Karin MorganSeit 1998 für Roche in verschiedenen Teams rund um das Thema „Iden-tity und Access Management“ tätig. Während dieser Zeit hat MorganAufgaben im operativen Support und in der Projektarbeit wahrgenom-men. Zurzeit arbeitet sie als Mitglied des Teams „Process Integration andImprovement“ an der Weiterentwicklung der Prozesse innerhalb desIdentity und Access Managements in Kaiseraugst (Schweiz). Der Fokusihrer Tätigkeit liegt auf der Integration bestehender Prozesse und derDurchführung von Analysen zur Prozessoptimierung.
RocheRoche mit Hauptsitz in Basel ist ein führendes, forschungsorientiertes Unternehmen mitSpezialisierung auf die beiden Geschäftsbereiche Pharma und Diagnostics.Als weltweit größtes Biotech-Unternehmen entwickelt Roche klinisch differenzierte Medi-kamente für die Onkologie, Virologie, Entzündungs- und Stoffwechselkrankheiten sowieErkrankungen des Zentralnervensystems. Medikamente und Diagnostika, die Gesundheit,Lebensqualität und Überlebenschancen von Patienten entscheidend verbessern, sind dasstrategische Ziel der personalisierten Medizin von Roche. 2011 beschäftigte Roche weltweit81.500 Mitarbeitende und investierte über 8 Milliarden Schweizer Franken in die Forschungund Entwicklung. Der Konzern erzielte einen Umsatz von 42,5 Milliarden Schweizer Franken.
Frau Morgan, was versteht Roche unter „Identity und Access Management“?Roche hat das Identity und Access Management als eine kritische Grundlage fürdie Realisierung eines Unternehmensnutzens identifiziert. Dabei wird der kompletteIdentity Lifecycle in Software abgebildet – von der Einstellung eines Mitarbeiters überdessen Umzug bis zu dessen Verlassen der Firma. Im Zentrum des Identity und AccessManagements bei Roche steht die Applikation „ENROLL“ (Electronic Notification andRegistration of Object Lifecycle), mit deren Hilfe auch Berechtigungen als „self-service“angefordert werden können.
Das gesamte Konzept beinhaltet neben eigenen Mitarbeitern auch Dienstleister, ex-terne Geschäftspartner sowie generische Accounts. Diese Account-Typen unterscheidensich in Art und Umfang der Berechtigungen, die vergeben werden können.Welche Nachteile ergeben sich aus Ihrer Sicht für dieses Konzept?Das Hauptproblem ist, dass es auch Applikationen gibt, die nicht über das globale Iden-tity und Access Management verwaltet werden. Die Dunkelziffer dieser Applikationenist relativ hoch, da das Problem häufig erst bemerkt wird, wenn ein Application Ownerauf die IT zukommt und die Applikation von den IAM-Teams verwaltet haben möchte.Dies kann zwar verbessert werden, lässt sich aber nicht komplett ausschalten. Es wirdimmer Applikationen geben, die nicht über ein zentrales IAM verwaltet werden können.Nichtsdestotrotz sind die kritischen Systeme natürlich vollständig in den Lifecycle integ-riert und automatisiert verwaltet.Wie organisiert Roche die Umsetzung des IAMs?Die Abteilung, die sich ausschließlich mit Identity und Access Management beschäf-tigt, besteht aus etwa 50 Mitarbeitern und ist in vier Teams untergliedert. Das Team„Compliance & Process Integration“ beschäftigt sich hauptsächlich mit dem Designund der Verbesserung des IAM Lifecycle-Prozesses. Zusätzlich sorgt diese Gruppefür die Integration des Registrierungs-Prozesses und die Übergabe der Prozesse andie operativen Teams. Die beiden „Operations“-Teams sind für die Verwaltung unddie Ausführung aller Registrierungs-Aktivitäten innerhalb des Identity und Access Ma-nagements verantwortlich. Hierbei müssen bestehende Service Level Agreements, IT-Prozesse und -Standards eingehalten werden. Sie sind jeweils verantwortlich für dieRegionen Asien/Europa/Mittlerer Osten sowie Nord- und Latein-Amerika. Das vierteTeam ist ein global verteiltes Support-Team. Es ist zuständig für den technischen
Second-Level-Support des Microsoft Active Directories und „ENROLL“.Und wann sind erste IAM-Maßnahmen bei Roche eingeführt worden?Ab dem Jahr 2004 lag der Fokus innerhalb der IT-Organisation auf der Vorstufe zumintegrierten Identity und Access Management, nämlich der Automatisierung manu-eller Prozesse in den „Operations“-Teams. Hier wurde auch mit der Entwicklung desTools „ENROLL“ begonnen, welches dann 2007 über die gesamte Pharma-Divisionausgerollt wurde. 