Interview

Daten sicher im Griff: Identity und Access Management mit Augenmaß

04.06.2009 | Autor / Redakteur: Hadi Stiel / Gerald Viola

Richard Diez-Holz, Leiter Competence Center bei RDS Consulting
Richard Diez-Holz, Leiter Competence Center bei RDS Consulting

Die Optimierung der Verwaltungsprozesse bringt es mit sich: Das Management der IT muss den Prozessketten folgen. Das gilt nicht nur für das IT-Servicemanagement. Auch das IT-Sicherheitsmanagement muss mit den optimierten Verwaltungsprozessen Schritt halten.

Dafür bieten sich Identity und Access Management (IAM), an. eGovernment Computing hat sich mit Richard Diez-Holz, Leiter Competence Center bei RDS Consulting, über die Konzeption und Projektierung von Identity und Access Management unterhalten.

Wieso ist IAM flankierend zur Optimierung der Verwaltungsprozesse so wichtig?

Diez-Holz: Über die Module Identity und Access Management ist der komplette Weg vom Zugriff bis zu den Zielapplikationen geschützt. Dieser Schutz wirkt Ende-zu-Ende, unabhängig davon, wo der Zugreifer und wo die Applikationen angesiedelt sind. Die Kopplung von Netzeinwahl- (Authentisierung) und Zugriffskontrolle (Autorisierung) macht es möglich. Mit der Sicherheit, wie berechtigte Zugreifer identifiziert und autorisiert werden, werden unberechtigte Zugriffe abgeblockt. Für die Behörden heißt das: Systeme, sensible Datenbestände und Abläufe entlang der Prozesskette geraten erst gar nicht in Angriffsgefahr. IAM ist somit für die Behörden flankierend zur Optimierung ihrer Verwaltungsprozesse unverzichtbar.

Dennoch ist der Kauf und die Umsetzung einzelner IAM-Module für die Behörden auch ein zusätzlicher Kostenfaktor. Schon die Investitionen und Aufwände für die Verwaltungsprozessoptimierung sind nicht unerheblich. Hinzu kommt der Kostendruck, der sich auch in der Öffentlichen Verwaltung durch die Wirtschaftskrise verschärft. Wie können die Behörden trotz allem ihr IAM-Projekt stemmen?

Diez-Holz: IAM verursacht zwar Zusatzkosten. Andererseits stecken für die Behörden in der Umsetzung einzelner Module erhebliche Kosteneinsparungen. Durch die Zusammenfassung und die transparente Führung von Identitäten und Rechten innerhalb eines LDAP (Light Weight Directory Access Protocol)-Verzeichnisses sinken die Administrationskosten. Auch die Folgekosten durch Angriffe auf wichtige IT-Ressourcen werden minimiert, weil sie verlässlich abgeblockt werden. Weitere Einsparungen stecken in einem zentralisierten und besser organisierten Helpdesk. Auch er kann für eine effiziente Benutzerbetreuung auf die zentrale Datenbank mit den hinterlegten Identitäten und Rechten zurückgreifen. Kommt zusätzlich das Modul Single Sign-on (SSO) zum Einsatz, entfällt außerdem der Aufwand, das den Benutzern neue Privilegien immer wieder zeit- und kostenaufwendig zugestellt werden müssen. Dieses umständliche Prozedere tritt immer dann auf, wenn Benutzerrechte eingesehen oder vermeintlich eingesehen wurden. Auch der regelmäßige Passwortwechsel geht über den SSO viel schneller und kostensparender über die Bühne. Zum Vergleich: Heute wird in den Behörden in der Regel jede Applikation gesondert administriert und betreut, mit allen damit verbundenen Folgen wie hohe Kosten, Intransparenz und mangelnde Sicherheit.

Andererseits setzt dieses Idealszenario die Projektierung und Umsetzung vieler IAM-Module voraus. Also doch ein immenser Kostenblock und hohe Projektrisiken?

Diez-Holz: Nein, wenn die Behörde dem Anforderungsprofil genau nachgeht. Schrittmacher für den Einsatz von IAM ist der Fortschritt bei der Verwaltungsprozessoptimierung. Für einen lohnenden Einsatz von IAM sollte sich die Behörde vorerst auf die Applikationen konzentrieren, auf die viele Mitarbeiter zugreifen oder für die der Schutzbedarf hoch ist. Dann werden Aufwand und direkte wie indirekte Kosteneinsparungen immer in einem lukrativen Verhältnis stehen. Technisch gesehen, kommt den Entscheidern die modulare Struktur von IAM mit den dazwischen klar definierten Schnittstellen entgegen.

Diese Struktur erlaubt einerseits eine Projektierung in Schritten, andererseits die Projektierungsreihenfolge der einzelnen Module flexibel zu bestimmen. Der Lohn einer wohlüberlegten Vorgehensweise: Mit jedem Realisierungsschritt und nach einer vertretbaren Projektlaufzeit kann eine schnelle Amortisierung erreicht werden. Das überzeugt den Einkauf.

Welche Modul-Reihenfolge ist die klassische?

Diez-Holz: In der Regel wird es im ersten Schritt um die Etablierung eines LDAP-Verzeichnisses gehen. Darin können in den nächsten beiden Schritten die Benutzer- und ihre Rechte einfließen, also Identity und Access Management. Im nächsten Schritt kann die automatische Kopplung von Authentisierung und Autorisierung per SSO folgen. Die Umsetzung der in vielen IAM-Produktportfolios integrierten Auditing- und Reporting-Funktionalitäten kann dann den Abschluss des IAM-Projekt bilden. Aber wie gesagt: Die Projektierungsreihenfolge der einzelnen Module ist frei bestimmbar. So kann es sich für die Behörden durchaus lohnen, mit dem SSO-Modul zu starten. Welche Reihenfolge für die Verwaltung die lukrativste ist, fördert ein professionelles Anforderungsmanagement im Vorfeld des eigentlichen Projekts zu Tage.

Nächste Seite: Es geht auch mit dezentralen Verzeichnisfunktionen.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2021558 / Standards & Technologie)