|
»manage
it«
als
E-Paper 5-6 2011
E-Paper
3-4 2011
E-Paper
1-2 2011
E-Paper 11-12 2010
E-Paper
9-10 2010
E-Paper
7-8 2010
E-Paper
5-6 2010
| |
Identity
Management
Identitäts-Krise in Unternehmen
Kaum ein
Unternehmen kann heute sagen, wie es um seine Datenqualität in allen Systemen
der beteiligten Geschäftsprozesse aussieht. IT-Administratoren sind sich darüber
bewusst, dass ihre Daten Fehler aufweisen, können aber kaum genaue Aussagen
darüber machen, wie hoch die Fehlerquote ist und verweisen auf die ständige
Nachbesserungen im laufenden Betrieb. Doch schon die Frage, welche kritische
Kombination von Rollen ein beliebiger Mitarbeiter gerade besitzt, kann nur noch
stichprobenartig überprüft werden. Dadurch entstehen Lücken in der
Unternehmenssicherheit, die eine unbewusste oder vorsätzliche Manipulation von
Firmendaten mit sich bringen kann. Auf der anderen Seite werden mehr und mehr
Compliance-Richtlinien gefordert, die von den Firmen eine widerspruchsfreie,
aktuelle und wahrheitsgetreue Berichterstattung fordern. Je mehr ein Unternehmen
wächst, ohne sich dieser Problematik anzunehmen, umso schneller läuft es in die
Identitäts-Krise.
Zum
wichtigsten Kapital eines Unternehmens gehören personenbezogene Informationen
von Mitarbeitern und Kunden. Ohne eine zuverlässige Pflege und der
Sicherstellung der Integrität dieser Daten ist keine erfolgreiche
Unternehmensführung möglich. Fehler im Datenbestand können zu massiven
Einschränkungen in der Mitarbeiter-Produktivität wie im Unternehmens-Umsatz mit
sich bringen. Mängel in der Sicherheit des Datenzugriffs führen zu
missbräuchlicher Verwendung bis hin zu Industriespionage. Je nachdem, welche
Studie man zu diesem Thema liest, ergeben sich die unterschiedlichsten Szenarien
von Missständen:
·
»Bis zu 40 % der Anwender haben keinen berechtigten Zugriff auf Daten«
·
»Bei den jeweiligen Systemen werden bis zu 30 % der Kosten für die Autorisierung
des Zugriffs generiert«
·
»Bis zu 80 % der Helpdesk-Calls dienen dem Reset von Passwörtern«
·
»Im Mittel braucht ein neuer Mitarbeiter etwa 2 Wochen, bis er bei allen
Systemen, die er für seine Arbeit benötigt, eingerichtet ist«
·
Ȁnderungen bei den Aufgaben der Mitarbeiter spiegeln sich nicht in den Systemen
wider«
·
»Viele Administratoren können viele Prozesse nur manuell umsetzen«
Theoretischen
Zahlen und Aussagen wie diese lassen sich im konkreten Einzelfall natürlich nur
schwer reproduzieren, dennoch bestehen solche oder ähnliche Risiken in der einen
oder anderen Form in nahezu jedem Unternehmen. Seit der Digitalisierung der
Geschäftsdaten und –Prozesse ist man mit diesen Herausforderungen konfrontiert.
Vor etwas mehr als 10 Jahren hat man erkannt, dass eine Fokussierung
personenbezogener Daten auf einen zentralen Service einen massiven Vorteil in
der Integrität der Daten und der Datensicherheit mit sich brachte. In dieser
Zeit entwickelten sich die ersten Directory-Lösungen mit X.500- und
LDAP-Architekturen, deren Standardisierung eine umfassende Interoperabilität
sichern sollte. Doch dieser Ansatz war zu einfach, da sich bei weitem nicht alle
Dienste dem Diktat einer zentralen Directory-Instanz unterwarfen. Darüber hinaus
waren ein brauchbares Rollenmodell sowie ein granulares Zugriffs- und
Sicherheitskonzept mit diesen Mitteln nur unzureichend auf die Bedürfnisse der
meisten IT-Gegebenheiten abzubilden. Während monolithische Metadirectory-Ansätze
vielfach in der eigenen Komplexität erstarrten, erfolgte in anderen Lösungen
teilweise wieder eine Dezentralisierung der Daten, die mit mehr oder weniger
individuellen Synchronisations-Mechanismen untereinander abgeglichen wurden.
