Identity- und Access-Management:
Eindeutig identifiziert
Unternehmen und Organisationen nutzen das Internet. Sie wollen effizienter arbeiten und Dienste preiswerter anbieten. Dazu gehen sie Online-Partnerschaften ein und nutzen Applikationen und Informationen auf Basis Service-orientierter Architekturen mit Web-Services. Die Folge: Immer mehr sicherheitskritische Daten werden ins Netz gestellt.
(Fortsetzung des Artikels von Seite 3)
Zusätzlich wachsen die Anforderungen an die Administration, die immer komplexeren IT-Strukturen zu verwalten. Dafür notwendig sind verlässliche Benutzeridentitäten, die über unterschiedliche Systeme und Plattformen hinweg und über Organisationsgrenzen hinaus Geltung haben. Über sie als grundsätzliche Kennung müssen Informationen, Applikationen und Dienste vor unberechtigten Zugriffen geschützt werden. Nicht nur das: Diese verlässlichen, eindeutigen Benutzeridentitäten werden auch für eine lückenlose Auditierung von Transaktionen gebraucht, um so die Compliance-Anforderungen revisionssicher zu erfüllen.
Dieser Entwicklung müssen moderne Identity-und-Access-Management-Systeme (IAM) Rechnung tragen. Sie müssen über Organisationsgrenzen hinweg zuverlässig funktionieren wie klassische Systeme und ebenso sicher sein. Unternehmen, die IAM bereits einsetzen, können darauf aufbauen. Denn IAM-Architekturen sind flexibel. Sie können auf die neuen Anforderungen angepasst werden.
Durch Identity- und Access-Management erhält ein neuer Mitarbeiter vom ersten Tag an alle notwendigen IT-Berechtigungen.
Für den Einsatz eines Identity-und-Access-Management-Systems im Unternehmen sprechen viele Gründe. Nur Mitarbeiter und Partner, die vom System eindeutig identifiziert werden, erhalten auf Basis ihrer Rollen Zugriff auf die für sie frei geschalteten Applikationen und Dienste. Die berechtigten Zugriffe können bei Bedarf bis tief in die Anwendungen und Dienste hinein auf Inhaltsebene differenziert und gesteuert werden. IAM unterstützt unter anderem bei der Beantwortung von Fragen, die von den Auditoren zum Nachweis der Compliance-Einhaltung gestellt werden. Eine Smartcard mit Zertifikat, noch besser ein biometrischer Ausweis, sichert die Authentifizierung von Identitäten verlässlich ab.
IAM ermöglicht bei organisationsübergreifendem Einsatz den Schutz von Web-Anwendungen und ‑diensten, analog zum klassischen Fall. Dabei werden die neuen Sicherheitsmodelle für das Web-Access-Management umgesetzt: Authentifizierung, Autorisierung, Audit und Web Single-Sign-on (SSO) liefern zusammen mit Identity-Federation, Personal-Identity-Frameworks (auch als Identity 2.0 bezeichnet) und sicheren Web-Services die dazu wesentlichen Funktionen. Web-Ressourcen so auf flexible Art und Weise vor unberechtigter Nutzung geschützt werden. Durch externe und zentrale Authentifizierungs- und Autorisierungs-Services können die internen und externen Sicherheitsvorgaben von Organisationen und Unternehmen mit Hilfe von Audit- und Report-Funktionen konsistent durchgesetzt werden.
Gruppenrechte und Rollen vereinfachen die Administration
Für die Zugriffskontrolle erlaubt ein in IAM integriertes Rechtemanagement in Gruppenrechten und Rollen zu unterscheiden. Gruppenrechte vereinfachen gegenüber der Vergabe von Einzelrechten für Mitarbeiter und Partner erheblich die Administration. Über Gruppenrechte können Administratoren beispielsweise den Beteiligten eines Projektes die gleichen Rechte einräumen. Fallen Änderungen in Form neuer Applikationszuordnungen an, müssen diese vom Administrator pauschal für alle Teilnehmer dieser Gruppe nur einmal durchgeführt werden. Nicht nur das: Tritt ein Mitarbeiter neu in diese Gruppe ein, kann er über die schnelle Zuordnung „seiner“ Gruppenrechte sofort produktiv arbeiten. Genauso schnell und verlässlich können Mitarbeitern, sobald sie diese Gruppe verlassen, ihre Rechte entzogen werden. Veraltete Einträge und Rechte können somit nicht länger potenziellen Angreifern als gefährlicher Einstieg in sensible Applikationen und Daten dienen.
Das Prinzip des Identity- und Access-Managements: Auf Grund ihrer Daten wird jeder Person eine Rolle oder Identität zugewiesen. Sie bestimmt, welche Rechte der Mitarbeiter bezüglich der Anwendungen, Daten oder des Gebäudezugangs haben soll. Basis für eine verlässliche Zugriffskontrolle sind eine sichere Authentifizierung und die zuverlässige Autorisierung anhand von Richtlinien.