2008 folgte dann die globale Integration des HR-Systems in dieIAM-Prozesslandschaft. Daran anschließend wurde „ENROLL“ in der Diagnostics-Divisioneingeführt.Existieren zurzeit standardisierte Prozesse, mit Hilfe derer IAM-Lösungen implementiert werden?Hier existiert durchaus ein klar definierter Prozess. Alle Projekte müssen zuerst im Pro-jektportfolio der Abteilung geplant werden. Im Anschluss wird darüber entschieden, obdas Projekt durchgeführt oder abgelehnt wird. Hier spielen verfügbare Budgets, Zie-le der Abteilung, Dauer der Projekte, und benötigte Ressourcen eine entscheidendeRolle.An welchen IAM-Projekten und -Umsetzungen haben Sie bisher mitgearbeitet?Die Entwicklung und Implementierung von „ENROLL“ war das bislang größteProjekt in diesem Themengebiet. Es erstreckte sich über die letzten Jahre undbeschäftigte sich hauptsächlich mit der Automatisierung von Prozessen im Identityund Access Management. Davor arbeitete ich in einem Projekt mit, in dem die IAM-Prozesse mit externen Geschäftspartnern untersucht wurden. Ausgangssituationwar, dass einige externe Geschäftspartner auf klinische Studien im Roche-Netzwerkzugreifen mussten. Diese Art des Zugriffs hat sich dann verbreitet und damit verbun-dene Anforderungen sind explosionsartig gestiegen. Daraufhin mussten die Prozes-se in einem Projekt derart gestaltet werden, dass die Zugriffsarten klar definiertwurden. Außerdem musste festgelegt werden, welche Zugriffs-Berechtigungenüberhaupt an externe Geschäftspartner vergeben werden dürfen.Können Sie ein Beispielprojekt benennen, bei dem es konkrete Herausforde-rungen zu bewältigen gab? Und wenn ja, was war die Lösung?Bei der Einführung der dritten Version von „ENROLL“ mussten einige Kompromisseeingegangen werden. Das Hauptproblem war der Prozess des User-Umzugs, also beieinem Abteilungs- oder Standortwechsel. Dieser konnte bei der Einführung der neu-en „ENROLL“-Version nicht vollumfänglich integriert werden, da die Komplexitätzu groß war und Schnittstellen auf diverse Anwendungen nicht automatisiert imple-mentiert werden konnten. Zudem konnten auch nicht alle Ansprechpartner undBeteiligte identifiziert werden, weswegen einige Aufgaben ins Leere gelaufen wären.Die Lösung stellt ein separates Team dar, welches die Anfragen von End-Usern, ITSupport-Teams und „Operations“-Teams bündelt und als zentraler Ansprechpartnerdient. Die technische Umsetzung ist nun über „ENROLL“ implementiert, die Koor-dination wird allerdings über das neu etablierte Team umgesetzt.Was ist Ihrer Meinung nach der wichtigste Erfolgsfaktor bei der Einführung von IAM?Der wichtigste Erfolgsfaktor ist, dass die Abteilungen, die sich mit IAM beschäfti-gen, von Beginn an involviert werden. Bei SAP-Einführungsprojekten ist das gelebterStandard, bei anderen Applikationen kann es da durchaus zu Abweichungen kom-men. Nur bei einer frühen Einbeziehung der Beteiligten wird sichergestellt, dassein Identity und Access Management auch zukünftig vernünftig betrieben werdenkann.Haben sich nach der konsequenten Ausführung des IAMs Nachteile für die Benutzerfreundlichkeit ergeben?Es kann von Nachteil sein, dass in jedem Fall eine Genehmigung von einem Vorge-setzten oder seinem Delegierten benötigt wird. Hierbei sollte die Person so ausge-wählt werden, dass sie entscheiden kann, wer auf das System zugreifen darf und wernicht. Nachteile entstehen dann, wenn die digitale Unterschrift verzögert oder garnicht eingeholt wird. Der Benutzer wartet dann auf ausstehende Berechtigungen, bisdiese den Workflow durchlaufen haben. Ein weiterer Nachteil kann sein, dassEndbenutzer sich selbst Berechtigungen anfordern können. Sind diese unklar odergar falsch beantragt, muss zuerst abgeklärt werden, was der Benutzer überhauptbenötigt und mit der Beantragung beabsichtigte.Welche Vorteile haben die Anwender von einem IAM?Die Hauptvorteile ergeben sich natürlich für die IT-Abteilung und das gesamte Unterneh-men. Die Anwender hingegen profitieren von einem guten Überblick über ihre eige-nen Basis-Berechtigungen, automatisierte Workflows und der Möglichkeit, sich selbstBerechtigungen zu bestellen. Dadurch entstehen enorme Zeitvorteile im Vergleich zudem zuvor gelebten Prozess.Welche Trends oder Entwicklungen sehen Sie in den nächsten 2 Jahren?Der Fokus liegt in den nächsten Monaten ganz klar auf der globalen Einfüh-rung von Google Mail als konzernweites Kommunikationsmedium, welche auchAuswirkungen auf das bereits vorhandene Identity und Access Management hat.Zudem wird es künftig Bestrebungen geben, Berechtigungen rollenbasiert zuvergeben. Das bedeutet, dass bestimmte Basis-Berechtigungen mit einer bestimm-ten Funktion eines Mitarbeiters verbunden sind und diese automatisch bei derBesetzung der Position vergeben werden. Die Herausforderung liegt hier in der De-finition von benötigten Basis-Berechtigungen, die für eine bestimme Positionbenötigt werden – und das am besten aus globaler Sicht.