6 wichtige Funktionen

Was Lösungen für Identity Governance können

16.10.2015 von Stefan Köhler und Jutta Neudeck

Wer hat Zugriff auf die IT-Ressourcen? Was kann er dort tun? Wie kann ich dies nachweisen? Identity Governance Lösungen helfen, diese Fragen zu beantworten.

Identity Governance wird wichtiger um immer strengere Com-pliance-Regularien einzuhalten und weil immer mehr Benut-zer über immer mehr Zugänge auf eine immer komplexere IT-Umgebung zugreifen
Identity Governance Lösungen sollen den Nachweis erbrin-gen, dass auf Nutzer und Berechtigungen bezogene Sicher-heitsrichtlinien umgesetzt werden und damit die Nutzer nicht mehr Rechte als nötig haben
Dafür bieten diese Lösungen unter anderem die Funktionen wie Access Visibility, Access Certification, Separation of Duty, Role Management sowie Risk Management und Acces Request

Nachdem Ende des 20. Jahrhunderts IT-Landschaften begannen, komplexer zu werden und die Anforderung an die Vergabe von Berechtigungen stieg, wurden Identity Management-Lösungen entwickelt und eingeführt. Diese Systeme hatten und haben auch noch heute ihren Fokus auf die Administration der Nutzer und ihrer Rechte.

Aufgrund der immer weiter steigenden Bedrohungslage und den damit verbundenen strengeren Regularien reichen einfache Administrationslösungen in vielen Fällen nicht mehr aus. Auditoren und Wirtschaftsprüfer verlangen einen für sie verständlichen Einblick in die Vergabe von Benutzerberechtigungen. Hier helfen moderne Identity Governance-Lösungen.

Stefan Köhler ist Senior Client Technical Professional bei IBM Security Systems.
Foto: IBM

Was ist Identity Governance?

Fast alle Sicherheitsregularien erfordern von Organisationen bezüglich der Verwaltung von Nutzern und ihren Berechtigungen die Beantwortung der folgenden drei Fragen:

• Wer hat Zugriff auf die IT-Ressourcen?

• Was kann er dort tun?

• Wie kann ich dies - insbesondere gegenüber Auditoren - nachweisen?

Während die ersten beiden Fragen durch eine herkömmliche Identity Administration Lösung beantwortet werden kann, stellt insbesondere der Nachweis der vergebenen Berechtigungen und der damit verbundenen Prozesse oftmals eine große Herausforderung dar. Zusätzlich besteht die Anforderung Identitäten und Berechtigungen in eine für die Fachbereiche verständliche Art und Weise darzustellen, was in der Regel nur von Identity Governance-Lösungen erfüllt wird. So gesehen beantworten diese Lösungen alle drei oben genannten Fragen in einer verständlichen Form.

Die Aufgabe von Identity Administration- Lösungen ist die Verwaltung der Identitäten durch die Abbildung des "User Life Cycles" in der Organisation. Identity Governance hingegen soll den Nachweis erbringen, dass die Nutzer die "richtigen" Rechte basierend auf den Richtlinien der Organisation haben. Beides sind Bestandteile des Identity Managements und werden gemeinsam oft als Identity Governance and Administration bezeichnet.

Ein formeller Nachweis der Umsetzung von Sicherheitsregularien für die Verwaltung der Nutzer dürfte - wenn überhaupt - nur sehr schwer zu führen sein. Aus diesem Grunde gehen Identity Governance Lösungen einen anderen Weg. Sie führen den Nachweis anhand von diversen Indizien. Welche Indizien dies sind und wie diese gesammelt werden, wird weiter unten erläutert.

Wesentliche Bereiche der IT-Compliance

1. Informationsschutz zur Wahrung der Vertraulichkeit
(insbesondere Zugriffsschutz, siehe § 9 BDSG)

2. Gewährleistung der technischen und organisatorischen Verfügbarkeit
(insbesondere Notfall-planung und Wiederanlaufmöglichkeit durch Redundanz)

3. Schutz der Datenintegrität
(Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenin-tegrität, z.B. Virenschutz)

4. Stabilität und Sicherheit der IT-Prozesse

5. Gewährleistung der physischen Sicherheit

6. Datenaufbewahrung und –archivierung

7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)

8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)

9. Kontrolle der ausgelagerten Bereiche (Outsourcing)

10. Materieller Datenschutz

Die Entwicklung von Identity Administration hin zu Identity Governance

Identity Management war lange Zeit IT-getrieben und nur für IT-Mitarbeiter wirklich zu verstehen. Es ging dabei im Wesentlichen um die Automatisierung der Benutzerverwaltung, wodurch zum einen Kosten gesenkt wurden aber auch zum anderen bereits die Sicherheit erhöht wurde. Auch hierdurch wurde schon viel im Hinblick auf die Einhaltung gesetzlicher und regulativer Vorgaben (Stichwort Compliance) erreicht.