Strukturierte Workflows erschließen eine besonders effiziente Vergabe von Zugriffsrechten. Ein Beispiel dafür sind Antrags- und Genehmigungs-Workflows, um einem Benutzer kurzfristig eine neue Rolle zuzuweisen. Der Benutzer beantragt eine Genehmigung für eine Rolle über die Web-Center-Benutzerschnittstelle. Der Workflow benachrichtigt daraufhin jede Person im Genehmigungspfad, zum Beispiel mittels E-Mail, dass ein Antrag vorliegt. Die benachrichtigten Personen nutzen ebenfalls die Web-Center-Benutzerschnittstelle, um den Antrag zu genehmigen oder abzulehnen. Eskalationsmechanismen unterstützen bei Problemen wie Abwesenheiten oder Zeitüberschreitungen.
Durch Kostendruck und steigende Sicherheitsanforderungen denken Organisationen und Unternehmen zunehmend darüber nach, wie sie ihre Geschäftsprozesse weiter optimieren können. Ein triftiger Grund für den Einsatz einer zentralisierten IAM-Architektur ist die Integration von IAM mit Auditing- und Reporting-Funktionen. Zugriffe – welche, durch wen, wann und womit – sowie die Genehmigung und Erteilung der zugehörigen Rechte werden revisionssicher aufgezeichnet. Die Vorschriften im Rahmen von Compliance nachweislich einzuhalten, dazu gehört auch das Vier-Augen-Prinzip. Es verhindert unter anderem, dass ein Antragsteller seinen eigenen Antrag genehmigt.
Im Rahmen einer Partnerschaft, beispielsweise in der Automobilindustrie zwischen Herstellern und Zulieferern oder in der EU zwischen den Staaten, können Benutzer mit Hilfe von IAM wechselseitig Informationen und Dienste auf der eigenen und der Partnerseite nutzen. Dabei vertrauen die Partner ihren Identitäten gegenseitig. Die erforderliche Sicherheit wird durch die Technik der Identity-Federation erreicht. Die Lösung ist nicht nur sicher, sondern auch hoch effizient, da sie erheblichen Verwaltungsaufwand erspart.
Web-Single-Sign-on für sicheren Zugriff
IAM ermöglicht die Kopplung von Authentifizierung und Autorisierung per Single-Sign-on (SSO). Dabei kann der SSO auch über Organisations- und Unternehmensgrenzen hinaus genutzt werden. Web-Access-Management ist ein etablierter Ansatz für webbasierende Anwendungen. Das Verfahren wird auch als Extranet-Access-Management oder Web-Single- Sign-on bezeichnet. Mittels Web-SSO wird eine zentrale Authentifizierung und Zugriffssteuerung für Web-Anwendungen durchgeführt.
Mit IAM lässt sich nicht nur innerhalb eines Unternehmens sicher festlegen, wer wann worauf Zugriff hat, sondern auch organisationsübergreifend.
Die Policy-basierende Autorisierung sorgt dafür, dass die Organisations- beziehungsweise Unternehmens-Security-Policies, bestehend aus internen Vorschriften und gesetzlichen Regelungen, in den Applikationen und Diensten verankert werden. Ein Benutzer kann nur dann darauf zugreifen, wenn der Zugriff Policy-konform ist. Organisationsübergreifend unterstützt die Policy-basierende Autorisierung die zentrale und konsistente Durchsetzung von Sicherheitsrichtlinien für den Zugriff auf Web-Anwendungen und ‑Dienste.
Wenn Benutzer von Online-Diensten sich bei diesen Diensten anmelden, müssen sie sich bei jedem einzelnen Service-Provider registrieren lassen und diesen jeweils einige ihrer Identitätsinformationen zur Verfügung stellen. Jede neue Registrierung erzeugt neue Anmeldedaten. Mit User-zentriertem Identity-Management, auch Personal-Identity-Framework oder Identity 2.0 genannt, kann ein Benutzer selbst bestimmen, wie viele seiner Identitätsdaten er an einen Registrierungsdienst oder eine Webseite weitergegeben will. Damit wird verhindert, dass Daten abgefragt werden, die nicht nötig sind, um einen Dienst über das Web zur Verfügung zu stellen.
Cloud-Computing ist derzeit eines der besonders intensiv diskutierten Themen. Bereits heute nutzen Organisationen eine Mischung aus Applikationen und Diensten, von denen sie Teile selbst betreiben. Der andere Teil wird extern, das heißt in der Cloud, genutzt. Die Cloud ist eine technologische Weiterentwicklung der IT und nicht etwas grundlegend Neues. Deshalb kann ein existierendes IAM-System so ausgebaut werden, dass es auch Cloud-Applikationen und ‑Services zuverlässig versorgen kann. Ist von einem „Identity-Provider“ die Rede, steht dahinter technologisch nichts anderes als eine Identity-Federation.
