Computerpartner

  
Sie befinden sich hier: HOMENachrichtenServiceIm Gespräch
09.02.2017

Mit den IAM-Altlasten der Vergangenheit aufräumen

Im Front-end das Bürger-Portal, im Back-end behördenübergreifende Verwaltungsprozesse für eine gezielte Informationsversorgung der Bürger und Wirtschaft: Ohne klar geregelte Identitäten und Berechtigungen ist ein solcher Auftritt nicht denkbar. Andernfalls würden die Daten, Systeme und Anwendungen und somit die Verwaltungsprozesse und der Portal-Auftritt in Gefahr geraten; von Hadi Stiel *)

Hadi Stiel

Zur Vergrößerung anklicken

Andreas Martin

Entsprechend viel haben die meisten  Behörden in den letzten Jahren in Identity and Access Management (IAM)-Module investiert. Richtig weitergebracht hat dies die wenigsten von ihnen. Andreas Martin, Vorstand und CEO (Chief Executive Officer) des Consulting-Unternehmens FirstAttribute AG, weiß wieso. Er sagt, die klassischen IAM-Suiten sind viel zu komplex in der Machart und viel zu kompliziert in der Umsetzung und Bedienung. Es sei Zeit, endlich im eigenen Interesse mit den IAM-Altlasten der Vergangenheit aufzuräumen. eGovernment hat ihn befragt, wieso viele der IAM-Projekte gescheitert oder Stückwerk geblieben sind und wie Behörden stattdessen ihr IdM-Portal inklusive Zugriffskontrolle aufbauen sollten.

Herr Martin, Sie beschäftigen sich seit mehr als 25 Jahren intensiv mit diesem Thema. Dass viele der IAM-Projekte in der öffentlichen Verwaltung gescheitert oder Stückwerk geblieben sind, ist für Sie kein Zufall. Was ist hier aufgrund der zu hohen Komplexität dieser Suiten schief gelaufen?

Andreas Martin: Das beginnt damit, dass die klassischen IAM-Suiten in den letzten beiden Jahrzehnten um immer mehr Funktionen erweitert wurden. Dabei wurde von den Herstellern weder hinterfragt, welche Funktionen die Kunden tatsächlich brauchen noch wie der Nutzen beschaffen sein sollte, den sie daraus ziehen. Es sind aber nicht nur die Hersteller, die dieser Funktionsflut aufgesessen sind. Auch die Berater und die Anwender haben unreflektiert mitgespielt.

Was sind die Komplexitätstreiber hinter diesen klassischen IAM-Suiten, die eine zeitverträgliche Planung und Umsetzung erschweren?

Martin: Einerseits natürlich die Hersteller, deren Berater den Kunden weißmachen wollten, dass möglichst viele Funktionen per se einen hohen Mehrwert für den Anwender in sich bergen. In der Folge wurden komplizierte Konnektoren aufgebaut, ohne kritisch zu hinterfragen, ob eine Synchronisation überhaupt notwendig ist. So ziehen Synchronisationen immer auch Dateninkonsistenzen nach sich. Der Verzicht auf unnötige Synchronisationen reduziert somit nicht nur die Komplexität, sondern auch die Fehleranfälligkeit des IAM-Systems. Hinzu kommt, dass neue Standards wie SAML für Single Sign-on (SSO) und einen automatisierten Informationsaustausch nur zögerlich angewandt werden. Sie hätten komplizierte Konnektoren und das zentrale SSO-Modul innerhalb des IAM-Systems mit mehr oder weniger sicherer Passwortspeicherung ersetzen können.

Damit muss endgültig Schluss sein. Die Kunst besteht heute darin, das IAM-System weniger komplex und dafür einfacher in der Handhabung zu machen. Nur dann werden die Behörden weitere Nutzen daraus ziehen können: erheblich geringere Anschaffungs-, Integrations-, Installations- und Betriebskosten sowie im Vorfeld deutlich einfachere Ausschreibungen mit tatsächlichem Lösungscharakter.

Können Sie auf den Status quo der Ausschreibungen näher eingehen?

