Identity Management shiftthink GmbH

Transkript

1 2004 shiftthink GmbH

2 1 Business Drivers: Wieso Secure Identity Management? Jede Unternehmung, welche Informationstechnologie einsetzt hat in der einen oder anderen Form mit Benutzerkonten und Passworten zu tun. Eine moderne Unternehmung hat meist nicht nur ein, sondern eine Vielzahl von eigenen Systemen in Betrieb. Ein Mitarbeiter nutzt also meist nicht nur eine sondern mehrere Applikationen jede meist mit einem eigenen Benutzernamen und Passwort. In mittleren und grösseren Institutionen kann das schnell zu einem Problem werden. Je höher die Anzahl Mitarbeiter und je mehr Passworte sich ein Mitarbeiter merken muss, desto eher wird sie/er geneigt sein ein Passwort unerlaubterweise zu notieren. 31% 14% 1 Passwort 2-3 Passworte 4 oder mehr Passworte 55% Abbildung 1 Wie viele Passworte benötigen Sie auf täglicher Basis? Erschwerend kommt hinzu, dass in den meisten Firmen keine Richtlinien zur Verwendung "Sicherer" Passworte bestehen. Dort wo Passwort-Richtlinien erlassen wurden, wird deren Einhaltung nur selten erzwungen oder gar überwacht. Ein weiterer problematischer Punkt im IT-Alltag ist die Bereitstellung und Revokation von Benutzerrechten. Die Komplexität der verschiedenen Systeme, respektive die Granularität mit welcher Zugriffsrechte vergeben werden können überfordert oft auch erfahrene Administratoren. Auch fehlt es an den nötigen Prozessen und klaren organisatorischen Zuständigkeiten ein Muss für ein effizientes und effektives Zugriffsmanagement. 10% 3% 49% Weniger als 2 Tage Mehr als 2 Tage Mehr als 2 Wochen Keine Ahnung 38% Abbildung 2 Wie viel Zeit wird benötigt bis ein neuer Mitarbeiter alle nötigen Zugriffsrechte hat? shiftthink GmbH Sandbuckstr. 23 CH-8173 Neerach Seite 2 von 11

3 Diese Missstände führen dazu, dass die Vergabe von Zugriffsrechten beim Eintritt, respektive die Löschung derselben beim Austritt eines Mitarbeiters entweder sehr lange dauert oder, im Falle eines Austritts, ganz vergessen wird. Diese Umstände können zu erstaunlichen Gegebenheiten führen, welche aber nicht die Ausnahme sondern eher die Regel bilden. Einige Beispiele zur Verdeutlichung: Eine in den USA, Europa und Asien durchgeführte Studie fördert zu Tage dass in 8 von 10 Fällen der geprüften Personen Passworte auf der Rückseite von Visitenkarten oder unter der Tastatur notiert waren [ 1 ] Ein ehemaliger Mitarbeiter einer Fortune 500 Unternehmung konnte sechs Monate nach seiner Kündigung noch Spesen verrechnen, welche auch ausbezahlt wurden [ 1 ] IT-Support- oder Helpdesk-Mitarbeiter verbringen im Durchschnitt über 30% ihrer Zeit damit, Passwort bezogene Probleme zu lösen [ 1 ] Benutzer wollen effizient arbeiten können, sehen sich aber oft mit den Schwierigkeiten eines unzulänglichen Zugriffsmanagement konfrontiert: Ein Benutzer muss sich mehrere Benutzernamen und Passworte merken, hat in gewissen Bereichen zu viele oder zu wenige Rechte und ist überfordert mit regelmässigem Zwang zur Passwortänderung. Dies kann bis hin zur Ablehnung von Authentisierungsvorgängen führen oder gar der betrieblichen IT-Systeme an sich. Mitarbeiter entwickeln eine erstaunliche Kreativität wenn es darum geht, ungeliebte Vorgänge bei der täglichen Arbeit zu umgehen. So finden unzählige "Work-arounds" den Weg in die Unternehmung und verursachen grosse Sicherheitslücken. Die eben genannten Probleme im Zusammenhang mit der Authentisierung und Autorisierung von Benutzern auf betrieblichen Applikationen entstehen jedoch nur zum Teil aufgrund technischer Unzulänglichkeiten. Oft fehlt es