Inhalt

Trends in der IT

Identity und Access Management

Karin Morgan
Karin MorganSeit 1998 für Roche in verschiedenen Teams rund um das Thema „Iden-
tity und Access Management“ tätig. Während dieser Zeit hat Morgan
Aufgaben im operativen Support und in der Projektarbeit wahrgenom-
men. Zurzeit arbeitet sie als Mitglied des Teams „Process Integration and
Improvement“ an der Weiterentwicklung der Prozesse innerhalb des
Identity und Access Managements in Kaiseraugst (Schweiz). Der Fokus
ihrer Tätigkeit liegt auf der Integration bestehender Prozesse und der
Durchführung von Analysen zur Prozessoptimierung.

 

 

Roche
Roche mit Hauptsitz in Basel ist ein führendes, forschungsorientiertes Unternehmen mit
Spezialisierung auf die beiden Geschäftsbereiche Pharma und Diagnostics.
Als weltweit größtes Biotech-Unternehmen entwickelt Roche klinisch differenzierte Medi-
kamente für die Onkologie, Virologie, Entzündungs- und Stoffwechselkrankheiten sowie
Erkrankungen des Zentralnervensystems. Medikamente und Diagnostika, die Gesundheit,
Lebensqualität und Überlebenschancen von Patienten entscheidend verbessern, sind das
strategische Ziel der personalisierten Medizin von Roche. 2011 beschäftigte Roche weltweit
81.500 Mitarbeitende und investierte über 8 Milliarden Schweizer Franken in die Forschung
und Entwicklung. Der Konzern erzielte einen Umsatz von 42,5 Milliarden Schweizer Franken.


Interview

Frau Morgan, was versteht Roche unter „Identity und Access Management“?
Roche hat das Identity und Access Management als eine kritische Grundlage für
die Realisierung eines Unternehmensnutzens identifiziert. Dabei wird der komplette
Identity Lifecycle in Software abgebildet – von der Einstellung eines Mitarbeiters über
dessen Umzug bis zu dessen Verlassen der Firma. Im Zentrum des Identity und Access
Managements bei Roche steht die Applikation „ENROLL“ (Electronic Notification and
Registration of Object Lifecycle), mit deren Hilfe auch Berechtigungen als „self-service“
angefordert werden können.

Das gesamte Konzept beinhaltet neben eigenen Mitarbeitern auch Dienstleister, ex-
terne Geschäftspartner sowie generische Accounts. Diese Account-Typen unterscheiden
sich in Art und Umfang der Berechtigungen, die vergeben werden können.

Welche Nachteile ergeben sich aus Ihrer Sicht für dieses Konzept?
Das Hauptproblem ist, dass es auch Applikationen gibt, die nicht über das globale Iden-
tity und Access Management verwaltet werden. Die Dunkelziffer dieser Applikationen
ist relativ hoch, da das Problem häufig erst bemerkt wird, wenn ein Application Owner
auf die IT zukommt und die Applikation von den IAM-Teams verwaltet haben möchte.
Dies kann zwar verbessert werden, lässt sich aber nicht komplett ausschalten. Es wird
immer Applikationen geben, die nicht über ein zentrales IAM verwaltet werden können.
Nichtsdestotrotz sind die kritischen Systeme natürlich vollständig in den Lifecycle integ-
riert und automatisiert verwaltet.

Wie organisiert Roche die Umsetzung des IAMs?
Die Abteilung, die sich ausschließlich mit Identity und Access Management beschäf-
tigt, besteht aus etwa 50 Mitarbeitern und ist in vier Teams untergliedert. Das Team
„Compliance & Process Integration“ beschäftigt sich hauptsächlich mit dem Design
und der Verbesserung des IAM Lifecycle-Prozesses. Zusätzlich sorgt diese Gruppe
für die Integration des Registrierungs-Prozesses und die Übergabe der Prozesse an
die operativen Teams. Die beiden „Operations“-Teams sind für die Verwaltung und
die Ausführung aller Registrierungs-Aktivitäten innerhalb des Identity und Access Ma-
nagements verantwortlich. Hierbei müssen bestehende Service Level Agreements, IT-
Prozesse und -Standards eingehalten werden. Sie sind jeweils verantwortlich für die
Regionen Asien/Europa/Mittlerer Osten sowie Nord- und Latein-Amerika. Das vierte
Team ist ein global verteiltes Support-Team. Es ist zuständig für den technischen

Second-Level-Support des Microsoft Active Directories und „ENROLL“.

Und wann sind erste IAM-Maßnahmen bei Roche eingeführt worden?
Ab dem Jahr 2004 lag der Fokus innerhalb der IT-Organisation auf der Vorstufe zum
integrierten Identity und Access Management, nämlich der Automatisierung manu-
eller Prozesse in den „Operations“-Teams. Hier wurde auch mit der Entwicklung des
Tools „ENROLL“ begonnen, welches dann 2007 über die gesamte Pharma-Division
ausgerollt wurde. 2008 folgte dann die globale Integration des HR-Systems in die
IAM-Prozesslandschaft. Daran anschließend wurde „ENROLL“ in der Diagnostics-Division
eingeführt.

