Modulare Lösungen vereinfachen die Einführung von Identity Management und erfüllen so Sicherheits- und Compliance-Anforderungen.
Nichts ist so heterogen und wechselhaft wie ein großes Unternehmen. Sowohl die genutzte IT als auch die Mitarbeiter/innen sind heterogen und verändern ständig ihre Struktur. IT-Systeme kommen und gehen oder werden “up-gedated”. Mitarbeiter kündigen, neue werden eingestellt; Praktikanten, Urlaubsvertretungen und externe Berater sind auf Zeit Teil des Unternehmens; Partner und Kunden müssen ebenfalls berücksichtigt werden. Sie alle benötigen geregelten Zugriff auf Applikationen, Datenbanken, Internet und Intranet. Aber als ob das nicht genug wäre, muss auch der Zugang zu Gebäuden und Ressourcen wie Druckern klar geregelt sein. Das Thema Compliance tut sein Übriges. Stellen Sie sich die Aufgabe in einem Unternehmen mit 50.000 Mitarbeitern vor – Flöhe hüten klingt einfacher.
Selbst Mitarbeiter aus derselben Abteilung und der gleichen Hierarchieebene haben oft unterschiedliche Befugnisse und gehören verschiedenen Gruppen an. Diese Heterogenität der Mitarbeiter und ihrer Berechtigungen führt dazu, dass in nahezu jedem Unternehmen ab einer gewissen Größenordnung Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) im Einsatz ist. Automatisches Erzeugen und Löschen von Benutzer-Accounts sowie deren Aktualisierung und Weitergabe von Benutzerinformationen über die Systemgrenzen hinweg senkt den Aufwand für die unternehmensweite IT-Administration und erhöht die IT-Sicherheit. Kurz gesagt: IAM hilft sicherzustellen, dass im Unternehmen alles mit rechten Dingen zugeht.
Kein Anzug von der Stange
Benutzerverwaltung ist ein zeit- und ressourcenintensiver Prozess, den viele IT-Manager und Business-Verantwortliche gerne automatisieren würden bzw. müssen. Doch nur die wenigsten Unternehmen schaffen das. Aus unserer Beratungsfunktion heraus wissen wir bei OGiTiX, dass die meisten IT-Verantwortlichen kein genaues Bild davon haben, was sie eigentlich brauchen. Entweder suchen sie das allumfassende Tool, mit dem sich, zumindest laut Herstellerangaben, alles auf einmal erledigen lässt oder sie wollen nur eine Lösung für eine einzige, genau definierte Fragestellung.
Im ersten Fall ist es oft so, dass der Sprung von 0 auf 100 nicht und vor allem nicht schnell genug gelingt, was dazu führt, dass Frust einkehrt und einige Abteilungen losgelöst zu Szenario zwei wechseln und sich selbst um Lösungen bemühen. Dies führt jedoch dazu, dass beim nächsten Problem eine weitere oft inkompatible Lösung angeschafft werden muss. Über kurz oder lang herrscht meist ein Wust an unterschiedlichen Lösungen auf Abteilungs-, Tochterfirmen- und Landesebene, die über die Zeit hinweg angeschafft wurden und aneinander vorbeiarbeiten. Eigentlich logisch, denn die perfekt auf eine Firma zugeschnittene IAM-Lösung – den Anzug von der Stange – gibt es nicht.
Position und Handlungsbedarf ermitteln
Um das passende IAM zu finden, müssen IT-Manager zunächst bewerten, wo ihr Unternehmen aktuell steht: Welche konkreten Probleme bestehen und auf welchem Level tauchen sie auf? Die Bereiche des IAM, in denen der Handlungsbedarf untersucht und gegebenenfalls festgelegt werden muss, sind vielfältig. Sie reichen von einer Automatisierung in den Bereichen Helpdesk, Access Rights Management sowie einem Webportal für Anfragen von Nutzern über die Anbindung an das HR-System oder die Nutzer- und Rechteverwaltung für Cloud-Dienste bis hin zur Kontrolle und gegebenenfalls zeitlich beschränkten Anpassung der Nutzerrechte je nach Aufgaben oder Rollen des Mitarbeiters.
Ein typisches Problem ist das Anlegen von neuen Mitarbeiterkonten, das statt des vielberühmten Knopfdrucks viel zu lange dauert. Hier müsste als erstes der Helpdesk mit einfachen Tools und wenig Rechten zur effektiven Ausführung seiner Aufgaben ausgestattet werden. Soll dagegen nachgeprüft werden können, wer wann, was, wo, mit welchen Rechten und warum wie lange geändert hat, braucht man eine Lösung zum historischen Access Rights Management, in die gegebenenfalls auch die Bestimmungen anderer Abteilungen, etwa Datenschutz oder Controlling, einbezogen werden müssen. Mit dem richtigen Tool können IT-Verantwortliche hier klare Akzente setzen, die Sicherheit erhöhen, mehr Transparenz schaffen und für größere Entlastung in der IT sorgen. Aber wo und wie beginnen?
Think Big – Start Small
Obwohl die Automatisierung der Benutzerverwaltung seit fast 20 Jahren ein Thema ist, hat kaum jemand eine vollständig zufriedenstellende Implementierung. Das liegt daran, dass viele der angebotenen Lösungen selbst für große Mittelständler zu komplex waren und immer noch sind. Sie sind weder leicht umzusetzen noch liefern sie direkt greifbare Ergebnisse.
