Inhalt

Trends in der IT

Identity und Access Management

Ziel dieses Beitrages ist die Einführung in das Thema „Identity und Access
Management“ und die Erarbeitung der Bedeutung damit verbundener Kon-
zepte für Unternehmen. Der Trend rund um Themen zum Identity und Access
Management ist auch im Jahr 2012 spürbar. Unternehmen müssen reagieren,
um Datenschutz, IT Sicherheit und Compliance sicherzustellen.
Zwei Anwendungsszenarien werden erläutert: Zum einen Single Sign-on, was
häufig den Einstieg in ein umfassendes Identity und Access Management er-
möglicht. Zum anderen die Frage, wie Identity und Access Manage­ment in dem
immer stärker verbreiteten Cloud Computing sinnvoll eingesetzt werden kann.

 

Einleitung

Immer komplexer werdende IT Landschaften, häufige Arbeitsplatzwechsel von Mitarbeitern
und steigende Anforderungen an die IT Sicherheit erfordern eine Standardisierung von Pro-
zessen und Schnittstellen zur Verwaltung von Identitäten und Berechtigungen. Das Identity
und Access Management setzt hier an und beinhaltet Konzepte und dazugehörige IT Syste-
me, mit denen sich Identitäten und deren Zugriffe auf Unternehmensressourcen verwalten
lassen. In der „Studie IT Trends 2012“ wurden knapp 100 IT Entscheider befragt, zu welchen
Themen im Jahr 2012 Projekte geplant oder implementiert werden. Etwa 54 Prozent aller
befragten CIOs nannten das Thema Identity und Access Management, was somit auf Platz 1
der genannten Antworten zu finden ist (Capgemini, 2012, S. 33).
Die steigende Komplexität und Heterogenität der zu verwaltenden IT Landschaften wird
häufig als Grund für die wachsende Nachfrage nach einem integrierten Identity und Access
Management aufgeführt. Jede Unternehmensanwendung verfügt über eine in sich geschlosse-
ne Verwaltung der Benutzer und deren Zugriffsrechte, wodurch weder ein konsistentes Identi-
tätsmanagement noch ein einheitliches Auditing möglich ist. Benutzer besitzen somit häufig
für jedes System eine eigene digitale Identität mit definierten Zugriffsrechten, die allerdings
untereinander nicht abgestimmt und somit auch nur schwer zu verwalten sind. So ist es in
der Praxis mittlerweile üblich, dass neue Mitarbeiter tagelang warten müssen, bis sie die be-
nötigten Anwendungen vollständig nutzen können. Auch werden Benutzern bei einem Tätig-
keitswechsel häufig nur fehlende Zugriffsrechte hinzugefügt, während bestehende, aber nicht
mehr benötigte Berechtigungen nicht gelöscht werden. So kann es vorkommen, dass entlas-
sene Mitarbeiter noch immer Zugriff auf sensible Daten haben, interne Kontrollmechanismen
versagen und sich die Einhaltung gesetzlicher Regularien (Compliance) nicht garantieren lässt
(Stephan, 2006).
Zielsetzung dieses Artikels ist, Grundlagen zum Thema Identity und Access Manage-
ment zu vermitteln und herauszuarbeiten, warum die damit verbundenen Konzepte für
Unternehmen von Bedeutung sind. Dazu werden zunächst wichtige Begriffe definiert und
die Vorteile eines umfassenden Identity und Access Managements erläutert. Wie dieses
Konzept beim Cloud Computing umgesetzt werden kann, wird anschließend dargelegt.
Hier wird ebenfalls auf den Vorteil und die Bedeutung von Single Sign-on eingegangen.
Der Artikel endet mit einer Zusammenfassung und einem Ausblick.