Organisatorische Abwicklung in Phasen
Bleibt die Frage, wie Unternehmen ihre IAM-Lösung planen und realisieren sollten, ohne dass ihr Sicherheitsvorhaben ihr IT-Budget sprengt. In Frage kommt IAM für Unternehmen ab 1000 Mitarbeiter, bei einer besonders heterogenen Applikationslandschaft auch darunter. Für die organisatorische Umsetzung empfiehlt sich die Anwendung eines Phasenmodells in den Händen eines kompetenten Beraters. Gestartet werden sollte mit den Geschäftsprozessen/Applikationen, an denen viele Mitarbeiter mitwirken. So generiert, lässt sich nicht nur die höchstmögliche Sicherheit, sondern auch der maximale Return-on-Investment erreichen.
Ein IAM-Projekt muss strategisch geplant werden. In der ersten Phase sollten deshalb Fragen zur Gesamtorganisationen gestellt werden: Wie ist die Organisation aufgebaut? Welche Geschäftsprozesse finden darin statt? Welche Applikationen und Dienste sind beteiligt? Bei der Planung eines IAM-Systems der neuen Generation sollte außerdem von Anfang an über den Tellerrand der Organisation hinaus geschaut werden, verbunden mit der Frage: In welche Prozesse, Applikationen und Dienste sind externe Benutzer eingebunden?
Web-2.0-Applikationen sowie neue Geschäftsmodelle, die Partner und Kunden mit integrieren, machen es unumgänglich, die Zugriffskontrolle über die eigene Organisation hinaus auszudehnen. Außerdem müssen Web-2.0-Applikationen dazu in der Lage sein, sich selbsttätig gegenseitig zu authentifizieren und zu autorisieren (Access-Management). Dies alles ist nur über Identity-Federation und über die Automatismen eines IAM-Systems möglich. Die integrierten Auditing- und Reporting-Werkzeuge tragen ihren Teil dazu bei, dass auch im Partnerverbund die Einhaltung von Revisionsauflagen und Compliance-Vorschriften nachweislich nachvollzogen und dokumentiert wird.
In den Folgephasen sollten die einzelnen Abteilungen/Fachbereiche mit den Mitarbeitern darin sowie die Applikationen, auf die sie Zugriff haben müssen, im Fokus stehen. Die wichtigsten Fragen, die es zu beantworten gilt: Wie sensibel für das Geschäft sind die einzelnen Anwendungen und Dienste? Wie sehen die Arbeitsfelder und Arbeitsfunktionen der Mitarbeiter aus? Welche Rechte und Rollen – wo erforderlich mit Schnittstellen zu Geschäftspartnern – müssen den Mitarbeitern eingeräumt werden, damit sie ihre Arbeit erfüllen können? Inwieweit und wo müssen Workflows zur Optimierung von Geschäftsprozessen geändert werden?
IAM-Systeme sorgen mit ihren Automatismen für eine spürbare Senkung des Administrationsaufwands. Sie erhöhen die Sicherheit und unterstützen die Einhaltung von internen und externen Vorschriften im Rahmen von Compliance. Dank ihrer flexiblen Architektur können IAM-Projekte zu jedem Zeitpunkt gestartet, schrittweise ausgebaut und neuen Anforderungen wie der organisationsübergreifenden Zusammenarbeit oder dem Cloud-Computing angepasst werden.
Die Entwicklung im IAM-Markt motiviert Organisationen und Unternehmen zusätzlich, in punkto umfassende und wirtschaftliche Zugriffssicherheit nichts anbrennen zu lassen. Die Preismodelle für IAM-Produkte sind im Vergleich zur jüngsten Vergangenheit deutlich attraktiver geworden. IAM-Lösungen gibt es mittlerweile auch zur Miete für eine bestimmte Nutzungszeit oder als Managed-Services auf Abruf von einem externen Provider. Die klare modulare Struktur leistungsfähiger IAM-Suites ermöglicht es, ein Projekt Modul für Modul und somit Budget-schonend und organisationsverträglich umzusetzen. Weil leistungsfähige IAM-Suites, trotz modularer Gestaltung, eine tiefe Integration aufweisen, fallen auch die Projektkosten und -risiken deutlich geringer als noch vor wenigen Jahren aus.
Sabine Erlinghagen leitet das weltweite Geschäft für Identity- und Access- Management und Biometrie bei Siemens IT Solutions and Services.
- 1. Seite: Eindeutig identifiziert
- 2. Seite: Gruppenrechte und Rollen vereinfachen die Administration
- 3. Seite: Web-Single-Sign-on für sicheren Zugriff
- 4. Seite: Organisatorische Abwicklung in Phasen
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Channel-Weitblick aus Erfurt
Beim Forum Marketing & Vertrieb des SIBB breitete Christian Fischer, geschäftsführender Gesellschafter des Erfurter SaaS-CRM-Herstellers TecArt-Group seine Vision vom Erfolg im SaaS-Markt aus. Eine der wichtigsten Erkenntnisse: nachhaltiger Erfolg braucht echte Ökosysteme aus ISVs, vor allem aber aus ganz unterschiedlichen Partnertypen.
» Bundesliga-Tippspiel 2011
