen Sicherheitslösung zu einer Schlüsselkomponente für effektives eCommerce entwickelt. Kunden greifen komfortabel mit nur einem Passwort auf unterschiedliche und personalisierte Angebote zu. Datenschutz und Kontrolle der zur Identität hinterlegten Informationen sind im Vergleich zu herkömmlichen Systemen deutlich verbessert. Ein weiterer Vorteil ist der geringere Aufwand für die Administration. IdM-Lösungen ermöglichen zudem die Einbindung von Geschäftspartnern. Es ist somit nicht mehr nur auf die eigene Infrastruktur beschränkt, sondern kann mit externen Ressourcen verbunden werden. Für das erfolgreiche Identitätsmanagement in Unternehmen sind drei Aspekte entscheidend:

  •     Es muss Datenqualität für Identitäten geschaffen und erhalten werden.  
  •     Es müssen organisatorische Regeln und Prozesse für die Erstellung und Änderung von digitalen Identitäten definiert werden.  
  •     Identitätsinformationen müssen über die verschiedenen Verzeichnisse integriert werden, um die Konsistenz dieser Informationen zu sichern.

Für die Integration von Verzeichnisinformationen gibt es eine Reihe von technischen Ansätzen. Das beginnt mit der Nutzung vorhandener Verzeichnisse auch für andere Anwendungen. Technisch gesehen kann das beispielsweise über LDAP-Queries erfolgen. Die wichtigste Einschränkung dabei ist, dass unter Umständen für spezifische Anwendungen Erweiterungen des Schemas (Datenstruktur) der Verzeichnisse erforderlich sind. In jedem Unternehmen, das eigene Anwendungen entwickelt oder Auftragsentwicklungen durchführt, sollte die Nutzung eines vorgegebenen Verzeichnisdienstes zwingend sein, um den Wildwuchs einzudämmen. Denn die überwiegende Zahl aller Verzeichnisse in Unternehmen sind solche für das Benutzer- und Zugriffsmanagement einzelner Anwendungen; und diese schaffen in der Folge auch die größten Sicherheitsprobleme.
Die wichtigsten Ansätze, um Verzeichnisinformationen zu integrieren, sind heute aber Meta Directory-Dienste und Provisioning-Lösungen. Erstere synchronisieren Informationen in verschiedenen Verzeichnissen, indem sie die Änderungen erkennen. Letztere standardisieren den Änderungsprozess und schreiben alle Änderungen in die verschiedenen Verzeichnisse. Da aber kaum alle existierenden Verzeichnisse von Provisioning-Lösungen abgedeckt werden und zudem immer wieder auch Änderungen an diesen Systemen vorbei erfolgen, sind sie genauso wenig wie Meta Directory-Dienste die einzig mögliche Lösung.

2.1 Funktionale Anforderungen an ein Identity Management

Die Anforderungen an ein IdM sind vielfältig. Anbei einige wichtige Funktionen, die ein IdM erfüllen muss:

  • Authentifizierung

Unter Authentifizierung, teilweise auch Authentisierung genannt, versteht man den Vorgang, bei der eine Person oder eine zu ihr gehörende Identität anhand bestimmter Authentifizierungskriterien (engl. credentials) überprüft wird. Für ein erhöhtes Sicherheitsniveau reicht es dabei nicht aus, einfach nur komplexe Passwörter zu verwenden. Möglichkeiten einer starken Authentifizierung (engl. strong authentication) bieten z.B. Methoden wie asymmetrische Verschlüsselung, Biometrie, digitale Zertifikate, Kryptografie usw.

  • Autorisierung

Nachdem sich die Person sich erfolgreich authentifiziert hat, steht fest welche Identität sich gegenüber dem System ausgewiesen hat. Bei der Autorisierung wird im nächsten Schritt geklärt, welche Zugriffsberechtigungen die Identität auf die Ressource hat.

  • Single Sign On

Bei einem Einsatz von Single Sign On-Funktionaltäten (SSO) benötigt der Benutzer nur eine einmalige Anmeldung (Authentifizierung), um auf alle für ihn vorgesehenen Systeme, Anwendungen und Dienste ohne erneute Authentifizierung zugreifen zu können.

  • Provisioning

Provisioning bedeutet beispielsweise neue Mitarbeiter vom ersten Tag an produktiv arbeiten zu lassen (Zero Day Start) oder ihnen nach einem Wechsel innerhalb des Unternehmens oder nach der Zuordnung zu einem neuen Projekt schnell den Zugriff auf alle Ressourcen zu gewähren, die sie benötigen. Beim Ausscheiden eines Mitarbeiters werden die Benutzerkonten entsprechend gesperrt. Modernes Provisioning umfasst, bezogen auf die Identitäten, den 'Lebenszyklus' von Benutzern, Anwendungen und Systemen. Provisioning-Lösungen, die in vielen unterschiedlichen Systemen automatisiert Benutzerkonten anlegen, reduzieren die Anzahl der digitalen Identitäten für die einzelnen Benutzer auf eine einzige Identität.

