Identitätsmanagement im Enterprise Umfeld

Größe: px
Ab Seite anzeigen:

Download "Identitätsmanagement im Enterprise Umfeld"

Transkript

1 F H Z > FA C H H O C H S C H U L E Z E N T R A L S C H W E I Z H S W > H O C H S C H U L E F Ü R W I RT S C H A F T IWI LUZERN > I N S T I T U T F Ü R W I R T S C H A F T S I N F O R M AT I K L U Z E R N Masterarbeit in der Fachrichtung Information Security eingereicht am: Institut für Wirtschaftsinformatik der Hochschule Luzern Autor:Peter Egli Referent: Roland Portmann Koreferent:Thomas Marti Master of Advanced Studies in Information Security Luzern, 14. Januar 2008 Diese Arbeit ist NICHT VERTRAULICH IWI LUZERN T: Ein Institut Zentralstrasse 9 F: der Hochschule Postfach 3140 E : i w h s w. f h z. c h für Wirtschaft CH 6002 Luzern W: w w w. h s w. f h z. c h Luzern HSW

2 Seite 2 / 153 Rückmeldungen und Kommentare bitte senden an: Autor: Peter Egli Sicherheitsapplikationen PostFinance Informatik Telefonnummer: Referent: Roland Portmann Leiter CC Informations- und Softwaresicherheit Hochschule Luzern Technik und Architektur Telefonnummer: Koreferent: Thomas Marti Leiter technische Infrastruktur PostFinance Informatik Telefonnummer:

3 Seite 3 / 153 Inhaltsverzeichnis Management Summary Einleitung Problemstellung Ausgangslage Aufgabenstellung / Ziele Abgrenzung Aufbau und Inhalt der einzelnen Kapitel Vorgehensweise Adressatenkreis Danksagung Überblick über Identitäts- und Accessmanagementsysteme Was ist Identitätsmanagement? Geschichtlicher Rückblick Sicherheitsstandards und Publikationen ISO COBIT ITIL Gartner Publikationen Identitätsmanagement Identität Risiko und Vertrauen Rechtliche Aspekte Lifecycle Management Credential Management Accessmanagement Autorisierung Access Control Workflow Auditing und Archivierung Technologien und Verfahren Metadirectory Virtuelles Directory Provisioning Synchronisation Passwortsynchronisation Single Sign-on Organisatorische Herausforderungen Der Identitäts- und Accessmanagement Prozess Die Einführung eines Identitäts- und Accessmanagementsystems Organisatorischen Auswirkungen im Unternehmen Erweiterte Anforderungen Firmenübergreifende Identitäten Benutzerzentriertes Identitätsmanagement Fazit und Erkenntnisse Umfrage im Finanzdienstleistungssektor Art der Umfrage

4 Seite 4 / Rücklaufquote Auswertung der Befragung zum Thema Thema: Unternehmen und Person Thema: Lifecycle Management Thema: Identitäts- und Accessmanagement Thema: Technologien und Verfahren Thema: IDM Prozesse Thema: Zukunft Thema: Finanzielle Aspekte Zusammenfassung Konzept: IDM Anbindung von PF Windows Applikationen Management Summary Abschlussbetrachtung Zusammenfassung der Ergebnisse Betrachtungen zur Diplomarbeit Literaturhinweise und Links Verzeichnisse Abkürzungsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Eidesstattliche Erklärung Anhang COBIT: Beispiel einer kompletten Prozessbeschreibung WS-Security Standards WS-Security: SOAP Message mit WS-* Standards Shibboleth in a nuts-shell OpenID in a nuts-shell P3P, EPAL, XrML, XACML in a nuts-shell P3P EPAL XrML XACML Übersicht P3P, EPAL, XrML, XACML Vergleich EPAL XACML von SUN Einladungsmail für Teilnahme an Umfrage Web-Umfrage zum Thema Identitätsmanagement im Enterpriseumfeld Willkommens Seite Einleitung Unternehmen und Person Lifecycle Management Identitäts- und Accessmanagement Technologien und Verfahren IDM-Prozesse Zukunft Finanzielle Aspekte Abschluss Resultate der Umfrage Banken in der Schweiz Unternehmen und Person

5 Seite 5 / Lifecycle Management Access Management Technologien und Verfahren IDM-Prozesse Zukunft Finanzielle Aspekte

6 Seite 6 / 153 Management Summary Als Finanzdienstleister und führende Anbieterin im Zahlungsverkehr legt PostFinance einen hohen Wert auf eine funktionierende und sichere Informations-Technologie (IT). Um den hohen Anforderungen bezüglich IT-Sicherheit gerecht zu werden, setzt PostFinance seit gut zwei Jahren eine eigens für PostFinance entwickelte Identitäts- und Accessmanagementlösung ein. Mit dieser Lösung werden, neben den Authentisierungsmitteln der Mitarbeiter, die Berechtigungen der Mitarbeiter auf einen Teil der Applikationen zentral bewirtschaftet. Im Bereich technische Infrastruktur von PostFinance wird diese Lösung laufend weiterentwickelt und man macht sich Gedanken über die mittel- und längerfristige Weiterentwicklung dieser Lösung. Ist der eingeschlagene Weg richtig? In welche Richtung gehen die zukünftigen Anforderungen? Diese Masterarbeit vermittelt einen gesamtheitlichen Überblick über das Identitäts- und Accessmanagement im Enterprise Umfeld und beleuchtet viele verschieden Aspekte dieses Themas. In einem ersten Teil wird aufgrund von breit abgestützten Recherchen aufgezeigt wie die Begriffe Identitäts- und Accessmanagement allgemein verstanden werden, und mit welchen Technologien und Verfahren diese heutzutage umgesetzt sind. Es wird ein Bezug zwischen Identitäts- und Accessmanagementlösungen zu gängigen Sicherheitsstandards (ISO27001, COBIT und ITIL) und Publikationen (Gartner) hergestellt und es werden die organisatorischen Auswirkungen einer solchen Lösung auf ein Unternehmen aufgezeigt. Ein Ausblick auf zukünftige Anforderungen im Bereich Firmenübergreifende Identitäten und Benutzerzentriertes Identitätsmanagement runden den theoretischen Teil ab. Im zweiten Teil der Masterarbeit wird aufgezeigt, wie die heute implementierten Lösungen bei Finanzdienstleistern in der Schweiz aussehen. Eine Web-Umfrage bei 6 Schweizer Finanzdienstleistern welche von insgesamt 15 Experten beantwortet worden ist gibt Auskunft über die aktuellen Themen, den Umsetzungsgrad und über finanzielle Aspekte von Identitäts- und Accessmanagementlösungen welche heutzutage bei Schweizer Finanzdienstleistern im Einsatz stehen. Die Top Themen in diesem Bereich sind starke Authentisierung und PKI. Die eingesetzten Identitäts- und Accessmanagementlösungen haben sich mehrheitlich etabliert und sind in die Unternehmensprozesse eingebunden. Für die Weiterentwicklung dieser Lösungen existiert grösstenteils ein Identitätsmanagementprozess der auch angewendet wird. Als zukünftige Treiber für die Weiterentwicklung dieser Lösungen wurden von den befragten Experten mehrheitlich die Bereiche IT-Security und Risiko Management angegeben. Die Mehrheit der befragten Experten findet dass die aktuell getätigten Investitionen ihres Unternehmens in ihre Identitäts- und Accessmanagementlösung angemessen sind. Im dritten Teil sind die konzeptionellen Grundlagen für die Anbindung von Windows Applikationen an die Identitäts- und Accessmanagementlösung von PostFinance erarbeitet worden. Dieser Teil der Masterarbeit ist vertraulich. Das Management Summary zu diesem Teil der Arbeit befindet sich in einem separaten Kapitel1 der Masterarbeit, welches nur einem limitierten Leserkreis2 zugänglich ist. s. Kapitel 4.1 Seite 94 Die Masterarbeit liegt in zwei Versionen vor: Eine Version ist VERTRAULICH und eine weitere Version ist NICHT VERTRAULICH. In der nicht vertraulichen Version ist das Kapitel mit den vertraulichen Informationen entfernt worden. 1 2

7 Seite 7 / Einleitung 1.1 Problemstellung Ausgangslage Seit gut zwei Jahren steht bei der PostFinance eine kundenspezifische Identitäts- und Accessmanagementlösung im Einsatz. Seit der Inbetriebnahme sind bis anhin ca. 20 Applikationen an diese Lösung angebunden worden und laufend werden weitere Applikationen an die Identitäts- Accessmanagementlösung angebunden. Zurzeit werden ausschliesslich unternehmensinterne Benutzer (zurzeit ca. 3000) damit verwaltet. Die Verwaltung beinhaltet neben dem Credential Management auch die Vergabe und das Lifecyle Management von Berechtigungen auf Stufe Applikationsrollen. Im Bereich "Technische Infrastruktur" von PostFinance (der mit der Weiterentwicklung der Identitätsund Accessmanagementlösung beauftragt ist) macht man sich Gedanken über die mittel- und längerfristige Weiterentwicklung dieser Identitäts- und Accessmanagementlösung im Finanzbereich. Die aktuelle Identitäts- und Accessmanagementlösung von PostFinance behandelt ausschliesslich Berechtigungen auf applikatorischer Ebene, vorzugsweise für Applikationsserver (Weblogic Server von BEA) in Verbindung mit einem Directory Server von Sun. Immer häufiger besteht das Bedürfnis in der aktuellen Identitäts- und Accessmanagementlösung auch Berechtigungen für die Windows-Welt verwalten zu können. Zurzeit fehlen jedoch die konzeptionellen Grundlagen, um diesem Bedürfnis gerecht zu werden Aufgabenstellung / Ziele Die Masterarbeit soll in einem ersten Teil ein grundlegendes Verständnis für das Thema Identitäts- und Accessmanagement aufbauen. Dabei sollen Begriffe und Definitionen eingeführt und erklärt werden, damit sie korrekt eingeordnet werden können. Als weiteres Ziel der Masterarbeit soll der Zusammenhang zwischen gängigen Normen, Standards und Publikationen mit dem Thema Identitäts- und Accessmanagement in Erfahrung gebracht werden. Insbesondere interessiert welche Teile der Normen und Standards durch eine Identitäts- und Accessmanagementlösung in welchem Umfang abgedeckt werden können. Im zweiten Teil der Masterarbeit soll eine Umfrage bei verschiedenen Finanzdienstleistern innerhalb der Schweiz Auskunft darüber geben, wie die Unternehmen heute mit diesem Thema umgehen, wie die aktuellen Lösungen aussehen und welches die Problemstellungen im heutigen Umfeld sind. Im dritten Teil der Masterarbeit soll mit einem Konzept die Grundlage für die Einbindung der Windows Server Applikationen in die bestehenden Identitäts- und Accessmanagementlösung von PostFinance erarbeitet werden. Dabei sollen die Grundlagen welche im ersten Teil in Erfahrung gebracht worden sind berücksichtigt werden. Das Konzept soll neben dem Lösungsvorschlag auch einen Vorschlag für das weitere Vorgehen beinhalten. Bei der vorliegenden Masterarbeit werden keine Aussagen über Produkte und deren Einsatz gemacht, die Masterarbeit ist in diesem Sinne produkteneutral Abgrenzung Weitere Normen, die aus Zeitgründen in diesem Dokument nicht mitberücksichtigt werden konnten, aber je nach Branche und Internationaler Tätigkeit von Unternehmen ebenfalls berücksichtigt werden müssen:

8 Seite 8 / 153 SOX SAS (SAS70) HIPPA (Health Insurance Portability and Accountability Act of 1996) Gramm-Leach-Bliley Act of 1999 (Financial services Industry) Basel II Die Untersuchungen der Sicherheitsstandards in Kapitel 2.3 beschränken sich auf ISO27001, COBIT und ITIL. Der Grundschutz vom BSI tangiert auch einige Bausteine zum Thema Identitäts- und Accessmanagement, die nicht näher untersucht werden konnten3. In dieser Masterarbeit kann aus Zeitgründen nicht näher auf die unten aufgelisteten Standards eingegangen werden. Diese Standards werden für Teilgebiete im Identitäts- und Accessmanagement angewendet4: P3P Platform for Privacy Preferences Projekt technische Platform für den Austausch von unter Datenschutz stehenden Informationen XrML extensible rights Markup Language Generelle Beschreibungssprache für die Handhabung von Zugriffsberechtigungen und Vorbedingungen XACML extensible Access Control Markup Language und EPAL Enterprise Privacy Authorization Language Standardisierte Beschreibungssprache für die Beschreibung und Verarbeitung von Autorisierungsregeln (wobei XACML eigentlich ein Superset von EPAL ist) SPML Service Provisioning Markup Language Standardisierte Beschreibungssprache für den Austausch von Benutzer- Ressourcen- und Serviceprovisionierungsinformationen zwischen Unternehmen DSML Directory Service Markup Language Standardisierte Beschreibungssprache welche Directoryinformationen in XML Notation darstellt. 3 4 s. [BSI_ISO_MAP] s. Anhang 9.6 Seite 110

9 Seite 9 / Aufbau und Inhalt der einzelnen Kapitel Abbildung 1 Aufbau und Inhalt In Abbildung 1 ist die Struktur der Masterarbeit als Mind Map ersichtlich. Die Masterarbeit ist in drei Teile gegliedert: Erster Teil (Kapitel 2): Grundlagen In diesem Teil werden die Grundlagen erarbeitet. Dabei wird das Identitäts- und Accessmanagement von verschiedenen Seiten betrachtet. Neben einem geschichtlichen Rückblick werden die Zusammenhänge zwischen einer Identitäts- und Accessmanagementlösung an ausgewählten Sicherheitsstandards und Publikationen aufgezeigt. Auf die Bedeutung der Begriffe Identitätsmanagement und Accessmanagement wird anschliessend vertieft eingegangen. Anhand der gängigen Technologien und Verfahren wird gezeigt wie Identitäts- und Accessmanagementlösungen heute umgesetzt werden. Die Organisatorischen Herausforderungen des Identitätsund Accessmanagement werden ebenso beleuchtet wie die erweiterten Anforderungen welche zum Teil bereits heute und in der nahen Zukunft aktuell sein werden. Zweiter Teil (Kapitel 2.9): Umfrage Im zweiten Teil wird versucht anhand von gezielten Fragen zu den Themen welche im ersten Teil erarbeitet worden sind, herauszufinden, wie Schweizer Finanzdienstleister mit dem Thema Identitäts- und Accessmanagement umgehen, welche Erfahrungen sie dabei gemacht haben und wie die implementierten Lösungen aussehen. Dritter Teil (Kapitel ): Konzept Der Dritte Teil umfasst als praktischen Teil die Erstellung eines Konzeptes, auf der Basis einer bestehenden Identitäts- und Accessmanagementlösung die erweitert wird. Dieses Konzept ist vertraulich, und daher nur in einer speziellen Ausgabe dieser Masterarbeit vorhanden.