bereits bei der Organisation und einer klaren Definition von Rollen, Zugriffs- und Freigabestrukturen. Unter Zugriffs- und Freigabestrukturen ist die systemseitige Zuteilungen von Ressourcen wie auch die Vergabe von Nutzungs- und Zugriffsrechten auf eine Ressource zu verstehen. Wenn es an diesen organisatorischen Grundlagen fehlt, kann auch ein Technologieeinsatz dieses Manko nicht wettmachen. Immer wieder kommt es vor, dass in einer Unternehmung die organisatorischen Komponenten komplett unterschlagen werden mit den entsprechenden Folgen im täglichen Betrieb. Nicht nur die Organisation, sondern auch die betrieblichen Prozesse sind wichtig. Gerade im Bereich der Authentisierung und Autorisierung sind Prozesse ein wichtiger Faktor. Die Prozesse, welche mit der Vergabe von System-Zugriffen und - Rechten zu tun haben, reichen in viele Bereiche einer Unternehmung. Von zentraler Bedeutung sind die Human Resources (HR) Prozesse, welche Eintritt, Beförderungen, Abteilungswechsel und Austritt eines Mitarbeiters beschreiben, wie auch die Informatikseitigen Prozesse, welche die Sicherheit der Infrastruktur und die Umsetzung der definierten Zugriffs- und Freigabestrukturen gewährleisten. Bei der Betrachtung dieser Prozesse treten in vielen Fällen, bei genauem Hinschauen, nicht nur Sicherheits- sondern auch Effizienzmängel auf ein grosses Potential 2 für Kosteneinsparungen. 1 Quelle: Exploring Secure in Global Enterprises, A Joint Study by Stanford University and Hong Kong University of Science and Technology, 2003 shiftthink GmbH Sandbuckstr. 23 CH-8173 Neerach Seite 3 von 11

4 Leider sind organisatorische Missstände und ineffiziente oder gar nicht erst definierte Prozesse zur Regelung der Authentisierung und Authentisierung nicht die Ausnahme, sondern die Regel. Vor allem in mittleren und grösseren Unternehmen geht auf diese Weise, neben den entstehenden Sicherheitsmängeln, viel Geld verloren. Zwei Beispiele sollen dies verdeutlichen: Aufgrund fehlender Prozesse kann ein Mitarbeiter, auch sechs Monate nach seinem Weggang von der Unternehmung noch Spesen an seine Ex-Firma verrechnen und erhält diese auch ausbezahlt. Die entsprechenden Zugriffsrechte auf das Firmen-Intranet wurden nie entzogen. In einem anderen Fall benötigte ein Unternehmen drei Monate um einem neuen Mitarbeiter alle für seine Arbeit nötigen Zugriffsrechte auf den Internen Systemen zu erteilen. Während dieser Zeit konnte er seine eigentliche Aufgabe nicht vollständig erfüllen. Ein weiterer Indikator für Unzulänglichkeiten in diesem Bereich ergibt sich aus der Auswertung von Problemmeldungen in mittleren und grösseren Helpdesk- und Callcenters: Im Durchschnitt haben 25% bis 30% aller Anfragen von Benutzern / Kunden einen Bezug auf die Authentisierung zu irgendwelchen Systemen (Passwort vergessen, Benutzerkonto abgelaufen, Inadäquate Rechte, etc). Alle Studien in diesem Gebiet, wie auch unsere eigene Erfahrung, zeichnen ein einheitliches Bild: Vom kleinen Unternehmen bis hin zu internationalen Konzernen und Non-Profit Organisationen ist das Secure (SIM) ein ungelöstes Problem. 