Da diese Form des Identity Managements sehr IT zentrisch war, konnten Auditoren häufig nicht viel mit den erhaltenen Daten anfangen. Man konnte nie wirklich sicher sein, ob die Automatisierung wirklich dafür sorgte, dass die vorgegebenen Unternehmensregeln eingehalten wurden. Es fehlte die finale Kontrolle. Letztendlich ist aber z.B. der CISO für die Einhaltung dieser Regeln verantwortlich.

Der Begriff Identity Governance bzw. Identity Governance Framework fand 2006 das erste Mal Erwähnung. Richtig populär wurde er Ende 2011 durch die Einführung des "Identity and Access Governance Magic Quadrants" durch Gartner. Bis zu diesem Zeitpunkt gab es nur ein "User Provisioning" Magic Quadrant, dass den Bereich Identity Administration abdeckte. Heute hat Gartner beide Magic Quadrants unter dem Begriff "Identity Governance and Administration" zusammengefasst.

Gründe für Identity Governance

Es gibt mehrere Gründe, weshalb Identity Governance wichtig wurde und immer mehr an Bedeutung gewinnt. Zum einen greifen immer mehr Benutzergruppen (Mitarbeiter, Partner, Kunden, …) über immer mehr Zugänge (Mobile, Cloud, …) auf eine immer komplexere IT-Umgebung zu. Zum anderen, und dies dürfte der ausschlaggebende Faktor sein, wurden durch die steigende Bedrohungslage immer strengere Compliance-Regularien eingeführt, die für immer mehr Unternehmen und Organisationen gelten. Diese Compliance-Regularien fordern unter anderem auch den Nachweis über die Nutzer und ihre Berechtigungen.

Identity Governance-Lösungen wurden aus Sicht der Fachbereiche und Auditoren entwickelt, um vergebene Berechtigungen aus ihrer Sicht und unabhängig von der IT transparent, nachvollziehbar und leichter administrierbar zu machen. Sie haben das Ziel, Geschäftsprozesse und Compliance Regularien besser umsetzen und nachweisen zu können.

Die nächste Evolutionsstufe ist das sich aus dem Identity Governance entwickeln-de Identity Analytics. Identity Analytics liefert einen tieferen Einblick in die im Unternehmen vorhandenen Nutzer, ihrer Rechte und deren Nutzung. Anhand von Maßzahlen, Verhalten und Kontext ist es möglich Vorhersagen über Nutzung und Risiken zu treffen und besser auf sich ändernde Bedingungen im Bereich der Benutzerverwaltung zu reagieren.

Abbildung 1: Die Evolution des Identity Managements von einfacher Administration zu präventiver Analyse.
Foto: IBM

Funktionen von Identity Governance

Identity Governance Lösungen sollen den Nachweis erbringen, dass auf Nutzer und Berechtigungen bezogene Sicherheitsrichtlinien umgesetzt werden und damit die Nutzer die richtigen Rechte und nicht mehr Rechte als nötig haben. Identity Governance Lösungen liefern die für diesen Nachweis notwendigen Informationen. Dafür bieten diese Lösungen unter anderem die nachfolgend beschriebenen Funktionen.

Abbildung 2: Die wesentlichen Funktionsbausteine einer Identity Governance Lösung.
Foto: IBM

1. Access Visibility

Grundlage auch für alle weiteren Funktionen ist zunächst die zentrale Sichtbarkeit der vergebenen Berechtigungen. Berechtigungen können Geschäftsrollen, IT-Rollen oder in Zielsystemen definierte Berechtigungsobjekte (z.B. Active Directory Gruppen) sein. Die Darstellung muss klar erkennbar machen, welche Rechte eine Person auf einem Zielsystem hat.

