Identity Management für kleine und mittlere Unternehmen

CloudIAASKarriere

Auch kleinere Unternehmen benötigen Identity Management. Was bei der Einführung eines solchen Systems zu beachten ist, und welche Vorbereitungen nötig sind, erklärt Sebastian Rohr, Senior Analyst beim Analystenunternehmen Kuppinger Cole.

Neue IT-Technologien werden oftmals zuerst von großen Unternehmen und Konzernen umgesetzt. Dort macht der Druck durch steigende Anforderungen an Effizienz oder Sicherheit oder gestiegene Compliance-Anforderungen solche Investitionen in Technologie in der Regel zuerst notwendig.
Große Softwarepakete entsprechen dem Wunsch gerade großer Unternehmen nach mehr Struktur, durchgängigen Prozessen und vor allem nach wirksamer Kontrolle, haben aber den Nachteil, dass sie ihre volle Wirkung erst nach umfangreicher und kostspieliger Anpassung entfalten können.

Dafür ebenso wie für die Software selbst sind erhebliche Kapitalmittel vorzuhalten, und Budgetüberschreitungen bei der Implementierung und Anpassung sind an der Tagesordnung, aber das ist man dort sozusagen schon gewohnt.

Auch kleinere Unternehmen benötigen Identity Management
Bei einem mittelständischen Unternehmen hingegen kann solcher Aufwand die notwendige Einführung von wichtigen IT-Systemen dauerhaft bremsen oder sogar stoppen. Das gilt gerade bei Lösungen zur Verwaltung von Identitäten und Zugriffsrechten, wo der Bedarf kleinerer Unternehmen mittlerweile ebenso ausgeprägt ist wie bei großen Konzernen.
IT-Verantwortliche in mittelständischen Unternehmen haben ohnehin mit etwas anderen Rahmenbedingungen zu kämpfen, wenn es um Identity Management-Projekte geht.

Ein wichtiger Faktor ist die Planbarkeit der Kosten und damit des Budgets für IT-Projekte. Der Bedarf für gebündelte Lösungen oder Paketangebote wird hier immer größer, da unkalkulierbare Implementierungskosten als KO-Kriterium gelten. Ist also »Identity Management zum Festpreis« die Lösung?

Anwendungslandschaft in kleinen Unternehmen
Die Anwendungslandschaft in kleineren Unternehmen ist ja zum Glück meistens vergleichsweise einfach. Zwar existieren auch im Mittelstand zahllose Individualprogramme und Spezial-Applikationen, jedoch sind sowohl deren Anwender als auch die verantwortlichen IT-Mitarbeiter viel einfacher auszumachen. Für die Anbieter von Paketlösungen kommt erleichternd hinzu, dass in bestimmten Branchen einige wenige Spezialprogramme zur Standardausstattung der Unternehmen gehören.

Die Homepage von Kuppinger Cole. Vom 4.-7. Mai veranstaltet das Analystenunternehmen eine Konferenz, bei der unter anderem das Thema Identity Management im Mittelpunkt steht.

Außerdem läuft der Vertrieb inzwischen häufig über Marktplätze oder Online-Plattformen. Dass sich viele Unternehmen des Mittelstands zudem an Microsoft orientieren und eher selten komplexe und heterogene Misch-Lösungen betrieben, in denen Produkten beispielsweise von Sun, Novell, Oracle und SAP miteinander in Einklang gebracht werden müssen, macht die Sache noch einfacher. In der Regel sind Konnektoren für die beliebtesten Branchenlösungen vorhanden, was den individuellen Anpassungsaufwand weiter reduziert.

Workflow-Modellierung
Aber auch wenn es innerhalb bestimmter Branchen gewisse Ähnlichkeiten in den Anforderungen gibt, ist jedes Unternehmen doch ganz anders. Meist sind gewachsene und individuelle Abläufe und Prozesse vorhanden, die im neuen System entsprechend abgebildet werden müssen. Das gilt beispielsweise für Vertreterregelungen ebenso wie für Workflows, mit denen Nutzerrechten beantragt werden. Zum Glück fällt die Workflow-Modellierung selbst meistens deutlich einfacher aus, als das in einem großen Konzern der Fall ist. Manchmal reicht es aus, bereits vorhandene branchenübliche Abläufe als Vorlage zu übernehmen und diese mit wenig Aufwand anzupassen, zumal die meisten Anbieter beziehungsweise die Systemintegratoren in der Regel passende Workflow-Templates zur Verfügung stellen können.