  •  Administration

Die Administration beinhaltet alle Funktionen, die zur Verwaltung des IdM und der darin geführten Daten benötigt werden. Meist handelt es sich um grafische Konfigurations- und Überwachungs-Tools (dt. Werkzeuge).

  • Auditing

Auditing (dt. Nachprüfung) bezeichnet die Möglichkeit zur nachträglichen Überprüfung der Serversysteme und des Umgangs der Anwender und Administratoren mit diesen. Das heißt, es wird nachvollziehbar, wer wann worauf zugegriffen und was er in den Zielsystemen getan hat. Das Verfahren protokolliert sämtliche Benutzeraktivitäten und zeichnet diese zum Zweck der Rückverfolgung auf.

  • Monitoring

Das Monitoring überprüft die Hard- und Software des IdM auf Fehlfunktionen. Auf Hardwareebene z.B. Server- und Netzwerkkomponenten, auf Softwareebene z.B. die Verfügbarkeit und das Antwortverhalten der bereitgestellten Dienste.

  • Reporting

Das Reporting ist verantwortlich für die Erstellung von Statistiken über die gespeicherten Identitäten, die Zugriffe auf einzelne Dienste und die Auslastung der beteiligten Hardware. Hierfür müssen die Daten aus verschiedenen Datenquellen zusammengetragen werden. Die Daten dienen vor allem den Administratoren sowie der Leitung der Organisation, die auf eventuelle Engpässe oder Missverhältnisse reagieren müssen.

  • Sicherheit

In IdM-Systemen (IdMS) werden sensible Daten gespeichert und über das Netzwerk transportiert. Hierzu gehören Personeninformationen, Benutzerkennungen sowie Passwörter. Die Nutzer des IdMS verlassen sich auf die Korrektheit und die vertrauliche Behandlung der Daten. Das IdMS stellt einen Verbund sich untereinander vertrauender IT-Systeme dar. Man spricht deshalb auch häufig von einem "circle of trust". Wird eine der beteiligten Komponenten kompromittiert, besteht eine Gefahr für die gesamte Organisation. Verfahren zur Verschlüsselung der Kommunikation sowie einzelner Inhalte und der Integritätswahrung sind daher zwingende Anforderungen.

  • Zuverlässigkeit

Ein IdMS übernimmt eine zentrale Rolle innerhalb der IT-Infrastruktur eines Unternehmens. Je mehr Systeme daran partizipieren, umso wichtiger ist es, dass das IdMS jederzeit seine Funktionen wahrnehmen kann. Ist das System nicht verfügbar, so können viele Prozesse zum Erliegen kommen. Ein IdMS sollte demnach eine gewisse Reife aufweisen, sollte also über die gesamte Zeit stabil und mit wenigen Fehlern laufen.

  • Benutzerfreundlichkeit

Die Akzeptanz eines IdMS ist von den Komponenten abhängig, die der Anwender benutzt, um eine bestimmte Funktionalität zu erhalten. Neben der Sicherheit und Zuverlässigkeit müssen die Schnittstellen zu den Anwendern leicht verständlich und einfach erlernbar sein. Zu den Anwendern gehören die allgemeinen Benutzer, Personen, an die einige dezentrale Aufgaben delegiert wurden, Administratoren sowie Entwickler. All diese Gruppen müssen mit wenig Aufwand, also möglichst effizient, ihre Arbeit an dem IDMS durchführen können.

  • Verwendung von Standards

Eng verbunden mit der Forderung nach Flexibilität ist die Verwendung von Standards. Standardisierte Protokolle vereinfachen die Integration und den Austausch einzelner Komponenten. Standardisierte Prozesse und Architekturen helfen dabei, dass sich neue Entwickler, Administratoren und andere Beteiligte schnell in das System hinein finden können und dass einzelne Entwicklungen auch für andere Organisationen zur Verfügung gestellt werden können.

 

2.2 Faktoren für die erfolgreiche Einführung

Die wesentlichen Faktoren für die erfolgreiche Einführung eines unternehmensweiten IdMS sind eine detaillierte Anforderungsanalyse mit dem Fach- und IT-Bereich, die Entwicklung eines einfachen, aber flexiblen rollenbasierten Berechtigungskonzeptes (engl. RBAC, Role Based Access Control) und ein schrittweises Vorgehen (aufbauend auf einzelne Ausbaustufen). Dieses Vorgehen beinhaltet im ersten Schritt die Integration, der wichtigsten Anwendungen in dem IdMS, die Auswahl von Produkten mit Standardschnittstellen und das Design einfacher und sicherer Prozesse bzw. Workflows in Verbindung mit einem hohen Automatisierungsgrad. Die Einführung eines IdMS muss als unternehmensweite Aufgabe gesehen werden, um einen wirtschaftlichen und sicheren Betrieb gewährleisten zu können.

