Europäisches Forschungsprojekt MULTIPOL erfolgreich abgeschlossen Policy-Management erhält organisationsübergreifenden Zuschnitt

Autor / Redakteur: Hadi Stiel, freier Journalist in Bad Camberg / Gerald Viola

Entwicklungen wie Cloud Computing, räumlich flexible Einsatzkräfte und eine offene, organisationsübergreifende Kommunikation machen es deutlich: Das Policy Management mit der Verteilung von Sicherheitsregeln und Zugriffsrechten muss mit den veränderten Rahmenbedingungen Schritt halten. Das europäische Forschungsprojekt MULTIPOL hat genau dieses Policy Management in einem offenen Kommunikationsumfeld fokussiert.

Firmen zum Thema

Erwin Schöndlinger, Geschäftsführer Evidian Deutschland
Erwin Schöndlinger, Geschäftsführer Evidian Deutschland
( Archiv: Vogel Business Media )

Das 28-monatige Forschungsprojekt im Rahmen des ITEA-2-Programms der Europäischen Union ist erfolgreich abgeschlossen worden. ITEA 2 stimuliert und unterstützt Projekte im Bereich SIS (Software-intensive Systems and Services), die für die EU viel Geschäfts- und Zukunftspotenzial haben. Jahr für Jahr 20.000 Personen will ITEA 2 über einen Zeitraum von acht Jahren auf diese Weise buchstäblich mobilisieren.

Evidian war federführend für MULTIPOL, an dem 10 europäische Unternehmen und Forschungsorganisationen beteiligt waren. eGovernment Computing hat sich mit Erwin Schöndlinger, Geschäftsführer von Evidian Deutschland, über die Ziele, Ergebnisse und potenziellen Auswirkungen von MULTIPOL auf weitere Forschungsprojekte und auf Produktentwicklungen unterhalten.

Worin besteht die generelle Neuausrichtung dieses Forschungsprojekts, das jetzt erfolgreich abgeschlossen wurde?

Schöndlinger: Typische Policy-Management-Ansätze, ob in der Öffentlichen Verwaltung oder in der Privatwirtschaft, greifen buchstäblich zu kurz. Sie fokussieren als Insellösungen lediglich die eigene Organisation mit ihren speziellen Sicherheitsregeln und Zugriffsrechten. Sobald Mitarbeiter von einer anderen Domäne aus auf Anwendungen und Daten der eigenen Organisation Zugriff erhalten sollen, müssen die Regeln und Zugriffsrechte zeit- und kostenaufwendig redesigned werden.

Ein ähnlich hoher Aufwand fällt an, wenn Mitarbeiter aus der eigenen Organisation heraus Zugriff auf Anwendungen und Daten anderer Organisationen bekommen sollen. Solche zeitraubenden und kostentreibenden Verfahrensweisen sind nicht länger zeitgemäß.

Mit MULTIPOL wurde das Policy-Management derart revolutioniert, dass es über die Grenzen der eigenen Organisation hinaus voll einsatzfähig ist, ohne dafür hohe Aufwendungen eingehen zu müssen. Das heißt, die Sicherheitsregeln und Zugriffsrechte greifen unabhängig davon, von welcher Organisation aus der Mitarbeiter auf Anwendungen und Daten der eigenen oder einer anderen Organisation zugreift.

So besehen bestand die generelle Ausrichtung von MULTIPOL darin, das Policy Management auf eine zunehmend offenere Kommunikationswelt mit räumlich flexiblen Einsatzkräften abzustimmen. Das ist, wie die Ergebnisse des EU-Forschungsprojekts zeigen, überzeugend gelungen.

Nächste Seite: Wie neue Mitarbeiter sofort via PC oder Notebook automatisch Zugriff auf für sie zulässige IT-Ressourcen erlangen

Wie wurde dieses Policy Management erreicht, das Organisationsbarrieren in beide Richtungen durchbricht?

Schöndlinger: Dieses hohe Ziel wurde durch Regelwerke und Zugriffskontrollmechanimsen erreicht, die sich selbst dynamisch koordinieren. Dazu wurde das Policy Management so konzipiert und realisiert, dass beispielsweise neue Mitarbeiter sofort via PC oder Notebook automatisch Zugriff auf für sie zulässige IT-Ressourcen erlangen, unabhängig davon, in welcher Organisation sie angesiedelt sind.

Sie sind damit sofort produktiv. Kommt es zu Veränderungen in Job-Profilen einzelner Mitarbeiter oder in einer Organisationen, werden daraus automatisch die Regeln und Zugriffsrechte innerhalb der anderen Organisationen abgeleitet und gesetzt. Ein aufwendiges Redesign von Regeln und Zugriffsrechten entfällt.

Wie ist das möglich?

Schöndlinger: Das mit MULTIPOL entwickelte Policy Management konvertiert Nutzerprofile unterschiedlicher Sicherheitsdomänen, indem es auf semantische Mechanismen zurückgreift. Veränderungen in Regelwerken und daraus abgeleitet in Zugriffsrechten werden so richtig interpretiert und gemäß den Sicherheits-Policies der einzelnen Organisationen abgebildet.

