Computerpartner

  
Sie befinden sich hier: HOMENachrichtenServiceIm Gespräch
24.11.2016

Benutzerverwaltung in Eigenregie

Über die Zeit eine verlässliche Zugriffskontrolle aufrechtzuerhalten, fällt den Unternehmen mit den herkömmlichen Mitteln des Identity and Access Management (IAM) zunehmend schwerer. Welche Voraussetzungen dafür geschaffen werden sollten; von Hadi Stiel*)

Hadi Stiel

Zur Vergrößerung anklicken

Andreas Martin

Über viele Jahre gewachsen sind die IAM-Boliden im Aufbau viel zu komplex und in der Handhabung viel zu kompliziert geworden. Selbst hoch qualifizierte IT-Administratoren sind kaum mehr in der Lage, den Zugriffskontrollschirm mit allen Identitäten und ihren Rechten und Eigenschaften (Attributen) angemessen einzurichten, zu verwalten und permanent auf dem neuesten Stand zu halten. Die Folge: Die Zugriffskontrolle ist löchrig wie ein Schweizer Käse. Sensible IT-Ressourcen des Unternehmens wie Daten, Anwendungen und Systeme geraten immer stärker in Angriffsgefahr, dadurch die Geschäftsprozesse und das Business gleich mit.

"Das muss nicht sein", sagt Andreas Martin, Vorstand und CEO des Consulting-Unternehmens FirstAttribute AG. Stimme die Konzeption der Lösung, könnten die Benutzer selbst viele administrative Aufgaben übernehmen und auf diese Weise zu einer höheren Sicherheit über den gesamten Zugriffskontrollradius beitragen. Wir haben Martin befragt, unter welchen Voraussetzungen und in welcher Form die Mitarbeiter aktiv an der Zugriffssicherheit im Unternehmen mitwirken können.

Sie monieren die viel zu komplexe Machart klassischer IAM-Systeme als wesentlichen Hinderungsgrund, Benutzern, also nicht IT-Fachleuten, die Verwaltung von Identitäten, Berechtigungen und Attributen zu übertragen?

Martin: Ja, die hoch komplexen, teils mit unnötigen Funktionen überfrachteten IAM-Systeme sind selbst für absolute Spezialisten wie IT-Administratoren kaum mehr beherrschbar. Dieser Umstand trifft die Unternehmen schon deshalb besonders hart, weil sie in Zeiten des Internet nicht nur innerhalb der eigenen Organisation sondern auch gegenüber der Außenwelt und in der Cloud auf eine verlässliche Zugriffskontrolle angewiesen sind. Je mehr sich ihr Handlungsrahmen ausdehnt, um so mehr macht es zudem für die Unternehmen Sinn, den geschäftlichen Akteuren vor Ort, also den Mitarbeitern, Partnern und Kunden, Verwaltungsaufgaben rund um die Zugriffskontrolle zu übertragen. Die Benutzer wissen viel früher, welche Informationen sensibel sind und welche nicht. Also macht es Sinn, die Benutzer am Sicherheitsniveau mitwirken zu lassen. Der Marktanalyst Gartner spricht in diesem Zusammenhang auch von neuen IAM-Visionen, -Architekturen und -Strategien als Antworten auf das digitale Geschäftszeitalter.

Normalen Benutzern ohne tiefes IT-Wissen sensible Verwaltungsaufgaben zu übertragen, das erscheint mir auf den ersten Blick eher risikoreicher zu sein – oder?