2 Was ist Secure? Unter Secure (SIM) sind Konzepte, Vorgehensweisen und Technologien zu verstehen, die dabei helfen Benutzerdaten zentral zu verwalten und dezentral, über Systemgrenzen hinweg, zu nutzen. Im Zusammenhang mit SIM ist die Bezeichnung Benutzer jedoch etwas weiter gefasst zu verstehen: Ein Benutzer ist hier die digitale Identität eines internen Mitarbeiters, eines Partners oder eines Kunden. Allen gemeinsam ist das Bedürfnis, auf Systeme der betrachteten Unternehmung zuzugreifen. Oft werden die Begriffe Secure und Single Sign-On (SSO) synonym verwendet es gibt jedoch markante Unterschiede. Single Sign-On kann man als Teilbereich des SIM erachten, oder als ersten Schritt in diese Richtung. Primäres Ziel von Single Sign-On ist es, einem Benutzer durch einmalige Eingabe seiner Zugangsdaten (oft Benutzername/Passwort) Zugriff zu mehreren Applikationen zu geben. Während der Benutzer sich gegenüber dem SSO System authentisiert, übernimmt dieses die Anmeldung gegenüber den Zielapplikationen und nimmt so dem Benutzer die Aufgabe ab, bei jeder Applikation separat einloggen zu müssen. Die Nutzung von SSO bringt, neben der Möglichkeit einer verbesserten Effizienz (schnelleres Login, weniger Helpdesk -Anrufe in Bezug auf die Systemanmeldung) auch eine Verbesserung der Sicherheit mit sich: Benutzer müssen sich nur noch ein (komplexes) Passwort merken den Rest übernimmt SSO. Durch die Automatisierung des Logins von SSO zu den Applikationen können hier natürlich shiftthink GmbH Sandbuckstr. 23 CH-8173 Neerach Seite 4 von 11

5 sehr komplexe und häufig ändernde Passworte verwendet werden der Benutzer braucht sich nicht darum zu kümmern. Wesentlichster Unterschied zu SIM ist wohl die limitierte Sichtweise des SSO Ansatzes. Es werden lediglich die ersten beiden Stufen eines Anmeldevorganges (Identifizierung und Authentisierung) abgehandelt, Rendezvous, Provisioning und Kontext werden nicht berücksichtigt. Identifikation Die Identifikation, respektive der Vorgang des Identifizierens, bedeutet letztlich nichts anderes als einen Gegenstand oder eine Person mit den uns bekannten Informationen über diesen Gegenstand oder diese Person zu vergleichen. Im Falle der Übereinstimmung ist die Identität (lat. Idem et idem, zu Deutsch gleich und gleich ) hergestellt. Vereinfacht gesagt wird "Wer sind Sie?" gefragt. Beim Secure ist die Identität zentraler Ankerpunkt der Lösung. Entsprechend wichtig ist der Prozess zur Etablierung einer neuen, eindeutigen Identitätshülle, welche dann durch Zuordnung zu einem Benutzer personalisiert und mit relevanten Daten angereichert wird. Diese Identitätshülle begleitet dann den Mitarbeiter während seines gesamten Verbleibens in der Firma vom Eintritt, über Umteilungen und Beförderungen bis zum Austritt. Während die Identitätshülle eindeutig ist, und immer dieselbe bleibt, passen sich die beinhalteten Daten stetig den Veränderungen im Arbeitsumfeld an. Der Prozess zur Etablierung einer neuen Identitätshülle muss nun eine Anzahl von nachfolgenden Teilprozessen starten. Beispielsweise: Erstellung von Benutzerkonten in Applikationen, Zuweisung einer Telefonnummer, Requisition von Büroplatz und Computer, und viele mehr. Gerade diese Prozesskette bietet ein enormes potential an Automatisierungsmöglichkeiten und somit Kosteneinsparungen. Heute werden diese Tätigkeiten meist isoliert und verteilt über die gesamte Unternehmung verteilt wahrgenommen Leerläufe und Doppelspurigkeiten sind vorprogrammiert. In der Praxis kann der Identifikationsvorgang in vielerlei Gestalt erfolgen. Meistens ist es die Eingabe des Benutzernamens (oder der Benutzernummer) in ein dafür vorgesehenes Feld oder das Einsetzen einer SmartCard. Authentisierung Nach erfolgter Identifikation eines Benutzers, muss die Identität der Person überprüft werden. Es ist sicherzustellen, dass der Benutzer der Identität auch zu deren Nutzung berechtigt ist. Es ist schnell klar, wie wichtig es ist, Identitäten vor Missbrauch zu schützen. Gerade heute, wo die digitale Unterschrift diejenige von Hand je länger je