Identity Management steckt in den Anfängen
Artikel erschienen in Swiss IT Magazine 2004/03
Fast die Hälfte aller Supportanfragen im Grossunternehmen haben das gleiche Thema: "Passwort vergessen". Zu diesem Schluss kam eine Umfrage der Meta Group im Jahr 2002. Der Durchschnitts-User, so eine weitere Erkenntnis der Studie, verbringt täglich 16 Minuten mit Log-ins und Authentifizierungsprozessen - auf 10'000-Mitarbeiter-Unternehmen umgerechnet, macht dies 2666 Stunden pro Tag, die für repetitive und unproduktive Anmeldevorgänge draufgehen.
Einer der Hauptgründe für diese Zeitverschwendung: Die Benutzer müssen sich für jede einzelne Applikation erneut anmelden - und die Zahl der Anwendungen ist im E-Business-Zeitalter gestiegen. ERP, CRM, SCM, E-Mail, Groupware, VPN-Verbindung und so weiter sind mit unterschiedlichen Systemen realisiert. Der Jargon spricht von gegeneinander abgeschotteten "Informations-Silos": Ein Schlüssel, der für ein bestimmtes Silo passt, öffnet das Nachbarsilo nicht. Statt einem Passepartout braucht der Anwender einen ganzen Schlüsselbund. Da verliert man schnell die Übersicht; der passende Schlüssel ist nicht bereit oder geht verloren.
Laut Christian Byrnes, Vice President bei der Meta Group, könnte das geschilderte Grossunternehmen allein mit einem System mehr als eine halbe Million Dollar pro Jahr sparen, das den Usern das Zurücksetzen eines vergessenen Passworts ohne Rückgriff auf die Supportabteilung ermöglicht; von den Einsparungen durch Single-Sign-On im Normalbetrieb ganz zu schweigen. Kein Wunder, dass immer mehr Softwarehersteller Produkte für das unternehmensweite Identitätsmanagement anbieten. Die Bandbreite reicht vom Directory-Server über Single-Sign-On-Systeme bis zu umfassenden Identity-Management-Suiten, die neben dem Zugriff auf die IT-Systeme auch Aspekte wie Gebäudesicherheit und Ausgabe von Identitätsmerkmalen wie Smartcards oder ID-Badges regeln.
Netegrity, bekannt als Pionierin des Web-basierten Single-Sign-On, positioniert "Business Agility" als Hauptmotivation für die Implementation von Identitätsmanagement-Software: Von Online-Systemen profitiert man nur dann optimal, wenn man erstens alle Möglichkeiten des E-Business ausschöpft und keine Geschäftsgelegenheit ausschliesst ("securely let business in"), zweitens die Risiken möglichst gering hält ("keep risk out") und dabei drittens auch gleich noch die Kosten senkt ("reduce costs").
Diese Ziele seien jedoch, nicht zuletzt aufgrund des Information-Silo-Problems, in der Praxis schwierig zu realisieren. Die Lösung liegt für Netegrity auf der Hand: Eine zentrale Zugriffsverwaltung, die mit Identity-Management-Systemen realisierbar wird, erleichtert das Online-Business und senkt Risiken und Kosten - erst wenn ein sicherer Zugang zu den IT-Systemen gegeben ist, lassen sich Geschäftsprozesse richtig automatisieren.
Es braucht aber weder ein Riesenunternehmen noch ein gigantisches ID-Management-System im Stil der eierlegenden Wollmilchsau. Identitätsmanagement beginnt bei einfachen organisatorischen Massnahmen wie der Festlegung der Mindestlänge und des Ablaufdatums von Passworten, geht mit Selbstverständlichkeiten wie einem zentralen Benutzerverzeichnis auf einem Directory-Server weiter und bringt in dieser Form auch in kleineren Umgebungen Vorteile.
Identitäten lassen sich nach drei verschiedenen Konzepten verwalten: Zentralisiert, dezentralisiert und föderativ.
Im zentralen Modell werden global gültige, eindeutige Identitäten von einer zentralen Stelle vergeben und verwaltet. Ein typisches Beispiel im öffentlichen Internet ist MSN Passport - hier übernimmt Microsoft weltweit die Rolle der Vergabe- und Kontrollstelle sowohl für Microsoft-eigene Websites als auch für die Online-Angebote von Dritten, die das Passport-System nutzen. Auch die meisten Identitätsmanagement-Systeme für den unternehmensinternen Einsatz arbeiten bis anhin zentralisiert. Der Vorteil: Solche Systeme sind schnell zu implementieren, sofort nutzbar und einfach zu warten. Hannes P. Lubich, IT Security Strategist bei Computer Associates und Mitglied mehrerer Security-Gremien, nennt aber auch Nachteile der zentralisierten Architektur. Das verantwortliche System stellt einen "Single Point of Failure" und - vor allem in öffentlichen Anwendungen hinsichtlich Datenschutz - einen "Single Point of Control" dar, so etwa nach dem Motto "put all your eggs in one basket and watch it very carefully".
