Am Anfang der Idee von B2B-Marktplätzen stand nur ein Wunschbild. Es gab keine funktionsfähige Software, keine Geschäftsmodelle, keine Erfahrungen, keine zwingenden Anforderungen aus dem Business, nichts. Und bei manchem der Schlagworte vergangener Jahre wie etwa dem Knowledge Management ist man auch heute noch auf der Suche nach dem "Ei des Kolumbus", der Software, die das Problem wirklich lösen kann.
Identity Management unterscheidet sich von solchen Schlagworten fundamental, weil es eben nicht von einer vagen Idee ausgeht, sondern einerseits von ganz konkreten Geschäftsproblemen getrieben wird. Andererseits geht es nicht um fundamental neue Software, sondern um eine Gesamtbetrachtung vieler, zum Teil seit Jahren bestehender Teil-Lösungen.
Nicht umsonst trug ein Tutorial der Catalyst Europe Conference 2003 der Burton Group, dem führenden Analysten- und Beratungsunternehmen für den Bereich Identity Management, den Titel "putting it all together". Teil-Lösungen wie Web Access Management, Meta-Directory-Dienste, Provisioning, Single Sign-On, Passwort-Management und Verzeichnisdienste werden beim Identity Management als Ganzes gesehen, denn sie vereinen eines: die Identität. Dabei kann es sich um die Identität eines Mitarbeiters, eines Kunden oder eines Partners handeln. Immer geht es darum, diese Identitäten zu kennen, zu authentifizieren und ihnen gezielt Zugriffsberechtigungen auf Ressourcen zu geben.
Identity Management hat dabei viele Treiber. Da sind zum einen die gern und viel zitierten administrativen Kosten. Die Burton Group und andere Analysten nennen Kosten zwischen 50 und 200 Dollar für jedes Zurücksetzen eines Kennworts. Anders formuliert: Ein wesentlicher Teil der Helpdesk-Kosten entsteht, weil Benutzer viele Zugriffsberechtigungen für viele Systeme haben und damit schlicht überfordert sind. Neben diesen Helpdesk-Kosten gibt es noch andere Bereiche mit erheblichem Einsparungspotential wie beispielsweise die Kosten für den hohen administrativen Aufwand. In diesen Einsparungen liegt auch einer der wichtigen Treiber für die zunehmende Relevanz des Identity Management.
Viel wichtiger sind aber Themen, die gerne unter Schlagworten wie Compliance, Corporate Governance oder Risk Management eingeordnet werden. Ohne den Schritt hin zu einer Identity-Management-Strategie und damit in der Umsetzung zu zentralen Ansätzen für das Identity Management lassen sich viele Anforderungen, die heute an Unternehmen gestellt werden, schlicht nicht mehr erfüllen. Wer Anforderungen wie HIPAA in den USA (Health Insurance Portability and Accountability Act), aber auch Richtlinien zum Schutz privater Daten oder die nationalen Datenschutzgesetze erfüllen muss, muss wissen, wer wann welchen Zugriff auf was hat. Genauso wie es der Manager wissen muss, der dem Wirtschaftsprüfer glaubhaft machen möchte, dass er die auf Datenträgern gespeicherten Assets des Unternehmens auch wirklich geschützt hat.
Das Thema Sicherheit hat in letzter Zeit weiter Auftrieb erhalten, nicht zuletzt auch aufgrund der hohen Verbreitung von Würmern und Viren. Und ein wichtiges Element dabei ist das Identity Management. Denn wenn man nicht genau weiss, welche Benutzer in welchen Systemen mit welchen Berechtigungen angelegt sind, weiss man auch nie, wie es um die IT-Sicherheit steht.
Die Herausforderung des Identity Management liegt nun darin, den gesamten Lebenszyklus einer Identität in der IT zu verwalten. Benutzer werden zum Beispiel angelegt, wenn sie in ein Unternehmen kommen. Sie erhalten Berechtigungen. Ihre Identität, die in einem - virtuellen, typischerweise über mehrere Verzeichnisse verteilten - Profil abgespeichert ist, ändert sich, wenn die Person die Stelle im Unternehmen wechselt. Und wenn der Mitarbeiter das Unternehmen verlässt, muss sich das wiederum in der Identität auswirken.
Identitäten haben auch Zugriffsberechtigungen auf Ressourcen wie Dateien, Web Services oder Tasks in einem ERP-System. Diese müssen ebenfalls verwaltet werden. Das erfordert die Authentifizierung, also die Überprüfung der Identität, und die Autorisierung, also die Überprüfung von Zugriffsberechtigungen.
Für all diese Teilaufgaben gibt es heute funktionierende, erprobte Lösungen. Manche Teilbereiche wie Verzeichnisdienste gibt es schon lange, andere wie das Web Access Management sind noch vergleichsweise neu. Um den unausweichlichen Schritt hin zum Identity Management im eigenen Unternehmen zu gehen, muss man das Gesamtbild betrachten. Wo man beginnt, ist dann eine interessante Frage. Die Idealvorstellung, zunächst eine optimale Basis über Verzeichnisse und Meta Directories aufzubauen sowie Zugriffsmodelle zu definieren, um das alles dann Schritt für Schritt umzusetzen, scheitert oft aus mehreren Gründen. Erstens sind die Budgets für Infrastruktur-Massnahmen derzeit reichlich knapp. Zweitens führen solche Ansätze oft zu einem konzeptionellen Overkill, der der dynamischen Struktur von Unternehmen nicht angemessen ist - die Unternehmensdatenmodelle früherer Jahre lassen grüssen. Drittens ist der Markt für Identity-Management-Lösungen immer noch jung und gerade jetzt sehr dynamisch, von neuen Anbietern, wackelnden Start-ups, dem Einstieg der ganz Grossen wie IBM und Microsoft und vielen neuen Ideen geprägt. Und viertens muss man oft schnelle Lösungen schaffen, weil der Druck der Business-Treiber einfach zu gross ist.
Typische Ansatzpunkte für das Identity Management sind daher das Provisioning und das Kennwort-Management. Mit dem Provisioning werden Prozesse definiert, über die Identitäten in verschiedenen Verzeichnissen erstellt, geändert und gelöscht werden. Manche Anbieter wie Business Layers können dabei viel komplexere Workflows umsetzen, in denen beispielsweise auch die Beschaffung von Mobiltelefonen für neue Anbieter angestossen wird. Kennwort-Management wiederum adressiert das Problem der vielen und unterschiedlichen Kennwörter und wirkt sich damit indirekt auf die Helpdesk-Kosten aus. In beiden Fällen wird man aber auch merken, dass immer mehr Arbeit für das Gesamtkonzept und die Infrastruktur erforderlich wird, je umfassender die Lösungen ausfallen sollen.
Identity Management steht noch ganz am Anfang. Es ist aber eine der Säulen für die Web Services, die unvermeidlich die IT der nächsten Jahre prägen werden - neben den Applikationsdiensten und -servern sowie dem Systemmanagement, das sich vom Blick auf den Server zum Blick auf den gesamten Geschäftsprozess verändert. Ausserdem ermöglicht die zentrale Sicht auf die Identität auch neue Anwendungen von Identitäten. Die Personalisierung ist nur ein Beispiel. Auch wenn es heute nicht einfach ist, sich in dem heterogenen und sich schnell entwickelnden Markt zurechtzufinden, so ist doch sicher, dass man an dem Thema nicht vorbeikommt. Denn am Ende geht es vor allem um Sicherheit und Datenschutz. Identity Management beginnt, hier nicht mehr nur Stückwerke, sondern
immer umfassendere Lösungen zu liefern.