mehr verdrängt, muss einer strengen (sprich sicheren) Authentisierung grösste Aufmerksamkeit zugestanden werden. Identitätsdiebstahl ist ein ernst zu nehmendes Risiko, in der realen und vor allem in der digitalen Welt. Die Authentisierung erfolgt in den meisten Fällen durch die Eingabe eines geheimen Passwortes. Aufgrund der sicherheitstechnischen Unzulänglichkeiten von Passworte sind inzwischen unzählige andere Methoden entwickelt worden, wie beispielsweise Einweg-Passworte, grafische Passworte oder Zeit- und vorfallsdynamische Passworte (z.b. SecurID). Verbesserungen in Bezug auf Sicherheit hat vor shiftthink GmbH Sandbuckstr. 23 CH-8173 Neerach Seite 5 von 11

6 allem die Mehrfaktorauthentisierung gebracht. Beispiele für solche Systeme sind die Nutzung einer Smartcard mit einem entsprechenden PIN, oder der Einsatz von biometrischen Geräten zur Authentisierung (oder auch Identifikation) mittels körpereigenen Merkmalen. Rendezvous Unter "Rendezvous" wird, vereinfacht gesagt, die Zuweisung von Ressourcen zu den jeweils konsumierenden Identitäten verstanden. Dies können interne Benutzer, Kunden oder Partner sein. Gerade die stetige Verlagerung weg von einer stationären und hin zu einer mobilen Arbeitsweise gibt dem "Rendezvous"-Prozess grosses Gewicht. Hier hinken die Möglichkeiten einer Firmen-Infrastruktur meist hinter den Anforderungen der Telearbeit hinterher. Eine Schwierigkeit bei der Realisierung von "Rendezvous"-Strukturen ist, dass die betriebliche Organisation meist nicht ausreichend dokumentiert ist, oder die Rollen-/Stellenbeschreibungen nicht in ausreichender Granularität vorliegen. Rendezvous bedingt, vor allem durch die heute übliche Mobilität der Mitarbeiter, eine umfassende Vorstellung von Rollen, nötigen Ressourcen und Arbeitsweisen. Ohne eine durchdachte organisatorische Grundlage kann eine technische Umsetzung nicht erfolgreich sein. Weiter Stolpersteine hält die Technik parat. Durch die Mobilität überschreiten Mitarbeiter nicht nur politische- sondern auch Systemgrenzen. Es wird unterschiedliche Hardware, Betriebssysteme und Software genutzt je nachdem wo man gerade ist. Die Heterogenität der heute anzutreffenden IT-Landschaften fordert ihren Tribut in Form von teilweise aufwendigen Integrationsprojekten. Standardisierte Technologien, welche nötig sind um Rendezvous über die unterschiedlichen Plattformen hinweg zu realisieren sind zum grössten Teil vorhanden. Meist bedeuten diese jedoch einen etwas grösseren initialen Aufwand als proprietäre, betriebssysteminterne Lösungen. Wählt man die bequemere Variante, wird die Integration meist um Faktoren schwieriger als mit der Nutzung von breit abgestützten und standardisierten Technologien. Hier ist eine vorausschauende Technologiewahl und kompetente Beratung nicht zu ersetzen. Autorisierung / Provisioning Das "Provisioning", also die dynamische Bereitstellung von Zugriffs- und Nutzungsrechten, soll sicherstellen, dass Benutzern Zugriff auf die Ressourcen erhalten, welche sie für Ihre Arbeit benötigen, nach dem Prinzip des "Least Privilege". Technisch gesehen geht es beim Provisioning um die Zuteilung der Rechte an Ressourcen zu den jeweiligen Identitäten. So erhält beispielsweise der Benutzer 'mbo' die Rechte "Lesen" auf der Windows-Freigabe "\\Server1\Daten"'. Beim Management des "Provisioning" Vorgangs gibt es zwei Knackpunkte zu beachten. Erstens: Will man einem Benutzer die nötigen Rechte zuweisen, muss man erst einmal genau wissen was die Person überhaupt für eine Aufgabe (Rolle) hat und welche Ressourcen Ihr dafür zugeteilt werden müssen. Man kommt also nicht umhin, den Human Resources (HR)-Prozess um eben diese Merkmale zu erweitern. Es sind Rollenbeschreibungen nötig, welche die nötigen Zugriffs- und Nutzungsrechte zur Erfüllung mit berücksichtigen und definieren hier hakt es bei fast allen Unternehmungen. Zweitens sind Rollen nicht als statisch zu betrachten. Mit shiftthink GmbH Sandbuckstr. 23 CH-8173 Neerach Seite 6 von 11