2. Access Certification

Da in aller Regel nicht sichergestellt werden kann, dass bei der Vergabe und dem Entzug von Rechten alles richtig läuft, muss deren Richtigkeit regelmäßig z.B. durch den Vorgesetzten oder Anwendungsverantwortlichen bestätigt werden. Identity Governance-Lösungen erlauben zu diesem Zweck die Definition von Rezertifizierungs-Kampagnen, die nach bestimmten Selektionskriterien die zu zertifizierenden Benutzer als auch deren Rechte umfassen können (z.B. nur bestimmte Abteilung, nur bestimmte Anwendung).Solche Kampagnen, die zentral überwacht werden können, stellen sicher, dass die Nutzer nur die notwendigen Rechte besitzen. Voraussetzung hierfür ist allerdings, dass die Anzahl der zu zertifizierenden Rechte überschaubar (z.B. durch Definition von sinnvollen Rollen) und für den Zertifizierer verständlich sind.

3. Separation of Duty

Eine Anforderung vieler Compliance Regularien ist die strikte Trennung bestimmter Aufgaben in der Organisation. So soll die gleiche Person in der Regel nicht Waren bestellen und die eingehenden Rechnungen bezahlen dürfen. Diese Anforderungen unterstützen Identity Governance Lösungen durch statisches Separation of Duty (SoD).

Statisches SoD bezeichnet die grundsätzliche durch Rechte gesteuerte Trennung von Aufgaben. Im Gegensatz dazu kann dynamisches SoD nur durch die Anwendung selbst realisiert werden, da hier der Kontext der einzelnen Transaktionen notwendig ist.

In vielen IDM-Systemen (Identity Management) wird SoD auf Basis der definierten Rollen beschrieben. Da Rollen aber schon für die Provisionierung von Rechten verwendet werden, sind sie oft komplex und für Auditoren und Wirtschaftsprüfer nicht zu verstehen. Die Prüfer denken anhand von Geschäftsaktivitäten. Moderne Identity Governance-Lösungen definieren SoD-Regeln deshalb auf Basis von Geschäftsaktivitäten.

Diese Geschäftsaktivitäten sind bei unterschiedlichen Unternehmen einer Branche häufig sehr ähnlich und können z.B. per EXCEL- Sheet, welches die Prüfer zur Verfügung stellen, importiert werden. Das Unternehmen muss nun nur noch die Aktivitäten auf ihre spezifischen IT-Rechte abbilden. Dies ist in der Regel deutlich einfacher und überschaubarer als die Definition von Rollen und stellt zugleich auch noch einen Kontrollmechanismus dar, der indirekt überprüft, ob die Rollen richtig definiert sind.

Abbildung 3: Eine SoD-Matrix (Seperation of Duty) im Excel-Format.
Foto: IBM

4. Role Management

Rollen werden eigentlich von Identity Administration-Lösungen für die effiziente Provisionierung von Rechten benötigt. Insbesondere aus zwei Gründen fällt aber die Verwaltung von Rollen auch in den Bereich Identity Governance.

Zum einen wird ein schlankes Rollenmodell benötigt, um die Anzahl zu rezertifizierender Rechte zu minimieren und damit überschaubar zu halten. Zum anderen setzt der Prozess des Rollenmanagement neben dem Wissen der IT auch tiefes Wissen in die Geschäftsprozesse voraus. Unterstützung erhält derjenige, der die Rollen modellieren muss, durch das sogenannte "Role Mining". Hierbei erzeugt die Identity Governance-Lösung Rollenvorschläge und stellt sie im besten Fall graphisch dar.

Abbildung 4: Graphische Rollenmodellierung und "Role Mining".
Foto: IBM

5. Risk Management

Bestimmte Rechte und Rechtekombinationen können für eine Organisation ein hohes Risiko darstellen. Dies können einzelne hochprivilegierte Rechte (Administrator, SAP_ALL, SYSTEM SPECIAL), Verstöße gegen SoD-Regeln oder ungewöhnliche Rechtekombinationen in einer Abteilung sein.

Risikomanagement läuft in mehreren Stufen ab:

Modellieren > Messen > Erkennen > Abschwächen

Zunächst wird das Risiko modelliert, d.h. es wird definiert, was ein Risiko darstellt. Nun wird überprüft, ob Risiken vorhanden sind. Dabei werden entsprechende existierende Risiken aufgedeckt. Im letzten Schritt werden für diese aufgedeckten Risiken sogenannte Mitigationen definiert. Dies ist notwendig, da man nicht alle Risiken beseitigen kann. Eine Mitigation schwächt bestehende Risiken durch geeignete Maßnahmen ab. Dies kann z.B. eine stärkere Kontrolle der zugehörigen Identität oder auch nur eine zusätzliche Genehmigung durch z.B. den CISO sein.