Zwar muss eine IAM-Lösung langfristig das gesamte Identity Management übernehmen können, sie sollte aber gerade anfangs nur die Funktionalität bieten, die aktuell gebraucht wird. Dies lässt sich am einfachsten über eine modulare Lösung wie unser OGiTiX unimate erreichen, mit der das IAM nach und nach an die Bedürfnisse des Unternehmens angepasst wird. Think Big, Start Small ist hier das Gebot der Stunde. Die Verwendung gängiger Scriptsprachen wie Powershell, VB Script, CMD, Perl Telnet oder SSH ermöglicht dabei die Anbindung an nahezu alle IT-Systeme, aber auch die Integration eventuell vorhandener Eigenprogrammierungen. So lassen sich sukzessive auch die Einzel-Lösungen aus den Abteilungen wieder einfangen und integrieren.
Reporting & Compliance – ohne geht nichts
Gerade beim Thema IAM spielen Compliance und Reporting eine wichtige Rolle, da einerseits strenge Datenschutzauflagen erfüllt werden müssen, andererseits jederzeit die Auswertung bestehender Daten oder die Nachprüfung getätigter Änderungen möglich sein muss. Es ist daher wichtig, dass jedes einzelne IAM-Modul diese Aspekte berücksichtigt, damit die Automatisierung sämtlicher Prozesse auch tatsächlich lückenlos, verlässlich und langfristig möglich ist.
Ein ganzheitliches Tool führt daher alle Daten zu internen und externen Mitarbeitern, Konten und Rechten an einem zentralen Ort verschlüsselt zusammen und bietet die Möglichkeit, sämtliche organisatorischen und technischen Aspekte eines Workflows jederzeit zu überprüfen und auszuwerten. So hat die IT-Abteilung stets einen aktuellen, transparenten und nachvollziehbaren Überblick über alle Prozesse im Bereich Identity Management. Bei OGiTiX unimate haben wir daher eine integrierte Revisionierung in jedes Modul implementiert, die automatisch erfasst, welcher Mitarbeiter zu welchem Zeitpunkt welche Berechtigungen besaß und wann auf was zugegriffen hat. So lassen sich Richtlinien und gesetzliche Bestimmungen quasi im Vorübergehen, Schachspieler nennen das “en passant”, einhalten.
Mitarbeiter involvieren bereitet den Weg zu agilen Services
Von einem modernen IAM kann aber nicht nur die IT-Abteilung profitieren, auch die Mitarbeiter sollten von Automatisierung und Effizienz des Identity Management Vorteile haben. Neben einer Verwaltungsoberfläche für die IT-Manager sollte das IAM daher auch über eine allgemein verfügbare Service-Oberfläche verfügen, auf der Mitarbeiter selbst bestimmte Prozesse beauftragen und anstoßen können. Dabei kann es sich um ein Web-Portal handeln, mit dem Mitarbeiter die automatische Rechtevergabe beantragen und genehmigen lassen können: Nach Freigabe durch den zuständigen Verantwortlichen wird die Änderung im Zielsystem automatisch umgesetzt. Das IT-Personal wird über die Änderungen informiert, muss aber nicht manuell eingreifen.
Dadurch wird die Benutzerverwaltung interaktiver und für den Mitarbeiter befriedigender. Einfache Aufgaben können selber schnell erledigt werden, Mitarbeiter sind nicht mehr bei jedem Schritt auf die Hilfe der IT-Abteilung angewiesen. Das IT-Team erhält weniger Supportanfragen und kann sich ganz auf die Bearbeitung komplizierterer Anfragen und deren Lösung konzentrieren
Flexibilität ist Trumpf
Auf der administrativen Seite sollte neben alltäglichen Aufgaben wie der übersichtlichen Statusverfolgung, dem Controlling und dem Reporting auch eine Anpassung des IAM an neue Gegebenheiten möglich sein. Idealerweise lassen sich Modifizierungen ohne viel Aufwand oder Programmierung durch “Drag-n-Drop” von kompletten Bauteilen für Webformulare und Arbeitsmasken sowie von Modulen mit vorgefertigtem Programmcode in bestehende Workflows erledigen.
Mit einem derartigen System zur automatisierten Benutzerverwaltung, das sicher, nachvollziehbar, modular und skalierbar ist, gestalten Unternehmen IAM tatsächlich als agile Services: ein Regelwerk, das nach gewissen Kriterien abläuft und sich trotzdem flexibel an die notwendigen Anforderungen anpasst. Oft werden sich Unternehmen erst bewusst, wie wenig strukturiert und ineffizient einige Aufgaben bisher abgelaufen sind, wenn sie die ersten definierten Workflows eingeführt haben. Nach den ersten Erfolgen öffnen sich dann weitere Einsatzgebiete und Optimierungspotentiale, die durch den modularen Ansatz sukzessive angegangen werden können. Und das Beste, ein modulares IAM bietet schon jetzt die nötige Agilität, um Prozesse abzubilden, von denen man heute noch nicht weiß, dass man sie morgen automatisieren will.
Markus Förster ist CEO der OGiTiX Software AG und zuständig für Marketing & Vertrieb. OGiTiX ist ein deutscher Softwarehersteller dessen Unternehmen beim strategischen Einsatz von IT unterstützen und Komplexität reduzieren.