Identity- und Access-Management:
Eindeutig identifiziert
Unternehmen und Organisationen nutzen das Internet. Sie wollen effizienter arbeiten und Dienste preiswerter anbieten. Dazu gehen sie Online-Partnerschaften ein und nutzen Applikationen und Informationen auf Basis Service-orientierter Architekturen mit Web-Services. Die Folge: Immer mehr sicherheitskritische Daten werden ins Netz gestellt.
(Fortsetzung des Artikels von Seite 3)
Zusätzlich wachsen die Anforderungen an die Administration, die immer komplexeren IT-Strukturen zu verwalten. Dafür notwendig sind verlässliche Benutzeridentitäten, die über unterschiedliche Systeme und Plattformen hinweg und über Organisationsgrenzen hinaus Geltung haben. Über sie als grundsätzliche Kennung müssen Informationen, Applikationen und Dienste vor unberechtigten Zugriffen geschützt werden. Nicht nur das: Diese verlässlichen, eindeutigen Benutzeridentitäten werden auch für eine lückenlose Auditierung von Transaktionen gebraucht, um so die Compliance-Anforderungen revisionssicher zu erfüllen.
Dieser Entwicklung müssen moderne Identity-und-Access-Management-Systeme (IAM) Rechnung tragen. Sie müssen über Organisationsgrenzen hinweg zuverlässig funktionieren wie klassische Systeme und ebenso sicher sein. Unternehmen, die IAM bereits einsetzen, können darauf aufbauen. Denn IAM-Architekturen sind flexibel. Sie können auf die neuen Anforderungen angepasst werden.
Durch Identity- und Access-Management erhält ein neuer Mitarbeiter vom ersten Tag an alle notwendigen IT-Berechtigungen.
Für den Einsatz eines Identity-und-Access-Management-Systems im Unternehmen sprechen viele Gründe. Nur Mitarbeiter und Partner, die vom System eindeutig identifiziert werden, erhalten auf Basis ihrer Rollen Zugriff auf die für sie frei geschalteten Applikationen und Dienste. Die berechtigten Zugriffe können bei Bedarf bis tief in die Anwendungen und Dienste hinein auf Inhaltsebene differenziert und gesteuert werden. IAM unterstützt unter anderem bei der Beantwortung von Fragen, die von den Auditoren zum Nachweis der Compliance-Einhaltung gestellt werden. Eine Smartcard mit Zertifikat, noch besser ein biometrischer Ausweis, sichert die Authentifizierung von Identitäten verlässlich ab.
IAM ermöglicht bei organisationsübergreifendem Einsatz den Schutz von Web-Anwendungen und ‑diensten, analog zum klassischen Fall. Dabei werden die neuen Sicherheitsmodelle für das Web-Access-Management umgesetzt: Authentifizierung, Autorisierung, Audit und Web Single-Sign-on (SSO) liefern zusammen mit Identity-Federation, Personal-Identity-Frameworks (auch als Identity 2.0 bezeichnet) und sicheren Web-Services die dazu wesentlichen Funktionen. Web-Ressourcen so auf flexible Art und Weise vor unberechtigter Nutzung geschützt werden. Durch externe und zentrale Authentifizierungs- und Autorisierungs-Services können die internen und externen Sicherheitsvorgaben von Organisationen und Unternehmen mit Hilfe von Audit- und Report-Funktionen konsistent durchgesetzt werden.
Gruppenrechte und Rollen vereinfachen die Administration
Für die Zugriffskontrolle erlaubt ein in IAM integriertes Rechtemanagement in Gruppenrechten und Rollen zu unterscheiden. Gruppenrechte vereinfachen gegenüber der Vergabe von Einzelrechten für Mitarbeiter und Partner erheblich die Administration. Über Gruppenrechte können Administratoren beispielsweise den Beteiligten eines Projektes die gleichen Rechte einräumen. Fallen Änderungen in Form neuer Applikationszuordnungen an, müssen diese vom Administrator pauschal für alle Teilnehmer dieser Gruppe nur einmal durchgeführt werden. Nicht nur das: Tritt ein Mitarbeiter neu in diese Gruppe ein, kann er über die schnelle Zuordnung „seiner“ Gruppenrechte sofort produktiv arbeiten. Genauso schnell und verlässlich können Mitarbeitern, sobald sie diese Gruppe verlassen, ihre Rechte entzogen werden. Veraltete Einträge und Rechte können somit nicht länger potenziellen Angreifern als gefährlicher Einstieg in sensible Applikationen und Daten dienen.
Das Prinzip des Identity- und Access-Managements: Auf Grund ihrer Daten wird jeder Person eine Rolle oder Identität zugewiesen. Sie bestimmt, welche Rechte der Mitarbeiter bezüglich der Anwendungen, Daten oder des Gebäudezugangs haben soll. Basis für eine verlässliche Zugriffskontrolle sind eine sichere Authentifizierung und die zuverlässige Autorisierung anhand von Richtlinien.
