Die Sicherheitsrisiken für Unter­nehmen und Organisationen sind vielfältig und ebenso vielfältig sind die Antworten. Dies führt dazu, dass über die Jahre eine Reihe von Insellösungen für Zugangskontrolle, ­Identifikation, Rechtevergabe und Provisioning zusammenkommen. Mehrfache Datenhaltung und ­fehlende Transparenz machen die Administration dieser Einzelsysteme ineffizient und fehleranfällig.

Die Konsolidierung zu einem einheitlichen Identity- und Access-­Management (IAM) verspricht nicht nur eine erhebliche Reduzierung der Administrationskosten und einen ­höheren Komfort für die Anwender, sondern auch mehr Sicherheit und Transparenz.

Eine Vielzahl einzeln geregelter Zugangsberechtigungen, Log-ins für verschiedene IT-Systeme und dazu noch unterschiedliche Zugriffsrechte über das lokale Netzwerk oder Internetverbindungen - das ist die Praxis in deutschen Unternehmen. Mitarbeiterfluktuation, Reorganisationen oder die temporäre Beschäftigung externer Dienstleister erzeugen einen enormen Administrationsaufwand in den IT-Abteilungen.

Umgekehrt beschweren sich die Fachabteilungen und Mitarbeiter, dass ihre Arbeit durch lückenhafte Zugriffsberechtigungen und aufwändige Autorisierungsprozesse immer wieder behindert wird. Zunehmend schwerer wiegt darüber hinaus die Compliance-Problematik: Die Frage, was der „Mitarbeiter Müller" denn aktuell darf, lässt sich nur durch die aufwändige Recherche nach allen Einzelberechtigungen beantworten. Dabei wäre es im Sinne nachvollziehbarer Sicherheitsprotokolle wichtig, auf einen Blick feststellen zu können, wer welche Räume betreten darf und wer auf welche Daten und Applikationen tatsächlich Zugriff hat.

IAM als lohnenswertes Projekt verstehen
Ironischerweise nimmt gerade in gut gesicherten Unternehmen der Administrationsaufwand kritische Ausmaße an. Organisationen, die in einzelnen Bereichen, wie dem Werkschutz, dem Datenschutz, im Netzwerk oder dem mobilen externen IT-Zugang bereits hochentwickelte, aber voneinander unabhängige Sicherheitslösungen betreiben, stehen beispielsweise in der Gefahr, dass einzelne Zugangsberechtigungen übersehen werden und beim Ausscheiden eines Mitarbeiters weiterbestehen.

Eine solche Situation verlangt nach einem durchgängigen Identity- und Access-Management-System (IAM). Ein solches integriert alle physischen und elektronischen Zugangsberechtigungen der Mitarbeiter und ermöglicht deren einheitliche, geregelte und nachvollziehbare Verwaltung.

Die IAM-Praxis zeigt: Die „perfekte" Lösung ist dabei nicht auf einen Schlag zu haben. Vielmehr müssen Planung und Durchführung von IAM-Projekten einer sorgfältig nach Prioritäten geordneten Roadmap folgen. So analysieren IAM-Spezialisten, wie die Nürnberger Peak Solution, die Unternehmen vor dem Projektstart mittels eines Reifegradmodells. Dabei wird untersucht, wie weit die Prozesse und verwendeten Technologien für Identifizierung und Zugangskontrolle bereits beschrieben und nutzbringend integriert sind. Auf dieser Basis lässt sich dann zum einen feststellen, wo es Sicherheitslücken gibt, die mit hoher Priorität geschlossen werden müssen. Zum anderen lassen sich aber auch Prozesse identifizieren, die soweit ausgereift sind, dass man im Weiteren auf ihnen aufbauen kann.

Perspektivwechsel: Wer braucht welche Rechte?
IAM-Projekte beginnen mit einem Perspektivenwechsel. Statt von der einzelnen Applikation oder der klassischen Perimeter-Sicherheit auszugehen, wird der Anwender in den Mittelpunkt gerückt. Dazu identifiziert man verschiedene Anwendungsfälle (Use Cases), um daraus abzuleiten, welche Sicherheitsanforderungen es überhaupt gibt, wo die Verantwortlichkeiten liegen, wer beteiligt ist und welches Ergebnis erreicht werden soll. Diese Anwendungsfälle werden ausgiebig und möglichst exakt beschrieben, Verbindungen zwischen den Use Cases transparent gemacht.

Mit diesen Use-Case-Beschreibungen als grafische Darstellungen schafft man eine verständliche Diskussionsgrundlage für alle Fachabteilungen und die Instanzen, die später das System administrieren, also beispielsweise IT-Abteilung, Sicherheitsbeauftragte, Facility Management oder Werkschutz.
Gleichzeitig bilden diese Beschreibungen die Grundlage für eine effiziente Teilautomatisierung der Administration, weil sich darüber Workflows elektronisch abbilden lassen und Rollenmodelle abgeleitet werden können, die den Großteil der Nutzerprofile reflektieren.

Solche Rollenmodelle haben sich zum Beispiel in der elektronischen Vorgangsbearbeitung bewährt und finden auch im Objektschutz Einsatz, was die gemeinsamen Nutzenpotentiale nur unterstreicht. In einem voll ausgebauten IAM-System sind durch Rollenmodelle jeweils Standards für Personengruppen gesetzt - hinsichtlich der Zutrittsrechte für Gebäude, der Versorgung mit IT-Ressourcen und der Zugriffs- und Bearbeitungsrechte auf Daten. Wer jeweils für Anträge und Entscheidungen zuständig ist, kann genauso über Rollen definiert werden, wie Sicherheitsrichtlinien und wer berechtigt ist, diese durchzusetzen oder zu überprüfen. Der große Vorteil eines detaillierten Rollenmodells ist neben sinkendem Administrationsaufwand die deutlich höhere Flexibilität bei Rechteveränderungen - zum Beispiel beim Wechsel eines Mitarbeiters in eine andere Abteilung. Außerdem ist es möglich, den Umgang mit Besuchern, Lieferanten, Partnern oder Subunternehmern grundsätzlich und zuverlässig im Sinne der Compliance-Richtlinien zu regeln. Deutlich gestraffte Antragsprozesse und eine systematische und damit treffsichere Zuordnung von Rechten sind weitere IAM-Vorteile, die Mitarbeiter und Fachabteilungen schnell wahrnehmen und honorieren.