Ziel dieses Beitrages ist die Einführung in das Thema „Identity und AccessManagement“ und die Erarbeitung der Bedeutung damit verbundener Kon-zepte für Unternehmen. Der Trend rund um Themen zum Identity und AccessManagement ist auch im Jahr 2012 spürbar. Unternehmen müssen reagieren,um Datenschutz, IT Sicherheit und Compliance sicherzustellen.Zwei Anwendungsszenarien werden erläutert: Zum einen Single Sign-on, washäufig den Einstieg in ein umfassendes Identity und Access Management er-möglicht. Zum anderen die Frage, wie Identity und Access Management in demimmer stärker verbreiteten Cloud Computing sinnvoll eingesetzt werden kann.
Immer komplexer werdende IT Landschaften, häufige Arbeitsplatzwechsel von Mitarbeiternund steigende Anforderungen an die IT Sicherheit erfordern eine Standardisierung von Pro-zessen und Schnittstellen zur Verwaltung von Identitäten und Berechtigungen. Das Identityund Access Management setzt hier an und beinhaltet Konzepte und dazugehörige IT Syste-me, mit denen sich Identitäten und deren Zugriffe auf Unternehmensressourcen verwaltenlassen. In der „Studie IT Trends 2012“ wurden knapp 100 IT Entscheider befragt, zu welchenThemen im Jahr 2012 Projekte geplant oder implementiert werden. Etwa 54 Prozent allerbefragten CIOs nannten das Thema Identity und Access Management, was somit auf Platz 1der genannten Antworten zu finden ist (Capgemini, 2012, S. 33).Die steigende Komplexität und Heterogenität der zu verwaltenden IT Landschaften wirdhäufig als Grund für die wachsende Nachfrage nach einem integrierten Identity und AccessManagement aufgeführt. Jede Unternehmensanwendung verfügt über eine in sich geschlosse-ne Verwaltung der Benutzer und deren Zugriffsrechte, wodurch weder ein konsistentes Identi-tätsmanagement noch ein einheitliches Auditing möglich ist. Benutzer besitzen somit häufigfür jedes System eine eigene digitale Identität mit definierten Zugriffsrechten, die allerdingsuntereinander nicht abgestimmt und somit auch nur schwer zu verwalten sind. So ist es inder Praxis mittlerweile üblich, dass neue Mitarbeiter tagelang warten müssen, bis sie die be-nötigten Anwendungen vollständig nutzen können. Auch werden Benutzern bei einem Tätig-keitswechsel häufig nur fehlende Zugriffsrechte hinzugefügt, während bestehende, aber nichtmehr benötigte Berechtigungen nicht gelöscht werden. So kann es vorkommen, dass entlas-sene Mitarbeiter noch immer Zugriff auf sensible Daten haben, interne Kontrollmechanismenversagen und sich die Einhaltung gesetzlicher Regularien (Compliance) nicht garantieren lässt(Stephan, 2006).Zielsetzung dieses Artikels ist, Grundlagen zum Thema Identity und Access Manage-ment zu vermitteln und herauszuarbeiten, warum die damit verbundenen Konzepte fürUnternehmen von Bedeutung sind. Dazu werden zunächst wichtige Begriffe definiert unddie Vorteile eines umfassenden Identity und Access Managements erläutert. Wie diesesKonzept beim Cloud Computing umgesetzt werden kann, wird anschließend dargelegt.Hier wird ebenfalls auf den Vorteil und die Bedeutung von Single Sign-on eingegangen.Der Artikel endet mit einer Zusammenfassung und einem Ausblick.