Identity und Access Management

Gartner definiert Identity und Access Management (IAM) als „the security discipline that enables
the right individuals to access the right resources at the right times for the right reasons” (Gartner,
2010). IAM bildet somit den Überbegriff für eine zeitgerechte und zukunftsfähige Benutzer- und
Zugriffsverwaltung. Es beinhaltet Regelwerke, Prozesse und Technologien, um digitale Identitäten
und deren Zugriff auf bestimmte Ressourcen zu steuern (Mowers, Baladi, Verwolf, & Steven, 2006,
S. 5).
Ausgangspunkt für die Notwendigkeit einer solchen Technologie sind sich verändernde
Geschäftsanforderungen: Unternehmen möchten ihren Mitarbeitern, Kunden und Partnern
einen sicheren Zugang zu Informationen ermöglichen, der zudem kostengünstig implemen-
tiert sein und die Compliance unterstützen soll. Auf der anderen Seite erhöht sich die Kom-
plexität der IT Landschaft von Jahr zu Jahr. Individuelle Softwarepakete nutzen häufig eigene
Systeme zur Authentifizierung und Autorisierung, was letztendlich in Insellösungen zur Ver-
waltung von digitalen Identitäten und Zugriffsrechten resultiert (Stephan, 2006). Die Heraus-
forderung eines zeitgemäßen IAM-Systems ist die Integration solcher dezentralen Systeme in
einem einzigen (Mowers, Baladi, Verwolf, & Steven, 2006, S. 7).
Ein umfassendes IAM hat zum Ziel, Beziehungen zwischen Benutzern und Ressourcen zu de-
finieren. Das Identity Management kümmert sich hierbei üblicherweise um das Erstellen und An-
legen neuer Benutzerkonten, während das Access Management festlegt, welcher Benutzer wann
und in welcher Form auf welche Daten zugreifen darf (Denk, 2010). Zukunftsfähige Lösungen im
Bereich des IAMs decken den gesamten Lebenszyklus eines Benutzers ab – von der Einstellung bis
zum Austritt aus dem Unternehmen (Identity Lifecycle). Die Zugriffsrechte der Benutzer werden
unternehmensweit über eine gemeinsame Oberfläche verwaltet (Denk, 2010).
Der häufigste Grund zur Etablierung eines Identity und Access Managements ist die
Minimierung von Sicherheitsrisiken und die transparente Steuerung von Benutzerkonten
und Zugriffsrechten (Bertino & Takahashi, 2011, S. 14ff.). Eine wesentliche Aufgabe eines
solchen Systems ist somit beispielsweise die zeitnahe Löschung nicht mehr benötigter Benut-
zerkonten, wenn etwa ein Mitarbeiter das Unternehmen verlässt oder der Kunde nicht mehr
existiert. Auch stellen die verschiedenen Insellösungen mit ihren unterschiedlichen Zugriffs-
verwaltungen ein Risiko dar – hier hilft das IAM mit der Reduzierung der unterschiedlichen
Zugriffsverwaltungs-Systeme, da ein einziges besser verwaltet und geschützt werden kann
(Mowers, Baladi, Verwolf, & Steven, 2006, S. 8).
Neben dem Vorteil der verbesserten Sicherheit lassen sich allerdings auch Kostenvorteile er-
zielen. PricewaterhouseCoopers und Meta Group haben bereits im Jahr 2002 eruiert, dass die mit
der Identitätsverwaltung und dem eigentlichen Login-Vorgang verbundenen Kosten hoch sein kön-
nen. So benötigt ein Mitarbeiter im Durchschnitt etwa 16 Minuten pro Tag, um sich zu authenti-
fizieren und in seine Benutzerkonten einzuloggen, wenn diese nicht zentral verwaltet werden. Für
Organisationen mit beispielsweise 10.000 Mitarbeitern entspräche dies 2.666 Stunden pro Tag.

Noch deutlichere Kostenreduktions-Potenziale finden sich laut der Studie bei dem Verwalten

des Identitäts-Lebens­zyklus und bei dem Zurücksetzen von Passwörtern (Meta Group, 2002).

Sind die Prozesse nicht automatisiert, müssen Nutzer einige Zeit warten, bis ihre Benutzerkonten
freigeschaltet und die Berechtigungen eingerichtet sind. Daraus resultieren ebenfalls eine
Verringerung der Produktivität und ein Einsparpotenzial für diese unproduktive Zeit (Stephan, 2006).
Weitere Vorteile eines zen­tralen IAMs sind die Einhaltung der Compliance, die verbesserte

Integration externer Dienstleister ins Unternehmensnetz sowie die stärkere Mobilisierung der

eigenen Mitarbeiter über Remote-Zugriffe (Baumeister, 2012).