10 Seite 10 / 153 Symbole Die untenstehenden Symbole markieren im Dokument spezielle, wichtige Aussagen und dienen dem Leser als Lesehinweise. Mit diesem Symbol wir eine Definition oder ein Grundsatz markiert. Dieses Symbol deutet auf einen Konflikt oder eine Gefahr hin. Dieses Symbol zeigt die Zusammenfassung zentraler, wichtiger Aussagen an. Häufig werden damit die Kernaussagen einzelner Kapitel nochmals in ein paar Sätzen zusammengefasst. In der Masterarbeit wird für personenbezogene Bezeichnungen zur Vereinfachung immer die männliche Form verwendet. Die Bezeichnungen gelten gleichermassen für Personen weiblichen Geschlechts. 1.3 Vorgehensweise Für die Erarbeitung des ersten Teils (Grundlagen) waren eine intensive Konsultation von Fachliteratur und Büchern sowie umfassende Internetrecherchen notwendig. Nachdem ein erstes Fundament an Grundlagen aufgebaut worden war, konnten die Themenkreise für den zweiten Teil (Umfrage) eruiert werden. Nach der Bestimmung der Art der Umfrage konnten die einzelnen Fragen im Detail ausgearbeitet werden. Gleichzeitig wurde damit begonnen, möglichst viele Umfrageteilnehmer zu gewinnen. Nach Abschluss der Umfrage wurden die Resultate aus der Umfrage konsolidiert und dokumentiert. Im praktischen Teil (Konzept) wurde für die Erstellung des Konzeptes neben dem Studium von PostFinance internen Unterlagen persönliche Gespräche mit Verantwortlichen von verschiedenen Systemen und Bereichen geführt. So konnte die aktuelle Situation relativ schnell und lückenlos erfasst werden. Der erarbeitete Lösungsvorschlag wurde dann am Schluss nochmals mit den Verantwortlichen auf die Realisierbarkeit geprüft. 1.4 Adressatenkreis Diese Arbeit richtet sich an Fachkräfte und Entscheidungsträger aus der IT, aber auch an Fachbereiche, Projektleiter und Entwickler in grösseren Unternehmen, welche sich mit dem Thema Identitäts- und Accessmanagement befassen. Um die Arbeit zu verstehen sollte der Leser über fortgeschrittene Kenntnisse in den Bereichen IT-Security und/oder Identitäts- und Accessmanagement verfügen.

11 Seite 11 / Danksagung An dieser Stelle möchte ich mich bei allen Personen bedanken, die mich bei der Erstellung der vorliegenden Masterarbeit unterstützt haben. Zuerst möchte ich mich bei meinem Referenten, Roland Portmann, bedanken, der mir während der Arbeit wertvolle Hinweise und Rückmeldungen gegeben hat. Ebenso möchte ich mich bei meinem Koreferenten, Thomas Marti, bedanken, der mir als Auftraggeber eine Masterarbeit zu diesem spannenden Thema überhaupt ermöglicht hat. Bei meinen zahlreichen Interviewpartnern, die sich an der Webumfrage beteiligt haben und nicht namentlich erwähnt werden wollen, möchte ich mich für ihr Interesse und die seriöse Beantwortung der Fragen bedanken. Ein riesengrosses Dankeschön gebührt auch den Vermittlungspersonen, welche mir die Kontakte zu den Interviewpartnern vermittelt haben, ohne sie wäre die Umfrage gar nicht möglich gewesen. Für das Gegenlesen möchte ich mich ganz herzlich bei meinem Kollegen Roland Weber bedanken. Er hat mir wertvolle Hinweise und Anmerkungen zu sprachlichen Formulierungen und der Textgestaltung gegeben. Nicht zuletzt möchte ich mich bei meiner Familie, meiner Frau Ursula und den beiden Kindern Marc und Lara, für ihre entgegengebrachte Geduld und Unterstützung bedanken.

12 Seite 12 / Überblick über Identitäts- und Accessmanagementsysteme 2.1 Was ist Identitätsmanagement? Identitätsmanagementsysteme sind erst in den letzten fünf bis zehn Jahren aufgrund des zunehmenden Sicherheitsbedürfnisses in den Unternehmen auf ein grosses Interesse gestossen. So verwundert es auch nicht, dass sich der Begriff Identitätsmanagement noch nicht klar etabliert hat. So sind bei Herstellern, Analysten und Forschungsinstitutionen die verschiedensten Definitionen für diesen Begriff zu finden. Eine kleine Auswahl aus der Vielzahl an Definitionen ist hier aufgelistet: Identitymanagement is an integrated system of business process, policies and technologies that enable organizations to facilitate and control their users' access to critical online applications and resources while protecting confidential personal and business information from unauthorized access. Wikipedia (Englisch) Als Identitätsmanagement (IDM) wird der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität bezeichnet. Wikipedia (Deutsch) Identity management (ID management) is a broad administrative area that deals with identifying individuals in a system (such as a country, a network, or an enterprise) and controlling their access to resources within that system by associating user rights and restrictions with the established identity. searchvoip.com, (2007) Digital identity comprises the electronic records of identity information including names or unique identifiers, credentials, addresses, entitlements, and other data held by identity domains about network entities, or principals. The Burton Group, (2002) The focus of Identity Management is on user provisioning the creation, maintenance, and termination of user accounts and management of credentials in support of authentication and access control. Hurwitz Group, (2001) Während Wikipedia (Deutsch) nur der zielgerichtete Umgang mit Identitäten und Anonymitäten anspricht, umfassen andere Definitionen ein viel breiteres Spektrum: In der Definition der Hurwitz Group liegt der Hauptfokus des Identitätsmanagements auf dem User Provisioning inklusive der Credential-Verwaltung und bietet zusätzlich Unterstützung für die Authentisierung und Zugriffskontrolle. SearchVoip hingegen definiert den Begriff als breites Administrationsumfeld welches sich um die Identifikation von Personen innerhalb eines Systems und deren Kontrolle über die Zugriffe auf Ressourcen innerhalb des Systems für vertraute Identitäten kümmert. Die Burton Group schliesst in ihrer Definition neben bereits Erwähntem noch die Berechtigungen und als Identität, explizit, Netzwerkentitäten mit ein. Wikipedia (Englisch) schliesst zusätzlich Geschäftsprozesse und Policies mit in die Definition ein und umschreibt damit einen ganzheitlichen Ansatz.

13 Seite 13 / 153 Untenstehenden Abbildung 2 versucht die verschiedenen Definitionen auf einen Nenner zu bringen und zeigt auf, wie die verschiedenen Begriffe im Kontext dieses Dokumentes zu verstehen sind: Abbildung 2 Identitätsmanagement und Accessmanagement (Quelle Bild: Eigene Darstellung) Der Begriff Identitätsmanagement umfasst die Bewirtschaftung der Benutzer oder auch Subjekte5 deren digitale Identität in einem oder mehreren Accounts festgehalten ist. Die Zugehörigkeit eines Benutzers zu einem Account wird mittels einer Authentisierung sichergestellt, und beschreibt ein gegenseitiges Vertrauensverhältnis. Bei der Authentisierung6 beweist der Benutzer mit einem persönlichen Credential, dass er der Besitzer des jeweiligen Accounts ist. Der Begriff Accessmanagement umfasst die nachvollziehbare Verwaltung der Zugriffe der Accounts auf die IT-Ressourcen (auch Objekte7 genannt). Ein Administrator kann einen Zugriff eines Accounts auf eine IT-Ressource autorisieren d.h. gewähren oder verweigern. Das Bereitstellen der Funktionalität für die Automatisierung der Abläufe für das Identitäts- und Accessmanagement wird unter dem Begriff Provisioning zusammengefasst, und wird in einem der Folgekapitel8 genauer umschrieben. Auf die Details zu den einzelnen Themen wird in den folgenden Kapiteln noch eingegangen. Vgl. [BENANTAR] Kapitel: Users, Principals, Subjects, and Objects Vgl. [BENANTAR] Kapitel: Identification and Authentication 7 Vgl. [BENANTAR] Kapitel: Users, Principals, Subjects, and Objects 8 Vgl. Kapitel Seite

14 Seite 14 / Geschichtlicher Rückblick Während der Blütezeit der Mainframe Grossrechner bis anfangs der 70er Jahren war die zentrale Benutzerverwaltung eine Selbstverständlichkeit. Es gab gar keine andere Möglichkeit, als die Benutzer auf den Grossrechnern zentral zu verwalten. Im Jahr 1975 finden verschiedene Ereignisse statt, welche einen Paradigmenwechsel in der Informatik bewirken: Weg vom zentralen Grossrechner, hin zu dezentralen klein- und billig Systemen. Unter anderem haben Bill Gates und Paul Allen mit der Gründung von Microsoft sowie IBM mit der Lancierung des günstigen, steckerkompatiblen Mainframe-System 470 V/6 von Gene Amdahl, einen wesentlichen Beitrag9 dazu geleistet. Mit der weltweiten Verbreitung des ersten 16-Bit Prozessors (8086) von Intel im Jahre 1978, und der Veröffentlichung des Betriebssystems MS-DOS V1.0 im Jahre 1981 durch Microsoft sind die Grundsteine für den Durchbruch des Personal Computers anfangs der 80er Jahre gelegt worden. Ab diesem Zeitpunkt hatte jeder für sich sein eigenes Single-User-Host System, welches ihm monotone Aufgaben abnimmt oder ihn bei der (dezentralen) Speicherung und Verarbeitung von Daten unterstützt. Die Zugriffsund Benutzerverwaltung entfällt, da die PC s vorwiegend als Single-User Systeme eingesetzt werden. Erst die Weiterentwicklung des TCP/IP Protokolls (es wird 1983 zum offiziellen Standard für das Internet erklärt) führt dazu, das vermehrt einzelne Systeme miteinander vernetzt werden. Zusätzlich zu den bewährten Hostsystemen entstehen nun vor allem Client- Server Architekturen, mit welchen die zunehmend grösser werdenden Datenmengen verarbeitet werden. In diesem Stadium stehen die Anforderungen für Authentisierung und Zugriffsschutz nicht an erster Stelle, man beschäftigte sich vor allem mit den Herausforderungen der Konnektivität der Systeme untereinander. Ende der 80er Jahre wird die in der Literatur als Unix-wars 10 bekannte Epoche eingeläutet, welche sich über ein ganzes Dezennium hinzieht. Die von verschiedenen Herstellern vertriebenen Unix-Derivate sind praktisch alle multiuserfähig und mit minimalen Administrations-Tools ausgerüstet, welche einfache Authentisierungen und Autorisierungen (z. Bsp. Zugriffe auf File Ebene, einfaches User- und Gruppenmanagement) unterstützen. Das Jahr 1990 geht mit der Präsentation des World Wide Web von Tim Berners-Lee und Robert Cailliau am CERN als Startpunkt des IT-Booms in die Geschichte ein. Waren es zuvor vor allem Universitäten und Hochschulen die das Internet für Forschungszwecke nutzten, so wird von nun an das Internet auch immer mehr für kommerzielle Zwecke eingesetzt. Sobald eine Geschäftsbeziehung über dieses neue Medium abgewickelt werden soll, wird auch die gegenseitige Identifikation der beiden Geschäftspartner mit Hilfe dieses neuen Mediums immer wichtiger. Es entstehen erste Anwendungen, bei welchen sich einmal registrierte Benutzer anmelden müssen bevor sie die gewünschten Dienste nutzen können. Für den Betrieb dieser Anwendungen müssen auch seitens der Dienstleistungsanbieter neue Wege gegangen werden: Die Anwendungen werden von verschiedenen internen Mitarbeitern gleichzeitig genutzt, um die Kundendaten zu bewirtschaften. (z. Bsp. User-Helpdesk, Rücksetzen von Passwörtern usw., Sachbearbeiter: Eröffnung- und Löschung von Benutzerkonten, Administrator: erstellen und zuweisen von Kontos usw.) Da sich Ende der 90er Jahre, respektive Anfangs der Jahrtausendwende derartige Anwendungen explosionsartig verbreiten, entsteht in den Unternehmen eine Vielzahl von Anwendungen, mit jeweils einer eignen Benutzer- und Rechteverwaltung. Um diese Anwendungen herum entstehen vielfach ganze Organisationsstrukturen, die sich auf die einzelne Anwendung fokussieren. Als Folge davon wird das Identitätsmanagement solcher gewachsener Strukturen immer unübersichtlicher und teuerer, weil sie viele Systemund Personalressourcen binden. Damit verbunden entstehen immer grössere Risiken für die Unternehmen Vgl. [HOST_MM] Seite 5-6 Unix-wars bezeichnet den Zeitabschnitt ende der 80er bis ende der 90er Jahre, in dem aus den ursprünglichen zwei Unix Varianten der BSD family (Bill Joy) und System III & V family (Ken Thomson & Denis Ritchie) eine Vielzahl von verschiedenen Unix en entstanden ist, weil sich die Hersteller nicht auf einen Standard einigen konnten. (Quelle: [WP_UXWAR]) 9 10

15 Seite 15 / 153 selber, weil es zunehmend schwieriger wird, die Übersicht über die Berechtigungen der einzelnen Benutzer zu behalten. Seit Anfang dieses Jahrtausends ist diese Problematik bekannt und es werden Lösungen gesucht, um genau die im Internet-Boom entstandenen Probleme in den Griff zu bekommen. Nicht zuletzt haben auch neue regulatorische Anforderungen und gesetzliche Bestimmungen so wie ein allgemein erhöhtes Risikobewusstsein (seit 9/1111) bei den Entscheidungsträgern dazu beigetragen. Allgemein tragen die Projekte und/oder Produkte Namen wie Identity Management, Identity und Access Management, Secure Identity Management, Digital Identity, Identity and Security Management um nur einige zu nennen. Grundsätzlich geht es dabei aber immer darum, die Benutzer- und Rechteverwaltung wieder zu zentralisieren, wie man sie in den 70er Jahren bei den Hostsystemen bereits gehabt hatte. 2.3 Sicherheitsstandards und Publikationen Dieses Kapitel vermittelt dem Leser einen Eindruck, wo und wie sich Identitäts- und Accessmanagement heutzutage in den gängigen Standards wieder findet. Vorweg genommen: Es gibt keinen Standard, der explizit vorschreibt oder empfiehlt ein Identitäts- und Accessmanagement System einzusetzen. Jedoch können aus den Standards wichtige Grundlageninformationen entnommen werden, welche zusammen mit anderen Aspekten (z. Bsp. Wirtschaftlichkeit, Effizienz, Anzahl Benutzer usw.) richtungweisend sind. Abgerundet wird dieses Kapitel mit Aussagen und Publikationen von Gartner zum Thema Identitäts- und Accessmanagement. Zum Teil haben die fundierten Aussagen von Gartner bei den Entscheidungsträgern einen annährend so hohen Stellenwert wie ein Standard. Für die Einstufung der Relevanz der untersuchten Prozesse und Kontrollen in den Standards bezüglich eines Identitäts- und Accessmanagement wird der folgende Kriterienkatalog verwendet: Symbol Beschreibung keine Relevanz Geringe Relevanz Mittlere Relevanz Hohe Relevanz Bedeutung Keine direkte Relevanz erkennbar Es bestehen einzelne Punkte, die bei einem Identitäts- und Accessmanagementsystem berücksichtigt werden müssen Es bestehen mehrere Punkte, die Einfluss auf ein Identitäts- und Accessmanagementsystem haben können Der jeweilige Prozesse bzw. die jeweilige Kontrolle hat einen massgeblichen Einfluss auf ein Identitäts- und Accessmanagementsystem Tabelle 1 Kriterienkatalog der Relevanz für die Bewertung ISO27001 Der Standard [ISO27001] spezifiziert Anforderungen für die Etablierung und den Unterhalt eines wirtschaftlichen Information Management Systems. Der Standard basiert auf den OECD (Organisation for Economic Co-operation and Development) Prinzipien für den Bereich Security of information and network systems. Die in diesem Standard vorgegebenen 133 Kontrollen sind in 11 Sektionen unterteilt. Vorschläge für die Umsetzung der Kontrollen finden sich im Standard [ISO27002]12, der die 11 Sektionen des [ISO27001] in 11 Kapiteln im Detail beschreibt (Best practices). Der Standard [ISO27002] ist auch unter dem Namen CoP ( Code of Practice ) bekannt /11: Terroranschläge am 11. September 2001 von der Al-Qaida auf das World Trade Center in New York (USA). Vormals ISO17799:2005, der Standard wurde 2007 umbenannt in den Standard ISO27002

