Jedes Dritte Unternehmen verfügt mittlerweile über ein Identity Management-System (IdM). Mit automatisierter Benutzerverwaltung modernen Zuschnitts sollte eigentlich alles glatt laufen, möchte man annehmen. Doch weit gefehlt, widerspricht das Consulting-Unternehmen Deron. Nur zwölf Prozent der Systeme seien lückenlos angelegt, fanden die Berater heraus. Außerdem legen 38 Prozent der Unternehmen mit IdM nach eigenen Angaben immer wieder provisorische Accounts außerhalb der Prozesse an. Sollte nicht machen, wer Klarheit in die Steuerung der User-Berechtigungen bringen will. Zwölf weitere Hürden kennt Deron, über die Unternehmen allzu oft stolpern. Jeweils liegt eine irrige Annahme zu Grunde.
1. „Es funktioniert ja eigentlich alles“: Falsche Selbstzufriedenheit führt dazu, dass Sicherheitsrisiken nicht wahrgenommen werden. Es kann schnell zu einem Hin-und-her-Schieben der Verantwortung kommen. Die IT verlässt sich dann auf die Fachbereiche und umgekehrt. Jeder achtet höchstens noch darauf, Symptome im eigenen System zu beheben.
2. „Es reicht, wenn die Administration die Benutzersteuerung konsolidier!“: Wer so denkt, nimmt einen gestörten Informationsfluss und eine fehlerhafte Prozesssteuerung in Kauf. Es werden letztlich nur Teilbereiche der Berechtigungsvergabe abgedeckt. Die Administratoren sind dafür nicht die richtige Besetzung.
3. „Eine Zentralisierung der Systemadministration stiftet Nutzen“: Das Gegenteil ist der Fall. Die Administratoren sind bei diesem Ansatz völlig überfordert mit der Menge an Systemen, die zu betreuen sind. Zumal der Sinn von IdM ja gerade darin besteht, dass am relevanten Ort über Accounts für einzelne User entschieden wird. Wenn die Fachbereiche nicht mitwirken, ist das Instrument komplett sinnlos.
4. „Ein Single-Sign-On (SSO) ist der einfachste Weg“: Kurze Einmalanmeldung am Arbeitsplatz – das klingt gut und bequem für die Anwender. Aber Deron warnt, dass Unternehmen die dafür notwendige Management-Komponente oft komplett ausblenden. Ferner seien die Lizenzkosten recht hoch im Vergleich zum erzielten Nutzen. Zudem sei die technische Komplexität für ein echtes SSO extrem hoch und ab einer gewissen Zahl von Systemen kaum realisierbar.
Externe Mitarbeiter nicht vergessen
5. „Ein Web-Shop liefert ein IdM“: Dabei blenden Firmen oft die Benutzerführung aus. Soll es wirklich so einfach wie bei Amazon sein, an Berechtigungen zu kommen, fragt Deron. Natürlich nicht.
6. „Reporting ist gleich Audit“: Ein Reporting erzeugt weder Übersicht noch Sicherheit. Es kann aufzeigen, was schlecht läuft. Zu einem Audit gehören jedoch dokumentierte Vorgaben der Fachbereiche, die einen Soll-Ist-Vergleich ermöglichen.
7. „Wir brauchen kein IdM – Re-Attestierungen oder Audit-Trails tun’s auch“ Fraglich, ob Vorgesetzte stets willens und in der Lage sind, einen Stapel an Berechtigungen zu durchwühlen, zu deuten und zu verstehen.
8. „IdM für interne Mitarbeiter reicht aus“: Externe Dienstleister, Service-Kräfte, Lieferanten oder Outsourcer würden oft ignoriert, beobachtet Deron. Auch die Kontrolle von technischen Accounts und Funktionsberechtigungen werde oft unterschätzt.
9. „Beschreibung und Dokumentation bei der Neu-Anlage eines Mitarbeiters ist fast die ganze Miete“: Stimmt nicht, denn die meisten Berechtigungen werden vergeben, wenn sich der Status von Mitarbeitern verändert. Deshalb ist ein Ownership-Management von zentraler Bedeutung.
Genug Implementierungszeit einplanen
10. „In zehn Tagen steht mein IdM“: Klar, weil es mit „Setup.exe“ und ein paar Blueprints aus dem Baukasten getan ist. In der Realität klappt das so nicht, meint Deron. Weil jedes Unternehmen anders ist, kann man keine schematischen Prozesse überstülpen. An einer gemeinsamen Prozess-Definition von IT und Fachbereich führt kein Weg vorbei.
11. „Rollenmodellierung funktioniert auf Basis der Ist-Rollen“: Eben nicht. Ein Zusammenspiel von Bottom-Up- und Top-Down-Anstrengungen ist der einzige Weg, um zu richtigen Rollenmodellen zu gelangen, meint Deron.
12. „Ein Status-Wechsel ist trivial“: Ganz so simpel ist es nicht, die Stammdaten von Benutzern zu ändern. Die alten Berechtigungen müssen zwar verfallen, aber nicht an dem einen festen Stichtag. Eine Abwicklung der Aufgaben des Mitarbeiters muss beim Übergang in andere Position schließlich möglich sein. Für solche Fälle müsse deshalb eine flexible Lösung gefunden werden, so Deron.