7 veränderten Aufgaben und Zielen einer Rolle verändern sich naturgemäss auch die entsprechend nötigen Rechte. Eigentlicher Sinn eines Prozesses für den sicheren Systemzugang ist, nach der Identifikation und Authentisierung eines Benutzers, diesem auch seiner Arbeit entsprechende Zugriffsrechte zu gewähren. Dieser Bereich ist jedoch auch derjenige, dem am wenigsten Aufmerksamkeit und Sorgfalt beigemessen wird. In vielen Fällen wird grosser Wert darauf gelegt, eine sichere Identifikation und Authentisierung zu erreichen. Bei der Zuteilung der nötigen Zugriffs- und Freigabestrukturen jedoch, sind die vergebenen Rechte meist nicht einmal annährend kongruent mit den effektiv benötigten Rechten. Hauptgrund für diesen Umstand sind in fast allen Fällen fehlende oder mangelhafte Sicherheitskonzepte, allen voran ein Rollenkonzept, welches auch die Vergabe von Zugriffs- und Freigabestrukturen für die betrachtete Arbeitsstelle festlegt. Ein weiterer Grund ist das fehlen von Prozessen, welche den Mitarbeiter-Lebenszyklus in einer Unternehmung auch in Bezug auf die Systemrechte verwalten. Diese stehen meist nicht für sich, sondern sollten in die bereits bestehenden Unternehmensprozesse (vor allem HR) integriert werden. Kontext Das Etablieren eines Kontext bedeutet, dass die digitale Identität eines Mitarbeiters einem wechselnden und dynamischen Arbeitsumfeld Rechnung trägt. Ebenso wie die eine Arbeitstätigkeit sich im Verlaufe der Zeit stetig verändert, ist auch das Arbeitsumfeld für einen Mitarbeiter nicht immer das selbe vor allem in der heutigen Zeit der Mobile-Worker. Die Vergabe von Rechten hat nicht nur mit der Tätigkeitsbeschreibung (was), respektive der Rolle zu tun, sondern auch mit der Arbeitsweise also "wie" und der geographischen Position (wo). Im verlaufe eines Arbeitstages kann sich das Arbeitsumfeld eines Mitarbeiters stark verändern. Eine Rolle spielen beispielsweise der geographische Arbeitsort, Projektmitarbeit und Mitarbeit in dynamischen Teams, aber auch Beförderungen, Rückstufungen oder eine Veränderung des Verantwortungsumfangs. Als Beispiel sei der Sales-Manager genannt, der stetig zwischen dem Hauptsitz und Regionalvertretungen hin und her reist. Die sinnvolle Vergabe von Rechten zu Ressourcen (z.b. ein Drucker) hängt massgeblich von seiner geographischen Position ab. Wenn er sich in Malaysia aufhält und etwas ausdrucken will, sind die Zugriffsrechte auf die Druckerwarteschlange am Schweizer Hauptsitz nutzlos er benötigt Zugriffsrechte welche seinem jeweiligen Kontext entsprechen. Die Etablierung von "Kontext" wird von der arbeitstechnischen Entwicklung längst gefordert, ist doch je länger je mehr ein orts- und zeitunabhängiges Arbeiten Usus geworden. shiftthink GmbH Sandbuckstr. 23 CH-8173 Neerach Seite 7 von 11