Martin: Der Ansatz ist ein anderer. Wenn die Benutzer aktiv mitwirken, ist der Zugriffskontrollschirm, weil notwendige Änderungen sofort vorgenommen werden, immer up-to-date und auf hohem Sicherheitsniveau. Warum soll beispielsweise dem Administrator mitgeteilt werden, das Jemand auf ein Projekt Zugriff haben soll, wenn der Benutzer selbst seinen Kollegen für das Projekt freischalten kann? Der Benutzer legt dazu die relevanten Informationen dazu an einem "öffentlichen" Platz auf einem Netzwerklaufwerk ab. Solche Beispiele eines benutzergeführten Identity and Access Management gibt es viele: Ortswechsel mit Adressänderung, Funktionsänderung, neue Abteilungs- oder Teamzuordnung, andere Raumnummer, anzupassende Identitätsinformationen, veränderte Attributsinformationen wie Telefonnummer oder Mobilfunknummer, Delegation von Aufgaben an Kollegen. Ihre sofortige Ausführung in Eigenregie und via Self-Service trägt zu mehr Sicherheit der IT-Ressourcen, Daten und Geschäftsabläufe, außerdem zu mehr Kommunikations- und Handlungstransparenz im Unternehmen bei. Weiterer positiver Effekt eines gut ausgeprägten Self-Service: IAM wird dadurch für alle Beteiligten einfacher.

Für einen Abschied vom klassischen IAM-System und zur Hinwendung zum gut ausgeprägten Benutzer-Self-Service spricht außerdem der Trend zum Cloud Computing.

Können Sie näher auf den letzten Aspekt eingehen?

Martin: Die klassischen IAM-Systeme stammen aus einer Zeit, als das Unternehmensnetzwerk am Internet-Gateway endete. Das IAM-System sollte der Nabel der eigenen Unternehmenswelt sein. Demzufolge hatten die Hersteller dieser Systeme häufig die Konnektor- und Funktionsbrille auf. Das Portal hingegen wurde nachträglich angeflanscht und mehr oder weniger als Anhängsel betrachtet. Anders bei einem zeitgemäßen Identity Management (IDM)-Portal mit Berechtigungsmanagement:  Es stellt das Portal einschließlich Self-Service ins Zentrum der Eigenverwaltung von Identitäten und Berechtigungen durch die Benutzer. Dieser Wechsel in der Ausrichtung und Nutzung ist aus Sicht der Unternehmen überfällig, auch wenn das den Anbietern klassischer IAM-Systeme bestimmt nicht schmeckt.

Wie sollte die Architektur des IDM-Portals beschaffen sein, damit die Eigenverwaltung den Benutzern einfacher von der Hand geht, die Sicherheit steigt und die Komplexität sinkt?

Martin: Der erste Schritt besteht darin, sich auf Active Directory als zentralem Verzeichnissystem zu konzentrieren. Über 90 Prozent haben Active Directory ohnehin im Einsatz, können somit die darin bereits geführten Identitäten und Berechtigungen nutzen. Der zweite Schritt sollte sein, angesichts des Trends zu Cloud-Anwendungen wie Office 365 das zentrale Active Directory mit Azure AD inklusive Office 365 zu kombinieren. Diese Kombination ist ausgereift und eröffnet eine Vielzahl an Integrationsschnittstellen. So gelöst, können Unternehmen zudem auf Active Directory Federation Services (ADFS) von Microsoft zurückgreifen. Er erspart die Synchronisation von Konten und Passwörtern zwischen dem zentralen Active Directory und dem IAM-System und erschließt auf einfache Art und Weise eine sichere Security Assertion Markup Language (SAML)-Anbindung von Cloud-Anwendungen. Wird das IDM-Portal in dieser Form aufgesetzt, kann es sofort vollumfänglich genutzt werden. Und die Benutzer müssen nicht länger Synchronisationszeiten abwarten, bis Änderungen in allen angeschlossenen Systemen umgesetzt worden sind.

Darüber hinaus sollten die Unternehmen bei der Wahl des IDM-Portals mit Berechtigungsmanagement auf weitere technische Erleichterungen achten.

Welche davon sind besonders wirkungsvoll und lohnend?

Martin: Das sind beispielsweise Power Shells. Sie sollten, gesteuert über das IDM-Portal, in Verbindung mit Power Shell Extensions wichtige Prozessaufgaben übernehmen. Auf diese Art und Weise können nicht nur Home-Shares, E-Mail-Boxen und Telefonanlagen schnell und einfach eingerichtet werden.