Parallel dazu entwickelten sich die ersten Implementierungen von
Provisionierungs-Lösungen. Diese waren darauf ausgerichtet, dass Datenänderungen
von personenbezogenen Informationen in geordneten Prozessen ablaufen. Mit der
Einführung von Compliance-Richtlinien in den letzten Jahren wird mehr und mehr
sichergestellt, dass die Bereitstellung der Daten, deren Umgang und deren
Verwaltung allgemein anerkannten Normen unterliegen, um sowohl den Richtlinien
der Datensicherheit, der Interoperabilität als auch der Gesetzeskonformität zu
genügen. Aus diesen Erfahrungen heraus bilden sich heute Konzepte und Lösungen
auf dem Markt, die die Vorteile einer zentralen, richtlinientreuen Verwaltung
personenbezogener Daten anbieten.
Digitale
Identitäten und deren Management
Der Begriff
»Identität« bezeichnet die den Menschen kennzeichnende und als Individuum von
anderen Menschen unterscheidende Eigentümlichkeit seines Wesens. Digitale
Identitäten bilden diese Definition auf Systeme der digitalen
Informationsverarbeitung ab. Dabei kann ein Mensch durchaus verschiedene
Identitäten haben: als Mitarbeiter im Unternehmen, als Kunde bei einem
Online-Buchshop oder als Vielflieger bei einer Fluggesellschaft. Als Oberbegriff
werden darunter all die Attribute zusammengefasst, die die Person für das
jeweilige soziale Umfeld kennzeichnen.
Attribute
Alle
Identitäten haben einen eigenen Raum von Attributen. Viele dieser Daten sind
redundant, manche sind nur dem jeweiligen System eigen. Auch als Mitarbeiter
eines Unternehmens besitzt man verschiedene Identitäten: die Identität innerhalb
der Personalabteilung, für den Mail-Service, den Web-Zugriff, die Telefon-Liste,
als Sachbearbeiter-Account für die Kundenbetreuung und vieles mehr. Damit
verbunden ist eine umfassende Redundanz von Information, die in allen Systemen
mehr oder weniger gleich ist, aber individuell gepflegt werden muss. Dadurch
wiederum ergibt sich einerseits ein hoher Administrations-Aufwand, der sich mit
jedem neu aufkommenden System potenziert, andererseits erhöht sich die
Wahrscheinlichkeit, dass Fehler auftreten oder dass ein und dieselbe Information
in semantisch gleicher, syntaktisch aber unterschiedlicher Ausprägung auftritt
(Beispiel: In der Personalbuchhaltung ist die Telefonnummer des Mitarbeiters mit
Länderkennung und Bindestrich als Trennzeichen hinterlegt, im Web-Adressbuch
steht nur die Durchwahl und auf dem Mitarbeiterportal hat dieses Datum einen
Zahlendreher). Manuell administrierte Systemlandschaften leiden oft an einer
retardierten Pflege des Datenbestandes bis hin zur »Datenleichen«. Bis ein neuer
Mitarbeiter auf allen für seine Arbeit notwendigen Systemen Einzug gefunden hat,
können manchmal Wochen vergehen. Verlässt er das Unternehmen, kommt es vor, dass
er noch auf Jahre hinaus seinen Account weiter behält, weil einfach vergessen
wurde, diese Datensätze stillzulegen.