16 Seite 16 / 153 In der untenstehende Tabelle sind die 11 Sektionen aufgelistet, mit einer Bewertung der Relevanz bezüglich Identitäts- und Accessmanagement: (Quelle: Eigene Einstufung) Annex Titel Relevanz A5. Security Policy A6. Organizing information security A6.1 Internal organization A6.2 External parties A7. Asset management A7.2 Information classification A8. Human resources security A8.1 Prior to employment A8.2 During employment A8.3 Termination or change of employment A9. Physical and environmental security A10. Communications and operations management A10.1 Operational procedures and responsibilities A o Segregation of duties A11. Access control A11.1 Business requirements for access control A11.2 User access management A11.3 User responsibilities A11.4 Network access control A11.5 Operating system access control A11.6 Application and information access control A11.7 Mobile computing and teleworking A12 Information systems acquisition, development and maintenance A13 Information security incident management A14 Business continuity management

17 Seite 17 / 153 Annex A15 A15.1 A A15.3 A A Titel Relevanz Compliance Compliance with legal requirements o Prevention of misuse of information processing facilities Information systems audit considerations o Information systems audit controls o Protection of information systems audit tools Tabelle 2 Relevanz Identitäts- und Accessmanagement im ISO27001 Die Grundlage für alle weiteren Kontrollen im [ISO27001] Standard bilden die Kontrollen A5. und A6. A5 enthält Kontrollen über die Security-Policy, welche durch die Geschäftsleitung verbindlich in Kraft gesetzt werden muss. Auf dieser Grundlage beruht schlussendlich auch ein Identitäts- und Accessmanagementsystem. Das Management muss die Einführung bzw. den Betrieb eines solches System unterstützen. In A6. sind Kontrollen beschrieben welche die organisatorischen Aspekte der Informationssicherheit ausleuchten. Kontrollen über Aspekte der Zusammenarbeit mit Drittparteien (Kunden, Partner, Lieferanten) runden das Kapitel 6. ab. Ein Identitäts- und Accessmanagementsystem kann nur erfolgreich in einer Unternehmung aufgebaut und betrieben werden, wenn die entsprechenden Rahmenbedingungen und die Organisation dafür geschaffen werden. In A7. werden Kontrollen vorgegeben für die Klassifizierung von Daten. Die Klassifizierung der Daten ist eine Grundvoraussetzung für den Aufbau und die Umsetzung eines Accessmanagementsystems. A8. des [ISO27001] befasst sich mit dem Lifecycle Management eines Mitarbeiters von der Anstellung bis zur Beendigung eines Arbeitsverhältnisses. Dabei werden die Veränderungen während eines Arbeitsverhältnisses (Abteilungswechsel, Funktionswechsel) ebenfalls mitberücksichtigt. Ebenfalls mitberücksichtigt sind Kontrollen im Zusammenhang mit der Etablierung eines Vertrauensverhältnisses mit einer Drittpartei (Kunden, Partner, Lieferanten) Mit den Kontrollen in diesem Kapitel wird ein wichtiger Teil des Identitätsmanagement adressiert: Die Herstellung und Auflösung des Vertrauensverhältnisses vom Unternehmen zu einem Mitarbeiter oder einer Drittpartei. In A9 befinden sich die Kontrollen für die physische Sicherheit. Diese Kontrollen haben eher tangierenden Charakter für ein Identitäts- und Accessmanagementsystem: Der physische Zugang zur Infrastruktur sowie den Daten welche das Identitäts- und Accessmanagement bewirtschaftet müssen mindestens so gut geschützt sein wie die Daten, welche man im Unternehmen mit einem Identitäts- und Accessmanagementsystem schützen will. Da ein Identitäts- und Accessmanagementsystem erst ab einer gewissen Anzahl Applikationen und Systeme existiert13, kann man davon ausgehen, dass die entsprechenden Vorkehrungen für die bestehenden Applikationen und Systeme bereits getroffen worden sind. Die Aufteilung und Separierung von Aufgaben auf mehrere Personen zur Verminderung der Möglichkeiten von Missbrauch wird mit den Kontrollen in Kapitel A10. beschrieben. Diese Kontrollen müssen bei der Erteilung einer Berechtigung in einem Accessmanagementsystem berücksichtigt werden. Eine ausführliche Sektion (A11) beschreibt mittels insgesamt 25 Kontrollen (entspricht ca. 19% aller Kontrollen des [ISO27001]) den Umgang mit Benutzerverwaltung, Zugriffskontrollen, Umgang und Verwaltung von Privilegien und Passwörter, auf den Ebenen Netzwerk, Systemen und Applikationen. Der 13 s. Kapitel 2.2 Seite 14

18 Seite 18 / 153 Hauptzweck eines Identitäts- und Accessmanagementsystems liegt einerseits in der Abdeckung eines möglichst grossen Teils dieser Kontrollen und andererseits bietet ein Identitäts- und Accessmanagementsystem Unterstützung zur Erfüllung dieser Kontrollen. Die letzte Sektion (A15.) des [ISO27001] befasst sich im Wesentlichen mit Kontrollen zur Einhaltung von internen wie auch gesetzlichen Vorgaben innerhalb eines Unternehmens. Zwei Kontrollen stellen Anforderungen an die Effektivität eines Audit Prozesses. Mit einem Identitäts- und Accessmanagementsystem dürfen in keinem Fall Gesetze, Verträge oder andere Vorschriften verletzt werden. Im Bereich des Auditing muss ein Identitäts- und Accessmanagementsystem unbedingt Unterstützung bieten, damit die Auditoren während einem Audit die entsprechenden Kontrollen durchführen können. Von den insgesamt elf Sektionen des [ISO27001] sind aufgrund der Bewertung in Tabelle 2 insgesamt deren acht relevant für ein Identitäts- und Accessmanagementsystem. Sektion A11: Access Control hat die höchste Relevanz. Praktisch alle Kontrollen dieses Kapitels werden durch ein Identitäts- und Accessmanagementsystem unterstützt COBIT Die erste Version des COBIT Framework (Control objectives for information related technology) wurde 1996 von der ISACA14 (Information Systems Audit and Control Association) veröffentlicht. Die zurzeit aktuelle Version des Frameworks ist die Version 4.1. Das Framework COBIT taucht in letzter Zeit immer häufiger zusammen mit dem Begriff IT-Governance15 auf, weil das COBIT Framework einen wesentlichen Beitrag zur Erreichung der IT-Governance leisten kann, wenn es angewendet wird. COBIT ist aufgeteilt in die vier Themenbereiche: Planen und Organisieren (Plan and Organise, PO) Beschaffen und Implementieren (Acquire and Implement, AI) Erbringen und Unterstützen (Deliver and Support, DS) Überwachen und Evaluieren (Monitor and Evaluate, ME) Für diese Teilbereiche sind insgesamt 34 zentrale IT Prozesse definiert, welche selber wiederum 215 Kontrollziele enthalten. (Quelle Bild: [COBIT]) Abbildung 3 Vier Themenbereiche von COBIT ISACA ist eine anerkannte Prüfungsstelle der Bereiche IT-Governance, Controlling, IT-Sicherheit und IT-Assurance. Sie ist in über 140 Ländern mit mehr als 50'000 Mitgliedern vertreten. Die Mitglieder bestehen hauptsächlich aus IT-Auditoren, IT-Consultants, Lehrpersonal, IS-Sicherheitsbeauftragte, regulatives Aufsichtspersonal, Informationsmanager und internen Auditoren (u.a.). 15 Die Definition des Begriffs IT-Governance divergiert zum Teil ein wenig in der Literatur. Allgemein wird darunter die Verantwortung der obersten Führungsebene für das nachhaltige Handeln in der IT in den Mittelpunkt gestellt. IT Governance ist Bestandteil der Enterprise Governance und adressiert vor allem die Belange der IT, fokussiert auf das Business. (s. auch [IT_GOV] S.21) 14

19 Seite 19 / 153 Für jeden dieser 34 Prozesse16 existiert: eine Prozess Beschreibung eine Liste von Kontrollen welche die Anforderungen an den Prozess umschreiben ein Management Leitfaden, der den Input und den Output dieses Prozesses umschreibt. Weiter können diesem Leitfaden aus einem RACI Chart17 die verantwortlichen Funktionen für bestimmte Prozessaktivitäten entnommen werden. Im Letzen Teil des Leitfadens sind die IT-, Prozess- und Aktivitätsziele aufgeführt mit einer entsprechenden Metrik, wie diese Ziele gemessen werden können. ein Maturitätsmodel das den Umsetzungsgrad des Prozesses mit sechs verschiedenen Maturitätsstufen in Worten beschreibt. Mit dieser Metrik lässt sich die Maturität des aktuell umgesetzten Prozesses messbar machen. In den untenstehenden beiden Tabellen sind die 34 Prozesse aufgelistet, mit einer Bewertung der Relevanz bezüglich Identitäts- und Accessmanagement: (Quelle: Eigene Einstufung in Anlehnung an [ISACA01]) Ein Beispiel für einen kompletten Prozess befindet sich im Anhang 9.1 RACI Chart steht für: R=Responsible, A=Accountable, C=Consulted, I=Informed und ist ein Diagramm, in dem in einer Matrix die Rollen mit den Tätigkeiten aufgetragen werden

20 Plane und organisiere Seite 20 / 153 Prozess / Kontrollen PO1 PO2 PO2.3 PO3 PO4 PO4.6 PO4.9 PO4.10 PO4.11 PO4.14 Beschaffe und implementiere PO5 PO6 PO7 PO7.3 PO7.6 PO7.8 PO8 PO9 PO10 AI1 AI2 AI2.3 AI3 AI3.2 AI4 AI4.2 AI4.3 AI4.4 AI5 AI6 AI7 COBIT Titel Relevanz Definiere einen strategischen IT-Plan Definiere die Informationsarchitektur Datenklassifikationsschema Bestimme die technologische Richtung Definiere die IT-Prozessse, Organisation und Beziehungen Rollen und Verantwortlichkeiten Daten- und Systemeignerschaft Beaufsichtigung Funktionentrennung Richtlinien und Verfahren für beigezogenes Personal Manage die IT-Investitionen Kommuniziere Ziele und Richtung des Management Manage die Human-IT-Ressourcen Besetzung von Rollen Verfahren zur Überprüfung von Personal Stellenwechsel und Kündigung Manage Qualität Beurteile und Manage IT-Risiken Manage Projekte Identifiziere automatisierte Lösungen Beschaffe und warte Anwendungssoftware Anwendungskontrollen und Nachvollziehbarkeit Beschaffe und warte technologische Infrastruktur Schutz und Verfügbarkeit von Infrastrukturressourcen Ermögliche Betrieb und Verwendung Transfer von Know-how an den Fachbereich Transfer von Know-how an Endbenutzer Transfer von Know-how an den Betrieb Beschaffe IT-Ressourcen Manage Changes (Änderungswesen) Installiere und akkreditiere Solutions und Changes Tabelle 3 Relevanz Identitäts- und Accessmanagement bei COBIT (PO + AI) In der Prozessdomäne Planung und Organisation sind folgende Prozesse mit den entsprechenden Kontrollen wichtig im Zusammenhang mit einem Identitäts- und Accessmanagementsystem: Der Prozess PO2 (Definiere die Informationsarchitektur) spricht mit der Kontrolle PO2.3 die Klassifizierung der Daten an. Die Klassifizierung der Daten ist eine Grundvoraussetzung für den Aufbau und die Umsetzung eines Accessmanagement. PO4 (Definiere die IT-Prozesse, Organisation und Beziehungen) mit den Kontrollen PO4.6, PO4.9, PO4.10, PO4.11, PO4.14. Diese Kontrollen adressieren die Sicherstellung der Verantwortlichkeiten innerhalb einer Unternehmung sowie die Klärung der Eigentümerschaft an den Systemen und Daten und der entsprechenden Beaufsichtigung darüber. Die Kontrolle PO4.11 beinhaltet die Aufteilung und Separierung von Aufgaben auf mehrere Personen zur Verminderung der Kompromittierung von kritischen Prozessen. Ein eigener Kontrollpunkt PO4.14 definiert die vertragliche Vereinbarung mit Drittpersonen über die einzuhaltenden Vorschriften und Weisungen

21 Seite 21 / 153 zum Schutz der Unternehmenswerte. Die Erfüllung dieser Kontrollen bildet die Basis eines Identitäts- und Accessmanagementsystems. Der Prozess PO7 (Manage die Human-IT-Ressourcen) gibt Kontrollen vor für den Personalrekrutierungsprozess. Die Kontrolle PO7.3 behandelt die korrekte Besetzung und Überwachung der Stellen. In PO7.6 werden Kontrollen für die periodische Überprüfung von kritischen Mitarbeiterfunktionen angesprochen und in PO7.8 wird der korrekte Umgang mit dem Lifecycle Management der Mitarbeiter bei Funktions- oder Abteilungswechsel oder bei Beendigung des Arbeitsverhältnisses beschrieben. Mit den Kontrollen in diesem Prozess wird ein wichtiger Teil des Identitätsmanagement adressiert: Die Herstellung und Auflösung des Vertrauensverhältnisses vom Unternehmen zu einem Mitarbeiter und der Pflege des Lifecycles bei Veränderungen des Anstellungsverhältnisses. In der Prozessdomäne Beschaffe und Implementiere können folgende Prozesse mit den entsprechenden Kontrollen wichtig sein im Zusammenhang mit einem Identitäts- und Accessmanagementsystem: Der Prozess AI2 (Beschaffe und Warte Anwendungssoftware) beinhaltet eine Kontrolle über die Anwendungskontrolle und Nachvollziehbarkeit (AI2.3) Bei einem Identitäts- und Accessmanagementsystem handelt es sich in diesem Sinne ebenfalls um Anwendungssoftware, mit der Eigenheit, dass über diese Anwendungssoftware Berechtigungen verwaltet werden und daher eine präzise (zeitlich, vollständig) Nachvollziehbarkeit sehr wichtig ist. Der Prozess AI3 (Beschaffe und warte technologische Infrastruktur) beinhaltet unter anderem eine Kontrolle zum Schutz und Verfügbarkeit von Infrastrukturressourcen (AI3.2). Bei einem Identitäts- und Accessmanagementsystem handelt es sich um sensitive Infrastruktur bezüglich Vertraulichkeit, Zuverlässigkeit und Wartung. Der Prozess AI4 (Ermögliche Betrieb und Verwendung) adressiert mit den Kontrollen AI4.2, AI4.3 und AI4.4 den Know-how Transfer welcher zwischen der IT und den Fachbereichen, zwischen der IT und den Endbenutzern sowie zwischen der IT und dem Betrieb stattfinden muss, damit die Services mit der entsprechenden Effektivität und Effizienz genutzt und betrieben werden können. Diese Anforderungen sind wichtig für ein Identitäts- und Accessmanagementsystem, damit das System effizient und effektiv genutzt und betrieben werden kann.