8 3 Business Case: Was bringt Secure Identity Management? Secure hat in den letzen Wochen und Monaten stark an Bedeutung zugelegt. Die Mängel der bestehenden IT-Infrastrukturen in Bezug auf den sicheren Systemzugang bewegen viele Unternehmen zum Handeln. Wie steht es jedoch um die Wirtschaftlichkeit von SIM-Projekten? Was kann mit SIM erreicht werden? Das Thema wurde durch renommierte IT-Marktforscher wie beispielsweise der Gartner Group und IDC analysiert und als grösstes Einsparpotential für Unternehmen in 2004/2005 identifiziert. Als kostenwirksame Potentiale sind zu nennen: Produktivere Human Resources-Prozesse Verbesserung der Arbeitseffizienz Verbesserung der Benutzerakzeptanz Reduzierte Helpdesk Kosten Schnelleres "Time-to-Market" für Webservices Produktivere HR-Prozesse Bei der Einstellung, Beförderung oder Entlassung von Mitarbeitern ist immer auch die IT-Infrastruktur betroffen. Es müssen Benutzerkonten eröffnen oder gelöscht und entsprechende Rechte vergeben, verändert oder entzogen werden. Ein gut mit HR integriertes Secure kann hier die Durchlaufzeiten der einzelnen Prozesse markant beschleunigen. Verbesserung der Arbeitseffizienz Selten arbeitet ein Mitarbeiter einer Unternehmung nur mit einer Applikation oder einer Ressource. Oft muss sich der Benutzer mehrere Zugangsdaten merken und diese je nachdem welche Applikation oder Ressource er benötigt mehrfach am Tag neu eingeben. Das ist nicht nur aufwändig, sondern führt auch oft zu Folgeerscheinungen wie vergessene Passworte, ausgesperrte Benutzer oder ähnlichem was wiederum den Benutzersupport belastet und den Mitarbeiter daran hindert effizient seine Arbeit zu verrichten. Das kann dem Benutzer diese Bürde abnehmen und so in oben genannten Bereichen eine Effizienzsteigerung bieten. Verbesserung der Benutzerakzeptanz Je mehr Probleme ein Benutzer mit einem IT-System hat, desto schlechter ist die Akzeptanz der Informatik-Sachmittel und der damit verbundenen Richtlinien. Wenn man nun erwägt, dass im Schnitt beinahe 30% aller Helpdesk Anfragen einen Bezug zur Systemanmeldung haben, dann liegt es nahe, dass in diesem Bereich Verbesserungspotential besteht. Ein System welches wie erwartet funktioniert findet auch die Akzeptanz des Benutzers SIM kann hier einen wesentlichen Beitrag leisten, was sich auch durchaus in Kosteneinsparungen niederschlägt. Ein gewichtiger Nebeneffekt schlechter Benutzerakzeptanz ist die Gefahr von Sicherheitslücken. Ein Benutzer wird versuchen einen Mechanismus, der ihn bei der shiftthink GmbH Sandbuckstr. 23 CH-8173 Neerach Seite 8 von 11

9 Arbeit behindert entweder zu umgehen oder gar nicht erst zu nutzen. Das ist nicht ungefährlich für die Sicherheitspostur der Unternehmung. Reduzierte Helpdesk Kosten Wie bereits erwähnt machen Passwortbezogene Anfragen in vielen Helpdesk- Organisationen oder IT-Abteilungen einen grossen Teil der Gesamtaufkommens aus. Ein Secure System kann helfen diesen Anteil markant zu senken. Schnelleres "Time-To-Market" für Webservices Der Trend in Richtung Webservices ist klar erkennbar. Viele Unternehmen bieten mit Ihrem Internet-Auftritt durch Webservices zusätzliche Funktionalität an. Das bringt dem Kunden einen zusätzlichen Nutzen und dient als Differentiator zu Mitbewerbern. In den meisten Fällen sollen diese Funktionen jedoch bestimmten Kunden vorbehalten sein, ausserdem darf auf keinen Fall ein Kunde in die Daten eines anderen Einsicht erhalten. Eine strenge Authentisierung und ein Provisioning mit entsprechend feiner Granularität ist unerlässlich um diese zu gewährleisten Funktionen des SIM Ansatzes. Da Webservices über das Internet stark exponiert sind, ist auch die Gefahr eines (gezielten oder zufälligen) Angriffes gegeben. Neben der Funktionalität und Sicherheit beim Einsatz von Webservices, ist auch die Geschwindigkeit der Markteinführung entscheidend. Wer mit einem bestimmten Service nicht der erste ist, hat unter Umständen bereits viel vergeben. Ein Secure System