Das Identity und Access Management (IAM) ist seit Jahren ein heisses Thema. In Zeiten, in denen wöchentlich von grossem Datendiebstahl oder Identitätsklau berichtet wird, umso mehr. Inkonsistente und nicht aktualisierte Benutzerinformationen sind für Angreifer ein gern gesehenes Eingangstor ins Firmennetzwerk. Ob den stetig steigenden weiteren Sicherheitsherausforderungen und der zunehmenden Umsetzung von Software-orientierten Architekturen (SOA) und Software as a Service (SaaS), für die IAM ein zentrale Rolle spielt, kommen Unternehmen praktisch nicht mehr ohne ein professionelles Verwalten von Identitäten und Zugriffsberechtigungen aus. Insbesondere auch da sich IAM in den vergangenen Jahren zu einem Kernbaustein einer wirksamen Governance-, Risk-Management- und Compliance-(GRC-)Strategie ent-wickelt hat.
Lange galt IAM vor allem als Thema für grössere Unternehmen, doch längst spielt es aus den genannten Gründen auch in KMU eine immer wichtigere Rolle. «Grundsätzlich braucht jedes Unternehmen Identity und -Access Management», weiss auch Martin Kuppinger, Fachmann für IAM. Er gibt in einem Kurz-Interview in diesem Artikel (auf Seite 26) noch weitere Tips zum Thema, erklärt Sachen, auf die man besser verzichten sollte und zeigt auf, dass IAM nicht zwingend mit grossen Kosten verbunden sein muss. «Wichtig ist, dass man das Richtige macht», so Martin Kuppinger.
Jedes Unternehmen ist anders. Darum ist das IAM in jedem Fall einzigartig und unterschiedlich. Es gibt aber ein paar Aspekte, die man allgemein bedenken muss. Als erstes gilt es, ein durchgängiges IAM-Konzept zu erstellen, das die ganze Firma samt ihren Prozessen und nicht nur die IT im Fokus hat. IAM-Projekte, die zu technisch angegangen werden, scheitern oft. Im vierten Schwer--punktartikel (ab Seite 32) gehen wir näher auf diesen Aspekt ein, weshalb und wie man das Business und die Prozesse integriert.
Auf technischer Ebene ist das grösste Problem bei einer IAM-Einführung die Integration der vielen vorhandenen und meist heterogenen Systeme. Ein IAM bildet ja quasi die Basis für alles andere und muss mit allen Programmen und Tools kommunizieren können. Es muss also viel technisches Know-how der Produkte und der vorhandenen IT-Architektur sowie allen Applikationen da sein, um diesen Anforderungen gerecht zu werden. Das reicht von Wissen über Telefone und ihre Provisioning-Verfahren über die SAP-Benutzerverwaltung bis hin zur Active Directory von Windows. Einer allein kann das nicht. Angesichts dessen ergibt das eine hohe Anzahl an Ansprechpartnern und ergibt eine weitere grosse Herausforderung, nämlich alle Ideen, Wünsche und Möglichkeiten abzuklären und letztlich unter einen Hut zu bringen.
Kommen wir aber zurück zur technischen Seite: Wie sieht es auf dem Markt für IAM-Lösungen aus? Das Angebot ist heute sehr vielfältig und reicht von kompletten IAM-Suites (mehr dazu in der grossen Marktübersicht ab Seite 28) bis hin zu einzelnen speziellen Lösungen beispielsweise aus den Bereichen digitale Signaturen, PKI (Public Key Infrastructure), Smartcard oder Biometrie. So gross und vielfältig der IAM-Markt bereits ist, so schnell entwickelt er sich auch fort. Laufend gibt es neue und bessere Lösungen, neue Standards, neue Anbieter. Man muss also immer à jour sein.
SaaS und Cloud Computing sind zwei Themen der Stunde. Viele Unternehmen beginnen sich damit auseinanderzusetzen. Das bedeutet, dass man sich auch dem IAM widmen muss. IAM ist nämlich die Basis für erfolgreiche SaaS-Lösungen. Denn: Wie werden Benutzer und Berechtigungen dafür geregelt? Was passiert bei einem Anbieterwechsel mit den Accounts und den Identitäten? Insbesondere vor dem Hintergrund, dass Unternehmen in Zukunft vermutlich mehrere SaaS-Angebote von mehreren Anbietern haben und sie mit Vor-Ort-Lösungen kombinieren werden, ist ein gut funktionierendes IAM umso wichtiger.