Gartner definiert Identity und Access Management (IAM) als „the security discipline that enablesthe right individuals to access the right resources at the right times for the right reasons” (Gartner,2010). IAM bildet somit den Überbegriff für eine zeitgerechte und zukunftsfähige Benutzer- undZugriffsverwaltung. Es beinhaltet Regelwerke, Prozesse und Technologien, um digitale Identitätenund deren Zugriff auf bestimmte Ressourcen zu steuern (Mowers, Baladi, Verwolf, & Steven, 2006,S. 5).Ausgangspunkt für die Notwendigkeit einer solchen Technologie sind sich veränderndeGeschäftsanforderungen: Unternehmen möchten ihren Mitarbeitern, Kunden und Partnerneinen sicheren Zugang zu Informationen ermöglichen, der zudem kostengünstig implemen-tiert sein und die Compliance unterstützen soll. Auf der anderen Seite erhöht sich die Kom-plexität der IT Landschaft von Jahr zu Jahr. Individuelle Softwarepakete nutzen häufig eigeneSysteme zur Authentifizierung und Autorisierung, was letztendlich in Insellösungen zur Ver-waltung von digitalen Identitäten und Zugriffsrechten resultiert (Stephan, 2006). Die Heraus-forderung eines zeitgemäßen IAM-Systems ist die Integration solcher dezentralen Systeme ineinem einzigen (Mowers, Baladi, Verwolf, & Steven, 2006, S. 7).Ein umfassendes IAM hat zum Ziel, Beziehungen zwischen Benutzern und Ressourcen zu de-finieren. Das Identity Management kümmert sich hierbei üblicherweise um das Erstellen und An-legen neuer Benutzerkonten, während das Access Management festlegt, welcher Benutzer wannund in welcher Form auf welche Daten zugreifen darf (Denk, 2010). Zukunftsfähige Lösungen imBereich des IAMs decken den gesamten Lebenszyklus eines Benutzers ab – von der Einstellung biszum Austritt aus dem Unternehmen (Identity Lifecycle). Die Zugriffsrechte der Benutzer werdenunternehmensweit über eine gemeinsame Oberfläche verwaltet (Denk, 2010).Der häufigste Grund zur Etablierung eines Identity und Access Managements ist dieMinimierung von Sicherheitsrisiken und die transparente Steuerung von Benutzerkontenund Zugriffsrechten (Bertino & Takahashi, 2011, S. 14ff.). Eine wesentliche Aufgabe einessolchen Systems ist somit beispielsweise die zeitnahe Löschung nicht mehr benötigter Benut-zerkonten, wenn etwa ein Mitarbeiter das Unternehmen verlässt oder der Kunde nicht mehrexistiert. Auch stellen die verschiedenen Insellösungen mit ihren unterschiedlichen Zugriffs-verwaltungen ein Risiko dar – hier hilft das IAM mit der Reduzierung der unterschiedlichenZugriffsverwaltungs-Systeme, da ein einziges besser verwaltet und geschützt werden kann(Mowers, Baladi, Verwolf, & Steven, 2006, S. 8).Neben dem Vorteil der verbesserten Sicherheit lassen sich allerdings auch Kostenvorteile er-zielen. PricewaterhouseCoopers und Meta Group haben bereits im Jahr 2002 eruiert, dass die mitder Identitätsverwaltung und dem eigentlichen Login-Vorgang verbundenen Kosten hoch sein kön-nen. So benötigt ein Mitarbeiter im Durchschnitt etwa 16 Minuten pro Tag, um sich zu authenti-fizieren und in seine Benutzerkonten einzuloggen, wenn diese nicht zentral verwaltet werden. FürOrganisationen mit beispielsweise 10.000 Mitarbeitern entspräche dies 2.666 Stunden pro Tag.
Noch deutlichere Kostenreduktions-Potenziale finden sich laut der Studie bei dem Verwalten
des Identitäts-Lebenszyklus und bei dem Zurücksetzen von Passwörtern (Meta Group, 2002).
Sind die Prozesse nicht automatisiert, müssen Nutzer einige Zeit warten, bis ihre Benutzerkontenfreigeschaltet und die Berechtigungen eingerichtet sind. Daraus resultieren ebenfalls eineVerringerung der Produktivität und ein Einsparpotenzial für diese unproduktive Zeit (Stephan, 2006).Weitere Vorteile eines zentralen IAMs sind die Einhaltung der Compliance, die verbesserte
Integration externer Dienstleister ins Unternehmensnetz sowie die stärkere Mobilisierung der
eigenen Mitarbeiter über Remote-Zugriffe (Baumeister, 2012).