Es gibt sechs fördernde Faktoren für IdM in einem Unternehmen:

  • Kostenreduktion

Die Vereinfachung der administrativen Arbeit beim Anlegen bzw. Ändern von Benutzern sowie deutliche Einsparungen im Helpdesk führen zur Reduzierung der IT-Kosten.

  • "Ease of use"

Immer mehr Anwender empfinden die wachsende Anzahl von Benutzernamen und Kennwörtern als Belastung. In diesem Bereich geht es um den Wunsch nach einer Vereinfachung (z.B. SSO).

  • Sicherheit

Sicherheit ist mit dem Thema Compliance eng verbunden. Sie beschäftigt sich mit den rein sicherheitsgetriebenen Maßnahmen, besonders für das Access Management.

  • Neue Anwendungen

Hierunter fallen Themen wie z.B. DRM (Digital Right Management), eine weitergehende Profilierung und Personalisierung oder die Message Management Systeme. Diese Anwendungen lassen sich allerdings nur umsetzen, wenn der Umgang mit den digitalen IDs beherrscht wird.

  • Flexible Geschäftsprozesse

Die Schlagwörter wie z.B. "On Demand" (bei Bedarf) oder "Adaptive Enterprise" (ein Mittel, um die gesamte IT-Umgebung flexibel und automatisiert zu steuern) verlangen, dass die IT Geschäftsprozesse flexibler, schneller und kostengünstiger realisiert. Dazu müssen interne und externe Anwendungen integriert werden. Die Herausforderung liegt darin, diese Prozesse auch in sicherer und kontrollierbarer Form zu gestalten. Diese setzt aber voraus, dass man mit einheitlichen Identitäten über den gesamten Prozess hinweg arbeitet. Ob dazu Meta Directory-Dienste oder Provisioning-Lösungen eingesetzt werden, ist lösungsabhängig. Ohne IdM kann die IT die an sie gestellten Anforderungen aber nicht erfüllen. Für die flexible On Demand-IT werden dabei drei Säulen definiert:

    •     Das prozessorientierte Systemmanagement ist für die Überwachung der Prozesse als Ganzes zuständig. Hier werden nicht nur die einzelnen Server betrachtet, sondern das gesamte Server-System eines Unternehmens.
    •     Mit der Anwendungsinfrastruktur wird die Integration von Applikationen ermöglicht. Hierzu zählen Technologien wie z.B. Java oder Web Services.
    •     IdM umfasst das gesamte Unternehmen mit den digitalen IDs.
  • Compliance

Die Anforderungen an Compliance und Risiko-Management nehmen ständig zu. Die Unternehmen müssen ganz genau vorgeben, wer was machen darf; andererseits aber auch nachprüfen können, wer wann was gemacht hat. Das "wer" führt dabei zur digitalen Identität. IdM ist die Basis für Richtlinien zur Steuerung und Auditing-Lösungen zur Überwachung des Handelns von Benutzern und damit für die Einhaltung der Compliance-Anforderungen. Compliance ist das Einhalten der nationalen sowie internationalen Bestimmungen. Der ROI (engl. Return On Investment) spielt auch für die anderen treibenden Faktoren eine wichtige Rolle. Denn für ein Unternehmen müssen sich Investitionen immer rechnen. Allerdings sollten dabei zwei Aspekte beachtet werden:

    •     Während beispielsweise die Kostenreduktion ein positiver Aspekt der fördernden Faktoren ist, zählt Compliance zu den negativen.  
    •     Die Einsparung beispielsweise im Helpdesk-Bereich ist noch vergleichsweise gut zu erkennen. Anders sieht es allerdings bei der Compliance aus.

Wie kann man den Nutzen bewerten, der dadurch entsteht, dass sich verantwortliche Mitarbeiter des Unternehmens nicht aufgrund des Verstoßes gegen gesetzliche Regelungen vor Gericht verantworten müssen bzw. wie kann man einen vermiedenen Image-Schaden des Unternehmens aufgrund des Verstoßes gegen Regelungen für den Schutz personenbezogener Daten bewerten?
Aus Unternehmenssicht spielen aber die Faktoren, die entweder grundlegende Bedeutung für das Gesamtunternehmen haben (Compliance) oder bestimmte Geschäftsmodelle und -prozesse überhaupt erst ermöglichen, die wichtigere Rolle. Es geht beim Identity Management nicht mehr so sehr um IT-Lösungen und Sicherheit, sondern darum, Unternehmen flexibler zu machen.