Rollen
Jeder
Mitarbeiter hat eine Tätigkeitsbeschreibung und benötigt für diese eine
dedizierten und wohl definierten Datenzugriff. Nun kann man hierfür jedem
Einzelnen einen eigenen, individuellen Zugriff einrichten, dadurch wird aber die
Verwaltung der Berechtigungen zu einer immensen Aufgabe. Einfacher wird dies
über ein Rollenmodell umgesetzt, bei dem der Mitarbeiter eine oder mehrere
Rollen bekommt, die einen definierten Katalog an Zugriffsberechtigungen
umfassen. Durch Vergabe oder Entzug dieser Rollen werden die Berechtigungen
gesteuert. Die Rollen werden durch die Richtlinien, die sich das Unternehmen
selbst gibt oder die durch Gesetze vorbestimmt sind, definiert. Prozessabläufe
regeln die Reihenfolge und die Genehmigungs-Vorschriften, nach denen sowohl die
Benutzerdaten erzeugt, geändert, gelöscht oder gesperrt - als auch die
Rollenvergabe und Zugriffsberechtigung verteilt wird.
Compliance
Ohne ein
software-gestütztes Management von Digitalen Identitäten sind die
Administratoren der einzelnen Systeme jeweils damit beschäftigt, die
personenbezogenen Daten auf dem neuesten Stand zu halten und die Berechtigungen
zu verwalten. Mit Hilfe einer digitalen Identity Management Architektur kann die
vormals manuelle und individuelle Administration mit all ihren Fehler-Risiken
entscheidend verbessert, die Datensicherheit und –integrität massiv unterstützt
werden. Mittels digitalisierten Workflow-Prozessen und deren
Genehmigungs-Abläufen werden lesende wie schreibende Datenzugriffe kanalisiert
und richtlinienkonform verarbeitet. Vordefinierte Business-Prozesse regeln die
aktive Übernahme von Verantwortlichkeiten für Freigaben durch Vorgesetzte,
organisieren die Protokollierung von Vorgängen und stellen die Synchronisation
der Daten unter den beteiligten Systemen sicher.
Dass die
Problematik und die entsprechende Lösungsmodelle für Digitalen Identitäten und
deren Verwaltung zurzeit eine sehr hohe Aufmerksamkeit erfährt, belegen
zahlreiche Studien zu diesem Thema. Laut Gartner beispielsweise werden 2008 etwa
60 % der Fortune-2000-Unternehmen ein unternehmensweites Identity- und
Rollen-Management eingeführt haben, um weitgehende Compliance personenbezogener
Daten in den Unternehmen zu erzielen [1]. Die Meta Group rechnet in einer
anderen Studie vor, dass sich mit der Einführung von Identitäts-Management die
Kosten für den administrativen Aufwand für Benutzerdaten um bis zu 30 % senken
lassen [2]. Aber auch ohne diese theoretischen Studien wird die Notwendigkeit
für die Einführung von Identity Management in Unternehmen unmittelbar erkannt,
wenn diese beispielsweise ihre Geschäftsbeziehungen mit ihren Kunden unter die
Regularien der Sarbanes Oxley Acts abwickeln müssen. Der Sarbanes Oxley Act (SOX)
ist ein Gesetz zur Regelung der Berichterstattung in Unternehmen und wurde in
den USA im Zusammenhang mit dem Zusammenbruch von Enron und Worldcom
implementiert. Dabei bezieht sich SOX nicht ausdrücklich auf die IT eines
Unternehmens, sondern zielt auf eine widerspruchsfreie, aktuelle und
wahrheitsgetreue Finanzberichterstattung der Unternehmen. Abschnitt 404 des
Gesetzes fokussiert sich auf die Protokollierung und das Reporting der Zugriffe
und Berechtigungen von User auf Unternehmensdaten. Abschnitt 302 definiert die
Zuverlässigkeit und Sicherheit der Informationen. Um diesen ausformulierten
Gesetzesanforderungen zu genügen ist es für Unternehmen unabdingbar, die
firmeninterne IT-Organisation so umzusetzen, dass Daten integer, vertraulich und
von unbefugtem Zugriff geschützt sind.