Lokale Autorisierungsprozesse innerhalb der beteiligten Organisationen setzen die notwendigen Veränderungen innerhalb der betroffenen Nutzerprofile faktisch um. Das hat den Charme, dass die Verantwortung für ihre Zugriffssicherheit letztlich in den einzelnen Verwaltungen respektive Unternehmen verbleibt.

Wer wird Nutznießer der neuen Policy-Management-Erkenntnisse und -Ergebnisse sein?

Schöndlinger: Sie werden in weitere europäische Forschungs- und Entwicklungsprojekte einfließen, ebenso in die Produktgestaltung von Identity- und Access-Management (IAM)-Systemen. Unser Identity & Access Manager ist dafür ein gutes Beispiel. Vor allem werden die neuen Erkenntnisse und technischen Entwicklungen multinational agierende Unternehmen, ein behördenübergreifendes eGovernment und neue Serviceformen wie Cloud Computing in puncto Zugriffssicherheit weiter voranbringen.

Die neuen Erkenntnisse und technischen Entwicklungen aus dem MULTIPOL-Projekt werden darüber hinaus zu einer notwendigen Flexibilisierung der Arbeitswelt beitragen. Denn mehr Flexibilität ist nur möglich, wenn sie durch ein zeitgemäßes Policy Management mit verlässlichen Sicherheitsregeln und Zugriffsrechten flankiert wird, das Organisationsgrenzen mühelos überwindet.

Ich würde sogar noch weiter gehen: Externe Clouds werden für Unternehmen und Verwaltungen nur dann voll zum Tragen kommen, wenn die Provider parallel über ein professionelles Policy Management für ihre Kunden einen verlässlichen Zugriffsschutz etablieren.

So besehen wird das MULTIPOL-Projekt in voller Breite Auswirkungen auf weitere Forschungsprojekte, auf Sicherheitslösungen, Dienstleistungen, Unternehmen, Verwaltungen, Marktentwicklungen, sogar die Arbeitswelt haben. So ruft die Flexibilisierung der Arbeitswelt und Arbeitsverträge förmlich nach Automatismen, um darüber neue Mitarbeiter oder Mitarbeiter in einer veränderten Funktion innerhalb der Organisation schneller als heute produktiv zu schalten.

Nächste Seite: Warum ein barrierefreies Policy Management für Cloud-Anbieter so wichtig ist

Wieso ist ein barrierefreies Policy Management für Cloud-Anbieter so wichtig?

Schöndlinger: Cloud-Anbieter auf der einen Seite, Unternehmens- respektive Verwaltungskunden auf der anderen Seite ist eine typische, organisationsübergreifende Konstellation. Dass gerade Sicherheit für den Erfolg von Cloud-Services bestimmend ist, ist hinlänglich bekannt.

Oder anders gesagt: Wenn Cloud-Anbieter mehr als nur sicherheitsunkritische Randprozesse übernehmen wollen, werden sie hinsichtlich IT-Sicherheit kräftig aufrüsten müssen. Policy Management in der Machart des MULTIPOL-Projekts wird dafür bei den Cloud-Anbieter eine zentrale Rolle zukommen.

Sehen Sie auch Auswirkungen des MULTIPOL-Projekts auf Compliance, also die nachweislich Einhaltung von externen und internen Regeln in Unternehmen und Verwaltungen, ob in Eigenregie oder im Zusammenspiel mit Cloud-Anbietern?

Schöndlinger: Auf jeden Fall. Nicht von ungefähr bildet das Policy Management mit den darin hinterlegten Regeln und Zugriffsrechten für bestimmte Systeme, Anwendungen und Datenbestände eine wesentliche Basis für Compliance. Werden die Zugriffe lückenlos auditiert, ausgewertet und dokumentiert, kann klar und nachweisbar festgehalten werden, wer innerhalb der beteiligten Organisationen Regeln gebrochen und Berechtigungen überschritten hat.

Das vereinfacht unter anderem interne Revisionen, bei vollständigen und verlässlichen Revisionsergebnissen. Durch verbindliche Schnittstellendefinitionen und Abgleichprozesse bei den Nutzerprofilen zwischen den Organisationen kann Compliance organisationsübergreifend durchgehalten werden.

Gerade Cloud-Anbieter müssen ihren Unternehmens- und Verwaltungskunden für die ausgelagerten IT-Bereiche mit vollständigen Compliance-Informationen zuarbeiten, damit die ihren Compliance-Auflagen und -Regeln nachkommen können.

Evidian war federführend für das MULTIPOL-Vorhaben. War auch das eine Herausforderung mit Happyend?

Schöndlinger: Zweifellos. 10 europäische Unternehmen beziehungsweise Forschungsorganisationen mussten sowohl organisatorisch als auch technisch unter einen Hut gebracht werden.

Im Einzelnen waren die Aktivitäten von THALES, EADS, Atos Origin, Answare, Innovalia, Nextel, ESI, City Passenger und Paris 12 University zu koordinieren. Der Erfolg beweist, dass alle nahtlos zusammengewirkt haben. Nur so ist ein extrem ambitioniertes Vorhaben überhaupt realisierbar.

Übrigens: Evidian spielt auch im laufenden Role ID-Projekt von ITEA 2 eine wichtige Rolle.

(ID:2050260)