 

3. Das User Provisioning

Wenn man von User Provisioning (Versorgung) im Bereich des IdM spricht, bezieht man sich auf die Automatisierung aller Prozesse bezüglich der Erstellung, der Verwaltung, der Deaktivierung sowie der Löschung (De-Provisioning) von Benutzerkonten (digitalen Identitäten), sowie deren Attribute und Berechtigungen. Beim Provisioning stehen die Prozesse im Mittelpunkt und nicht die technischen Lösungen. Man unterscheidet hierbei noch zwischen dem User Provisioning und dem Ressource Provisioning. Das User Provisioning gewährleistet die sichere Authentifizierung, Verwaltung und Synchronisation von Benutzeridentitäten, Kennwort-Verwaltung bzw. Password Management und andere Themen der benutzerorientierten Administration. Das Ressource Provisioning zielt dagegen auf die Autorisierung (Access Management) und Kontrolle sowie die Bereitstellung von Zugängen zu den Ressourcen in einer heterogenen Systemlandschaft ab.

3.1 Die Eigenschaften des Provisioning

Man unterscheidet beim Provisioning vier zentrale Funktionen:

  •     Die Bereitstellung von Benutzern. Dies umfasst das Anlegen, das Ändern sowie das Löschen von Benutzerkonten.  
  •     Die Bestimmung von Berechtigungen für den Zugriff auf Daten.  
  •     Die Bestimmung von Berechtigungen für den Zugriff auf Anwendungen und Dienste in einer heterogenen Umgebung.  
  •     Die Bereitstellung von weiteren Features wie z.B. die Rechnerzeit.  

Ein Provisioning-System muss dabei folgende Haupteigenschaften erfüllen:

  •     Durch Provisioning werden Prozesse automatisiert. Hierzu verwendet man verschiedene Konzepte (z.B. rollenbasierte Berechtigungsmodelle).  
  •     Prozesse müssen flexibel über ein Meta Directory konfigurierbar sein. Dadurch können durch Workflows Änderungen an den Profilen des Benutzers vorgenommen werden.  
  •     Das Provisioning muss von heterogenen Systemlandschaften unterstützt werden.

 3.2 Der Lebenszyklus einer digitalen Identität

Der Lebenszyklus lässt sich in drei Phasen unterteilen. In die initiale Provisionierungsphase, Pflege- und Re-Provisionierungsphase und die De-Provisionierungsphase.

  • Initiale Provisionierungsphase

Die Daten eines Mitarbeiters, der neu in ein Unternehmen kommt, werden von der Personalabteilung im HR-System (Human Resource System) erfasst. Nachdem die Personalabteilung den neuen Mitarbeiter im HR-System angelegt hat, werden diese Daten in das Meta Directory synchronisiert, dadurch wird für den neuen Mitarbeiter auch eine neue digitale unternehmensweit eindeutige Benutzer-Identität (engl. User Identification, UID) generiert. Die Provisionierung bezieht sich auf die Automatisierung aller durchzuführenden Prozesse zur Erfassung und Verteilung von digitalen Identitäten, sowie deren Attribute und Berechtigungen. Nach der Zustimmung bestimmter Personen, z.B. von einem Kostenstellenverantwortlichen, kann die Zuteilung bestimmter Systemzugänge, wie z.B. eines eMail-Zugang oder eines Windows-Benutzerkontos für den neuen Mitarbeiter durchgeführt werden. Ziel der Provisionierung ist es, die möglicherweise fehlerhafte Erfassung von Benutzer-Identitäten und die manuellen Zuweisungen von Zugriffsrechten in den einzelnen Zielsystemen zu verhindern.

  • Pflege- und Re-Provisionierungsphase

Treten an der digitalen Identität Änderungen auf, z.B. Änderung des Nachnamens aufgrund einer Heirat, Änderung der Abteilungsbezeichnung oder der Kostenstelle, müssen diese an alle angeschlossenen Zielsysteme weitergeleitet (propagiert) werden. Die Propagation ist ein Unterprozess (Subprozess ) des Provisioning. Die Änderungen können sowohl die Identitätsdaten als auch die Zugriffsrechte, die der Benutzer auf die Zielsysteme hat, betreffen. Ebenso können auch Änderungen der Rechte auf bestehende Systeme bzw. Zuweisung von Rechten auf neue Systeme durch einen Abteilungswechsel bzw. eine Mitarbeit in Projekten (mit speziellen Zugriffsberechtigungen) nötig werden.

