IdM-Portal

Mit den IAM-Altlasten der Vergangenheit aufräumen

| Autor / Redakteur: Hadi Stiel* / Susanne Ehneß

Grundsätzliche Funktionen, die Benutzer über das IdM-Portal von FirstAttribute mittels Rollen ausführen können
Grundsätzliche Funktionen, die Benutzer über das IdM-Portal von FirstAttribute mittels Rollen ausführen können (Bild: FirstAttribute AG)

Im Front-end das Bürger-Portal, im Back-end behördenübergreifende Verwaltungsprozesse für eine gezielte Informationsversorgung der Bürger und Wirtschaft: Ohne klar geregelte Identitäten und Berechtigungen ist ein solcher Auftritt nicht denkbar. Andernfalls würden die Daten, Systeme und Anwendungen und somit die Verwaltungsprozesse und der Portal-Auftritt in Gefahr geraten.

Entsprechend viel haben die meisten Behörden in den letzten Jahren in „Identity and Access Management (IAM)“-Module investiert. Richtig weitergebracht hat dies die wenigsten von ihnen. Andreas Martin, Vorstand und Chief Executive Officer (CEO) des Consulting-Unternehmens FirstAttribute AG, weiß wieso. Er meint, die klassischen IAM-Suiten seien viel zu komplex in der Machart und viel zu kompliziert in der Umsetzung und Bedienung. Es sei Zeit, endlich im eigenen Interesse mit den IAM-Altlasten der Vergangenheit aufzuräumen. eGovernment hat ihn befragt, wieso viele der IAM-Projekte gescheitert oder Stückwerk geblieben sind und wie Behörden stattdessen ihr IdM-Portal inklusive Zugriffskontrolle aufbauen sollten.

Sie beschäftigen sich seit mehr als 25 Jahren intensiv mit diesem Thema. Dass viele der IAM-Projekte in der Öffentlichen Verwaltung gescheitert oder Stückwerk geblieben sind, ist für Sie kein Zufall. Was ist hier aufgrund der zu hohen Komplexität dieser Suiten schief gelaufen?

Martin: Das beginnt damit, dass die klassischen IAM-Suiten in den letzten beiden Jahrzehnten um immer mehr Funktionen erweitert wurden. Dabei wurde von den Herstellern weder hinterfragt, welche Funktionen die Kunden tatsächlich brauchen noch wie der Nutzen beschaffen sein sollte, den sie daraus ziehen. Es sind aber nicht nur die Hersteller, die dieser Funktionsflut aufgesessen sind. Auch die Berater und die Anwender haben unreflektiert mitgespielt.

Was sind die Komplexitätstreiber hinter diesen klassischen IAM-Suiten, die eine zeitverträgliche Planung und Umsetzung erschweren?

Martin: Einerseits natürlich die Hersteller, deren Berater den Kunden weismachen wollten, dass möglichst viele Funktionen per se einen hohen Mehrwert für den Anwender in sich bergen. In der Folge wurden komplizierte Konnektoren aufgebaut, ohne kritisch zu hinterfragen, ob eine Synchronisation überhaupt notwendig ist. So ziehen Synchronisationen immer auch Dateninkonsistenzen nach sich. Der Verzicht auf unnötige Synchronisationen reduziert somit nicht nur die Komplexität, sondern auch die Fehleranfälligkeit des IAM-Systems. Hinzu kommt, dass neue Standards wie SAML für Single Sign-on (SSO) und einen automatisierten Informationsaustausch nur zögerlich angewandt werden. Sie hätten komplizierte Konnektoren und das zentrale SSO-Modul innerhalb des IAM-Systems mit mehr oder weniger sicherer Passwortspeicherung ersetzen können.

Damit muss endgültig Schluss sein. Die Kunst besteht heute darin, das IAM-System weniger komplex und dafür einfacher in der Handhabung zu machen. Nur dann werden die Behörden weitere Nutzen daraus ziehen können: erheblich geringere Anschaffungs-, Integrations-, Installations- und Betriebskosten sowie im Vorfeld deutlich einfachere Ausschreibungen mit tatsächlichem Lösungscharakter.

Können Sie auf den Status quo der Ausschreibungen näher eingehen?

Martin: Die hohe Komplexität klassischer IAM-Systeme und ihr hohes Investitions- und Projektvolumen verkompliziert die Ausschreibung und schiebt das Ausschreibungsende in weite Ferne. Behörden, die dennoch nichts falsch machen wollen, schrauben die Ausschreibungskriterien so hoch, dass kaum ein Hersteller das Anforderungsprofil erfüllen kann. Die Folgen: Eine Lösung, die diesen Namen verdient, kann so nicht entstehen. Die vermeintliche Lösung, die letztlich den Zuschlag erhält, wird zum doppelten Kompromiss, weil sich zwischenzeitlich viele Anforderungen der Behörde geändert haben.

Bitte lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43987729 / System & Services)