Aber man muss
nicht in die USA blicken, um Compliance-Richtlinen zu begegnen. Von Basel II aus
dem Bereich der Bankenaufsicht über Solvency II beim Versicherungsaufsichtsrecht
bis hin zu den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler
Unterlagen (GDPdU) werden zunehmend Compliance-Richtlinien auf Bundes- und
Europaebene verlangt, die unmittelbar auf die IT-Organisation der Unternehmen
Einfluss nimmt.
Datenhoheit
Betrachtet man
ein Unternehmen mit seiner Vielzahl von Systemen, so fällt auf, dass nahezu
jeder IT-Service eines Repository personenbezogener Daten hat, auf den er
angewiesen ist. Eine Telefonanlage listet Namen und Telefonnummern auf. Das
Mailsystem die Mailadressen, Name, Quotas und Passwörter. Applikationen zur
Kundenbetreuung und Geschäftsprozessabwicklungen haben einen eigenen Datenstamm
mit Namen, Adressen, Passwörtern, Zugriffsberechtigungen. Je nach
Unternehmensgröße ist diese Liste beliebig lang. Und die Redundanzen der Daten
sind entsprechend umfangreich. Namen, Adressen, Passwörter, Telefonnummern: Oft
liegen im Unternehmen genauso viele Versionen dieser Daten vor wie es Systeme
gibt. Die Frage ist nur: Welche Fassung ist die richtige? Oder anders gefragt:
Welches System hat die verlässlichsten Daten?
Bei der
Einführung von Identity Management muss daher (zunächst konzeptionell und zu
einem späteren Zeitpunkt in einer produktiven Umgebung automatisiert)
entschieden werden, welches System die verlässlichsten Daten hat. Hierzu gehören
beispielsweise die unternehmensinternen HR-Systeme (in vielen Fällen
SAP-HCM-Systeme [3]), die Attribute wie Name, Vorname und Adresse eines
Mitarbeiters führen. Daten, die dort hinterlegt sind, durchlaufen die häufigsten
Kontrollzyklen und sind am besten geschützt. Die gleichen Informationen können
auf einem Corporate Directory hinterlegt worden sein, dort werden sie aber
vielfach unter ungleich geringeren Kontrollzyklen hinterlegt und genießen daher
einen geringeren Stellenwert in Bezug zur Datenqualität. Demgegenüber obliegt
die Verwaltung von Service-Attributen wie Mail-Adresse dem Mailsystem, Telefon-
oder Faxnummer dem Telefonsystem usw. Für diese Informationen ist der jeweilige
Service das führende System, d.h. das betreffende System ist für die
Integrität dieser Daten verantwortlich.
Die Verteilung
der Verantwortlichkeit dieser Daten hat einen besonderen Begriff, man spricht
hier von Datenhoheit. Das System, das die Datenhoheit über ein bestimmtes
Attribut besitzt, ist in der Lage, in allen anderen Zielsystemen diese
Informationen zu überschreiben. Umgekehrt: Darf ein Zielsystem seinen eigenen
Datensatz beschreiben und besitzt aber nicht dessen Datenhoheit, so sind diese
Datenänderungen nur lokal und werden beim nächsten Update vom führenden System
wieder überschrieben.