  • De-Provisionierungsphase

Verlässt ein Mitarbeiter das Unternehmen, ist es aus sicherheitstechnischen Gründen zwingend notwendig, die provisionierten Berechtigungen in den Systemen zeitnah wieder zu entziehen, das Benutzerkonto zu sperren und gegebenenfalls seine personenbezogenen Daten komplett zu löschen. Das Löschen des Benutzerzugangs ist abhängig davon, ob die Daten des Mitarbeiters später für revisionstechnische Vorgänge noch benötigt werden. Da dieser Vorgang automatisiert werden kann, wird sichergestellt, dass keine sogenannten "Datenleichen" in den Systemen zurück bleiben. Ein Sicherheitsrisiko, das aufgrund falscher Autorisierung und Authentifizierung entstehen kann, wird dadurch vermieden.

3.3 Provisioning-Komponenten

Eine einheitliche Datenbasis der Benutzer in den verschiedenen Zielsystemen ist die Voraussetzung für das Provisioning. Damit ist sichergestellt, dass in allen vorhandenen Systemen zu jedem Benutzer die gleiche Basis-Information enthalten ist. Die Berechtigungen für die einzelnen Benutzer sind in den verschiedenen Systemen aber noch nicht vorhanden. Die Systemzugriffe können mit Hilfe von Einzel- oder Rollenberechtigungen erteilt und kontrolliert werden. Wenn ein Mitarbeiter das Unternehmen verlässt oder in eine andere Abteilung versetzt wird, sollen sein Konto und die dazu gehörigen Berechtigungen entsprechend angepasst, deaktiviert oder gelöscht werden. Man spricht hier von dem sogenannten De-Provisioning, dem rechtzeitigen Reagieren und Handeln auf Veränderungen bzgl. der Benutzeridentitäten. Mit dem Reverse-Provisioning ist es möglich, Statusberichte zu den Benutzeraktivitäten und der Ressource-Nutzung zu erstellen. Damit ist das Provisioning ein entscheidender Teil im Identity Management und geht sogar über seine Grenzen hinaus. Laut einer im Jahre 2007 durchgeführten Umfrage des Computer Security Institute (CSI) in Zusammenarbeit mit der US-Bundespolizei FBI berichteten 46% der befragten Firmen über einen unerlaubten Zugriff auf Firmendaten. 9% der Firmen sprachen von einem Diebstahl geistigen Eigentums. Dabei betrugen die mittleren Kosten eines internen Angriffs ca. 2,7 Millionen US-Dollar. Einer der Gründe dafür ist ein verspätetes Reagieren und dementsprechendes Deaktivieren von Mitarbeitern, die das Unternehmen verlassen haben. Die Analysten von Meta Group (gehört mittlerweile zur Gartner Group) geben an, dass im Durchschnitt bei 38% aller Berechtigungen in einem Unternehmen vergessen wird, diese zu sperren. IDC spricht von durchschnittlich 60-80% nicht mehr gültiger Berechtigungen in mittelständischen bis großen Unternehmen.
Diese Zahlen zeigen, welche Sicherheitsprobleme in den Unternehmen bestehen, die aber durch ein gut implementiertes Provisioning gelöst werden könnten. Denn durch ein effizientes Provisioning kann ein Unternehmen einen erheblichen Teil von täglich anfallenden Kosten einsparen.

Mittlerweile ist das Provisioning nicht mehr nur ein zentrales Thema des IdM, sondern wird als eines der vielen Komponenten des IdM gesehen. In den modernen IT-Portfolios der führenden Anbieter wie IBM, Sun, Siemens Enterprise Communications, Novell und Oracle spielt das Provisioning bei Schlagworten wie "On Demand" oder "Adaptive Enterprise" eine zentrale Rolle. Hierbei geht es in erster Linie darum, die Geschäftsprozesse der IT schnell, günstig und flexibel umsetzen zu können.

 