Anwendungsszenarien

Der Einstieg in umfangreiche IAM-Projekte erfolgt häufig über die Implementierung einer
Single Sign-on Lösung (SSO) (Diez-Holz, 2006, S. 3). Hierbei authentifiziert sich der Benutzer
einmalig am PC, z. B. mit seinem Windows-Login. Weitere Anmeldungen wie beispielsweise
am E-Mail-System oder an SAP-Systemen übernimmt der SSO-Mechanismus. Somit muss sich
der Benutzer nur noch ein Passwort behalten, welches dann auch durchaus komplexer auf-
gebaut sein kann (Kim & Solomon, 2012, S. 157).
Mit dieser Technik lassen sich schnell nachhaltige und messbare Erfolge erzielen. Geringe
Investitionen können die Anrufe zum Zurücksetzen des Passworts beim Helpdesk reduzieren
und die Produktivität der Mitarbeiter steigern (Diez-Holz, 2006, S. 3).
Allerdings ist Single Sign-on durch weitere Schutzmechanismen zu ergänzen, da die
Technik andernfalls zum „Single Point of Failure“ exponiert (Kim & Solomon, 2012, S. 157).
Biometrische Erkennungen oder Smart Cards können hier zusätzlichen Schutz bieten. Kommt
das Passwort jedoch in falsche Hände, stehen dem potenziellen Angreifer alle Applikationen
des Anwenders zur Verfügung (Diez-Holz, 2006, S. 3f.).
Unternehmen investieren in Zukunft immer stärker in Cloud Lösungen, um ihre be-
stehende IT sinnvoll zu ergänzen und Vorteile wie hohe Skalierbarkeit, gute Elastizität und
niedrige Anfangsinvestitionen auszunutzen (Capgemini, 2012, S. 26ff.). Der Bundesverband
Informationswirtschaft, Telekommunikation und Neue Medien e.V. (BITOM) prognostiziert
ein zweistelliges Marktwachstum bis 2016, wodurch der Umsatz mit Cloud Computing in
Deutschland von 5,3 Milliarden Euro in 2012 auf voraussichtlich 17,1 Milliarden Euro in 2016
ansteigt (BITKOM, 2012).
So zahlreich die Anwendungsmöglichkeiten im Cloud Computing sind, so verschieden
sind auch die Angebote der Anbieter. So haben Microsoft, Google und Amazon bereits eta-
blierte Dienste für Privatpersonen und Unternehmen im Angebot, die sich teilweise erheb-
lich in ihren zugrundeliegenden Sicherheitsmechanismen unterscheiden. Dass Unternehmen
gegenwärtig noch bei dem Einsatz von Cloud Lösungen zögern, wird häufig auf Sicherheits-
bedenken zurückgeführt (Heisen, 2011).
Identity und Access Management in der Cloud stellt IT Verantwortliche vor ein Problem,
das mit bestehenden IAM-Lösungen nicht zufriedenstellend gelöst werden kann (Capgemini,
2012, S. 34). Herkömmliche IAM-Lösungen werden lokal betrieben und wirken sich auf ein
klar definiertes Unternehmensnetz aus. Sollen mit dieser Technologie auch Cloud Applikatio-
nen oder -Dienste verwaltet werden, wird es kompliziert: Schlecht dokumentierte Schnittstel-
len, unsichere Kommunikationsprotokolle und komplexe Systemintegrationen erschweren
meist die Einbindung von Cloud Lösungen in die bestehende IT Landschaft (Heisen, 2011).
Die Lösung ist eine Identitäts- und Zugriffsverwaltung, die ebenfalls aus der Cloud
kommt. Das sogenannte Identity Management-as-a-Service (IdMaaS) wird on Demand zur
Verfügung gestellt und kann interne wie auch externe Systeme in ein übergreifendes Si-
cherheitskonzept integrieren. Eine sichere IdMaaS-Lösung sollte alle Prozesse rund um das
Erstellen und Verwalten digitaler Identitäten zentralisieren und automatisieren, so dass alle
internen und externen Systeme und Benutzergruppen abgedeckt sind (Heisen, 2011).