Die Risiko-Analyse hilft, kritische Stellen im Unternehmen aufzudecken und zu beseitigen.

6. Access Request

Identity Governance kann auch die Funktion "Access Request", also die Beantragung von Rechten umfassen. Dies ist nicht unbedingt notwendig, da diese Funktion durch die ggf. vorhandene Identity Administration Lösung abgedeckt wird. Access Request innerhalb von Identity Governance kann insbesondere dann in Frage kommen, wenn:

• Keine separate Identity Administration-Lösung im Einsatz ist

• Identity Governance und Identity Administration Aufgaben von den gleichen Personen ausgeführt werden

• Bei der Beantragung gleich SoD und weitere Risikobetrachtungen mit berücksichtigt werden sollen. Dieses präventive SoD bei der Beantragung von Rechten erhöht die Sicherheit und Compliance zusätzlich.

Regularien und Identity Governance

Gesetzliche Vorgaben, Compliance Regularien und interne Sicherheitsrichtlinien sind die wesentlichen Treiber für Identity Governance. Viele dieser Richtlinien fordern den Nachweis, dass die Personen die richtigen Rechte haben und damit, dass die Identity Management-Prozesse funktionieren.

ISO 27001 fordert z.B. dass das Management die Zugriffsrechte in den IT-Systemen in regelmäßigen Abständen überprüfen muss (A.11.2.4. Review of user access rights).
MaRISK fordert unter anderem Funktionstrennung (BTO 1.1/2.1, AT 4.3.1 (1)) und Vergabe der korrekten Rechte (AT 7.2 (2)).
Das Bundesdatenschutzgesetz (BDSG) fordert, dass nur berechtigte Personen auf personenbezogene Daten zugreifen dürfen und auch nur auf die, die sie für die Ausübung Ihrer Tätigkeiten unbedingt benötigen (§9 BDSG + Anlage 3.).
Die "Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)" legt fest, dass ein internes Kontrollsystem aufgebaut werden muss, dass sowohl Zugangs- und Zugriffsberechtigungskontrollen sowie Funktionstrennung umfasst (6. Internes Kontrollsystem (IKS), Rz. 100).

Dieser kleine Ausschnitt von Regularien zeigt bereits, dass ein größeres Unternehmen ohne Identity Governance nicht mehr auskommt.

Fazit und Ausblick

Identity Governance ist in größeren Unternehmen aufgrund von Regularien nicht mehr wegzudenken. Identity Governance kann alleine oder in Kombination mit Identity Administration Lösungen eingesetzt werden.

Auch wenn Identity Administration das ältere Konzept ist und logisch gesehen die Basis von Identity Governance bildet, kann es trotzdem Sinn machen den Bereich Governance als einfacheren Schritt zuerst anzugehen, um Compliance-Anforderungen zu erfüllen und erst in einem späteren Schritt auch Identity Administration / Provisioning für Kosteneinsparung und Erleichterung der Administration einzuführen. Identity Governance ist deshalb einfacher einzuführen als Identity Administration, weil keine IDM-Prozesse abgebildet und auch nicht unbedingt alle Berechtigungen mit betrachtet werden müssen.

10 Schritte zum IAM-System

In zehn Schritten zum IAM
Softwarelösungen für das Berechtigungs-Management, so genannte Identity-Access-Management-Systeme (IAM), haben sich von ihrem früheren reinen IT-Fokus gelöst. Zwar werden über Single-Point-of-Administration, HR-gestütztes Provisioning und rollenbasierte Zugriffskontrolle nach wie vor Kostensenkung und effizientes Benutzermanagement realisiert. Bei den heutigen IAM-Systemen handelt es sich aber vor allem um Business-Collaboration-Plattformen, die auf eine umfassendere Beteiligung der Fachabteilungen an der Zugriffsverwaltung setzen. <br /> Sie eröffnen erweiterte Möglichkeiten für die Umsetzung von Regularien, Gesetzesvorgaben und des Risikomanagements. IAM wird damit zur tragenden Säule im Rahmen der Governance-, Risk- & Compliance-Strategie (GRC) eines Unternehmens. Der folgende 10-Punkte-Plan gibt einen Überblick, worauf bei der Einführung eines IAM-Systems zu achten ist.