4. Das Rollenmanagement im Identity Management-Umfeld

Laut einer Marktstudie der Firma Kuppinger Cole + Partner, die zu den Themen Identity und Access Management (IAM) und GRC (engl. Governance, Risk Management, Compliance) durchgeführt wurde, gehört das Thema Rollenmanagement neben dem Provisioning zu den Themengebieten, in die in den kommenden zwölf Monaten am meisten investiert wird. Die Herausforderung, ein Rollenmanagement einzuführen, liegt insbesondere darin begründet, dass es sich nicht um ein reines IT-Projekt handelt, sondern immer eine enge Zusammenarbeit von IT- und Geschäftsbereich erfordert. Durch die Vergabe von zu vielen Rollen kann man aber auch schnell Komplexitäten erzeugen, die nicht mehr beherrschbar bzw. administrierbar sind.
Wenn ein neuer Mitarbeiter in ein Unternehmen eintritt, möchte er sofort produktiv arbeiten. Problematisch ist es dann, wenn die entsprechenden Ressourcen und Zugriffsberechtigungen nicht zur Verfügung stehen. Besser ist es natürlich, wenn die Administration zentralisiert ist und dort bereits bekannt ist, welche Gruppen und Rollen auf welche Systeme Zugriff haben. Im IdM muss dann nur noch der Identität des neuen Mitarbeiters diese Rolle zugewiesen werden er kann sofort arbeiten. Durch ein solches Rollenmanagement lassen sich Provisioning-Prozesse im IdM automatisieren, was wiederum die Verwaltung vereinfacht und hilft, Compliance-Anforderungen einzuhalten. Beispielsweise kann bei einer anstehenden Rezertifizierung viel leichter belegt werden, wer wann was mit welcher Information gemacht hat. Um die eben beschriebenen Vorgänge nutzen zu können, müssen diese Rollen natürlich zunächst einmal definiert und implementiert werden. Aus technischer Sicht ist das Problem schnell behoben, denn für Analyse und Management komplizierter Rollenmodelle gibt es heute gut funktionierende Lösungen. Mit diesen lassen sich leicht entsprechende Richtlinien für funktionsbasierte Berechtigungen erstellen und verwalten. Anhand dieser Richtlinien werden bestimmten Benutzergruppen Zugriffe oder die Einrichtung von Konten in verschiedenen angeschlossenen Zielsystemen erlaubt. Beispielsweise könnten Berechtigungsrichtlinien für den Vertrieb definiert werden, die allen Benutzern des Vertriebs Zugriff auf bestimmte Ressourcen gewähren. Um zu erfahren, welche Berechtigungen diese Rollen tatsächlich haben sollen, muss die zentrale Ebene verlassen und die Einzelsysteme betrachtet werden, in denen diese Berechtigungen geregelt sind. Daraus ergeben sich zwei Bereiche, die in ständiger Abstimmung stehen müssen, um sicher zu stellen, dass die Gruppen und Rollen in den Systemen mit den Informationen des zentralen IdM übereinstimmen. Diesem Bruch muss man auf organisatorischer Ebene begegnen. Dafür braucht es klare Regelungen zwischen der IT-Abteilung in der Zentrale und den Fachabteilungen an den Systemen.

Theoretisch geschieht dies durch den Ansatz der rollenbasierten Zugriffskontrolle (RBAC). Allerdings ist mit diesem rein theoretischen Ansatz in der Praxis noch nicht viel erreicht. Die Umsetzung des RBAC galt in der Vergangenheit als schwierig und schwer zu managen. Mittlerweile trägt zum Beispiel der RBAC-Standard ANSI INCITS 359-2004 dazu bei, die grundsätzliche Rollenaufteilung in die drei Bereiche Elementarrolle, technische Rolle und organisatorische Rolle aufzuteilen. Es gibt auch Softwarelösungen, die etwa als Teil der IdM-Lösung bereitstehen und die die Verbindung zwischen der IT- und Fachabteilung herstellen helfen. Diese geben den Verantwortlichen der Fachabteilungen und der Geschäftsleitung hilfreiche Tools oder ganze Prozesse an die Hand, mit denen sie rollenbasierte Zugriffskontrollen eigenhändig implementieren und organisieren können. Wichtige Grundlage ist aber immer der Austausch zwischen dem IT- und Geschäftsbereich. Dafür empfehlen sich die beiden klassischen Ansätze Top-Down und Bottom-Up. Der konzeptionelle Top-Down-Ansatz leitet sich von Rollen aus Aufbau- und Ablauforganisation, aus Projekten und Geschäftsprozessen und aus anderen Informationen gleicher Granularität ab. Der Bottom-Up-Ansatz wird meist über das Role Mining (Analyse von bestehenden Benutzern und ihren Berechtigungen), basierend auf aktuellen Autorisierungen, umgesetzt. Für die Umsetzung braucht man beide Ansätze, denn wenn man Rollenvorschläge erhält, die sich über getrennte Organisationseinheiten erstrecken und damit kein sinnvoller, eindeutiger Rollenverantwortlicher existiert, kann man bei der Umsetzung nicht erfolgreich sein.
Um einen Überblick über die Abteilungen und die Bedeutungen der in diesen Bereichen vertretenen Funktionen für das Unternehmen zu gewinnen, sollte die IT-Abteilung sich zunächst mit der Geschäftsleitung verständigen. Das hat auch den Vorteil, dass man klar strukturiert vorgehen kann. Der Austausch mit der Fachabteilung sorgt für die benötigten Informationen über Funktionen und Aufgabengebiet des Mitarbeiters, die mit einer bestimmten Rolle verbunden sind. Die Informationen liefern das detaillierte Verständnis der Rollen und Funktionen. Ebenso muss die Personalabteilung in den Prozess integriert werden, denn sie verfügt mit den Stammdaten eines Mitarbeiters über die Informationen zu den Lebenszyklen bestimmter Mitarbeiterrollen und deren rechtliche Einbettung in die Organisation. Sind alle Informationen eingeholt, lassen sich Lösungen effizient implementieren und in Betrieb nehmen.
Man sollte aber beachten, dass Rollenmodelle mehrstufig sind. Es gibt die organisatorische Rolle mit Fokus auf die Organisation, technische Rolle auf IT-Ebene und die Elementarrolle für einzelne Systeme. Viele der Rollen braucht man an mehreren Stellen im Unternehmen. Entsprechend sollte ein Rollenkonzept auf die Wiederverwendung ausgerichtet sein. Insbesondere sollte man die Modelle auch, aber nicht nur für IAM und GRC konzipieren, denn man braucht sie vielleicht auch in den Geschäftsprozessen, im Enterprise Content Management und an vielen anderen Stellen. Ein wichtiger Baustein im Umgang mit dem Berechtigungsmanagement ist die Datenqualität in den angeschlossenen Zielsystemen. Denn wenn man ein konsistentes Berechtigungsmanagement im SAP-Umfeld hat, wird man sich mit der Zuordnung von Business- zu System-Rollen viel leichter tun.