Beispiel: Ein
HCM-Systemin einem
Beispiel-Unternehmen verwaltet Daten, deren Zuverlässigkeit mehrfach geprüft
wurde. Darunter fallen Name, Vorname und Adresse eines Mitarbeiters. Die gleiche
Information wurde auf einem Active Directory in Form einer »Directory-Identität«
hinterlegt, dort aber unter ungleich geringeren Kontrollzyklen. Desweiterhin
setzt sich eine »Mailuser-Identität« eines Mitarbeiters neben den oben
beschriebenen Attributen auch aus Daten wie »Mailadresse« und »Mailquota«
zusammen. Für die beiden letztgenannten Attribute ist das
Mailsystem die führende Instanz. Jedes weitere System trägt auf diese Weise
seine eigene Service-Identität und die betreffende Information bei. Eine
Identity Management Architektur sorgt nun dafür, dass alle Identitäten mit Daten
aus den jeweils führenden Systemen synchronisiert werden, so dass alle
Service-Identitäten die bestmögliche Datenintegrität besitzen.
Zusammenfassend
lässt sich sagen: eine Identity Management Plattform verwaltet Digitale
Identitäten von Mitarbeitern innerhalb von Unternehmen. Als eine Art »Broker«
sorgt sie für ein geordnetes und protokolliertes Datenzugriffs- und
Änderungs-Management und regelt die Synchronisation personenbezogener
Informationen zwischen dem jeweils führenden System mit allen anderen
Datenbeständen. Die Abbildung von Compliance-Richtlinien stellt sicher, dass
sowohl unternehmensinterne Vorgaben als auch Gesetze ihre Anwendung finden.
Damit sorgt Identity Management für eine konsistente Datenqualität, die mit der
bisherigen manuellen Administration in nichts zu vergleichen ist.
SAP Netweaver
Identity Management
Unternehmen
haben erkannt, dass die sogenannte Identity Crisis mit all ihren
Missständen auch eine Chance ist, das eigene Fundament an IT-Services und Daten
zu überarbeiten, es zu stärken und sicherer zu gestalten. Da die Umsetzung
sowohl eine leistungsfähige Plattform als auch die notwendige Erfahrung
erfordert, ist man auf kompetente und erfolgreiche Partner angewiesen. SAP steht
hierfür mit seinem Produktportfolio an vorderster Stelle.
SAP NetWeaver
Identity Management leistet plattform-, system- und herstellerübergreifendes
Verwalten digitaler Identitäten zur Reduzierung von Kosten in der
IT-Administration sowie zur Maximierung von Sicherheit und Qualität der
personenbezogenen Daten eines Unternehmens. Die Lösung provisioniert sowohl
personenbezogene Daten als auch Systemzugriffe über alle Geschäftsprozesse
hinweg. Über die native Integration der SAP Business-Plattform sichert ein
Connector-Framework mit über 40 Connectoren die Integration einer Vielzahl von
Zielsystemen anderer Hersteller. Dabei handelt es sich nicht um ein einzelnes,
isoliertes Tool innerhalb des Unternehmensnetzwerks, vielmehr versteht SAP den
Begriff Identity Management als umfassender Teil einer Plattform-Lösung,
der maßgeblich zur Sicherung und Effizienzsteigerung von Geschäftsprozessen
beiträgt. Obwohl noch ein junges Mitglied in der Reihe der Netweaver Business
Applikationen, kann SAP Netweaver Identity Management mittlerweile mehr als 150
etablierte Kunden aufweisen, darunter beispielsweise der Referenzkunde BT Global
Services. Als integraler Bestandteil der SAP Netweaver Business-Suite stellt die
Identity Architektur die Basis für eSOA und ergänzt wichtigen
Unternehmensaufgaben wie ERP und CRM um ein Funktionsportfolio, das
personenbezogene Unternehmensdaten konsistent, synchron, plattformübergreifend
und sicher verwaltet.
Dr. Peter
Gergen
_____________________________________________________________________
Dr. Peter Gergen,
Presales Specialist Identity Management, SAP Deutschland GmbH & Co KG
[1]
Gartner: »Identity and Access Management today«
[2]
Meta Group: The Value of Identity Management
[3]
HCM =
Human Capital Management (früher als HR bezeichnet)
|
20080304n SAP Identity Management