Gemischte Projektteams aus IT und Business
IAM ist längst kein reines IT-Thema mehr. Meist können nur Personen außerhalb der IT, die über umfassende Kenntnisse der internen Geschäftsprozesse und der Organisation verfügen, die erforderlichen Informationen zu wesentlichen Aspekten beisteuern: Rollenkonzepte, Genehmigungsstrukturen, Erwartungen an die Nutzeroberflächen oder auch was Barrieren zwischen einzelnen Abteilungen angeht. <br />Projektteams zum Aufbau eines IAM-Systems sollten deshalb stets aus Kompetenzträgern sowohl aus der IT als auch aus dem Business bestehen.

Ziele definieren
Klar definierte Ziele und Dienstleistungen sowie ein eng gesteckter Rahmen zu deren Planung und Überwachung sind Erfolgsfaktoren eines jeden IAM-Projektes. Dies wiederum erfordert eine enge Zusammenarbeit zwischen erfahrenen Mitarbeitern sowohl beim Anwender als auch dem implementierenden IAM-Hersteller. <br />Es ist daher sicherzustellen, dass alle Daten und Ziele miteinander vereinbart und von jedem am Projekt Beteiligten verstanden werden, bevor die Einführung beginnt. Jede spätere Anpassung verlängert das Projekt unnötig, sowohl zeitlich als auch hinsichtlich des Budgets.

Vor Start des Projektes: Aufräumen!
Hohe Datenqualität ist der Schlüssel für erfolgreiches Identity Access Management. Diese Ausgangssituation ist aber keineswegs selbstverständlich, wenn ein entsprechendes Projekt aufgesetzt wird. Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind fehlende Verbindungen zwischen Konten und den Nutzern, verwaiste Konten, Rechtschreibfehler, etc. <br />Jedes IAM-Projekt beginnt daher mit einer Konsolidierung der User-IDs, bei der die Benutzerkonten ihren Besitzern zugewiesen werden. So spürt man im ersten Schritt sehr schnell verwaiste Konten auf.

Umsetzung in Phasen
Eine IAM-Lösung sollte sowohl alle unternehmensweiten IT-Systeme integrieren können als auch ausreichend skalierbar hinsichtlich der Anzahl der einzubindenden Nutzer sein. Doch muss dies alles nicht auf einmal umgesetzt werden; sinnvoller ist es, das Projekt in erreichbare Zwischenziele aufzuteilen und diese Schritt für Schritt abzuarbeiten.<br /> In der ersten Phase wird dabei nur eine begrenzte Anzahl von Zielsystemen angebunden – idealerweise die wichtigsten; die Anwender nutzen zunächst nur Standardfunktionalitäten. Erste Erfolge sind dadurch schneller sichtbar, was letztlich zum schnelleren Erreichen der vollständigen Projektziele führt.

Anschluss des HR-Systems
Probleme im Bereich der Rechteverwaltung resultieren oft aus unzureichender Koordinierung zwischen Human Resources und IT-Abteilung. Meldet das HR-Team Änderungen in der Personalstruktur oder bei den Stellenbezeichnungen der IT zu spät oder sogar gar nicht, kann dies schwerwiegende Folgen haben: Personen erlangen Zugang zu Konten, obwohl sie aufgrund ihrer neuen Rolle gar kein Recht mehr dazu hätten – oder weil sie das Unternehmen sogar ganz verlassen haben. <br />Eine manuelle, nicht automatisierte Informationspolitik und dezentrales Arbeiten tragen noch dazu bei, dass sich Fehler in den Berechtigungsstrukturen schnell und unkontrolliert ausbreiten. Das HR-System sollte deshalb als erstes mit dem IAM-System verbunden werden, um hier zu einer Automatisierung zu gelangen und damit Sicherheit und Kontrolle zu gewährleisten.

Customizing auf ein Minimum reduzieren
Führende IAM-Anbieter verkaufen nicht bloß ein Toolkit. Basierend auf der Erfahrung aus vielen realisierten Projekten, sind vorkonfigurierte Standardsysteme vielmehr nach dem Best-of-Breed-Ansatz konzipiert. Auf Standardszenarien verzichten, um ein System möglichst individuell an die Gegebenheiten eines Unternehmens anzupassen, sollte deshalb die Ausnahme bleiben. <br />In einem Standardprodukt spiegelt sich bereits das langjährig erworbene Wissen eines Herstellers um die verschiedensten Herausforderungen im IAM-Umfeld und die jeweils beste Lösung wider. Der Einsatz von Standardkomponenten reduziert zudem auch Implementierung und Wartungskosten auf ein Minimum. <br />Kunden sollten sorgfältig prüfen, ob es statt aufwändigem Customizing nicht sinnvoller wäre, die vorgeschlagene Vorgehensweise eines Standardproduktes zu übernehmen und die eigenen Strukturen hinsichtlich der Prozesse, Terminologie und Verantwortung anzupassen.