kann helfen, die zentrale Forderung nach einer sicheren Authentisierung für Webservices zu erfüllen. Neben den monetären Anreizen gibt es weitere Vorteile, welche ein SIM-Projekt rechtfertigen können: Verbesserte Sicherheit Ein gut geplantes und eingeführtes Secure System bedeutet eine massive Verbesserung der Sicherheit. Zum einen, weil sich die Unternehmung Gedanken zu den Sicherheitsrichtlinien, Rechte- und Freigabestrukturen machen muss und somit oft Lücken und Leerläufe erkennt, zum anderen weil ein grosses Potential an Benutzer-Fehlverhalten und technischen Schwächen eliminiert wird: Wenn sich ein Benutzer nur ein Passwort merken muss ist die Gefahr kleiner, dass er es aufschreibt. Da nur ein Passwort memorisiert werden muss kann man dafür ein komplexeres Passwort erzwingen und somit die Chance verringern dass dieses geknackt wird. Benutzer haben nur die Zugriffs- und Freigaberechte, welche sie für ihre Aufgabe wirklich benötigen nicht mehr und nicht weniger. Das minimiert das Potential von Internen Angriffen, Betrug und Missbrauch. Man nimmt dem Benutzer die Versuchung. Die Prozeduren für die Authentisierung in die Applikationen können massiv verschärft werden (z.b. 30-stellige Passworte mit Sonderzeichen, welche täglich ändern). So wird die Gefahr einer Passwortattacke minimiert und der Benutzer wird nicht mit solchen Passworten überfordert. shiftthink GmbH Sandbuckstr. 23 CH-8173 Neerach Seite 9 von 11

10 Anmeldungs-Richtlinien können umgesetzt, überprüft und erzwungen werden. Es wird verhindert dass auf jedem System andere Einstellungen gelten. Ein zentrales Management erlaubt die Konsolidierung von Sicherheitsrelevanten Aufgaben und fördert deren Auditierbarkeit. Verbesserte Compliance Neben direkten Sicherheitsvorteilen, kann ein SIM-System auch helfen, neuen Gesetzen und Verordnungen besser Rechnung zu tragen. Eine Unternehmung hat erstmals die Übersicht über die effektiven Rechtestrukturen und verbessert so massgeblich die Auditierbarkeit und Compliance gegenüber Prüfern und Gesetzgeber. SIM trägt auch dazu bei, einen wichtigen Teil in der Risikolandschaft besser im Griff zu haben. Der Risk-Manager kann diese Bereiche besser einschätzen, was beispielsweise zu verminderten Versicherungsprämien (bei versicherten Risiken) führen kann. Mit den stetig steigenden Anforderungen des Gesetzgebers an die Unternehmen in Bezug auf die Informatik-Nutzung (Beispielsweise HIPAA oder Basel II) wird es nötig, dass Unternehmen die Möglichkeit haben, die eigene Compliance in Bezug auf diese Gesetze einzuschätzen und gegebenenfalls Massnahmen zu veranlassen. Auch hier kann SIM einen positiven Beitrag leisten. 4 Herausforderungen des ID Mgmt. (Obstacles of SIM) Die Einführung des Secure ist ein komplexes Unterfangen, welches nicht unterschätzt werden darf. Ein SIM-Projekt bietet wohl aber das beste Potential für gleichzeitige Kosteneinsparungen und eine verbesserte Sicherheit und ist bei vielen mittleren und grossen Unternehmungen weit oben auf der Wunschliste. Bei der Entscheidung für oder gegen ein SIM-Projekt gibt es einige wichtige Punkte zu beachten, welche massgeblich über Projekterfolg oder -Misserfolg entscheiden: Fehlende Management-Unterstützung Die Unterstützung des mittleren und oberen Management ist wesentlich für die erfolgreiche Durchführung beinahe jedes Projektes. Dies trifft noch extremer zu für Infrastrukturprojekte, welche einen gewissen Aufwand bedeuten und oft zunächst als Erschwernis wahrgenommen werden. Bis der Erfolgsbeweis erbracht ist, braucht es Geduld und die Unterstützung des