Der Einstieg in umfangreiche IAM-Projekte erfolgt häufig über die Implementierung einerSingle Sign-on Lösung (SSO) (Diez-Holz, 2006, S. 3). Hierbei authentifiziert sich der Benutzereinmalig am PC, z. B. mit seinem Windows-Login. Weitere Anmeldungen wie beispielsweiseam E-Mail-System oder an SAP-Systemen übernimmt der SSO-Mechanismus. Somit muss sichder Benutzer nur noch ein Passwort behalten, welches dann auch durchaus komplexer auf-gebaut sein kann (Kim & Solomon, 2012, S. 157).Mit dieser Technik lassen sich schnell nachhaltige und messbare Erfolge erzielen. GeringeInvestitionen können die Anrufe zum Zurücksetzen des Passworts beim Helpdesk reduzierenund die Produktivität der Mitarbeiter steigern (Diez-Holz, 2006, S. 3).Allerdings ist Single Sign-on durch weitere Schutzmechanismen zu ergänzen, da dieTechnik andernfalls zum „Single Point of Failure“ exponiert (Kim & Solomon, 2012, S. 157).Biometrische Erkennungen oder Smart Cards können hier zusätzlichen Schutz bieten. Kommtdas Passwort jedoch in falsche Hände, stehen dem potenziellen Angreifer alle Applikationendes Anwenders zur Verfügung (Diez-Holz, 2006, S. 3f.).Unternehmen investieren in Zukunft immer stärker in Cloud Lösungen, um ihre be-stehende IT sinnvoll zu ergänzen und Vorteile wie hohe Skalierbarkeit, gute Elastizität undniedrige Anfangsinvestitionen auszunutzen (Capgemini, 2012, S. 26ff.). Der BundesverbandInformationswirtschaft, Telekommunikation und Neue Medien e.V. (BITOM) prognostiziertein zweistelliges Marktwachstum bis 2016, wodurch der Umsatz mit Cloud Computing inDeutschland von 5,3 Milliarden Euro in 2012 auf voraussichtlich 17,1 Milliarden Euro in 2016ansteigt (BITKOM, 2012).So zahlreich die Anwendungsmöglichkeiten im Cloud Computing sind, so verschiedensind auch die Angebote der Anbieter. So haben Microsoft, Google und Amazon bereits eta-blierte Dienste für Privatpersonen und Unternehmen im Angebot, die sich teilweise erheb-lich in ihren zugrundeliegenden Sicherheitsmechanismen unterscheiden. Dass Unternehmengegenwärtig noch bei dem Einsatz von Cloud Lösungen zögern, wird häufig auf Sicherheits-bedenken zurückgeführt (Heisen, 2011).Identity und Access Management in der Cloud stellt IT Verantwortliche vor ein Problem,das mit bestehenden IAM-Lösungen nicht zufriedenstellend gelöst werden kann (Capgemini,2012, S. 34). Herkömmliche IAM-Lösungen werden lokal betrieben und wirken sich auf einklar definiertes Unternehmensnetz aus. Sollen mit dieser Technologie auch Cloud Applikatio-nen oder -Dienste verwaltet werden, wird es kompliziert: Schlecht dokumentierte Schnittstel-len, unsichere Kommunikationsprotokolle und komplexe Systemintegrationen erschwerenmeist die Einbindung von Cloud Lösungen in die bestehende IT Landschaft (Heisen, 2011).Die Lösung ist eine Identitäts- und Zugriffsverwaltung, die ebenfalls aus der Cloudkommt. Das sogenannte Identity Management-as-a-Service (IdMaaS) wird on Demand zurVerfügung gestellt und kann interne wie auch externe Systeme in ein übergreifendes Si-cherheitskonzept integrieren. Eine sichere IdMaaS-Lösung sollte alle Prozesse rund um dasErstellen und Verwalten digitaler Identitäten zentralisieren und automatisieren, so dass alleinternen und externen Systeme und Benutzergruppen abgedeckt sind (Heisen, 2011).