22 Erbringe und unterstütze Seite 22 / 153 Prozess / Kontrollen DS1 DS2 DS3 DS4 DS5 DS5.1 DS5.2 DS5.3 DS5.4 DS5.5 DS5.11 wache + evaluiere Über- DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS12.1 DS12.3 DS13 ME1 ME2 ME3 ME3.1 ME4 COBIT Titel Relevanz Definiere und manage Service Levels Manage Leistungen von Dritten Manage Performance und Kapazität Stelle den kontinuierlichen Betrieb sicher Stelle Security von Systemen sicher Management der IT-Sicherheit IT-Security Plan Identitätsmanagement (!) Management von Benutzerkonten Testen, Beobachtung und Überwachung der Sicherheit Austausch sensitiver Daten Identifiziere und verrechne Kosten Schule und trainiere User Manage den Service Desk und Incidents Manage die Konfiguration Manage Probleme Manage Daten Manage die physische Umgebung Standortwahl und Layout von Einrichtungen Physischer Zugang Management den Betrieb Monitore und evaluiere IT-Performance Monitore und evaluiere Internal Controls Stelle Compliance mit Vorgaben sicher Identifikation von Gesetzen und Regulativen mit einer potentiellen Auswirkung auf die IT Sorge für IT-Governance Tabelle 4 Relevanz Identitäts- und Accessmanagement bei COBIT (DS + ME) In der Prozessdomäne Erbringe und Unterstütze liegt mit dem Prozess DS5 (Stelle Security von Systemen Sicher) der Hauptprozess, welche ein Identitäts- Accessmanagementsystem abbildet und auch unterstützt. Innerhalb des Prozesses DS5 wird mit der Kontrolle DS5.1 die organisatorische Führung der ITSecurity auf angemessener Stufe sowie die Bereitstellung eines Security Plans mit den entsprechenden Ressourcen und Investitionen für dessen Umsetzung (DS5.2). Das Identitätsmanagement von internen, externen und temporären Benutzern und die korrekte Zuordnung deren Tätigkeiten auf die entsprechenden IT-Systeme mittels Accessmanagement innerhalb einer zentralen Ablage wird explizit in der Kontrolle DS55.3 angesprochen. Bei der Kontrolle DS5.4 geht es um sämtliche Abläufe im Zusammenhang mit Benutzerkontenverwaltung und dem Lifecycle eines Benutzerkontos (anfragen, anlegen, freigeben, suspendieren, modifizieren, sperren, löschen) für Benutzer- wie auch für Administratorenkonti. Mit der Kontrolle DS5.5 werden die stetige Überwachung und das fortlaufende Monitoring angesprochen, damit auf eintretende Ereignisse proaktiv reagiert werden kann. Mit der Kontrolle

23 Seite 23 / 153 DS5.11 werden die Anforderungen an den Austausch von sensitiven Daten beschrieben. Wie bereits oben beschrieben, wird genau dieser Prozess optimal unterstützt durch den Einsatz eines Identitäts- und Accessmanagementsystems. Der Prozess DS12 (Manage die physische Umgebung) beschreibt den Umgang mit Daten und Computern so dass sie genügend geschützt sind. Die Kontrolle DS12.1 und DS12.3 sind für ein Identitäts- und Accessmanagementsystem relevant, weil es sich bei diesem System um ein sensitives System handelt welches einen adäquaten Schutz vor physischem Zugriff (DS12.3)benötigt. Diese Überlegungen gelten für ein Identitäts- und Accessmanagementsystem analog jedem anderen System mit sensitiven Daten, die hochverfügbar sein müssen. Für die vierte Prozessdomäne Überwache und Evaluiere können folgende Prozesse mit den entsprechenden Kontrollen wichtig sein im Zusammenhang mit einem Identitäts- und Accessmanagementsystem: Der Prozess ME3 (Stelle Compliance mit Vorgaben sicher) stellt die Einhaltung von rechtlichen, regulatorischen und vertraglichen Vorgaben sicher. Dies gilt auch für ein Identitäts- und Accessmanagementsystem, insbesondere die Kontrolle ME3.1 verlangt eine kontinuierliche Abstimmung und Überwachung der Vorgaben mit den angewandten Methoden und Verfahren. Mit einem Identitäts- und Accessmanagementsystem darf keinesfalls ein Datenschutzgesetz oder ein Vertrag (z. Bsp. Arbeitsvertrag mit Mitarbeitern) verletzt werden. Von den insgesamt 34 COBIT-Prozessen sind aufgrund der Bewertung in Tabelle 3 und Tabelle 4 insgesamt acht Prozesse relevant für ein Identitäts- und Accessmanagementsystem. Der Prozess DS5: Stelle Security von Systemen sicher hat eine hohe Relevanz und wird optimal unterstützt durch ein Identitäts- und Accessmanagementsystem.

24 Seite 24 / ITIL Die Anfänge des Frameworks ITIL (IT Infrastructure Library) gehen auf die zweite Hälfte der achtziger Jahre zurück, als bei den britischen Regierungsbehörden Zweifel an der Effizienz des IT-Einsatzes aufkamen. Die CCTA (Central Computer and Telecommunications Agency) erhielt von der britischen Regierung den Auftrag, bewährte Verfahren für die Gewährleistung von IT-Services zu vereinheitlichen und zu dokumentieren. Dies war der Grundstein von ITIL. Es wurde bereits früh deutlich, dass die Konzepte auch auf IT-Organisationen ausserhalb der öffentlichen Verwaltung übertragbar sind. Abbildung 4 ITIL Überblick (Quelle Bild: [ITITL_ORG]) Mittlerweilen wurde ITIL immer weiter verfeinert und den neusten Anforderungen der Unternehmen angepasst. Dies ist mitunter ein Hauptgrund für die grosse Verbreitung und Akzeptanz von ITIL. So wurde ITIL nach und nach zum De-facto-Standard für IT-Servicemanagement und IT-Servicebetrieb. Die aktuelle Version des Framework ITIL ist V3 und besteht aus insgesamt 26 Prozessen die auf die fünf folgenden Schwerpunktthemen aufgeteilt sind (s. Abbildung 4): Servicestrategie (Kernprozesse: Service Strategy) Serviceentwicklung (Service Design) Serviceüberführung (Service Transition) Servicebetrieb (Service Operation) Kontinuierliche Serviceoptimierung (Continual Service Improvement) In der untenstehenden Tabelle sind die 26 Prozesse aufgelistet mit der Relevanz bezüglich Identitäts- und Accessmanagement: (Quelle Eigene Einstufung, in Anlehnung an [ITIL_COBIT])

25 Seite 25 / 153 Service Operation Service Transition Service Design Service Strategy Themen Nr ITIL Service Management Prozess Strategy Generation IT Financial Management Service Portfolio Management Demand Management Service Catalogue Management Service Level Management Availability Management Capacity Management IT Service Continuity Management Information Security Management Production, review and revision of an overall Information Security Policy Communication, implementation and enforcement of security policy Implementation, review and revision and improvement security controls Schedule and completion of security reviews, audits and penetration tests Supplier Management Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management Service Validation & Testing Evaluation Knowledge Management Knowledge Management Strategy Knowledge Transfer Using the service Knowledge management system Incident Management Event Management Request Fulfilment Problem Management Access Management Requesting access Verification Providing rights Monitoring identity status Logging and tracking access Removing or restricting rights Relevanz

26 Seite 26 / 153 Cont. Service Improvements Themen Nr ITIL Service Management Prozess Service Reporting Service Measurement & Control Return on Investment on CSI Relevanz Tabelle 5 Relevanz Identitäts- und Accessmanagement bei ITIL Betrachtet man die Relevanz von Identitäts- und Accessmanagement im Framework ITIL, so können in den folgenden drei Themengebieten Verwandtschaften festgestellt werden: Der Prozess Information Security Management im Thema Service Design ist unter anderem verantwortlich für die regelmässige Bewertung und Überprüfung einer übergeordneten Informationssicherheitspolitik. Der Prozess stützt sich auf das Vorhandensein einer Informationssicherheitspolitik auf strategischer Ebene, welche die Basis bildet für die Umsetzung der operativen Prozesse im IT-Servicemanagement. Auch ein Identitäts- und Accessmanagementsystem basiert auf dem Vorhandensein einer Informationssicherheitspolitik, welche von der Geschäftsleitung gutgeheissen worden ist. Der Prozess Knowledge Management im Thema Service Transition befasst sich im Wesentlichen mit der Sicherstellung und Verwaltung des Know-hows welches nötig ist für die Gewährleistung der Prozesse im Thema Servicebetrieb. Ein Identitäts- und Accessmanagementsystem kann diesem Umstand Rechnung tragen, indem die betrieblichen Anforderungen diesbezüglich möglichst von Anfang an mitberücksichtigt werden. (z. Bsp. durch den Einsatz von intuitiven GUI s und/oder der Realisierung eines entsprechenden Hilfesystems, usw.). Idealerweise ist das Know-how bereits im System eingebaut und unterstützt die Betreiber bei ihrer täglichen Arbeit, vor allem im Prozesses Access Management (s. unten). Im Thema Service Operation regelt der Prozess Access Management die Anträge für Berechtigungen, deren Überprüfung sowie der Entzug von Berechtigungen. Wesentlich sind hier vor allem die Aktualität von Berechtigungs- und Benutzerdaten sowie die Nachvollziehbarkeit der Berechtigungsvergabe und des Berechtigungsentzugs. Dieser ITIL Prozess wird durch ein Identitäts- und Accessmanagementsystem optimal unterstützt. Von den insgesamt 26 ITIL-Prozessen sind aufgrund der Bewertung in Tabelle 5 drei Prozesse relevant für ein Identitäts- und Accessmanagementsystem. Der Prozess 23: Access Management (Service Operation) wird optimal unterstützt durch eine Identitäts- und Accessmanagementlösung Gartner Publikationen Gartner Group ist ein Marktforschungsunternehmen mit Hauptsitz in Stamford (Connecticut, USA) und wurde 1979 von Gideon Gartner gegründet. Im Jahre 2001 wurde der Name auf Gartner geändert. Die fundierten Analysen und gut erforschten Aussagen von den über Analysten und Consultants sind bestens bekannt in der IT-Welt. Die Publikationen von Gartner geniessen bei Management- wie auch bei IT-Fachleuten weltweit ein hohes Ansehen.

27 Seite 27 / 153 Im Folgenden werden die wesentlichen Punkte aus fünf ausgewählten Publikationen18 von Gartner zum Thema Identity and Accessmanagement IAM19 erläutert. Bei der Auswahl der Publikationen wurde darauf geachtet, dass ein möglichst breites Feld des Themas Identity and Accessmanagement abgedeckt wird. Definition von Identitäts- und Accessmanagement20: Abbildung 5 Gartner Definition Identitäts- und Accessmanagement (Quelle Bild: [GARTNER01]) Gartner teilt Identitäts- und Accessmanagementsysteme in die beiden Hauptfunktionen Administrations- und Laufzeitumgebung auf, welche sich ihrerseits in die vier Subfunktionen Administration, Audit, Authentifizierung und Autorisierung (4 A s ) aufteilt: Die Administrationsumgebung besteht aus den Bereichen Administration und Audit. Die Laufzeitumgebung teilt sich in die Funktionen Authentifizierung und Autorisierung auf. Orthogonal dazu lassen sich die vier Hauptfunktionen durch die sieben aufgeführten Technologien entsprechend abdecken: o Authentication Services: Unterstützen die Benutzeridentifikation o Enterprise Single Sign-On: Helfen den Benutzern, sich nur einmal zu authentifizieren bei der Benutzung von verschiedenen Applikationen oder Plattformen o Password Management: Das Passwort Management beinhaltet einfache Funktionen für die Rücksetzung von Passwörtern durch das Help-Desk oder den Benutzer selber o User Provisioning: Das User Provisioning umfasst das Benutzerkonten Management während dem ganzen Lebens Zyklus eines Benutzerkontos für den Zugriff auf heterogene IT-Ressourcen. (Anfragen, Anlegen, Freigeben, Suspendieren, Modifizieren, Sperren, Löschen) Die Publikationen von Gartner sind ausschliesslich in Englisch abgefasst. Die Aussagen von Gartner werden in diesem Kapitel sinngemäss übersetzt und wiedergegeben. Das Quelldokument ist jeweils bei der Überschrift als Referenz angegeben. ([GARTNER_XX]) 19 IAM ist die Abkürzung für Identity and Access Management 20 Vgl. [GARTNER01] 18