Ein neuer Trend, der sich in den letzten Monaten entwickelt hat, ist aber die stärkere Serviceorientierung des Identity und Access Management selbst, kurz auch IaaS genannt (Identity as a Service). IAM-Hersteller bieten wichtige Identitätsdienste wie Anmeldung, Authentifizierung, Autorisierung oder Audit-Informationen vermehrt als SaaS-Lösung an. Spezialisten unter den vielen Anbietern sind laut den Analysten von Kuppinger Cole und Partner (KCP) TriCipher, Multifactor Authentication, Arcot System oder Ping Identity. Der Fokus solcher Lösungen ist klar: auch damit den Schritt in die Cloud machen und somit die gesamte Software ins Netz auslagern. Bis es allerdings soweit ist, dienen die einzelnen Lösungen zur Flexibilisierung der bestehenden IAM-Lösung.
Im Bereich IaaS wird sich noch viel tun. Es wird ein grosses Thema an der kommenden European Identity Conference (5. bis 8. Mai) in München sein, wo zahlreiche internationale Sprecher Entscheidungshilfen und Trend-analysen sowie Vorträge und Diskussionen im Workshop-Charakter mit zahlreichen Best-Practices-Präsentationen geben werden. Ausserdem wird natürlich auch ein Blick auf die weiteren Trends im IAM geworfen.
Wie sehen diese Trends aus? Wir haben uns vom aktuellen Trend-Report der IAM-Spezialisten Kuppinger Cole + Partner (KCP) inspirieren lassen und können erläutern, was in den nächsten zwei Jahren im Markt geschehen wird. KCP haben das grosse Gebiet in vier Schwerpunkte geteilt. Im Bereich Administration erwarten sie gemäss ihrem Report in den nächsten Monaten keine grossen Neuerungen. Interessant wird aus ihrer Sicht bestimmt Microsoft ILM «2» werden. Einiges wird sich gemäss den Analysten im Bereich Authentication tun. Hier prophezeien sie ein grosses Wachstum im Bereich des Single Sign-On mit Fokus auf Enterprise-Lösungen. Sie erwarten ausserdem eine Flexibilisierung, die es erlaubt einfacher mehrere Authentisierungs-Lösungen einsetzen zu können. Während der Markt für Biometrie-Lösungen stagniere und schwach bleibe, nehme der für Multifunktionskarten, mit denen physischer Zugriff, Zahlungen, Authentisierungen und weiteres durchgeführt wird, zu. Ein Beispiel für eine solche Multifunktionskarte finden Sie in einer Fallstudie von PostFinance, SwissSign und Trivadis ab Seite 30.
Im Access-Bereich erwarten KCP, dass der Trend, Federation in Web-Access-Lösungen zu integrieren, weiterhin stark bleibt. Neu wird laut den Analysten die Zugriffskontrolle auf dem Netzwerk-Layer ein Thema werden, was gleichzeitig das Management der unterschiedlichen -Access-Lösungen (Firewall, System, Netzwerk etc.) erschwere. Last but not least gibt es auch im Bereich Auditig/GRC Neuerungen. Man erwartet eine grössere Aufspaltung in die Bereiche GRC fürs Business und GRC für die IT. Auf dem Gebiet «GRC for IT» werden vermehrt die bisher meist eigenständig behandelten Themen IT Service Management (ITSM) und das Security Information and Event Management (SIEM) integriert werden.
Dass das Identity und Access Management ein wichtiges Thema ist, beweisen auch die neusten Microsoft-Entwicklungen. Windows 7 und Windows Server 2008 R2, die eng miteinander arbeiten werden, kommen nämlich mit einigen neuen oder überarbeiteten IAM-Features. Es gibt beispielsweise Verbesserungen für die Unterstützung von Smartcards und biometrische Verfahren. Smartcards können neu mittels Plug and Play genutzt werden und entsprechen dem PIV-Standard. Als Standard-Schnittstelle für die Einbindung biometrischer Verfahren dient ein neues Windows Biometric Framework. Auch die Active Directory wurde mit neuen administrativen Funktionen verbessert. Neu sind zudem Managed Service Accounts erhältlich. Alles in allem einige nette IAM-News, so richtig interessant wird mit Blick auf Microsoft und IAM dann aber erst das neue Identity Framework «Geneva» werden, das seit November in einer ersten Beta-Version zur Verfügung steht.
Für wen ist IAM etwas, welche Unternehmen sollten sich damit auseinandersetzen?