Martin: Die hohe Komplexität klassischer IAM-Systeme und ihr hohes Investitions- und Projektvolumen verkompliziert die Ausschreibung und schiebt das Ausschreibungsende in weite Ferne. Behörden, die dennoch nichts falsch machen wollen, schrauben die Ausschreibungskriterien so hoch, dass kaum ein Hersteller das Anforderungsprofil erfüllen kann. Die Folgen: Eine Lösung, die diesen Namen verdient, kann so nicht entstehen. Die vermeintliche Lösung, die letztlich den Zuschlag erhält, wird zum doppelten Kompromiss, weil sich zwischenzeitlich viele Anforderungen der Behörde geändert haben.

Was also tun? Schließlich müssen sich Behörden an Vorgaben halten.

Martin: Die Lösungsstrategie kann nur lauten: Runter mit der Komplexität und den Kosten und rauf mit der Bedienbarkeit. Um dieser Strategie zu folgen, sollte sich jede Behörde drei zentrale Fragen stellen:

  • Welchen Nutzen erwarten die Mitarbeiter vom IAM-System?
  • Was müssen Administratoren beisteuern, damit Mitarbeiter den erwarteten Nutzen tatsächlich erlangen?
  • Auf welche Funktionen und Synchronisationen kann getrost verzichtet werden, damit das Gesamtsystem weniger komplex und für den normalen Mitarbeiter einfacher in der Bedienung ist?

Was ist nach Ihrer Einschätzung neben dem Wust an Funktionen und Synchronisationen das größte Entwicklungsmanko klassischer IAM-Suiten?

Martin: … ein angeflanschtes und häufig unzureichend ausgebildetes Self-Service-Portal. Es verhindert, dass Benutzer in Eigenregie viele Aufgaben übernehmen können, auch administrative Aufgaben. Der Hauptgrund dafür ist eine viel zu technisch-orientierte und damit zu komplizierte Oberfläche, die nur von spezialisierten Administratoren durchdrungen werden kann. Also muss die Behörde weiterhin auf teure Spezialisten bauen. Das treibt einerseits die Betriebskosten in die Höhe, andererseits mindert das die Akzeptanz des IAM-Systems unter den Benutzern. Sie sind demotiviert, IAM-Funktionen ordnungsgemäß und gemäß der Sicherheitsrichtlinien zu handhaben. Das wirkt sich beispielsweise in einem nachlässigen Umgang mit Passwörtern aus. Dabei sollte die IAM-Lösung zu mehr Zugriffssicherheit beitragen, die IT-Administration entlasten und die Prozesse der Verwaltung beschleunigen.

Wie sollte stattdessen die Sicherheitslösung aussehen, um die meisten dieser Problemzonen zu eliminieren?

Martin: Die grundsätzlichen Voraussetzungen dafür sind, dass die Lösung konsequent als Identity Management (IdM)-Portallösung ausgerichtet ist und darin bewusst auf unnötige Komplexität verzichtet wird. Eine solche, schlanke Identitäten- und Berechtigungslösung wirkt sich in vielerlei Hinsicht positiv für die öffentliche Verwaltung aus: geringeres Investitionsvolumen, einfachere und beschleunigte Ausschreibung, schnellere Implementierung durch einfache Integration, leichtere Bedienung und Handhabung des Gesamtsystems, flexiblere und schnellere Anpassbarkeit von Funktionen, Identitäten und ihren Berechtigungsrollen, sobald sich organisatorische, technische oder sicherheitsstrategische Vorgaben ändern.

Sie haben den Self-Service als wesentliches Element eines schlanken IdM-Portals herausgestellt, über den die Benutzer aktiv, auch administrativ, mitwirken können. Wie sollte dazu die Oberfläche beschaffen sein?

Martin: Wichtig ist eine organisatorische Sicht der Dinge. Die gesuchten Informationen müssen schnell am Bildschirm präsent sein, unabhängig davon, ob es sich um Adressen, Telefon-, Mobilfunk- oder Raumnummer oder Berechtigungen handelt. Bei dieser Sicht müssen technische Aspekte wie komplizierte Verzeichnisstrukturen sowie technische Begriffe und Details in den Hintergrund treten. Sie würden eine Bedienung unnötig verkomplizieren. Templates unterstützen bei der Mitarbeiter- und Berechtigungsverwaltung, indem darüber schnell Zuordnungen zu Abteilungen, Standorten oder Funktionen getroffen werden können. Solche Templates sind außerdem Garanten für einen hohen Standardisierungsgrad und eine hohe Datenqualität.