Existieren zurzeit standardisierte Prozesse, mit Hilfe derer IAM-Lösungen implementiert werden?
Hier existiert durchaus ein klar definierter Prozess. Alle Projekte müssen zuerst im Pro-
jektportfolio der Abteilung geplant werden. Im Anschluss wird darüber entschieden, ob
das Projekt durchgeführt oder abgelehnt wird. Hier spielen verfügbare Budgets, Zie-
le der Abteilung, Dauer der Projekte, und benötigte Ressourcen eine entscheidende
Rolle.

An welchen IAM-Projekten und -Umsetzungen haben Sie bisher mitgearbeitet?
Die Entwicklung und Implementierung von „ENROLL“ war das bislang größte
Projekt in diesem Themengebiet. Es erstreckte sich über die letzten Jahre und
beschäftigte sich hauptsächlich mit der Automatisierung von Prozessen im Identity
und Access Management. Davor arbeitete ich in einem Projekt mit, in dem die IAM-
Prozesse mit externen Geschäftspartnern untersucht wurden. Ausgangssituation
war, dass einige externe Geschäftspartner auf klinische Studien im Roche-Netzwerk
zugreifen mussten. Diese Art des Zugriffs hat sich dann verbreitet und damit verbun-
dene Anforderungen sind explosionsartig gestiegen. Daraufhin mussten die Prozes-
se in einem Projekt derart gestaltet werden, dass die Zugriffsarten klar definiert
wurden. Außerdem musste festgelegt werden, welche Zugriffs-Berechtigungen
überhaupt an externe Geschäftspartner vergeben werden dürfen.

Können Sie ein Beispielprojekt benennen, bei dem es konkrete Herausforde-
rungen zu bewältigen gab? Und wenn ja, was war die Lösung?
Bei der Einführung der dritten Version von „ENROLL“ mussten einige Kompromisse
eingegangen werden. Das Hauptproblem war der Prozess des User-Umzugs, also bei
einem Abteilungs- oder Standortwechsel. Dieser konnte bei der Einführung der neu-
en „ENROLL“-Version nicht vollumfänglich integriert werden, da die Komplexität
zu groß war und Schnittstellen auf diverse Anwendungen nicht automatisiert imple-
mentiert werden konnten. Zudem konnten auch nicht alle Ansprechpartner und
Beteiligte identifiziert werden, weswegen einige Aufgaben ins Leere gelaufen wären.
Die Lösung stellt ein separates Team dar, welches die Anfragen von End-Usern, IT
Support-Teams und „Operations“-Teams bündelt und als zentraler Ansprechpartner
dient. Die technische Umsetzung ist nun über „ENROLL“ implementiert, die Koor-
dination wird allerdings über das neu etablierte Team umgesetzt.

Was ist Ihrer Meinung nach der wichtigste Erfolgsfaktor bei der Einführung von IAM?
Der wichtigste Erfolgsfaktor ist, dass die Abteilungen, die sich mit IAM beschäfti-
gen, von Beginn an involviert werden. Bei SAP-Einführungsprojekten ist das gelebter
Standard, bei anderen Applikationen kann es da durchaus zu Abweichungen kom-
men. Nur bei einer frühen Einbeziehung der Beteiligten wird sichergestellt, dass
ein Identity und Access Management auch zukünftig vernünftig betrieben werden
kann.

Haben sich nach der konsequenten Ausführung des IAMs Nachteile für die Benutzerfreundlichkeit ergeben?
Es kann von Nachteil sein, dass in jedem Fall eine Genehmigung von einem Vorge-
setzten oder seinem Delegierten benötigt wird. Hierbei sollte die Person so ausge-
wählt werden, dass sie entscheiden kann, wer auf das System zugreifen darf und wer
nicht. Nachteile entstehen dann, wenn die digitale Unterschrift verzögert oder gar
nicht eingeholt wird. Der Benutzer wartet dann auf ausstehende Berechtigungen, bis
diese den Workflow durchlaufen haben. Ein weiterer Nachteil kann sein, dass
Endbenutzer sich selbst Berechtigungen anfordern können. Sind diese unklar oder
gar falsch beantragt, muss zuerst abgeklärt werden, was der Benutzer überhaupt
benötigt und mit der Beantragung beabsichtigte.

Welche Vorteile haben die Anwender von einem IAM?
Die Hauptvorteile ergeben sich natürlich für die IT-Abteilung und das gesamte Unterneh-
men. Die Anwender hingegen profitieren von einem guten Überblick über ihre eige-
nen Basis-Berechtigungen, automatisierte Workflows und der Möglichkeit, sich selbst
Berechtigungen zu bestellen. Dadurch entstehen enorme Zeitvorteile im Vergleich zu
dem zuvor gelebten Prozess.

Welche Trends oder Entwicklungen sehen Sie in den nächsten 2 Jahren?
Der Fokus liegt in den nächsten Monaten ganz klar auf der globalen Einfüh-
rung von Google Mail als konzernweites Kommunikationsmedium, welche auch
Auswirkungen auf das bereits vorhandene Identity und Access Management hat.
Zudem wird es künftig Bestrebungen geben, Berechtigungen rollenbasiert zu
vergeben. Das bedeutet, dass bestimmte Basis-Berechtigungen mit einer bestimm-
ten Funktion eines Mitarbeiters verbunden sind und diese automatisch bei der
Besetzung der Position vergeben werden. Die Herausforderung liegt hier in der De-
finition von benötigten Basis-Berechtigungen, die für eine bestimme Position
benötigt werden – und das am besten aus globaler Sicht.