28 Seite 28 / 153 o o o Metadirectory: Metadirectories beinhalten neben dem Benutzerkonto Management (s. auch unter User Provisioning) die Möglichkeit, Benutzerinformationen und Benutzerprofile aus verschiedene Datenquellen untereinander abzugleichen und zu synchronisieren Enterprise Access Management: Unter dem Enterprise Access Management versteht man das Erlauben oder Verweigern eines Zugriffs auf eine IT-Ressource, basierend auf einer Berechtigungs-Policy. Diese Funktionalität muss üblicherweise durch die IT-Ressource selber oder durch ein entsprechendes Produkt gewährleistet werden. Identity Administration: Identity Administration beinhaltet die Bestellung eines Zugriffs auf eine IT-Ressource. Gartner schreibt dazu auch, dass es kein Produkt gibt, welches alle Aspekte auf einmal abdeckt die Lösung wird immer eine Mehr-Produkte Lösung sein. 21 Die fünf Geschäfts Treiber für ein Identitäts- und Accessmanagement21: Die wichtigsten Gründe für die Einführung eines Identitäts- und Accessmanagementsystem sind: o Vereinfachung der Geschäftstätigkeiten Die Vereinfachung und Beschleunigung des Zugriffs auf die Geschäftsdaten kann durch die folgenden Massnahmen erreicht werden: Benutzer-Selbstregistrierung, Implementierung von Portal- und Personalisierungsdiensten, Unterstützung des erleichterten Zugriffs ebenfalls für Outsourcing Partner und Kunden o Kostenbegrenzung Die heutigen Organisationsstrukturen in den Unternehmungen können sich den stetig und schnell wachsenden Anforderungen im Bereich Sicherheitsadministration nicht schnell genug anpassen. Ungeachtet dessen, ob sich das Unternehmen in einem Aufschwung oder einem Geschäftsrückgang befindet, hilft ein Identitäts- und Accessmanagement direkt Kosten einzusparen: durch die Selbstverwaltung und Selbstadministration kann der Aufwand des UserHelpdesks reduziert werden, durch die Bereitstellung einer einheitlichen Architektur können die Entwicklungs- und Umsetzungskosten jeder einzelnen Applikation für die Entwicklung einer eigenen Benutzeradministration eingespart werden. o Betriebseffizienz Unternehmungen wollen die Durchlaufzeiten für die Berechtigungserteilung innerhalb eines Accessmanagementsystems verringern und gleichzeitig möglichst die Benutzerfreundlichkeit erhöhen. Solche Anforderungen können nur durch eine Lösung mit einem hohen Automationsgrad erfüllt werden. Das Reporting für die Sicherheitsadministration wird durch den Einsatz einer zentralisierten Lösung optimiert. o IT Risiko Management Identitäts- und Accessmanagementsysteme helfen einem Unternehmen die Übersicht über Zugriffe auf ihre IT-Ressourcen zu behalten. Kürzere Lieferzeiten für die gewünschten Auditauswertungen helfen Geld zu sparen. Die zentrale Deaktivierung aller Konti eines Benutzers, welcher das Unternehmen verlässt, eliminiert ein grosses Unternehmensrisiko. Für Unternehmungen mit erhöhten Anforderungen an die Vertraulichkeit und Sensitivität der Geschäftsdaten wird die Unterstützung einer starken Authentisierung durch ein Identitäts- und Accessmanagementsystem gefordert. Vgl. [GARTNER02]

29 Seite 29 / 153 o Regulatorische Compliance Viele gesetzliche Vorschriften22 (z. Teil branchenabhängig) fordern die Schaffung einer sicheren Identitäts- und Accessmanagementinfrastruktur Die Hauptfrage, die sich gemäss Gartner stellt: Wie werden die Unternehmungen die Komplexität der Authentisierung und Zugriffskontrolle in der global vernetzen Welt in den Griff kriegen? Der Hype Cycle23 für Identitäts- und Accessmanagementtechnologien (Stand 2005)24 Abbildung 6 Gartner Hype Cycle für Identitäts- Accessmanagement-Technologien (Quelle Bild: [GARTNER03]) Gartner listet die in den USA bekannten Vorschriften auf : Sarbanes Oxley Act, Gramm-Leach-Bliley Financial Services Modernizations Act of 1999, the Health Insurance Portability and Accountability Act (HIPPA), Part 11 of the U.S. Title 21 Code of Federal Regulations (21 CFR Part 11) sowie The North American Electric Reliability Council Urgent Action Standard Der Begriff Hype Cycle wurde wesentlich durch Gartner geprägt (Jackie Fenn), und ist eine graphische Repräsentation der Reife einer Technologie im Bezug zur öffentlichen Aufmerksamkeit auf dem Markt. Der Zyklus besteht aus den fünf Phasen: A. technologischer Auslöser, B. Gipfel der überzogenen Erwartungen, C. Tal der Enttäuschungen, D. Pfad der Erleuchtung, E. Plateau der Produktivität Vgl. [GARTNER03]

30 Seite 30 / 153 In der Graphik sind insgesamt 17 Technologien zu sehen und deren Position auf dem Hype Cycle. Im Folgenden wird nur auf die 6 wichtigsten Punkte mit den roten Quadraten eingegangen (Quelle: Eigene Einstufung): o IAM/NAC Integration: Der Mehrwert für die Integration von Netzwerkzugangs-Technologien in Identitäts- und Accessmanagementsystemen ist erkannt. Jedoch lassen sich die verschiedenen Technologien die heutzutage verwendet werden für den Netzwerkzugang (RADIUS, DHCP etc.) nicht 1:1 in ein Identitäts- und Accessmanagementsystem überführen. Zurzeit sind noch mehrere Authentisierungsschritte nötig, um sich über ein externes Netzwerk bei einer Applikation innerhalb einer Unternehmung anzumelden. Erreichung des Plateaus in 2-5 Jahren. o Role Planning, Audit and Compliance: Um die Zugriffe auf die IT-Ressourcen optimal verwalten zu können, müssen entsprechende Rollen- und Regelmodelle geschaffen werden, welche die Autorisierung der Zugriffe über mehrere Systeme und Applikationen optimal abbilden. Erreichung des Plateaus in 2-5 Jahren. o Federated Identity Management: Diese Technologie erlaubt die gegenseitige Nutzung von Benutzer-Credentials zwischen verschiedenen Unternehmen. Der Trust wird dabei von der identifizierenden Partei zur authentisierenden Partei übertragen. Erreichung des Plateaus in weniger als 2 Jahren. o User Provisioning: Die Verwaltung von Benutzerkonten und profilen und die Zuordnung von Rollen und Geschäftsregelen für die Benutzer sowie die Korrelation der verschiedenen Benutzerdaten aus den verschiedenen Identitätsspeichern hat sich nach und nach etabliert. Die Grenzen der Technologie liegen heutzutage beim Unfang des Provisioning und der Unterstützung der verschiedenen Plattformen. Erreichung des Plateaus in weniger als 2 Jahren. o EAM: Extranet Access Management bezeichnet zentralisierte Authentisierungssysteme für Web-Basierte Applikationen. Diese ausgereiften Technologien werden heutzutage vorwiegend von Unternehmen eingesetzt, welche eine Grosse Anzahl von Webapplikationen betreiben (für intern wie auch für extern benutzte Webapplikationen). Erreichung des Plateaus: bereits erreicht oder in weniger als 2 Jahren erreicht. o Password Management: Unter diesen Begriff fallen: Das automatische Rücksetzen von Passwörtern und die Synchronisation von Passwörtern über alle integrierten Plattformen und Applikationen. Die Anwendung der Technologien für die automatische Rücksetzung von Passwörtern ist eine typische Erst-Implementation einer Identitätsmanagement Lösung. Damit können die Helpdesk-Anrufe meist um mehr als 80% reduziert werden. Erreichung des Plateaus: bereits erreicht oder in weniger als 2 Jahren erreicht. Was man tun, und was man nicht tun sollte25: Gemäss den Aussagen von Gartner planen oder implementieren viele Unternehmen Identitäts- und Accessmanagementsysteme. Dieses Unterfangen ist komplex, teuer und erfordert eine Vorgehensweise, welche strategisch und flexibel ist. Es gibt keine Regeln wie eine Unternehmung dies tun soll. Gartner hat eine Liste der wichtigsten Punkte zusammengestellt, welche beachtet werden müssen bei der Umsetzung einer Identitäts- und Accessmanagementlösung. Bei der Umsetzung eines Projektes in diesem Bereich kann diese Liste den meisten Unternehmen als best practices dienen. Was man tun sollte: 25 Vgl. [GARNTER04]

31 Seite 31 / 153 o o o o o o o Schreibe einfache, auf wenige Zwecke begrenzte Applikationen Verbreite eine zentralisierte IAM Architektur, nach Möglichkeit über die Einbindung von neuen und alten, abzulösenden Systemen Benutze eine starke Authentisierung Realisiere eine zentralisierte IAM Event-log Ablage Wähle ein möglichst über alle Bereiche und Standorte gut verteiltes Projektteam, welches vom Senior-Level Management die nötige Unterstützung kriegt Setze die Erfahrung von erfahrenen System Integratoren ein um Grossprojekte umzusetzen Berücksichtige die Audit-Kosten bereits bei der Begründung von IAM-Investitionen Was man nicht tun sollte: o Erwarte nicht, dass die benötigten Benutzer Informationen alle aus einer einzigen Quelle stammen o Strebe nicht nach einem einzigen Enterprise Directory o Benutze das Enterprise Directory nicht als Datenbasis für die Provisionierung von Benutzern o Versuche nicht alle Applikationen auf einmal zu integrieren o Erwarte nicht, dass Single Sign-on für alle Applikationen möglich sein wird o Erwarte nicht, dass ein Rollenmodell auf 100% der Benutzer passt o Kümmere dich nicht um federated identity 26 bevor du nicht einen unmittelbaren Mehrwert damit erzielen kannst o Suche nicht eine Lösung für ein Problem betrachte immer das Gesamte o Schreibe nicht deine eigene umfassende Lösung eines IAM-Systems, ausser deine Bedürfnisse sind und bleiben einfach IAM Tools: The Complete Picture27 Auf diesem Bild sind die Zusammenhänge der einzelnen Begriffe rund um Identitäts- und Accessmanagementverwaltung Tools zu sehen. Vgl. auch Federated Identity Management auf Seite 30 Vgl. [GARTNER05]

32 Seite 32 / 153 Abbildung 7 Gartner IAM Tools: das Gesamtbild (Quelle Bild [GARTNER05]) Auf der Darstellung bilden die vier Kernelement Identity Auditing, Identity Administration, Identity Verification und Access Management den Kopf einer Qualle, bei welcher die weitere Untergliederung der Kernelemente als Tentakel der Qualle dargestellt sind. Die Kernelemente haben folgende Bedeutung: o Identity auditing: Identity auditing kombiniert Sicherheitsinformationen, Event Management und Separierung der Verantwortlichkeiten und andere Überwachungs- und Reportingtools für Auditing Zwecke. o Identity Administration: Dieser Begriff umfasst das User Provisioning sowie die Rollenund die Passwortverwaltung. Die Administration der Zugriffe ist fokussiert auf die Unterstützung der nötigen Funktionen für das IT-Service Management, damit die Benutzer effizient bewirtschaftet werden können. o Identity Verification: Die Aufgabe von Identity Verification Tools ist die Überprüfung und Validierung von Identitäten mittels der dazu benötigten Infrastruktur wie Single Sign-On, Authentisierungs- Infrastruktur und Frameworks für Identitätsmanagement. o Access Management: Die Access Management Tools stellen die Möglichkeiten für Webzugriffe, Betriebsystemzugriffe, Netzwerkzugriffe und Dokumenten-Zugriffe zur Verfügung. All diese Tools basieren auf etablierten Directory- und Repository-Technologien, welche für den Datenabgleich untereinander und für die Datenhaltung verantwortlich sind. Aus den fünf ausgewählten Publikationen von Gartner können folgende Kernaussagen gewonnen werden:

33 Seite 33 / 153 Definition von Identitäts- und Zugriffsberechtigungsverwaltung Aufteilung in zwei Bereiche: Administration (Administration, Audit) und Laufzeitumgebung (Authentifizierung und Autorisierung) Fünf Geschäftstreiber für eine Identitäts- und Accessmanagementlösung Vereinfachung der Geschäftstätigkeit Kostenbegrenzung Betriebseffizienz IT Risiko Management Regulatorische Compliance Hype Cycle von Identitäts- und Accessmanagementtechnologien Die sechs näher untersuchten Technologien: Integration von Netzwerktechnologien in Identitäts- und Accessmanagementsysteme, Planung von Rollenmodellen mit Audit und Compliance, Federated Identity Management, Verwaltung von Benutzerkonten, Extranet Accessmanagementsysteme und Passwort Management erreichen gemäss Gartner in höchstens zwei bis maximal fünf Jahren das Plateau der Produktivität. Was man tun, und was man nicht tun sollte Eine Sammlung von 16 Punkten (7 tun / 9 nicht tun) die man unbedingt berücksichtigen sollte bei der Planung oder Implementierung einer Identitäts- und Accessmanagementlösung. IAM Tools: The Complete Picture Das Quallenbild mit den vier Hauptelementen: Identity Auditing Identity Administration Identity Verification Access Management basierend auf etablierten Directory- und Repository Technologien

34 Seite 34 / Identitätsmanagement Dieses Kapitel beleuchtet verschiedene Aspekte eines Identitätsmanagementsystems. Neben der Definition von Begriffen, welche zum Teil bereits im vorangehenden Kapitel aufgetaucht sind, werden auch die Themen Risiko und Vertrauen wie auch rechtliche Aspekte angesprochen. In den weiteren Unterkapitel werden die wesentlichen Begriffe, die im Zusammenhang mit Identitäts- und Accessmanagementsystemen immer wieder auftauchen, ausführlich erklärt und beschrieben Identität Jede Person besitzt typischerweise mehrere Identitäten, abhängig vom Kontext und vom Vertrauensverhältnis in der sich die Person mit ihrem Gegenüber befindet. So hat eine Person, als Beispiel, bei ihrem Arzt eine andere Identität als in ihrem Sportverein. Für den Arzt machen andere Merkmale die Identität der Person aus als für die Mitglieder des Sportvereins. Ebenso hat die Person zu ihrem Arzt auch ein anderes Vertrauensverhältnis als zu ihrem Sportverein. Analog der Identitäten in der realen Welt ist es in der digitalen Welt mit den digitalen Identitäten. Hinter diesen digitalen Identitäten werden Profile (Accounts) verwaltet, welche aus einer Reihe von Merkmalen bestehen. Diese Merkmale setzen die Identität in einen Kontext und entsprechen einem bestimmten Vertrauenslevel. Merkmale einer digitalen Identität können sein: AHV-Nummer, alter einer Person, Kreditkartennummer, Telefonnummer, Fahrzeugausweisnummer, Passnummer, Geburtsdatum, Kontonummer, Blutgruppe, Mitarbeiternummer, usw. Das Zusammenspiel zwischen den Identitätsmerkmalen und der realen Identität hängt von den Anforderungen des Prozesses und der Entscheidung des Benutzers (reale Identität) ab. Der Benutzer entscheidet, ob er anonym oder unter Anwendung einer bestimmten Identität an einem Prozess teilnimmt. Der Benutzer mit seinen Merkmalen steht im Mittelpunkt des Prozesses. Dies ist vergleichbar mit einer Drehscheibe: Je nachdem an welchem Prozess (entspricht dem äusseren Kreis in Abbildung 8) der Benutzer teilnimmt, fliessen entsprechende Identitätsmerkmale den Vorgang mit ein (entspricht dem inneren Kreis in Abbildung 8). Der rote Pfeil verdeutlicht die Abhängigkeit zwischen den Merkmalen und den verschiedenen Prozessen. Abhängig vom Prozess stellen sich verschiedene Vertrauensbeziehungen zwischen den beteiligten Parteien ein.