Strukturierte Workflows erschließen eine besonders effiziente Vergabe von Zugriffsrechten. Ein Beispiel dafür sind Antrags- und Genehmigungs-Workflows, um einem Benutzer kurzfristig eine neue Rolle zuzuweisen. Der Benutzer beantragt eine Genehmigung für eine Rolle über die Web-Center-Benutzerschnittstelle. Der Workflow benachrichtigt daraufhin jede Person im Genehmigungspfad, zum Beispiel mittels E-Mail, dass ein Antrag vorliegt. Die benachrichtigten Personen nutzen ebenfalls die Web-Center-Benutzerschnittstelle, um den Antrag zu genehmigen oder abzulehnen. Eskalationsmechanismen unterstützen bei Problemen wie Abwesenheiten oder Zeitüberschreitungen.
Durch Kostendruck und steigende Sicherheitsanforderungen denken Organisationen und Unternehmen zunehmend darüber nach, wie sie ihre Geschäftsprozesse weiter optimieren können. Ein triftiger Grund für den Einsatz einer zentralisierten IAM-Architektur ist die Integration von IAM mit Auditing- und Reporting-Funktionen. Zugriffe – welche, durch wen, wann und womit – sowie die Genehmigung und Erteilung der zugehörigen Rechte werden revisionssicher aufgezeichnet. Die Vorschriften im Rahmen von Compliance nachweislich einzuhalten, dazu gehört auch das Vier-Augen-Prinzip. Es verhindert unter anderem, dass ein Antragsteller seinen eigenen Antrag genehmigt.
Im Rahmen einer Partnerschaft, beispielsweise in der Automobilindustrie zwischen Herstellern und Zulieferern oder in der EU zwischen den Staaten, können Benutzer mit Hilfe von IAM wechselseitig Informationen und Dienste auf der eigenen und der Partnerseite nutzen. Dabei vertrauen die Partner ihren Identitäten gegenseitig. Die erforderliche Sicherheit wird durch die Technik der Identity-Federation erreicht. Die Lösung ist nicht nur sicher, sondern auch hoch effizient, da sie erheblichen Verwaltungsaufwand erspart.
Web-Single-Sign-on für sicheren Zugriff
IAM ermöglicht die Kopplung von Authentifizierung und Autorisierung per Single-Sign-on (SSO). Dabei kann der SSO auch über Organisations- und Unternehmensgrenzen hinaus genutzt werden. Web-Access-Management ist ein etablierter Ansatz für webbasierende Anwendungen. Das Verfahren wird auch als Extranet-Access-Management oder Web-Single- Sign-on bezeichnet. Mittels Web-SSO wird eine zentrale Authentifizierung und Zugriffssteuerung für Web-Anwendungen durchgeführt.
Mit IAM lässt sich nicht nur innerhalb eines Unternehmens sicher festlegen, wer wann worauf Zugriff hat, sondern auch organisationsübergreifend.
Die Policy-basierende Autorisierung sorgt dafür, dass die Organisations- beziehungsweise Unternehmens-Security-Policies, bestehend aus internen Vorschriften und gesetzlichen Regelungen, in den Applikationen und Diensten verankert werden. Ein Benutzer kann nur dann darauf zugreifen, wenn der Zugriff Policy-konform ist. Organisationsübergreifend unterstützt die Policy-basierende Autorisierung die zentrale und konsistente Durchsetzung von Sicherheitsrichtlinien für den Zugriff auf Web-Anwendungen und ‑Dienste.
Wenn Benutzer von Online-Diensten sich bei diesen Diensten anmelden, müssen sie sich bei jedem einzelnen Service-Provider registrieren lassen und diesen jeweils einige ihrer Identitätsinformationen zur Verfügung stellen. Jede neue Registrierung erzeugt neue Anmeldedaten. Mit User-zentriertem Identity-Management, auch Personal-Identity-Framework oder Identity 2.0 genannt, kann ein Benutzer selbst bestimmen, wie viele seiner Identitätsdaten er an einen Registrierungsdienst oder eine Webseite weitergegeben will. Damit wird verhindert, dass Daten abgefragt werden, die nicht nötig sind, um einen Dienst über das Web zur Verfügung zu stellen.
Cloud-Computing ist derzeit eines der besonders intensiv diskutierten Themen. Bereits heute nutzen Organisationen eine Mischung aus Applikationen und Diensten, von denen sie Teile selbst betreiben. Der andere Teil wird extern, das heißt in der Cloud, genutzt. Die Cloud ist eine technologische Weiterentwicklung der IT und nicht etwas grundlegend Neues. Deshalb kann ein existierendes IAM-System so ausgebaut werden, dass es auch Cloud-Applikationen und ‑Services zuverlässig versorgen kann. Ist von einem „Identity-Provider“ die Rede, steht dahinter technologisch nichts anderes als eine Identity-Federation.
Organisatorische Abwicklung in Phasen
Bleibt die Frage, wie Unternehmen ihre IAM-Lösung planen und realisieren sollten, ohne dass ihr Sicherheitsvorhaben ihr IT-Budget sprengt. In Frage kommt IAM für Unternehmen ab 1000 Mitarbeiter, bei einer besonders heterogenen Applikationslandschaft auch darunter. Für die organisatorische Umsetzung empfiehlt sich die Anwendung eines Phasenmodells in den Händen eines kompetenten Beraters. Gestartet werden sollte mit den Geschäftsprozessen/Applikationen, an denen viele Mitarbeiter mitwirken. So generiert, lässt sich nicht nur die höchstmögliche Sicherheit, sondern auch der maximale Return-on-Investment erreichen.