Grundsätzlich braucht jedes Unternehmen Identity und Access Management. Die Herausforderung des «Access», also des kontrollierten Zugriffs auf Informationen, müssen alle Unternehmen lösen – und dazu müssen sie auch die Identitäten ihrer Nutzer verwalten. Die Frage ist eher, wer welches IAM braucht. Grosse Unternehmen mit vielen Benutzern, Unternehmen mit vielen externen Benutzern oder hoher Fluktuation und besonders sicherheitssensitive Unternehmen sind dabei sicher mehr gefordert. Und während für kleine Unternehmen vielleicht schon das Active Directory ausreicht, weil man eine reine Microsoft-Welt hat, gilt es in den mittleren und grösseren Unternehmen, die heterogene Welt in den Griff zu bekommen. Letztlich müssen aber alle an das Thema ran. Denn Herausforderungen wie der Datendiebstahl und der Schutz wichtiger Informationen lassen sich nur lösen, wenn man die Basis mit dem IAM gelegt hat.
Was kostet mich der Aufbau eines IAM-Systems?
Darauf gibt es keine pauschale Antwort. Wir kennen Projekte in grossen Unternehmen, die im Bereich von über 15 Millionen Franken liegen, gerade wenn man auch die internen Personalkosten voll einbezieht. Und es geht noch deutlich teurer. Es gibt aber auch Unternehmen, die mit einem überschaubaren Aufwand viel erreicht haben – manchmal schon durch relativ günstige Addons zum Active Directory oder anderen zentralen Systemplattformen. Wichtigist, dass man das Richtige macht. Das können Steuerungswerkzeuge für die Business-Ebene sein, um Business-Regeln in Autorisierungen umzusetzen, das kann eine weitgehende Automatisierung des Benutzermanagements sein, das können einfache Add-ons sein. Und dann gilt immer «Think big – start small – grow big». Wichtig ist dabei vor allem das «think big», sich also das Bild davon machen, wo man hin möchte. Dann kann man klein beginnen, aber an der richtigen Stelle. Und man kann sich beim Wachstum in die richtige Richtung bewegen. Leider sehen wir viel zu oft, dass Firmen klein beginnen – aber am falschen Punkt und ohne klares Ziel. Und das kostet am meisten. Klar ist auch: Die Projektkosten sind erheblich, die Softwarelizenzen meist der kleinere Teil der Kosten. Ein Blick auf Identity as a Service lohnt sich hier sicher, auch wenn sich der Markt erst langsam entwickelt.
Haben Sie Tips für Unternehmen, die ein IAM-System aufbauen wollen?
Der grösste und häufig zu beobachtende Fehler ist, dass Unternehmen damit beginnen, ein Provisioning-Werkzeug auszuwählen und sich dabei auf genau einen Systemintegrator verlassen. Das hat zwei Haken. Der erste ist, dass die Unternehmen vielleicht überhaupt kein solches Werkzeug benötigen, sondern eine ganz andere Lösung aus dem breiten Strauss an Ansätzen rund um IAM und GRC-Tools. Ohne klare Vision, Strategie und Roadmap ist das Risiko, in die falsche Richtung zu rennen und damit für Fehlinvestitionen sehr hoch. Der zweite Haken ist, dass die allermeisten Systemintegratoren nur wenige Produkte kennen und umsetzen – und damit die Entscheidung nicht unbedingt alle Optionen gleichgewichtet betrachtet. Den richtigen Systemintegrator findet man dann, wenn man weiss, was man will. Fälle, in denen zwei Integratoren völlig verschiedene Produkte auf Basis der gleichen Anforderungen empfehlen (die sie zufällig selbst implementieren würden), sind leider keine Seltenheit.
Und zum Schluss: Wohin geht die IAM-Reise? Was ist der Haupttrend?
Wir sehen als wichtigste Entwicklung, dass GRC-Werkzeuge als Steuerungsebene immer wichtiger werden. Dort werden Business-Regeln und Rollen definiert, die das IAM steuern. Provisioning-Werkzeuge setzen das um, aber mit zunehmend weniger Logik, die dort definiert wird.
· Mit Identity und Access Management muss sich heute jedes Unternehmen auseinandersetzen, ob gross oder klein.
· Das IAM ist sehr komplex und darf kein rein technisches Projekt sein. Es braucht einen unternehmensweiten Fokus.
· Mit dem Aufkommen von SaaS gewinnt IAM an Bedeutung und wird sogar selbst zum Service.