5. Compliance-Anforderungen an ein Identity Management

Die Compliance-Anforderungen aus gesetzlichen Vorgaben und Regelungen an Unternehmen haben zunehmend Gewich Compliance steht für die Einhaltung gesetzlicher Regelungen. Unternehmen müssen immer mehr Auflagen erfüllen, um die Konformität zu gesetzlichen Vorschriften sicherzustellen. Durch Bilanzskandale in den USA, z.B. durch die Firmen Enron und Worldcom, ist das Thema Compliance in den Blickpunkt vieler Unternehmen gerückt. Zu den bekanntesten zählen die börsenrechtlichen Auflagen Basel II und Sarbanes-Oxley Act (SOX) in den USA. Die Unternehmen werden damit gezwungen, die Zugriffsberechtigungen auf Systeme, die die Finanzdaten verwalten, genau zu reglementieren und zu kontrollieren. Nicht alle Vorschriften sind für alle Unternehmen in Deutschland relevant. Hierzulande sind Basel II, das BDSG (Bundesdatenschutz Gesetz) und die Regelungen des KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) von besonderer Bedeutung. Aus Sicht der Unternehmen ergänzen sich IdM und Compliance sehr gut. Denn auch die Wirtschaftsprüfer betrachten bei ihren betriebswirtschaftlichen Prüfungen nicht nur die ordnungsgemäße Buchführung, sondern zunehmend auch die relevanten IT-Systeme. Im Rahmen der Überprüfung müssen die Unternehmen die Erfüllung der Vorlagen nachweisen, und der Prüfer hat die Aufgabe den Grad der Erfüllung festzustellen.

Zu den Vorteilen von Compliance-Lösungen im IdM-Umfeld zählen geringere Helpdesk- und Administrations-Kosten, weniger Aufwand für Berichte und Reports sowie erhöhte Sicherheit. Zudem werden Prozesse deutlich optimiert, da sie standardisiert, transparenter und ausgereifter und dadurch effizienter sind und die Prozess-Verantwortlichen eindeutig definiert werden. Die interne Kontrolle wird verbessert und Unternehmen können zukünftige Verbesserungen flexibler angehen. Ein wichtiger Nutzen-Aspekt, der oftmals außer Acht gelassen wird, ist außerdem die Wettbewerbsfähigkeit. Wenn Unternehmen Daten durch Sicherheitslücken verlieren, büßen sie deutliche Wettbewerbschancen ein. Unternehmen, die sich nichts zu Schulde kommen lassen, erhalten automatisch einen Vertrauensvorschuss. Die Einhaltung von Compliance ist kein Einmal-Aufwand, sondern eine fortlaufende Aufgabe. Die Anforderungen werden auch in Zukunft weiter steigen. Unternehmen sollten daher eine ganzheitliche, langfristige Lösung anstreben und dabei die Nutzen-Effekte maximieren. Nach einer Beobachtung der ISACA (Information System Audit and Control Association) stehen sieben der zehn häufigsten Compliance-Verstöße in direktem Bezug zum IdM. Durch den Einsatz von IT-Lösungen, insbesondere IdM, können Abläufe automatisiert und das Reporting deutlich vereinfacht werden, so die Experten. Als Nebeneffekt wird die Sicherheit erhöht. Unternehmen sind also gut beraten, sich dem Thema Compliance durch die Einführung einer IdM-Lösung zu nähern. Sie profitieren nicht nur von einer sicheren IT-Landschaft und einer einheitlichen Infrastruktur, die die Grundlage für komplette Geschäftsprozesse schafft. Sie decken vielmehr bereits wichtige Compliance-Anforderungen ab. Auch wenn es noch keine Garantie für Compliance ist. Mit IdM begeben sich Unternehmen auf jeden Fall auf dem Weg zu Compliance.