Ein IAM-Projekt muss strategisch geplant werden. In der ersten Phase sollten deshalb Fragen zur Gesamtorganisationen gestellt werden: Wie ist die Organisation aufgebaut? Welche Geschäftsprozesse finden darin statt? Welche Applikationen und Dienste sind beteiligt? Bei der Planung eines IAM-Systems der neuen Generation sollte außerdem von Anfang an über den Tellerrand der Organisation hinaus geschaut werden, verbunden mit der Frage: In welche Prozesse, Applikationen und Dienste sind externe Benutzer eingebunden?
Web-2.0-Applikationen sowie neue Geschäftsmodelle, die Partner und Kunden mit integrieren, machen es unumgänglich, die Zugriffskontrolle über die eigene Organisation hinaus auszudehnen. Außerdem müssen Web-2.0-Applikationen dazu in der Lage sein, sich selbsttätig gegenseitig zu authentifizieren und zu autorisieren (Access-Management). Dies alles ist nur über Identity-Federation und über die Automatismen eines IAM-Systems möglich. Die integrierten Auditing- und Reporting-Werkzeuge tragen ihren Teil dazu bei, dass auch im Partnerverbund die Einhaltung von Revisionsauflagen und Compliance-Vorschriften nachweislich nachvollzogen und dokumentiert wird.
In den Folgephasen sollten die einzelnen Abteilungen/Fachbereiche mit den Mitarbeitern darin sowie die Applikationen, auf die sie Zugriff haben müssen, im Fokus stehen. Die wichtigsten Fragen, die es zu beantworten gilt: Wie sensibel für das Geschäft sind die einzelnen Anwendungen und Dienste? Wie sehen die Arbeitsfelder und Arbeitsfunktionen der Mitarbeiter aus? Welche Rechte und Rollen – wo erforderlich mit Schnittstellen zu Geschäftspartnern – müssen den Mitarbeitern eingeräumt werden, damit sie ihre Arbeit erfüllen können? Inwieweit und wo müssen Workflows zur Optimierung von Geschäftsprozessen geändert werden?
IAM-Systeme sorgen mit ihren Automatismen für eine spürbare Senkung des Administrationsaufwands. Sie erhöhen die Sicherheit und unterstützen die Einhaltung von internen und externen Vorschriften im Rahmen von Compliance. Dank ihrer flexiblen Architektur können IAM-Projekte zu jedem Zeitpunkt gestartet, schrittweise ausgebaut und neuen Anforderungen wie der organisationsübergreifenden Zusammenarbeit oder dem Cloud-Computing angepasst werden.
Die Entwicklung im IAM-Markt motiviert Organisationen und Unternehmen zusätzlich, in punkto umfassende und wirtschaftliche Zugriffssicherheit nichts anbrennen zu lassen. Die Preismodelle für IAM-Produkte sind im Vergleich zur jüngsten Vergangenheit deutlich attraktiver geworden. IAM-Lösungen gibt es mittlerweile auch zur Miete für eine bestimmte Nutzungszeit oder als Managed-Services auf Abruf von einem externen Provider. Die klare modulare Struktur leistungsfähiger IAM-Suites ermöglicht es, ein Projekt Modul für Modul und somit Budget-schonend und organisationsverträglich umzusetzen. Weil leistungsfähige IAM-Suites, trotz modularer Gestaltung, eine tiefe Integration aufweisen, fallen auch die Projektkosten und -risiken deutlich geringer als noch vor wenigen Jahren aus.
Sabine Erlinghagen leitet das weltweite Geschäft für Identity- und Access- Management und Biometrie bei Siemens IT Solutions and Services.
- 1. Seite: Eindeutig identifiziert
- 2. Seite: Gruppenrechte und Rollen vereinfachen die Administration
- 3. Seite: Web-Single-Sign-on für sicheren Zugriff
- 4. Seite: Organisatorische Abwicklung in Phasen
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Die besten System-Tools für Android
Android erlaubt tiefe Eingriffe in das System – und viele Apps nutzen diese Möglichkeit, um die Leistung zu optimieren und dem Nutzer bei der Bedienung seines Smartphones zu helfen. Wir stellen die besten System-Tools für Android vor.
Zwölf Smartphone-Flatrates ab 20 Euro im Vergleich
Mit Yourfone von E-Plus kommt jetzt eine neue Günstig-Flat für Smartphones. Unsere Kollegen von der Connect haben den Neuling mit der etablierten Konkurrenz verglichen.
Ungarn führt Telefonsteuer ein
Weit weniger Spaß als bisher werden die Bürger Ungarns sicherlich künftig beim Telefonieren haben. Als Reaktion auf die Schuldenlast des Landes hat das Parlament die Einführung einer Telefonsteuer beschlossen.
Weitere Artikel
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.