Management. Ohne diesen Su p- port sind die Erfolgschancen für ein SIM Projekt als gering zu betrachten. Da Identity Management Projekte sich jedoch auch wirtschaftlich sehr gut rechnen, stehen die Chancen für eine Unterstützung durch das Management gut. Fehleinschätzungen und mangelndes Wissen Bei ungenügender Information besteht die Gefahr der Ablehnung des Projektes durch das Management und die Benutzer. SIM-Projekte sind komplex und Bedürfen der Einbindung aller betroffenen Gruppen damit von Beginn an verstanden wird was die Projektschritte und Ziele sind. Es ist eminent wichtig dass Benutzer ih- shiftthink GmbH Sandbuckstr. 23 CH-8173 Neerach Seite 10 von 11

11 ren persönlichen Nutzen den sie aus dem Projekt zu erwarten haben erkennen, und mit diesem vor Augen für und nicht gegen das Projekt arbeiten. Eine entsprechende Informationspolitik hilft Widerstände abzubauen und die Belegschaft für das Vorhaben zu gewinnen. Komplexität SIM Projekte sind, je nach Komplexität der angetroffenen Umgebung, technisch anspruchsvoll. Die Integration von unterschiedlichen Plattformen und Technologien ist aufwendig und bietet einige Stolpersteine. Auch aus diesem Grund ist ein iteratives Vorgehen in überschaubaren Schritten notwendig. Die grösste Herausforderung liegt darin, stark dezentralisierte Informatik-Landschaften, welche unter Umständen noch auf unterschiedlichen Sicherheitsrichtlinien basieren, einander zu nähern und integrationsfähig zu machen. Die einzelnen Lokationen geniessen oft eine grosse Autonomie, was eine schnelle und umfassende Zentralisierung schwierig macht. Auch hier kann jedoch, mit einem schrittweisen Vorgehen in sinnvollen und erreichbaren Phasen das Projekt zum Erfolg geführt werden mit einer messbaren Verbesserung bei jedem Schritt. Organisationsstrukturen Organisationen, welche schon einige Zeit bestehen haben oft gut etablierte Strukturen und fest verankerte Prozesse. Das spezielle an SIM Projekten ist nun, dass sollen sie erfolgreich sein nicht nur die Technik, sondern auch die verbundenen Prozesse und Strukturen angefasst werden müssen. Es ist gegebenenfalls nötig, stellenweise auch an der Struktur oder an Prozessen der Unternehmung Veränderungen vorzunehmen vor allem im Bereich des Personalwesens. Wiederum kann Widerständen aus der Belegschaft mit einer durchdachten Informationspolitik entgegnet werden. 5 Fazit IT-Sicherheit hat keinen Selbstzweck. Sicherheit ist dazu da, die Werte der Unternehmung und deren Mitarbeiter zu schützen und den geltenden Gesetzen zu genügen. Die schwierige konjunkturelle Lage der letzten Jahre hat ausserdem die Frage aufgeworfen, wieso IT-Sicherheit meist viel Kostet aber mindestens aus wirtschaftlicher Sicht oft nicht rentiert. Es geht auch anders. Das Secure adressiert einige der grössten Kostenfaktoren in der IT von modernen Unternehmungen. Nicht nur die Auguren von Gartner und Co sind der Meinung, dass SIM Projekte bei vielen Firmen ganz oben auf der Projekt-Wunschliste stehen werden. Vor allem der Umstand, dass ein IT- Sicherheitsprojekt auch noch wirtschaftlich Sinn macht, kann überzeugen man schlägt sozusagen zwei Fliegen mit einer Klappe. Wenn man einige zentrale Dinge beachtet, sind SIM Projekte eine äusserst sinnvolle Investition. Nicht nur die kurz- und mittelfristigen Ziele wie Kostenreduktion, bessere Prozesseffizienz, Vereinfachungen und ähnliche sind zu betrachten. SIM kann langfristig auch "Enabler" sein und die Adoption von neuen Technologien oder Geschäftsideen erst ermöglichen. shiftthink GmbH Sandbuckstr. 23 CH-8173 Neerach Seite 11 von 11