Fazit

Verwalten Unternehmen die Zugriffsrechte und Benutzerkonten manuell, setzen sie sich einem
erhöhten Risiko in Bezug auf Sicherheit und Compliance aus (Stephan, 2006). Zusätzlich erhöhen
sich die Anfragen beim Help-Desk durch das Vergessen von Passwörtern, wodurch zum einen die
Kosten des IT Betriebs steigen, zum anderen die Produktivität der Mitarbeiter sinkt.
Single Sign-on kann dem entgegenwirken, indem sich der Benutzer nur noch ein Passwort
behalten muss. Nach einer einmaligen Authentifizierung kann er alle Applikationen nutzen,
für die er berechtigt ist. Werden Cloud Dienste genutzt, stößt das herkömmliche IAM an sei-
ne Grenzen. Hier sollte die Identitäts- und Zugriffsverwaltung idealerweise ebenfalls über die
Cloud bezogen werden, um das ganzheitliche Sicherheitskonzept weiterzuführen.
Ein konsequent ausgerichtetes Identity und Access Management kann diese Nachteile minimie-
ren und sich vollständig in die betrieblichen Geschäftsprozesse integrieren (Stephan, 2006). Allerdings
ist gerade diese vollständige Integration eine Hürde, an der die Implementierung häufig scheitert. Es
reicht beispielsweise nicht aus, das IAM auf interne und festangestellte Mitarbeiter anzuwenden. Ex-
terne Dienstleister, Lieferanten und Zeitarbeiter müssen ebenfalls in diesen Ansatz integriert werden.
Auch ist die alleinige Umsetzung eines Single Sign-ons nicht ausreichend, da es lediglich die Anmel-
dung für die Benutzer vereinfacht, nicht aber den integrierten Sicherheitsgedanken umsetzt.
Zukünftige Entwicklungen wie das Cloud Computing werden ein Identitäts- und Zugriffs-
management stärker benötigen und auch nachhaltig verändern, da bereits bestehende Lösungen
nicht sinnvoll eingesetzt werden können. So entwickelt Microsoft beispielsweise ein „Next Ge-
neration Active Directory“, welches die Informationen in einer SQL-Datenbank speichert, um die
Skalierbarkeit bei Cloud Diensten nicht einzuschränken (Joos, 2010, S. 7).

 

Literaturverzeichnis

Baumeister, J. (2012). Wie Benutzerrechte Verwaltungskosten senken. Abgerufen am 16. April 2012 von Computerwoche.de: http://www.computerwoche.de/software/software-infrastruktur/2492781/

Bertino, E., & Takahashi, K. (2011). Identity Management: Concepts, Technologies, and Systems. Norwood: Artech House.

BITKOM. (2012). Umsatz mit Cloud Computing steigt über 5 Milliarden Euro. Abgerufen am 12. Mai 2012 von Bitkom.de: http://www.bitkom.org/de/presse/8477_71376.aspx

Capgemini. (2012). Studie IT Trends 2012. Abgerufen am 5. April 2012 von Capgemini.com: http://www.de.capgemini.com/insights/publikationen/it-trends-2012/?d=0A0D487C-41F3-D240-0ED8-02A5AFEFF2EE

Denk, K. (2010). Privileged User Management, Teil 4. Abgerufen am 5. April 2012 von All-about-security.de: http://www.all-about-security.de/security-artikel/applikations-host-sicherheit/identity-access-management/artikel/11297-privileged-user-management-teil-4/

Diez-Holz, R. (2006). Mit Single-Sign-on zum Identity-Management. Abgerufen am 5. April 2012 von Computerwoche.de: http://www.computerwoche.de/security/582467/

Gartner. (2010). Identity and Access Management (IAM). Abgerufen am 21. April 2012 von Gartner.com: http://www.gartner.com/technology/it-glossary/iam-identity-access-management.jsp

Heisen, M. (2011). Identity Management in der Cloud. Abgerufen am 21. April 2012 von www.All-about-security.de: http://www.all-about-security.de/security-artikel/applikations-host-sicherheit/identity-access-management/artikel/11990-identity-management-in-der-cloud/

Joos, T. (2010). Single Sign On in der Cloud. Abgerufen am 3. Juni 2012 von http://www.tecchannel.de: http://www.tecchannel.de/server/cloud_computing/2030943/single_sign_on_in_der_cloud_windows_azure_access_control_service/

Kim, D., & Solomon, M. (2012). Fundamentals of Information Systems Security.

Sudbury: Jones & Bartlett Learning. Meta Group. (2002). The Value of Identity Management. Abgerufen am 3. Juni 2012 von http://amsys.net: http://amsys.net/healthcare/pdf/Value%20Of%20Identity%20Management.pdf

Mowers, D., Baladi, M., Verwolf, P., & Steven, A. (2006). Microsoft Identity and Access Management Series. Abgerufen am 21. April 2012 von Microsoft.com: http://technet.microsoft.com/en-us/library/cc162924.aspx

Stephan, A. (2006). Identitäts- und Accessmanagement für innere Sicherheit. Abgerufen am 5. April 2012 von All-about-security.de: http://www.all-about-security.de/security-artikel/applikations-host-sicherheit/identity-access-management/artikel/774-identitaets-und-accessmanagement-fuer-innere-sicherheit/


Autor

Christian Wolf
Christian WolfIT Manager bei Roche Diagnostics Deutschland GmbH. Nach seinem Studium der Wirtschaftsinformatik an der DHBW Mannheim beschäftigt er sich mit der Administration und Weiterentwicklung der Microsoft Office SharePoint-Umgebung und dem CRM-Reporting, studiert berufsintegrierend im Master IT Management an der FH Mainz.