Verwalten Unternehmen die Zugriffsrechte und Benutzerkonten manuell, setzen sie sich einemerhöhten Risiko in Bezug auf Sicherheit und Compliance aus (Stephan, 2006). Zusätzlich erhöhensich die Anfragen beim Help-Desk durch das Vergessen von Passwörtern, wodurch zum einen dieKosten des IT Betriebs steigen, zum anderen die Produktivität der Mitarbeiter sinkt.Single Sign-on kann dem entgegenwirken, indem sich der Benutzer nur noch ein Passwortbehalten muss. Nach einer einmaligen Authentifizierung kann er alle Applikationen nutzen,für die er berechtigt ist. Werden Cloud Dienste genutzt, stößt das herkömmliche IAM an sei-ne Grenzen. Hier sollte die Identitäts- und Zugriffsverwaltung idealerweise ebenfalls über dieCloud bezogen werden, um das ganzheitliche Sicherheitskonzept weiterzuführen.Ein konsequent ausgerichtetes Identity und Access Management kann diese Nachteile minimie-ren und sich vollständig in die betrieblichen Geschäftsprozesse integrieren (Stephan, 2006). Allerdingsist gerade diese vollständige Integration eine Hürde, an der die Implementierung häufig scheitert. Esreicht beispielsweise nicht aus, das IAM auf interne und festangestellte Mitarbeiter anzuwenden. Ex-terne Dienstleister, Lieferanten und Zeitarbeiter müssen ebenfalls in diesen Ansatz integriert werden.Auch ist die alleinige Umsetzung eines Single Sign-ons nicht ausreichend, da es lediglich die Anmel-dung für die Benutzer vereinfacht, nicht aber den integrierten Sicherheitsgedanken umsetzt.Zukünftige Entwicklungen wie das Cloud Computing werden ein Identitäts- und Zugriffs-management stärker benötigen und auch nachhaltig verändern, da bereits bestehende Lösungennicht sinnvoll eingesetzt werden können. So entwickelt Microsoft beispielsweise ein „Next Ge-neration Active Directory“, welches die Informationen in einer SQL-Datenbank speichert, um dieSkalierbarkeit bei Cloud Diensten nicht einzuschränken (Joos, 2010, S. 7).
Baumeister, J. (2012). Wie Benutzerrechte Verwaltungskosten senken. Abgerufen am 16. April 2012 von Computerwoche.de: http://www.computerwoche.de/software/software-infrastruktur/2492781/Bertino, E., & Takahashi, K. (2011). Identity Management: Concepts, Technologies, and Systems. Norwood: Artech House.BITKOM. (2012). Umsatz mit Cloud Computing steigt über 5 Milliarden Euro. Abgerufen am 12. Mai 2012 von Bitkom.de: http://www.bitkom.org/de/presse/8477_71376.aspxCapgemini. (2012). Studie IT Trends 2012. Abgerufen am 5. April 2012 von Capgemini.com: http://www.de.capgemini.com/insights/publikationen/it-trends-2012/?d=0A0D487C-41F3-D240-0ED8-02A5AFEFF2EEDenk, K. (2010). Privileged User Management, Teil 4. Abgerufen am 5. April 2012 von All-about-security.de: http://www.all-about-security.de/security-artikel/applikations-host-sicherheit/identity-access-management/artikel/11297-privileged-user-management-teil-4/Diez-Holz, R. (2006). Mit Single-Sign-on zum Identity-Management. Abgerufen am 5. April 2012 von Computerwoche.de: http://www.computerwoche.de/security/582467/Gartner. (2010). Identity and Access Management (IAM). Abgerufen am 21. April 2012 von Gartner.com: http://www.gartner.com/technology/it-glossary/iam-identity-access-management.jspHeisen, M. (2011). Identity Management in der Cloud. Abgerufen am 21. April 2012 von www.All-about-security.de: http://www.all-about-security.de/security-artikel/applikations-host-sicherheit/identity-access-management/artikel/11990-identity-management-in-der-cloud/Joos, T. (2010). Single Sign On in der Cloud. Abgerufen am 3. Juni 2012 von http://www.tecchannel.de: http://www.tecchannel.de/server/cloud_computing/2030943/single_sign_on_in_der_cloud_windows_azure_access_control_service/Kim, D., & Solomon, M. (2012). Fundamentals of Information Systems Security.Sudbury: Jones & Bartlett Learning. Meta Group. (2002). The Value of Identity Management. Abgerufen am 3. Juni 2012 von http://amsys.net: http://amsys.net/healthcare/pdf/Value%20Of%20Identity%20Management.pdfMowers, D., Baladi, M., Verwolf, P., & Steven, A. (2006). Microsoft Identity and Access Management Series. Abgerufen am 21. April 2012 von Microsoft.com: http://technet.microsoft.com/en-us/library/cc162924.aspxStephan, A. (2006). Identitäts- und Accessmanagement für innere Sicherheit. Abgerufen am 5. April 2012 von All-about-security.de: http://www.all-about-security.de/security-artikel/applikations-host-sicherheit/identity-access-management/artikel/774-identitaets-und-accessmanagement-fuer-innere-sicherheit/
Christian WolfIT Manager bei Roche Diagnostics Deutschland GmbH. Nach seinem Studium der Wirtschaftsinformatik an der DHBW Mannheim beschäftigt er sich mit der Administration und Weiterentwicklung der Microsoft Office SharePoint-Umgebung und dem CRM-Reporting, studiert berufsintegrierend im Master IT Management an der FH Mainz.