35 Seite 35 / 153 Abbildung 8 Zusammenspiel zwischen Identitätsmerkmalen und realer Identität (Quelle: Eigene Darstellung in Anlehnung an [TELETRUST]) Mit einem Identitätsmanagement System werden Identitätsprofile (Accounts) für eine Vertrauensdomäne (in der Abbildung 8 handelt es sich um die Vertrauensdomäne Benutzer-Bank) angelegt, verwaltet und unter Umständen mit anderen Identitäts- und Accessmanagementsystemen abgeglichen Risiko und Vertrauen Damit zwischen zwei Parteien Vertrauen entstehen kann, müssen beide Parteien eine Anstrengung unternehmen: Beide Parteien müssen einerseits eine gewisse Vertrauenswürdigkeit innehaben und andererseits müssen sie ihrem Gegenüber eine gewisse Zuversicht und ein gewisses Mass an Zutrauen entgegenbringen28. Wie dieser Vorgang unter den Menschen genau abläuft ist noch nicht genau erforscht und ist Gegenstand von Untersuchungen in verschiedenen wissenschaftlichen Disziplinen: Wirtschaftswissenschaft, Marketing, Soziologie, Politikwissenschaft, Verwaltungswissenschaft, Entwicklungspsychologie, Recht, Wahrscheinlichkeitstheorie, Spieltheorie, Biochemie. Noch komplizierter wird es wenn mindestens eine dieser beiden Parteien eine Maschine ist. Bis heute hat die technische Repräsentation von Vertrauen nicht wirklich viel zu tun mit dem realen Vertrauen, welches zwischen Menschen besteht. Sobald das Vertrauensmodel vom Benutzer nicht verstanden oder korrekt interpretiert wird entstehen dadurch Sicherheitsrisiken29: Der Benutzer ist nicht in der Lage30, Vertrauensbeziehungen korrekt zu handhaben Solange man die realen Benutzer und deren Vertrauensverständnis nicht kennt (= nicht wissen was Vertrauen für den Benutzer bedeutet) kann man die Sicherheitsanforderungen nicht herleiten Vgl. [SCHUETZIG] Vgl. [KARVONEN] 30 dieser Punkt wird ebenso erwähnt in [SCHNEIER] Kapitel

36 Seite 36 / 153 Innerhalb grösserer Unternehmungen ist es nicht mehr möglich, dass sich alle Mitarbeiter untereinander kennen und sich gegenseitig vertrauen können. Bei Unternehmungen mit mehr als einem Standort kann sogar örtlich ein anderes Vertrauensverständnis festgestellt werden. Es ist die Aufgabe der Unternehmung mittels geeigneter Massnahmen wie Vorschriften, Verträgen, Vereinbarungen und der Firmenkultur ein gemeinsames, auf die jeweilige Partei zugeschnittenes Vertrauensverständnis aufzubauen. Der Aufbau dieses Vertrauensverständnisses kann innerhalb einer Unternehmung an verschiedenen Orten geschehen. Dabei hat die Art der Beziehung einen direkten Einfluss auf die zuständige Organisationseinheit innerhalb einer Unternehmung: Beziehungsart Abk. Beziehungsteilnehmer Beziehungsteilnehmer unextern ternehmensseitig Arbeitsverhältnis B2E (neuer) Mitarbeiter Personalabteilung und die zukünftigen Vorgesetzten Kundenbeziehung B2C Privatkunden Kundenberater an einem Schalter Kundenbeziehung B2C Geschäftskunden Key Account Manager Geschäfts- und Partner- B2P Geschäftspartner Fachabteilungen und Probeziehung & jektleiter31 B2B Tabelle 6 Verantwortlichkeiten für Beziehungen in einem Unternehmen Damit die Zugriffe auf die Informationen einer Unternehmung einheitlich gehandhabt werden können ist es unabdingbar, dass auch die Vertrauensbeziehungen zu den verschiedenen Parteien gleichartig gehandhabt werden. Die Beziehungen müssen regelmässig mit geeigneten Massnahmen überprüft werden, damit Veränderungen in der Beziehung oder im Vertrauensverständnis möglichst rasch bemerkt und korrigiert werden können. Ein Identitäts- und Accessmanagementsystem hilft einem Unternehmen, die Vertrauensbeziehungen mit ihren Kunden, Partnern und Mitarbeitern auf einen Nenner zu bringen und dadurch das Unternehmensrisiko zu minimieren Rechtliche Aspekte Rechtlich32 gesehen bewegt man sich durch die Anwenung von Identitäts- und Accessmanagementsystemen auf einem schmalen Grat. Auf der einen Seite steht die informationelle Selbstbestimmung einer (natürlichen) Person und auf der anderen Seite stehen die stetig wachsenden Anforderungen an die internen Kontrollsysteme von Unternehmungen (Compliance, regulative Gesetze, Nachvollziehbarkeit) Der Schutz der Privatsphäre einer Person wird in der Bundesverfassung33 als Schutz der Privatsphäre im Rahmen der persönlichen Freiheit und als Schutz vor Missbrauch von persönlichen Daten gewährleistet. Das Datenschutzgesetz34 konkretisiert diese Bestimmung in Bezug auf die Bearbeitung von personenbezogenen Daten. Der Aufbau einer Partner oder Geschäftsbeziehung für eine neue Dienstleistung findet oft innerhalb eines initialen Projektes statt. Zu diesem Zeitpunkt sind die genauen Zuständigkeiten und Verantwortlichkeiten oft noch nicht definitiv geregelt, deshalb übernimmt in diesem Fall meistens ein Projektleiter die Verantwortung für den Aufbau des Vertrauensverhältnisses. 32 Die Aussagen beziehen sich auf Schweizer Recht. 33 Vgl. [BV] Art.10 Abs. 2 und Art.13 Abs Vgl. [DSG] Art. 3 lit. E und Art. 3 lit. A 31

37 Seite 37 / 153 Auf der anderen Seite benötigt jede Bearbeitung von personenbezogenen Daten eine Rechtsgrundlage (Gesetz oder die Einwilligung der betroffenen Person) und muss verhältnismässig35 und zweckmässig36 sein. Gleichzeitig sind die Unternehmungen dazu verpflichtet, jeder Person über die Bearbeitung ihrer Daten Auskunft37 geben zu können. Mit einem Identitäts- und Accessmanagementsystem lassen sich Identitäten (= personenbezogene Daten) Verwalten. Damit unterliegt diese Tätigkeit dem Datenschutzgesetz38. Identitäts- und Accessmanagementsysteme bewegen sich auf dem schmalen Grat zwischen den immer strenger werdenden Compliance Anforderungen und dem Datenschutzgesetz, welches die Privatsphäre der Person gesetzlich schützt Lifecycle Management In der untenstehenden Graphik werden die Funktionen veranschaulicht, die ein Identitätsmanagementsystem während eines gesamten Lifecycles einer digitalen Identität unterstützen muss. Abbildung 9 Lifecycle einer digitalen Identität (Quelle: eigene Darstellung in Anlehnung an [STANFORD]) Der Lifecycle einer digitalen Identität kann in drei Phasen39 aufgeteilt werden: Eröffnung Sobald ein gegenseitiges Vertrauensverständnis40 vorhanden ist, und die Reale Identität überprüft worden ist, kann eine entsprechende digitale Identität erstellt werden: Vgl. [DSG] Art. 4 Abs. 2 Vgl. [DSG] Art. 4 Abs Vgl. [DSG] Art Vgl. [SURY] 39 Vgl. [STANFORD] S s. Kapitel Seite

38 Seite 38 / 153 o o o o o Eine neue digitale Identität kann erfasst werden, ein Profil oder Account für die Identität wird erstellt Es werden ein oder mehrere Credentials (z. Bsp: Passwort, Smartcard, Zertifikat, u.a.) ausgestellt für den Benutzer. Das Credential muss einerseits der digitalen Identität zugeordnet, und andererseits der realen Identität (Benutzer) zugestellt werden. Je mehr persönliche Merkmale vom Benutzer in diesen Vorgang involviert sind, desto stärker ist das Credential (z. Bsp: Passwort versus Iriserkennung für Biometrische Authentifizierung) Aufgrund der Beziehungsart kann ein Grundset an Berechtigungen erteilt werden Die Nachvollziehbarkeit aller Tätigkeiten innerhalb dieses Prozesses muss sichergestellt werden Nutzung und Veränderung Die reale Identität, also der Benutzer, beginnt nun mit der Nutzung seiner digitalen Identität. Der Benutzer meldet sich erstmals an einem System an mittels seiner digitalen Identität und erhält Zugriff auf Informationen. Aufgrund von Veränderungen41 beim Benutzer oder beim Unternehmen müssen diese Abweichungen bei der digitalen Identität nachgeführt werden. Für diese Phase sind folgende Funktionen wichtig: o Initialisieren, Rücksetzen und Neusetzen von Credentials o Bestellen und Löschen von Berechtigungen und Accounts o Überprüfen und Bestätigen von Berechtigungen o Die Nachvollziehbarkeit aller Tätigkeiten innerhalb dieses Prozesses muss sichergestellt werden Auflösung Eine der beiden Parteien löst die Beziehung auf. Die Möglichkeiten einer weiteren Nutzung42 der digitalen Identität für Zugriffe auf Informationen mit der digitalen Identität dieses Benutzers muss ausgeschlossen werden. o Sperrung bzw. Rückgabe sämtlicher Credentials o Inaktivieren sämtlicher Accounts o Entziehen sämtlicher Berechtigungen o Die Nachvollziehbarkeit aller Tätigkeiten innerhalb dieses Prozesses muss sichergestellt werden Der Lifecycle einer digitalen Identität kann in die drei Phasen: Eröffnung Nutzung und Veränderung Auflösung aufgeteilt werden Credential Management Das Credential Management beinhaltet die zentrale Verwaltung von Authentisierungsmitteln wie: Typische Veränderungen sind: Namenswechsel, Funktionswechsel (personell), Erhöhen/Reduzieren von Privilegien, Hinzufügen/Entfernen von Services (Serviceanbieter-seitig) 42 Dass Kundendaten verkauft werden, macht das Beispiel von AOL aus dem Jahr 2003 deutlich: Vgl. [HEISE] 41

39 Seite 39 / 153 Passwörter X509 Zertifikaten (z. Bsp. auf Smartcards) Generierung von OTP s (Onetime Passwords) SecurID s Biometrische Authentisierungsmittel (z. Bsp. Fingerprint, Voice, Retina u.a.) u.a. Beim Credential Management geht es vor allem darum, den Prozess über den gesamten Lifecycle des Credentials im Griff zu haben und diesen entsprechend zu unterstützen, analog dem Lifecycle Management einer digitalen Identität (s. vorangehendes Kapitel). Die drei Phasen des Credential Lifecycles werden im Folgenden kurz umschrieben: Generierung und Herausgabe des Credentials Nach der Generierung des Credentials wird das Credential einerseits den korrekten Accounts zugewiesen und andererseits wird das Credential auf sicherem Weg zum korrekten Benutzer übertragen. Dies kann zum Beispiel geschehen, indem der Benutzer einer vertrauenswürdigen Credential-Ausgabestelle beweist, dass er der rechtmässige Besitzer des Credentials ist. Möglicherweise wird eine Kopie des Credentials sicher aufbewahrt, damit bei einem Verlust ein Recovery möglich ist. Nutzung und Veränderung des Credentials In diese Phase verwendet der Benutzer das Credential, um sich an den verschiedenen Systemen zu authentisieren. In dieser Phase können Ereignisse auftreten wie: o Benutzer vergisst Credential (physisch) und/oder den Zugangscode für sein Credential o Benutzer verliert sein Credential bzw. Credential ist defekt o Benutzer will/muss sein Credential erneuern In dieser Phase müssen neue Credentials ausgestellt, bestehende erneuert und gesperrt werden können. Entzug und Vernichtung des Credentials Wenn die Nutzungszeit des Credentials abgelaufen ist oder wenn das Credential aus einem anderen Grund nicht mehr verwendet werden darf (z. Bsp. Verdacht auf Kompromittierung), so stellt das Credential Management sicher, dass das Credential eingezogen (z. Bsp. Smartcard, SecurID) und die Verbindung zu den Benutzer Accounts aufgehoben wird. Unter Umständen müssen physische Träger von Credentials nachträglich einen speziellen Prozess durchlaufen (Löschung), damit die Vernichtung des Credentials sichergestellt ist. Grundsätzlich gelten für das Credential Management im übertragenen Sinn die gleichen Regeln, wie für das Key Management wie z. Bsp. im COP43 beschrieben ist. 43 Vgl. [ISO27002] Kap Key Management

40 Seite 40 / 153 Das Credential Management kann in drei Phasen aufgeteilt werden: Generierung und Herausgabe des Credentials Nutzung und Veränderung des Credentials Entzug und Vernichtung des Credentials 2.5 Accessmanagement Das Accessmanagement44 umfasst die nachvollziehbare Verwaltung der Zugriffe der Accounts (Subjekte) auf die Objekte (IT-Ressourcen). Im Accessmanagement wird vorausgesetzt, dass die Benutzer für ihren Account korrekt authentisiert werden und dass für diese Subjekte ein Zugriff auf ein Objekt gewährt werden soll. Damit dieser Zugriff erfolgen kann, muss eine vorgängige Autorisierung stattfinden Autorisierung Als Autorisierung wird der Vorgang beschrieben bei dem entschieden wird, ob ein Subjekt einen Zugriff auf ein Objekt haben darf oder nicht. Durch eine Autorisierung werden einem Subjekt Zugriffsrechte auf ein Objekt eingeräumt. Dem Subjekt wird damit eine Berechtigung erteilt. Bei der Autorisierung wird einem Subjekt das Zugriffsrecht auf ein Objekt eingeräumt Access Control Die Objekte selber müssen mit einem Zugriffsschutz versehen werden (Access Control) der den Zugriff der Subjekte regelt, so dass nur autorisierten Subjekten der Zugriff gewährt wird. Die drei bekanntesten Modelle um den Zugriffsschutz zu gewährleisten sind: Discretionary Access Control (DAC) DAC basiert darauf, dass jedes Objekt einem Eigentümer gehört und dass dieser Eigentümer die Art des Zugriffs auf das Objekt festlegen kann. Der Nachteil dieses Modells ist, dass die Administration dieser Berechtigungen praktisch nicht zentralisiert werden können, da eine grosse Abhängigkeit zu den Eigentümern der Subjekte besteht. Mandatory Access Control (MAC) MAC basiert auf der Festlegung eines Schwellwertes (Klassifikation) auf allen Objekten. Die Subjekte werden einer bestimmten Klassifikation zugeordnet. Das System sorgt nun dafür, dass die Subjekte auf keine Objekte zugreifen können die oberhalb ihrer Klassifikation liegen. Dieses Modell ist sehr komplex und wird ausschliesslich in Hochsicherheitssystemen eingesetzt. (z.b. Militär). Role Based Access Control (RBAC) RBAC (Rollenbasierter Zugriffsschutz) basiert auf individuellen Rollen und den Verantwortlichkeiten für diese Rollen innerhalb einer Unternehmung. Dabei werden den Rollen einzelne Berechtigungen des Objektes zugeordnet und den Subjekten werden eine oder mehrer Rollen zugeordnet. Der grosse Vorteil von diesem Modell liegt darin, dass eine zentrale Verwaltung dieser 44 Vgl. Kapitel 2.1 Seite 12