Dezentrales ID-Management lässt sich am Beispiel des Mail-Verschlüsselungsprotokolls PGP erklären. Jeder Mail-Teilnehmer verwaltet hier seine eigene digitale Identität selbst, muss sich aber auch um das Einholen und Speichern der Identitätsmerkmale all seiner Kommunikationspartner kümmern. Der Benutzer hat zwar die volle Kontrolle, der Umgang mit den PGP-Schlüsseln wird aber schon bei wenigen Beteiligten kompliziert und ist mit Hunderten oder gar Tausenden von Mail-Partnern fast nicht mehr zu bewältigen.
Im föderativen Ansatz wird das Vertrauen innerhalb eines bestimmten Kontexts - zum Beispiel einer Abteilung oder einem Interessenzirkel von Anwendern - an eine "halbzentrale" Stelle delegiert. Die von dieser kontrollierten Identitäten betreffen direkt nur den jeweiligen Kontext. Sobald aber die Kontrollstellen untereinander vernetzt sind und sich gegenseitig anerkennen, ermöglicht auch der föderative Ansatz global gültige Identitäten. In der realen Welt ist dieses Modell gang und gäbe - das beste Beispiel ist der gute alte Pass, der lokal ausgestellt wird, als Identitätsmerkmal aber weltweit anerkannt ist. Laut Lubich sind föderativ organisierte Softwaresysteme noch am Entstehen - die Liberty Alliance als bedeutendste Initiative für föderatives Identitätsmanagement (www.projectliberty.org) hat unter dem Titel "Phase 1.1" eine erste Spezifikation hervorgebracht; einige konforme Produkte werden allmählich verfügbar. Erst "Phase 2", die derzeit als Entwurf vorliegt, wird jedoch neben der Identität von Personen auch die vertrauenswürdige Kommunikation zwischen Web Services abdecken, die für die Automation von Geschäftsprozessen unabdingbar ist.
Die Angebote der Hersteller zeigen, dass Identity-Management kaum Sache einer einzelnen Softwareapplikation sein kann. Anbieter wie IBM, Computer Associates und Sun offerieren ganze Identity-Management-Suiten, die funktional zum Beispiel in Komponenten für Benutzerverwaltung, Vergabe der Identitäten (Provisioning), Zugriffskontrolle und Single-Sign-On aufgeteilt sind, ergänzt durch einen meist schon bestehenden Directory-Server als Basis. Je nach Lösung erhalten die folgenden Grundfunktionen mehr oder weniger Gewicht:
Passwort-Reset: Erlaubt dem Benutzer, ein vergessenes Passwort selbst zurückzusetzen. Dazu ruft er eine Password-Reset-Applikation auf und beantwortet eine Reihe von Kontrollfragen, deren bei der Erstanmeldung erfasste Antworten nur ihm selbst bekannt sind.
Passwortsynchronisation: Der Benutzer muss zwar für jede Applikation Benutzernamen und Passwort eingeben, es gilt aber überall die gleiche Kombination. Synchronisationsprodukte sind einfacher zu implementieren als Single-Sign-On- oder komplette Zugriffskontroll-Systeme. Die Software liegt typischerweise auf einem Server und steht den beteiligten Anwendungen via API zur Verfügung. Ein einfaches Beispiel ist die im Samba-Server integrierte Synchronisationsfunktion, die zu jedem Linux-seitigen User automatisch das passende Samba-Passwort generiert.
Single-Sign-On (SSO): Gewissermassen die nächste Stufe nach der Passwortsynchronisation. Innerhalb eines bestimmten Zeitraums - je nach Sicherheitsanforderung zum Beispiel ein Arbeitstag oder eine Stunde - muss sich der Benutzer ein einziges Mal am System anmelden; meist handelt es sich dabei um ein Web-Portal. Darauf zeigt ihm der Single-Sign-On-Server die verfügbaren Applikationen an. Sobald er eine Anwendung auswählt, übermittelt die SSO-Software ihr die passenden Identitätsmerkmale, ohne dass der Benutzer dazu nochmals etwas eingeben muss.
Die neueren Identity-Management-Suiten gehen jedoch über Einzelfunktionen wie Passwortsynchronisation und SSO hinaus und integrieren sämtliche Zugriffskontrollfunktionen unter einem einheitlichen Dach. Dazu gehören verschiedene Authentifizierungs- und Authentisierungsmethoden vom Passwort über digitale Zertifikate bis zu biometrischen Verfahren, regelgesteuerte Verwaltung der Zugriffsrechte für jede einzelne Anwendung über einen Policy-Server sowie die Möglichkeit, die Verwaltung der Rechte an andere Instanzen zu delegieren - so kann zum Beispiel der Abteilungsleiter die Berechtigungen für seine Mitarbeiter selbst verwalten, ohne den Administrator zu bemühen.
In der Praxis sind die meisten Unternehmen heute allerdings noch nicht bei der Einführung einer Identity-Management-Gesamtlösung. Nicht einmal Single-Sign-On ist bisher Allgemeingut - die meisten CIOs haben offenbar schon genug Probleme damit, den Wilden Westen der bestehenden, meist in Einzelprojekten implementierten Online-Systeme in den Griff zu kriegen und liessen sich bis jetzt auch nicht von den Kostenvorteilen überzeugen, die Hersteller wie Netegrity ("Triple-digit-ROI within 3 years") ins Feld führen.