6. Fazit

In vielen Unternehmen ist eine hohe Anzahl von unterschiedlichen Systemen und Verzeichnissen vorhanden, die nicht durch ein einzelnes ersetzt werden können. Die Pflege der auf den Systemen verteilten Benutzerkonten verursacht neben den hohen Kosten vor allen Dingen ein großes Sicherheitsrisiko. Datenleichen von ausgeschiedenen Mitarbeitern sind in solchen Systemen keine Seltenheit. Darüber hinaus fehlt die Übersicht über die existierenden Zugriffsberechtigungen der Mitarbeiter in einer heterogenen Systemlandschaft.

Das Ziel einer IdM-Lösung besteht darin, Änderungen an einer Identität nur einmal durchzuführen und diese dann systemübergreifend auf alle Systeme zu synchronisieren. Es wurde gezeigt, dass das Meta Directory die Voraussetzung für die automatische Erzeugung von Benutzerkonten (User Provisioning) und der zentralen Steuerung der Berechtigungsvergabe (Resource Provisioning) darstellt.

Der Nutzen einer IdM lässt sich nur schwer in Cent und Euro ausdrücken. Solche Infrastruktur-Projekte sind jedoch notwendig, wenn ein mittelständisches Unternehmen seine Position am Markt behaupten und sich weiterentwickeln will. Deshalb führt an den notwendigen Investitionen meist auch kein Weg vorbei. Der Hauptvorteil liegt vor allem im qualitativen Bereich. Durch die Umsetzung von IdM-Projekten erreicht man stimmige Datenbestände und täglich aktualisierte Informationen in den angeschlossenen Zielsystemen. Die Administrationsprozesse können durch ein IdM weitgehend automatisiert werden. Neue Mitarbeiter können schon in kürzester Zeit produktiv für das neue Unternehmen arbeiten. Sie erhalten durch das Rollenmanagement nur die Berechtigungen, die sie auch für ihre tägliche Arbeit benötigen. Eine Beschleunigung der Kommunikations- und Geschäftsprozesse zählt ebenso wie die Erhöhung des Sicherheitsniveaus zu den positiven Aspekten. Die Einhaltung der gesetzlichen Vorgaben und Regelungen runden den Vorteil eines IdM ab.

Auf der anderen Seite zeigt sich, dass IdM-Projekte nicht allein als technische Lösung betrachtet werden dürfen. Sie sollten aber auch nicht nur von strategischen Gesichtspunkten aus bewertet werden, da sie auch potenzielle technische Herausforderungen bieten. Die Projekte sollten nicht als Insellösungen angelegt werden, sondern flexibel auf das gesamte Unternehmen anpassbar sein. In einem IdM werden Informationen aus heterogenen Verzeichnissen und Systemen zusammengeführt. Die verschiedenen Abteilungen eines Unternehmens besitzen hier in der Regel die Datenhoheit. Dies zeigt sich meist schon bei der Implementierung eines Rollenmanagements. Es ist nicht immer einfach, hier eine volle Übereinstimmung aller Beteiligten zu erreichen. Voraussetzung für die erfolgreiche Einführung eines IdM ist der stufenweise Aufbau des Systems. Ebenso ist es wichtig, die Entscheider aus anderen Unternehmensbereichen von dem Nutzen eines IdM zu überzeugen

 

 Firewall VPNPKI IPKI IIBYODIDMRansomwareRansomware

Partner | Referenzen
  • dlr.png
  • BAYER.png
  • gieseckedevrient.gif
  • AIRBUS.png
  • CLAAS.png
  • ASKLEPIOS.png
  • dekabank.gif
  • 1_LOGO_FARSITE.png
  • Postbank.jpg
  • 1_LOGO_SSH.png
  • tuev-nord.jpg
  • idRoboTica.png
  • 1_LOGO_SEMATICON.png
  • netcologne.gif
  • TDT-AG.JPG
  • LMK.png
  • NXP.png
  • 1_LOGO_VEEAM.png
  • deutschepost.gif
  • VOESTALPINE.png