41 Seite 41 / 153 Rollen möglich ist. Die Zuweisung der Rolle zu einem Subjekt kann getrennt von der Zuweisung einer einzelnen Zugriffsschutz Regel auf ein Objekt erfolgen. Dies erlaubt eine Umsetzung der Separierung der Verantwortlichkeiten. Der Nachteil dieser Methode liegt in der Entwicklung der Rollenmodelle und den Zugriffsschutzregeln auf den Objekten. Insbesondere bei grossen Unternehmen kann es eine grosse Herausforderungen sein, die bestehende Landschaft in ein uniformes Rollenmodell zu bringen. Im Rahmen einer Accessmanagementlösung wird aufgrund der oben beschriebenen Vorteile in den allermeisten Fällen das RBAC Modell angewendet. Die Regeln für den Zugriffsschutz können lokal, bei jedem Objekt man spricht in diesem Fall von verteiltem Zugriffschutz oder an einer einzigen Stelle zentraler Zugriffsschutz, verwaltet werden. Durch den Einsatz einer einheitlichen Beschreibungssprache für den Zugriffsschutz kann eine zentrale Verwaltung dieser Regeln ermöglicht werden. Als Beispiel für eine Beschreibungssprache die genau diesem Zweck dient und immer häufiger in Produkten eingesetzt wird sei XACML erwähnt. Jedes Objekt verfügt über einen eigenen Zugriffsschutz (Access Control) der sicherstellt, dass nur autorisierte Subjekte auf das jeweilige Objekt zugreifen können. Die Regeln für den Zugriffsschutz können auf allen Objekten verteilt (verteilter Zugriffsschutz) oder an einer einzigen Stelle verwaltet werden (Zentraler Zugriffsschutz) Workflow Innerhalb des Lifecycle Management einer digitalen Identität sind meistens mehrere verschiedene Personen und Bereiche involviert. Es sind vor allem Entscheider (IT-Verantwortliche, Vorgesetzte, Fachverantwortliche), welche auf den Fluss der Zustandsänderung einwirken. Eine Identitäts- und Accessmanagementlösung muss die Automatisierung solcher Abläufe (englisch: Workflow s) unterstützen. Ein typischer Workflow ist die Autorisierung eines Zugriffs. Idealerweise kann dieser Workflow so weit wie möglich elektronisch abgebildet und automatisiert werden. So können die beteiligten Bereiche und Personen per zu einer Tätigkeit aufgefordert werden und zum Beispiel mittels einer Webanwendung die Autorisierung durchführen. Durch einen hohen Automationsgrad kann auch die Protokollierung (Auditing) der Ereignisse automatisch erfolgen. Üblicherweise werden auch besondere Anforderungen an die Workflows gestellt bezüglich der Abarbeitungszeit: Wird ein Workflow nicht innerhalb einer spezifischen Zeit abgearbeitet, muss eine Eskalation an eine nächst höhere Stelle ausgelöst werden. Eine Identitäts- und Accessmanagementlösung soll die Automatisierung von Abläufen (Workflows) unterstützen. Ein hoher Automationsgrad dieser Workflows erlaubt auch eine automatische Protokollierung (Auditing) der Ereignisse. Aufgrund der grossen Menge an administrativen Aufgaben welche im Zusammenhang mit den verschiedenen Arbeitsabläufen anfallen ist es wichtig, dass die administrativen Aufgaben an die zuständigen Stellen delegiert werden können. Ein Identitäts- und Accessmanagementsystem muss die Delegation von Administrationsberechtigungen unterstützen, so dass verschiedene Administrationsrechte auf verschiedene Benutzerkreise und IT-Verantwortliche aufgeteilt werden können. So können beispielsweise Routinear-

42 Seite 42 / 153 beiten (Rücksetzen von Passwörtern) an ein User-Helpdesk delegiert werden, oder die Autorisierung für Zugriffe auf Informationen und Daten kann von den entsprechenden Fachbereichen übernommen werden, welche für den jeweiligen Datenbestand zuständig sind (Dateneigner). Eine Identitäts- und Accessmanagementlösung soll die Delegation von Administrationsberechtigungen unterstützen, damit die anfallenden administrativen Aufgaben von den zuständigen Benutzerkreisen und IT-Verantwortlichen wahrgenommen werden können. Eine besondere Form der Delegation von Administrationsberechtigungen ist die Delegation an den Benutzer selber. Es ist sehr effizient, wenn die Benutzer gewisse Tätigkeiten selber ausführen können, da die Anzahl Benutzer normalerweise ein x-faches der Anzahl Administratoren ist. Administrationstätigkeiten die sich für einen User Self Service eignen sind vor allem Tätigkeiten aus dem Identitätsmanagement45: Das Rücksetzen des eigenen Passwortes. Das einfachste Beispiel dieser Anwendung ist eine Frage inkl. Antwort die man sich beim erstmaligen setzen des Passwortes ausdenken und angeben muss (Challenge/Response Verfahren). Einzelne Benutzerattribute im Benutzerprofil wie z. Bsp. Raumnummer, Handynummer, bevorzugter Drucker usw. Bestellung einer Berechtigung bzw. Bestellung einer Deaktivierung einer Berechtigung Die Tätigkeiten die ein Benutzer selber ausüben kann sind stark eingeschränkt und nur auf sein eigenes Profil beschränkt. Weil diese einfachen Tätigkeiten aber von einer grossen Anzahl Benutzer ausgeführt werden, können damit die Administratoren (IT-Verantwortliche, User-Helpdesk, u.a.) massiv entlastet werden. Eine Identitäts- und Accessmanagementlösung soll als spezielle Delegation von Administrationsberechtigungen den User Self Service unterstützen. Aufgrund der hohen Anzahl Benutzer kann ein User Self Service einen wesentlichen Beitrag zur Entlastung der Administratoren leisten Auditing und Archivierung Die Nachvollziehbarkeit des Accessmanagement wird durch Protokollieren der relevanten Ereignisse gewährleistet (Auditing). Die Protokollierung erfolgt auf zwei Ebenen: 45 Zum einen müssen alle Autorisierungen sowie alle Veränderungen von Autorisierungen die durch die Administratoren durchgeführt werden protokolliert werden. Das Protokoll muss mindestens die Angabe des Zeitpunkts, des Administrators (bzw. dessen digitalen Identität), des Zugriffs (Account IT-Ressource) enthalten. Zum anderen müssen alle Objekte (bzw. die IT-Ressourcen) jeden Zugriff der gewährt oder verweigert wird protokollieren, unter der Angabe des Zeitpunktes, der digitalen Identität des zugreifenden Subjektes, des Objektes auf welches der Zugriff erfolgt und des Resultats der Zugriffskontrolle (Zugriff gewährt / Zugriff verweigert). Vgl. Kapitel 2.4 Seite 34

43 Seite 43 / 153 Die Auditing Funktionalität erlaubt es eine systemübergreifende Nachvollziehbarkeit sicherzustellen. Es kann nachvollzogen werden, wer zu welchem Zeitpunkt auf welche Informationen und Systeme Zugriff hat. Diese Nachvollziehbarkeit wird von den eingangs untersuchten Standards gefordert. (Vgl. Kapitel [ISO27001] Sektion A15, Kapitel Prozess AI2.3, Kapitel Prozess Nr. 23). Ebenfalls von grosser Bedeutung in Bezug auf eine Revision ist die Nachvollziehbarkeit der Autorisierung (Wer hat wann, wem, welche Berechtigungen erteilt oder entzogen?). Eine Identitäts- und Accessmanagementlösung soll die Nachvollziehbarkeit (Auditing) sicherstellen. Damit dies gewährleistet werden kann, müssen einerseits sämtliche Autorisierungen oder Veränderungen von Autorisierungen und andererseits alle Zugriffe auf die Objekte protokolliert werden. Die Aufzeichnungen müssen archiviert werden, damit die Nachvollziehbarkeit auch über längere Zeit gewährleistet werden kann. 2.6 Technologien und Verfahren Metadirectory Aus den vorangegangenen Kapiteln wird deutlich, dass der Ablage von Informationen der digitalen Identitäten (Merkmale, Credentials, Berechtigungen usw.) eine enorme Bedeutung beigemessen werden muss. Als Lösung für diese Ablage von Informationen bieten sich Verzeichnisdienste und Metadirectories an. Ein Metadirectory ist ein Teil einer Identitäts- und Accessmanagementlösung und bietet eine einheitliche Sicht auf die Informationen welche für die Verwaltung der digitalen Identitäten und Zugriffe nötig ist. In einer heterogenen Systemlandschaft sind die benötigten Informationen oft bereits in anderen Systemen vorhanden. Ein Metadirectory stellt den zentralen Vermittlungspunkt für den Abgleich der Daten dar. Ein Metadirectory46 sammelt Informationen über ein einzelnes Objekt oder eine Entität an einem Ort 46 Vgl. [KAMPMAN] Kapitel 11

44 Seite 44 / 153 Abbildung 10 Metadirectory einheitliche Sicht auf Informationen (Quelle: eigene Darstellung) Durch den unternehmensweiten Abgleich von Informationen innerhalb eines Metadirectories können die Risiken minimiert werden, die durch mehrfache und fehlerhafte Verwaltung von gleichen aber verteilten Informationen entstehen (s. fehlerhafte Teilinformation aus System 3 in Abbildung 10). Die Auflösung solcher Konflikte sowie die Bereitstellung der einheitlichen Sicht für andere Systeme gehört ebenso zur Aufgabe eines Metadirectories wie der Abgleich sämtlicher benötigten Informationen mit den anderen Verzeichnissen und Systemen. Die Bereitstellung dieser Funktionalität ist ein wichtiger Teil des Provisioning47. Das Provisioning umfasst die Sicherstellung der in Kapitel beschriebenen Funktionen für das Lifecycle Management wie: Automatisierung der Abläufe (Workflows), Delegation von Administrationsberechtigungen, User Self Service, Passwort-Synchronisation und Auditing. Damit eine entsprechende Ausfallsicherheit gewährleistet werden kann, wird die Administrationsumgebung getrennt von der Runtime-Umgebung betreiben48. Während dem die Administrationsumgebung vor allem für die Erfassung, Änderung und Löschung von Informationen verwendet wird (= Schreiboperationen im Metadirectory), wird die Runtime-Umgebung von einer grossen Anzahl Systeme und Applikationen für lesende Zugriffe verwendet. Für diesen Zweck eignen sich LDAP-Directories am besten, weil sie für schnelle Lesezugriffe optimiert sind Virtuelles Directory Eine spezielle Variante eines Metadirectories ist ein virtuelles Directory49: Ein virtuelles Directory speichert nicht direkt die gesammelten Daten, sondern nur eine Referenz auf den effektiven Speicherort. Der Vorteil dieser Variante liegt in der Aktualität der Daten: Die Benutzer- und Zugriffsinformationen sind immer aktuell. Der Nachteil gegenüber einem normalen Metadirectory liegt bei längeren Antwortzeiten für lesenden Zugriffen: Die Daten stehen nicht direkt im Metadirectory zur Verfügung und müssen erst von den einzelnen IT-Ressourcen gelesen werden. Vgl. [REED], Kapitel 3 s. Kapitel Seite 26, Definition von Identitäts- und Accessmanagement 49 Vgl. [KEARNS] Kapitel

45 Seite 45 / Provisioning Beim Provisioning kann zwischen User Provisioning und Ressourcen Provisioning50 unterschieden werden: Beim User Provisioning werden die Benutzerkonten im heterogenen Umfeld auf der Basis eines Master Systems (Metadiretory) angelegt, verändert und gelöscht. Beim Ressourcen Provisioning wird die Nutzung von IT-Ressourcen auf einem Zielsystem über zentrale Vorgaben konfiguriert. Typischerweise wird mit Konzepten des RBAC gearbeitet51. Das Provisioning beinhaltet die Bereitstellung von automatisierten Abläufen (Workflows), Funktionen zur Delegation von Administrationsberechtigungen und Self Service Diensten sowie Funktionen für die Synchronisation und den Abgleich von Informationen mit anderen Verzeichnisdiensten und Systemen. Es kann unterschieden werden zwischen: User Provisioning und Ressourcen Provisioning Synchronisation Die Synchronisation der Informationen zwischen dem Metatdirectory und den Systemen welche die Teilinformationen liefern kann auf verschiedene Arten geschehen: Synchronisierung Mittels Konnektoren (Lokale oder Remote Agenten) Bei der Synchronisation werden die Benutzer- und Zugriffsdaten von einem zentralen System an die IT-Ressource (System oder Applikation) übertragen. Die Synchronisation gewährleistet dabei eine allfällige Transformation der Informationen in das entsprechende Format der IT-Ressource oder vom Format der IT-Ressource in das vom Metadirectory verwendete Format. Üblich sind Hub and Spoke52 Architekturen für die Umsetzung dieser Anforderungen. Dabei bildet das Metadirectory den Hub, und die umliegenden IT-Ressourcen die Spokes. Unterstützt die IT-Ressource eine Standardschnittstelle des Metadirectories so spricht man von einem Remote Agenten. Im Gegensatz dazu werden lokale Agenten (Sowohl beim Metadirectory wie auch bei der IT-Ressource) benötigt, wenn die anzubindende IT-Ressource nur ihr proprietäres Protokoll unterstützt. Die Synchronisation kann in beiden Fällen bidirektional erfolgen, damit eine Unabhängigkeit bezüglich der Datenhoheit gewährleistet ist. Konsolidierung aller IT-Ressourcen oder der Benutzerverwaltungen der einzelnen IT-Ressourcen Bei der Konsolidierung werden die Benutzer- und Zugriffsdaten der verschiedensten IT-Ressourcen konsolidiert und mittels einem Verzeichnisdienst über eine standardisierte Schnittstelle (LDAP) den IT-Ressourcen zur Verfügung gestellt. Die IT-Ressource (ein System oder eine Ap- Vgl. [PARTHIER01], Kapitel 2.3 s. Kapitel 2.5 Seite Der Begriff Hub and Spoke (Nabe und Speiche) hat seinen Ursprung im Transportwesen und beschreibt eine sternförmige Anordnung der Transportwege, die von allen Aussenknoten auf einen zentralen Knoten hin laufen bzw. von einem zentralen Knoten genau einen Verbindungsweg zu jedem Aussenkonten besitzen. In der IT beschreibt dieser Begriff eine Form der Integration für Meldungsaustausch und Serviceanfragen. Dabei werden alle Meldungen / Anfragen über eine zentrale Plattform ausgetauscht, analog dem Model im Transportwesen