In dieser Art und Weise gestaltet können die Mitarbeiter viele der Aufgaben rund um das Management von Identitäten, Berechtigungen und Eigenschaften selbst übernehmen: von der Anmeldung über die Pflege bis hin zur Administration ihrer Konten. Und sie können über "Suchen" schnell Abteilungen und Mitarbeiter einschließlich ihrer Berechtigungsrollen und Eigenschaften auffinden und einblenden. Um den Mitarbeitern die Bedienung des IdM-Portals weiter zu vereinfachen, sollte die Oberfläche ähnlich wie bei Google gestaltet sein. Den einzelnen Mitarbeitern sollte nur das angezeigt werden, was sie im Rahmen ihres Self-Services brauchen. Diese individuelle Anzeige kann ebenfalls über Rollen gesteuert werden.

Wie kann komplexen Verzeichnisstrukturen entgegengewirkt, dadurch die Verzeichnisintegration vereinfacht werden?

Martin: Indem die Behörde innerhalb des IdM-Portals Active Directory als Authentisierungsverzeichnis einsetzt. Andere Verzeichnisse können dann standardgemäß. also verhältnismäßig einfach, ins Active Directory eingebunden werden. Weil das Microsoft-Verzeichnis ohnehin in 90 Prozent aller deutschen Behörden im Einsatz ist, hat diese Umsetzungsstrategie für die Verwaltung den zusätzlichen Charme,  dass die meisten Identitäten bereits im Active Directory hinterlegt sind. Sie müssen also nicht mehr angelegt werden. Kommt innerhalb des IdM-Portals zusätzlich ein Power Shell-Service zum Einsatz, können darüber alle Aufgaben und Prozesse zwischen den unterschiedlichen Verzeichnissen absolviert werden, einschließlich der erforderlichen Struktur- und Formatumsetzungen.

Können Sie näher auf diesen Power Shell-Service eingehen?

Martin: Er entbindet die Mitarbeiter vom Umgang mit der dahinterliegenden Technik, so wenn sie über die Eingabe ihres Vor- und Nachnamens einen Namensbildungsprozess anstoßen oder ein System, beispielsweise Microsoft Exchange, ansprechen. Im Hintergrund wird das Benutzerkonto erstellt, die passende Berechtigungsrolle zugeordnet und der E-Mail-Namen angelegt. Sämtliche erforderlichen Eintragungen werden über den Power Shell-Service nicht nur automatisch im Active Directory, sondern auch in allen beteiligten Verzeichnissen ausgeführt. Gleiches gilt, wenn einzelne Mitarbeiter innerhalb ihres Benutzerkontos, ihrer Berechtigungsrolle oder an Attributen Änderungen treffen. Die automatische Abwicklung im Hintergrund übernehmen Skripts, die die Behörde selbst anpassen kann. Der Markt stellt sie für nahezu alle Systeme bereit. Und sie können verhältnismäßig einfach der jeweils geforderten Ablauflogik angepasst werden.

Was bleibt für die IT-Administratoren noch zu tun, wenn die Behörde ihr IdM-Portal in dieser Form aufbaut?

Martin: Sie müssen sich nicht länger um die tägliche Identitäts- und Berechtigungsverwaltung kümmern. Sie können sich wesentlichen Dingen zuwenden, wie der Verbesserung der Servicequalität, der Optimierung und Automatisierung von Standards sowie der Verbesserung der Datensicherheit. In das Tätigkeitsfeld der IT-Administratoren fällt außerdem, Identitätskonzepte zu entwerfen, IdM-Administrationsrollen zu definieren und die notwendigen Prozessautomatisierungen mittels PowerShell vorzunehmen.

Derart konzipiert, geht auch die Einführung des IdM-Portals innerhalb der Verwaltung schnell über die Bühne. Im Fall der IdM-Portallösung von FirstAttribute reicht dafür ein Konzeptions- und Implementierungs-Workshop aus. Wie gut der Zuschnitt des IdM-Portals im öffentlichen Bereich ankommt, das beweist die Nachfrage. Es vergeht kaum eine Woche, in der nicht eine Stadt, eine Gemeinde oder ein Landkreis unsere Lösung anfragt.

 *) Hadi Stiel ist freier Journalist und Kommunikationsberater in Bad Camberg
 +