Rollen implementieren
Das Bündeln von Zugriffsrechten in so genannten "Rollen" reduziert den Administrationsaufwand erheblich und stellt die Grundlage für eine Automatisierung im Bereich der Rechtevergabe dar. Eine Rolle ist die Sammlung einzelner Zugangsrechte, die für eine bestimmte Funktion oder Aufgabe im Unternehmen erforderlich sind.<br /> Role-Mining-Tools bieten Hilfe bei der Definition von Rollen und deren Optimierung über einen kontinuierlichen Prozess hinweg. Hier ist jedoch Vorsicht geboten: Die Einführung von Rollen erfordert mehr als eine einmalige Definition von "Zugriffsrecht-Clustern".

Rollenverantwortliche festlegen
Rollen sind lebende, wandelbare Strukturen, die einem ständigen Überwachungs- und Anpassungsprozess unterliegen sollten. Deshalb benötigen sie einen zugewiesenen Besitzer, der die Verantwortung für ihre saubere Ausgestaltung übernimmt. Er muss die Rollen regelmäßig dahingehend überprüfen, ob aufgrund von Veränderungen in der Organisation oder der IT-Systeme Anpassungen notwendig sind. <br />Was für die IAM-Einführung im Großen gilt, hat deshalb auch für das Thema Rollen Relevanz: Aufteilen eines Rollenprojektes in kleine Teilziele, Einbeziehung von sowohl Business- wie IT-Verantwortlichen.

Top-down-Vorgehen
Ein Risikobewertungssystem ist ein leistungsfähiges Werkzeug, um die einzelnen Objekte im Access Management – Benutzer, Rollen und Konten – in eine sinnvolle Rangfolge abhängig von ihrer Relevanz zu bringen. Ein solches System jedoch für die gesamte Struktur der Zugriffsrechte zu implementieren, kann zu einem zeitaufwändigen und ressourcenintensiven Projekt führen. <br />Es empfiehlt sich ein Top-down-Ansatz, bei dem die Aufmerksamkeit zunächst auf wichtige Aspekte in einem frühen Stadium des IAM-Betriebs gerichtet wird. Zu einer vollständigen Risikobewertung kann das Unternehmen dann im Laufe der Zeit aufschließen.

Schnellere Erfolge auf Fachabteilungsebene
Treiber eines IAM-Projektes sind in der Praxis oft Wirtschaftsprüfer oder IT-Manager. Um eine Akzeptanz über alle Unternehmensbereiche hinweg zu erreichen, sollte ein Anwenderunternehmen im frühen Projektstadium bereits solche Funktionen evaluieren, die sich an den Wünschen und Bedürfnissen des einzelnen Anwenders orientieren. <br />Warum nicht die verfügbaren vorkonfigurierten Workflows für Anfrage oder Passwort-Reset schon einmal anbieten, anstatt damit zu warten, bis die Lösung bei Projektende zu 100 Prozent implementiert ist? Mit diesem Ansatz wird der Nutzen eines IAM-Systems schnell im praktischen Arbeitsalltag für alle – vom Anwender bis zum Management – spürbar, was ein wichtiger Baustein für den Gesamterfolg des IAM-Projektes ist.

Realistisch bleiben
Der 10-Punkte-Plan verdeutlicht es: Moderne IAM-Systeme binden Fachabteilungen ein und verschaffen eine am Geschäftsprozess ausgerichtete und verständliche Sicht auf Identitäten und deren Rechte.<br /> Die Bäume wachsen auch beim Thema Identity Access Management nicht in den Himmel. Erfolgreich sind solche Projekte, bei denen sich die Beteiligten realistische Zwischenziele setzen und Stück für Stück zu einem unternehmensweiten IAM-System vorarbeiten. <br />Dieses erfüllt dann seinen eigentlichen Zweck: die Umsetzung der GRC-Strategie des Unternehmens.