Vorlagen (Templates) für Abteilungen/Teams, Funktionen, Standorte, Projekte, usw. tragen dazu bei, dass die Benutzer ohne Schulung ihre eigenen Berechtigungen verwalten können.

Eröffnet das IDM-Portal der Wahl eine einfache Konfiguration von Rollen, steht auch einer schnellen und flexiblen Delegation von Aufgaben an Kollegen oder an andere Bereiche nichts im Wege.

Können Sie näher auf den Zugewinn an Sicherheit eingehen, wenn das Unternehmen Ihre Ratschläge befolgt?

Martin: Es sind im Wesentlichen zwei Punkte, die zu einem Sicherheitsgewinn im Unternehmen führen:

Durch die aktive Selbstverwaltung der Benutzer: Sie trägt auf der Basis stets aktueller Eintragungen zu mehr Sicherheit der IT-Ressourcen, Daten und Geschäftsabläufe bei. Die Tatsache, dass ihre Änderungen, ohne Synchronisationen dazwischen, sofort in allen angeschlossenen Systemen ausgeführt werden, fördert zusätzlich ihre Self-Service-Motivation.

Durch die deutliche Reduzierung der Komplexität: Sie entsteht vor allem durch die nahtlose Integration in die Defakto-Industriestandards Microsoft Active Directory und Microsoft Azure AD und die Vermeidung von Synchronisationen durch den Einsatz von Microsoft ADFS. Vielen Unternehmen ist es im Zusammenspiel mit Cloud-Diensten wie Azure AD/ Office 365 wichtig, dass Passwörter nicht übertragen werden. Dem trägt FirstAttribute in den Realisierungen Rechnung.

Voll umfänglich in Anspruch nehmen werden die Benutzer den Self-Service nur dann, wenn ihnen die Bedienoberfläche auf  halbem Weg entgegenkommt. Wie sollten Design und Struktur der Bedienoberfläche beschaffen sein?

Martin: … so zeitgemäß, einfach und aktionsnah wie möglich. Zeitgemäß, das heißt, intuitiv verständlich im Design und in der Sprache. Einfachheit und Aktionsnähe wird dadurch erreicht, dass an die Stelle komplizierter technischer Strukturen und Begriffe Organisationsstrukturen mit klaren Zuständigkeiten und aufgabenbezogene Bezeichnungen treten. Für den nötigen Tätigkeitsbezug sorgt die Rolle, über die den Gruppen nur das angezeigt wird, was sie zur Ausführung ihres Jobs brauchen. Eine organisationsnahe Ausrichtung der Bedienoberflächen unterstützt darin, das IDM-Portal als Telefon-, Adress- und Informationsverzeichnis zu nutzen. Ist die Suche in den Verzeichnissen ähnlich organisiert wie bei Google, reicht die Eingabe eines Worts oder Teilworts aus, um schnell Kollegen aufzufinden und dazugehörige Informationen am Bildschirm einzublenden.

Eine vereinfachte und dennoch sichere Authentisierung aus der Bedienoberfläche heraus steigert zusätzlich die Motivation der Benutzer, den Self-Service rege zu nutzen. Die Authentisierung erfolgt mittels Single-Sign-ON (SSO) transparent gegenüber dem Active Directory, mit anschließender Autorisierung über den Rollen-Provider des IDM-Portals. Für die Authentisierung empfiehlt sich Kerberos oder SAML. Da die dafür erforderlichen Kerberos-Tickets automatisch auf den Endgeräten erstellt werden, brauchen sich die Benutzer nicht mehr separat einzuloggen. Derartige Vereinfachungen im Design, in Struktur und Ausführung sind das beste Rezept, die Benutzer schnell für eine aktive Selbstverwaltung zu gewinnen und ihnen fortan rund um das Management von Identitäten, Berechtigungen und Attributen mehr Eigenverantwortung einzuräumen.

*) Autor  Hadi Stiel ist freier Journalist und Kommunikationsberater in Bad Camberg
 +