Eine sehr individuelle – und damit schwierig zu paketierende – Aufgabe ist die Ableitung von Regeln, Rollen und Gruppen(-Rechten), mit denen sich das Identity Management für eine Provisionierung der Benutzeraccounts nutzten lässt. Hier muss die Modellierung entweder Bottom-Up (etwa durch Analyse der bestehenden Accounts und Berechtigung = Rollenanalyse) oder Top-Down (Festlegung generischer Gruppen, Rollen und Rechte durch die IT oder das Management) vorgenommen werden, was einerseits durch technische Hilfsmittel erleichtert werden kann, im zweiten Falle jedoch Beratungsaufwand erfordert.

Notwendige Anpassungen in der Einführungsphase sind ebenfalls zu berücksichtigen, da über Rollen und Regeln nicht wirklich alle Anforderungen abgedeckt werden können. Der Umfang und die Reichweite der Rollen und Gruppen sollte ja dabei eher zu klein als zu weit geschnitten werden. Dazu müssen sich aber Einzelberechtigungen bzw. Accounts über das System auch »nachordern« lassen.

Klare Verantwortung und Qualität der Daten
Neben diesen eher produkt- oder lösungsspezifischen Problemen sind aber auch vom Unternehmen bestimmte Voraussetzungen nötig, um überhaupt in den Genuss eines Paketpreises oder eines Paketangebotes kommen zu können. Aus den Lehren großer Konzerne lässt sich ableiten, dass Identity Management-Projekte fast immer scheitern, wenn die grundlegenden Voraussetzungen nicht erfüllt sind. Dazu zählen vor allem die Qualität der Daten sowie klare Verantwortungen innerhalb des Unternehmens.

Schlechte Daten in den anzubindenden Anwendungen und Verzeichnissen hat in den frühen Jahren des Identity Managements viele Projekte zum Absturz gebracht. Das konnten Unmengen von »Leichen« oder Geisterkonten in den einzelnen Systemen sein, nicht zuordenbare Benutzerkonten oder bereits vorhandene Gruppen und Rollen, die wegen Unstimmigkeiten und Überlappungen nicht übernommen werden konnten.

Mangelhafte Datenqualität
Ob die Datenqualität in den meisten mittelständischen Unternehmen heute überhaupt ausreicht, um an Paketlösungen zu denken, darf mit einigem Recht bezweifelt werden. Hier sind noch umfangreiche Hausaufgaben zu machen. Werden Verzeichnisse und Applikationsrepositories ohne vorige Bereinigung verknüpft, so multiplizieren sich die bereits bestehenden Fehler schnell zum hoffnungslosen Datenchaos! Ein einfaches Beispiel, bei dem die Datenqualität von fünf Identitätsquellen in Prozent angegeben wie folgt dargestellt wird: Vz1 = 90%, Vz2 = 95%, Vz3 = 98%, Ap1 = 85%, Ap2 = 88%
Qualität der Daten ohne Bereinigung: 0,9 * 0,95 * 0,98 * 0,85 * 0,88 = 0,627

Analyse der Datenqualität
Eine solche Berechnung kann zwar nur als Näherung gewertet werden, sie zeigt jedoch deutlich wie riskant es sein kann, ohne eingehende Analyse der Datenqualität Verzeichnisse und Applikationsspeicher einfach zu verknüpfen. Selbst die recht gute Datenqualität von 88 bis 95 Prozent in den Quellen führt hier zu einer absolut inakzeptablen Quote von 62,7 Prozent einwandfreier Datensätze im Zielsystem. Über 35 Prozent der Datensätze wäre somit unvollständig, fehlerhaft oder nicht zuordenbar – die manuelle Nacharbeit ist keinesfalls mit einem Festpreisangebot abzudecken!

Identity Management-Lösung zum Festpreis
Die Vorstellung eines Identity Management-Systems inklusive Einführung zum Festpreis ist sicher für viele IT-Entscheider im Mittelstand verlockend. Auch bei ihnen haben sich schließlich die Vorteile einer geordneten Verwaltung der Identitäten und Zugriffsrechte inzwischen herumgesprochen. Trotz großer Fortschritte ist Identity Management aber immer noch eine anspruchsvolles technische Herausforderung, und die Ansprüche aus den nachgelagerten Business-Prozessen hinsichtlich des Nachweises der Einhaltung rechtlicher Vorgaben sowie aus dem Revisionswesen und dem Risikomanagement (neudeutsch: Governance, Risk Management & Compliance, kurz GRC) sind massiv gestiegen.

Eben diese Verlagerung der Anforderungen aus der Technik hin zu gesch