Zahlreiche Anbieter möchten vom Identity-Management-Kuchen ein Stück für sich. Neben Pionieren wie Netegrity, Oblix, Passlogix und Blockade, die in den neunziger Jahren mit ersten Single-Sign-On-Produkten auf den Markt kamen, beanspruchen die "grossen Hersteller" zunehmend eine Hauptrolle: IBM, CA, Sun und Novell fassen seit kurzem ihre Zugriffskontrollprodukte unter einheitlichen Labels wie eTrust oder nSure zusammen.
Mit dabei sind auch die traditionellen Player der Security- und Kryptografieszene, darunter RSA und Entrust. Auch Übernahmen und Partnerschaften kommen vor. So hat zum Beispiel HP die SelectAccess-Technologie von Baltimore Technologies zugekauft und bietet das Produkt nun unter dem HP-Brand an, Sun hat die Provisioning-Funktionen durch Übernahme von Waveset Technologies erworben, und Entrust setzt beim SSO für noch nicht Entrust- oder Web-fähige Anwendungen auf v-Go Single Sign On von Passlogix.
Wo ein Trend ist, darf auch Microsoft nicht fehlen. Der Betriebssystem-Leader hat bis dato keine eigentliche Identity-Management-Suite, sondern verteilt die Funktionen breit auf seine umfängliche Palette von Server- und Desktop-Systemen und überlässt die Integration dem Anwender. Neben Active Directory und dem in Windows 2003 integrierten Authorization Manager sind insbesondere der Identity Integration Server mit Synchronisations- und Reset-Funktionen sowie die kommenden Versionen von Biztalk Server (2004 mit diversen Single-Sign-On-Adaptern zur Übernahme von in Windows definierten Identitäten auf Applikationen wie SAP und Peoplesoft) und Host Integration Server (2004 mit SSO-Adaptern für Mainframes und AS/400-Systeme) zu erwähnen.
Das Identitätsmanagement-Konzept von RSA Security
Jeder spricht von Identität, Authentifizierung und so weiter - aber meist werden die Begriffe ohne exaktes Wissen verwendet. Für die folgenden Definitionen haben wir uns auf ein Referat von Dr. Hannes P. Lubich gestützt, einem der anerkanntesten Security-Kenner Europas. Er sprach Mitte Januar am zweiten IT Security Forum der Zürcher Hochschule Winterthur.
Was ist eine Identität?
Der Begriff "Identität" bezeichnet einen überprüfbaren Satz von Attributen und zugehörigen Werten, die eine Einheit beschreiben. Dabei kann es sich um eine Person, ein System oder einen Prozess handeln.
Die Gesamtheit der Attribute und Werte bildet einen eindeutigen Namen für die Einheit. Die Einzigartigkeit des Namens gilt allerdings nur in einem definierten Kontext - zum Beispiel innerhalb einer Firma oder eines Staats. Die gleiche Einheit kann in verschiedenen Umgebungen durchaus verschiedene Namen annehmen. Gängig sind zum Beispiel unterschiedliche User-IDs und Passworte für verschiedene Applikationen.
Die Einheit kann ihre Identität an Agenten delegieren, zum Beispiel an einen Dritten oder an eine Software - wichtig im Hinblick auf die Automation von Geschäftsprozessen.
Identitätsmanagement
Die Softwareindustrie charakterisiert mit dem Begriff ihre Produkte zur Verwaltung von Identitäten im Umfeld von IT-Systemen. Unabhängig von Software und IT versteht man darunter aber auch die Abläufe, mit denen Identitäten gehandhabt werden. Man unterscheidet vier Teilschritte, die eng miteinander verknüpft, in ihrer Funktion aber klar unterscheidbar sind:
Identifizierung: Der Prozess, mit dem eine Einheit aufgrund der präsentierten Identität erkannt wird.
Authentifizierung: Die Überprüfung und Bestätigung durch den Empfänger, dass er den Sender tatsächlich als die behauptete Einheit anerkennt. Beispiel: Eine Online-Applikation authentifiziert die Einheit aufgrund der eingegebenen User-ID/Passwortkombination.
Authentisierung: Die Einheit ergänzt die Nutzinformationen durch Zufügen einer nicht nachträglich verfälschbaren Information und erleichtert dem Empfänger so die Identifizierung. Beispiel: Der Absender einer E-Mail authentisiert sich, indem er die Meldung mit einer digitalen Signatur unterschreibt.
Autorisierung: Der Prozess, mit dem der Einheit nach einer erfolgreichen Authentifizierung die passenden Zugriffsrechte zugewiesen werden. Beispiel: Nach der korrekten Eingabe von User-ID und Passwort autorisiert die Online-Applikation die Einheit zum weiteren Zugriff auf ihre Funktionen.
Lösungen für Identitätsmanagement
(ubi)