Identität sicher managen
Industrie und Behörden mit vielfältigen Aktivitäten im Identitäts-Management

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Was hat Theodor Fontane mit Identitäts-Management zu tun? “Das ist ein weites Feld” – heißt es immer wieder in seinem Roman “Effi Briest” aus dem vorletzten Jahrhundert. Ähnlich weit und unüberschaubar scheint es derzeit, digitale Identitäten sicher bereitzustellen. Firmen und Institutionen liefern ein wahres Wirrwarr von Ansätzen.

Unternehmen unterschätzen Management von Identitäten

Identität sicher managen

Die Bedeutung von Identitäts-Management steigt. Überall arbeiten Industriekonsortien und Hersteller an Konzepten für die Bereitstellung von digitalen Identitäten in Unternehmen und über Unternehmensgrenzen hinweg: OpenID, Liberty Alliance, Shibboleth, Identifizierung im Rahmen von E-Government – Ansätze gibt es genug, flankiert von der steigenden Gefahr des Identitäts-Diebstahls ( IT im Unternehmen berichtete).

Gleichzeitig beklagen Experten, dass längst noch nicht alle Unternehmen erkannt haben, wie wichtig es ist, digitale Identitäten sicher bereitzustellen und zu verwenden. Das stellt Völcker Informatik AG, Anbieter von Identitäts-Management-Systemen, in seiner aktuellen Umfrage fest. Probleme gibt es mit der Verwaltung von Benutzeraccounts und IT-Berechtigungen, da die Manipulation von Benutzerrechten viel zu einfach möglich sei. Auch die Transparenz im Bereich IT-Berechtigungen lässt zu wünschen übrig: Nur wenige Unternehmen mit einigen hundert IT-Arbeitplätzen konnten auf Knopfdruck einen Report über die IT-Berechtigungen aller internen und externen Mitarbeiter darstellen.

Schlechte Verwaltung von Benutzeraccounts heißt: Auch die Geschäftsdaten sind bei der fortschreitenden Verlagerung von Verwaltungs- und Unternehmens-Aktivitäten ins Internet nicht sicher.

Ein mangelndes Problembewusstsein in deutschen Unternehmen für das Thema IT-Sicherheit allgemein beklagt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem soeben erschienen Lagebericht zur IT-Sicherheit (als PDF hier).


IDM im Unternehmen: Identitätsprozesse und Rollen definieren

Identität sicher managen

Worauf sollten Unternehmen achten, die ein Identitäts-Management-System (IDM) implementieren wollen? “Es ist schwer, eine Insel der Ordnung in einem Ozean des Chaos zu schaffen”, so Dr. Horst Walther, Analyst bei Kuppinger, Cole + Partner, in einem Gespräch mit IT im Unternehmen. “Der größte Aufwand steckt darin, Identitätsprozesse und Rollenmodelle zu entwickeln.”

Hiermit beschäftigt sich derzeit die Arbeitsgruppe GenericIAM, ein Kompetenzzentrum der “Nationalen Initiative für Internet-Sicherheit“, deren Sprecher Dr. Walther ist. Mitglieder sind Beratungsunternehmen, Hersteller, Analysten und System-Integratoren wie Beta Systems AG, Novell, Oracle, Siemens oder Sun Microsystems.

“Viele Unternehmen verwenden in ihrer Systemlandschaft Eigenentwicklungen oder haben nur Teile der notwendigen Prozesse definiert”, so Dr. Walther.

Vorgenommen hat sich GenericIAM, ein allgemein verwendbares, generisches Prozessmodell zu entwickeln, das Unternehmen als Vorlage für ihr Identitätsmanagement nehmen können. Das Modell hat einen universellen Anspruch und kann für Spezialfälle heruntergebrochen werden. Mit konkreten Ergebnissen rechnet man etwa im Herbst 2007.


Eigenentwicklungen sind out – Standards beachten

Identität sicher managen

Wer Identitätsmanagement in seinem Unternehmen betreiben will, sollte ein fertiges Produkt wählen – Eigenentwicklungen haben sich überlebt. “Die zunehmende Dynamik der Geschäftsbeziehungen und ihre Abbildung in den IT-Systemen zwingen Unternehmen dazu, gängige Marktprodukte zu nehmen. Man muss sich mit Herstellern auseinander setzen und vergleichbare Referenzimplementierungen prüfen”, betont Dr. Walther.

Zu beachten ist der laufende Standardisierungsprozess verschiedener Industriekonsortien. Dabei entwickeln sich derzeit die beiden konkurrierenden Modelle der Liberty Alliance, initiiert von Sun Microsystems, und WS*- von führenden Herstellern wie Microsoft und IBM aufeinander zu. Hersteller von Identitätsmanagement-Systemen verrsuchen, Standards zu unterstützen und sind dabei unterschiedlich weit.

Unbedingt sollte das gewählte Identitäts-Management-System Standards verwenden wie LDAP und Erweiterungen, Protokolle der X.500-Familie wie X.509, SAML 2.0, DSML, SPML, Protokolle des Web Services Framework (WS-*), aber auch Standards für den Workflow wie BPEL.

“Mittelfristig notwendig ist ein Aufbrechen der Suiten in Services, die in einer Service-Orientierten-Architektur (SOA) nach den entsprechenden Standards aufgebaut sein bzw. darüber kommunizieren sollten”, so Dr. Walther.


Am besten mit Berater und Integrator

Identität sicher managen

Auch wird es kaum ohne Berater gehen. Der Bedarf sinkt zwar, wenn die Prozesse und Rollen definiert sind. Aber ganz ohne Berater und Integrator wird die Implementierung im Unternehmen schwer. “Bei der Auswahl eines Integrators sollte man vor allem darauf achten, dass er bereits erfolgreiche Erfahrungen in einem IDM-Projekt mit genau diesem Produkt, nach Möglichkeit in derselben Version vorweisen kann”, betont Dr. Walther.

Schwerpunkt von GenericIAM war bislang das betriebsinterne Identitätsmanagement. Um möglichst schnell Ergebnisse zu erzielen, hatte man zunächst auf eine internationale Ausrichtung verzichtet. Nun will man die die Internationalisierung in Angriff nehmen: Kontakte zu Standardisierungsorganisation OASIS, ITU und der Europäischen Agentur für Netz- und Informationssicherheit (ENISA)) sind geknüpft. Auch dort beginnt gerade der Standardisierungprozess für das Identitäts-Management.

Bis 2010 soll die Kommunikation zwischen Unternehmen, Bürgern und Behörden innerhalb der EU digital ablaufen – derzeit befindet man sich dort in der Evaluierungphase, an einem IDM-übergreifenden Framework wird gearbeitet. Pilotprojekte soll es ab 2008 geben.