46 Seite 46 / 153 plikation) muss dabei in der Lage sein, diese Daten als LDAP-Client nutzen zu können. Leider wird dies längst nicht von allen IT-Ressourcen unterstützt. Im Folgenden wird eine typische Architektur für ein Metadirectory skizziert: Abbildung 11 Metadirectory typische Architektur (Quelle: eigene Darstellung in Anlehnung an [REED] und [GARTNER01]) Das Metadirectory in Abbildung 11 besteht aus einer eigenen Provisioning DB und drei Konnektoren (C1, C2 und C3) zu den Systemen 1-3. Die drei Systeme1-3 steuern ihre Teilinformationen an das Metadirectory bei. Im Metadirectory wird dadurch eine gesamtheitliche Sicht erreicht, welche einerseits in der Provisioning DB gespeichert ist und andererseits in die Runtime-Umgebung an ein Directory propagiert wird. Andere IT-Ressourcen (Applikationen und Systeme) können die konsolidierten Daten im Directory für ihre Zwecke nutzen. Das Metadirectory lässt sich durch Administratoren oder durch die Benutzer53 administrieren. Das Gesamtsystem ist aufgeteilt in die Administrations- und Runtime-Umgebung. 53 Vgl. Kapitel User Self Service Seite 41

47 Seite 47 / 153 Die Synchronisation zwischen einen Metadirectory und den IT-Ressourcen (z. Bsp. für das Provisioning) kann entweder mittels Konnektoren geschehen oder mittels Konsolidierung. Bei der Synchronisation mittels Konnektoren können proprietäre Protokolle von IT-Ressourcen unterstützt werden, die entsprechende Transformation der Benutzer- und Zugriffsdaten wird von den Konnektoren übernommen. Bei der Konsolidierung verwendet die IT-Ressource eine Standardschnittstelle zum Metadirectory Passwortsynchronisation Aus der Sicht des Benutzers ändert für ihn das Merkmal Passwort am häufigsten. Es ist sogar seine Pflicht sein Passwort zu ändern, da sein Benutzerkonto gesperrt wird wenn er dies nicht tut. Die Benutzer sind aber gleichzeitig auch frustriert, wenn sie für jeden Zugriff auf ein System oder Applikation ein anderes Passwort verwenden müssen, möglichst noch mit einer anderen Passwort Richtlinie, die auch ein unterschiedliches Password aging54 aufweist. Wünschenswert wäre eine Lösung, bei der auf allen Systemen und Applikationen das gleiche Passwort verwendet werden kann: Die Passwort-Synchronisation. Bei einer Passwort-Synchronisation ändert der Benutzer sein Passwort immer am gleichen Ort (z. Bsp. bei in einem Identitäts- und Accessmanagementsystem) und das System ist dann verantwortlich, dass das Passwort an weitere Zielsysteme verteilt wird. Dies ist aber nicht immer einfach möglich, weil das Passwort von den Systemen nicht im Klartext abgelegt wird. Aus Sicherheitsgründen wird nur ein PasswortHash abgelegt. Je nach Zielsystem gibt es die Möglichkeit, einen lokalen Agenten zu installieren der aus dem Klartext-Passwort den entsprechenden Passwort-Hash des Zielsystems errechnen kann. Nun kann es aber immer noch vorkommen, dass auf dem Zielsystem nicht alle Sonderzeichen unterstützt oder eine entsprechende Länge für das Passwort nicht unterstützt wird. Die Passwort-Richtlinie auf den kleinsten gemeinsamen Nenner aller Systeme anpassen ist meistens auch kein Kompromiss, da nicht mehr eine genügende Sicherheit gewährleistet ist. Eine Identitäts- und Accessmanagementlösung soll nach Möglichkeiten eine Passwort-Synchronisation unterstützen. Probleme entstehen bei der Synchronisation von Passwörtern mit Systemen: die keinen entsprechenden Agenten zur Verfügung stellen die Einschränkungen für Passwörter haben (Länge, Zeichensatz, etc.) Single Sign-on Ein weiterer Ansatz der ebenfalls als Nebeneffekt ein einheitliches Passwort für alle Systeme zur Folge haben kann ist eine Single Sign-on Lösung. Bei einer serverseitigen Single Sign-on Lösung werden sämtliche Verbindungen zu den Applikationen und Systemen über ein Gateway (z. Bsp. Entryserver) umgeleitet. Der Gateway übernimmt die Authentisierung der Verbindung, und lässt nur eine Verbindung zur Applikation bzw. zum Zielsystem zu, wenn der Benutzer authentisiert ist. Wenn der Benutzer dann aber einmal authentisiert ist, so kann er dann (via Gateway) auf weitere Applikationen und Zielsysteme zugreifen, ohne sich immer wieder authentisieren zu müssen. Password aging: Alterung des Passwortes, d.h. das Passwort muss nach einer vordefinierten Anzahl Tage erneuert werden. 54

48 Seite 48 / 153 Probleme entstehen bei inhomogenen Systemen und Protokollen: Das Zwischenschalten eines Gateways bedeutet in den allermeisten Fällen eine Terminierung der Verbindung zum Client und einen Neuaufbau einer Verbindung zur Applikation oder Zielsystem. D.h. der Gateway muss die Protokolle genau kennen mit welchen kommuniziert wird. Üblicherweise wird für jedes Protokoll (z. Bsp. HTTP, SSH) ein eigener Gateway verwendet, was wiederum den Vorteil des Single Sign-on overall auf eine Single Sign-on per Gateway reduziert. Bei einer clientseitigen Single Sign-on Lösung wird auf dem Arbeitsplatzrechner des Benutzers eine Software installiert, die sich die Passwortdialoge mit den Eingaben des Benutzers für die verschiedenen Applikationen merken kann. So werden die (verschiedenen) Passwörter alle von dieser Software einmal aufgezeichnet und verschlüsselt abgelegt. Bei der nächsten Anmeldung des Benutzers an einer Applikation oder einem System übernimmt die Software die Eingabe des Passwortes, sobald der entsprechende Dialog auftaucht. Diese Lösung löst nicht eigentlich die Ursache des Problems, sondern merkt sich einfach die vielen verschiedenen Passwörter und entlastet den Benutzer davon. Problematisch ist die Speicherung dieser Passwörter auf dem Arbeitsplatzrechner: Auch wenn die Datei mit den Passwörtern verschlüsselt ist, muss sich der Schlüssel zur Ver- und Entschlüsselung ebenfalls auf dem Arbeitsplatzrechner befinden, da die Software diesen benutzen muss. Besser ist eine Lösung, in welcher die Passwörter auf einem HSM gespeichert werden (Smart Card, Smart Token etc.). Eine Single Sign-on Lösung bietet als Nebeneffekt eine Vereinheitlichung des Passwortes für mehrere Applikationen oder Systeme. Es kann unterschieden werden zwischen: Serverseitiges Single Sign-on (echtes Single Sign-on) clientseitigem Single Sign-on (Single Sign-on durch Passwortspeicher) 2.7 Organisatorische Herausforderungen Während dem sich das vorangegangen Kapitel vor allem mit Begriffen, Definitionen und technischen Aspekten des Identitäts- und Accessmanagement befasst hat, geht es in diesem Kapitel eher um weichere Faktoren. Zuerst wird Identitäts- und Accessmanagement als Prozess anstelle einer Ansammlung von Technologie und Services betrachtet. Im mittleren Teil erfährt der Leser, wie ein Identitäts- und Accessmanagementsystem innerhalb einer Unternehmung eingeführt bzw. weiterentwickelt werden kann und welche Punkte dabei zu beachten sind. Im letzten Teil dieses Kapitels werden Hinweise und Lösungsansätze zu den organisatorischen Auswirkungen einer Einführung eines solchen Systems innerhalb eines grösseren Unternehmens gegeben Der Identitäts- und Accessmanagement Prozess Digitale Identitäten sind eine strategisches Wirtschaftsgut55 und bilden die Basis für den Zugriff auf kritische Geschäftsinformationen und Services. Aufgrund dieser Tatsache ist es unabdingbar, dass dieses Geschäftsvermögen entsprechend verwaltet wird und dass das Identitäts- und Accessmanagement innerhalb einer Unternehmung als Prozess Identitäts- und Accessmanagement Prozess angesehen wird. Damit auch zukünftige Anforderungen der Anwender und Nutzer eines Identitäts- und Accessmanagementsystem umgesetzt werden können, wird ein Framework benötigt, welches diesem Umstand Rechnung trägt. 55 Vgl. [GARTNER06]

49 Seite 49 / 153 Eine Studie von Gartner56 hat ergeben, dass der Identitäts- und Accessmanagement Prozess in drei weitere Unterprozesse aufgeteilt werden kann: Zugriffsmodellierungsprozess ZM (Access Modelling) Workflow Prozess WF Identitätsmodellierungsprozess IM (Identity Modelling) Die Basis für die drei Subprozesse bildet das Vertrauensmodel einer Unternehmung, welches Auskunft gibt über das Vertrauensverständnis57 innerhalb einer Unternehmung. Das Vertrauensmodel beschreibt im Wesentlichen den Vorgang für die Erzeugung einer digitalen Identität aufgrund einer realen Identität und definiert die Bedingungen für diesen Prozess. Für die Beschreibung der drei Unterprozesse des Identitäts- und Accessmanagementprozesses wird ein Vertrauensmodel als Vorbedingung vorausgesetzt und wird daher hier nicht näher umschreiben. Beim Zugriffsmodellierungsprozess geht es darum, aus einer Reihe von Vorgaben formale Konstrukte wie Rollen und Regeln festzulegen, welche beschreiben wie digitale Identitäten erzeugt, authentisiert, autorisiert und verwaltet werden. Als Vorgaben dienen die gegebenen Gesetze, Geschäfts- und Sicherheitsrichtlinien sowie gängige Normen und Best Practices58. Ebenfalls berücksichtigt werden müssen die Separierung von Aufgaben, Kundenanforderungen sowie andere externe Einflüsse. Es müssen grundlegende Entscheide gefällt werden über die Art und Weise wie Zugriffe auf IT-Ressourcen innerhalb der Unternehmung getätigt werden (z. Bsp. auf Basis von Regeln oder auf Basis von Rollen usw.). Der Workflow Prozess legt die Schritte fest, welche nötig sind damit eine digitale Identität die Bewilligung erhält für den Zugriff auf eine IT-Ressource. Der Workflow Prozess berücksichtigt dabei die Verantwortlichen der Daten und Systeme (Dateneigner, Systemverantwortliche) welche als Akteure in den Prozess eingebunden werden. Der Hauptzweck des Workflow Prozesses ist die Abbildung des Bestellungsund Bewilligungsablaufes wenn eine digitale Identität Zugriff auf eine IT-Ressource erlangt, inklusive allen damit verbundenen Nebenabläufen. Der Identitätsmodellierungsprozess ist der Kernprozess innerhalb des Identitäts- und Accessmanagementprozesses und beinhaltet die wichtigsten Aktionen im Zusammenhang mit dem Lifecycle Management59. Innerhalb dieses Prozesses werden die digitalen Identitäten erzeugt und die Zugriffe aus dem Zugriffsmodellierungsframework werden der digitalen Identität mittels des Workflow Prozess verfügbar gemacht. Die Hauptfunktionen sind Erzeugen, Nutzen, Ändern, Deaktivieren, Rückmelden und Überwachen der digitalen Identitäten. Der Identitätsmodellierungsprozess seinerseits versorgt die beiden anderen Subprozesse wieder mit Informationen über Veränderungen der digitalen Identität. Vgl. [GARTNER06] Vgl. Kapitel Seite Vgl. Kapitel 2.3 Seite Vgl. Kapitel Seite

50 Seite 50 / 153 Abbildung 12 Identitätsmanagement Prozess (Quelle: Eigene Darstellung in Anlehnung an [GARTNER06]) Abbildung 12 zeigt die drei Subprozesse und die damit verbundenen Prozessschritte. Innerhalb eines jeden Prozessschrittes sind die Tätigkeiten aufgelistet, welche innerhalb von diesem Schritt ausgeführt werden können. Die Wirkung die ein Prozessschritt auf einen anderen Prozessschritt hat ist mit den Pfeilen dargestellt. Jeder Prozessschritt zeichnet jedes Ereignis auf, das durch den jeweiligen Prozessschritt abgearbeitet wird (Nachvollziehbarkeit). Dies ist aufgrund der Übersichtlichkeit nicht in der Abbildung eingezeichnet. Wie man in dieser Abbildung deutlich erkennt, kann Identitäts- und Accessmanagement nicht nur als eine Ansammlung von Technologien und Services betrachtet werden. Viel wichtiger für die kontinuierliche und nachhaltige Weiterentwicklung eines Identitäts- und Accessmanagementsystems ist die Betrachtung als Prozess. Durch die Etablierung eines Identitäts- und Accessmanagementprozesses und der Bereitstellung der benötigten Ressourcen kann innerhalb einer Unternehmung sichergestellt werden, dass sich das Identitäts- und Accessmanagementsystem mittel- und längerfristig optimal in die Unternehmung einfügt und auch für zukünftige Anforderungen gerüstet ist.

51 Seite 51 / 153 Der Identitäts- und Accessmanagement Prozess beinhaltet die drei Subprozesse: Zugriffsmodellierung Workflow Identitätsmodellierung Die Betrachtung des Identitäts- und Accessmanagement als Prozess sichert einer Unternehmung mittel- und längerfristig die kontinuierliche und nachhaltige Weiterentwicklung in diesem Bereich und rüstet das Unternehmen für zukünftige Anforderungen Die Einführung eines Identitäts- und Accessmanagementsystems Bereitstellung von Rollen- Vertraute digitale Identitäten automatisierten Abläufen verwaltung Die Einführung einer Identitäts- und Accessmanagementlösung in einem Unternehmen ist ein komplexes Unterfangen und erfordert deshalb ein stufenweises Vorgehen60. Es ist deshalb unabdingbar, sich bereits von Anfang an über die verschiedenen Ausbaustufen Gedanken zu machen. Eine Mögliche Staffelung der Ausbau- und Maturitätsstufen eines Identitäts- und Accessmanagementlösung ist hier aufgeführt: Funktion Maturität Level 1 Level 2 Level 3 Level 4 Basis Advanced Service orientiert Business Driven 60 Nur interne Benutzer Level 1 Level 2 Ein zentrales Directory Kunden und Lieferanten Definierte Service Schnittstellen für die Speicherung von digitalen Identitäten Eine konsistente Sicht auf digitale Identitäten, unabhängig vom Typ der Identität Kein bzw. nur ein rudimentäres Rollenmanagement Grundlegende Rollenverwaltung wird zur Verfügung gestellt Nur einzelne automatisierte Abläufe fokussiert auf die Erzeugung von digitalen Identitäten basierend auf HR Daten Definierte Prozesse für Erzeugung, Änderung und Deaktivierung von digitalen Identitäten, unabhängig vom Typ der Identität Aufteilung von Applikationsund Identitätsspeicher Erste Implementierungen/ Nutzung von integrierten Identitätsdiensten in Applikationen Erweiterte Rollenkonzepte Integration von allen anderen Identitäts- und Accessmanagementsystemen Externe/offene Bereitstellung von Workflows Geschäftsrollebasierte Verwaltung für die Regelung des Zugriffs auf Informationen und Systeme Volle Integration in den Geschäftsprozessen Erste Bereitstellung von Unternehmensweiten Berechtigungen Unternehmensweite Identitäts- und Accessmanagement s. Kapitel Was man tun, was man nicht tun sollte Seite 30 Volle Integration von externen Benutzern und Benutzerzentrischem Identitätsmanagement

52 Seite 52 / 153 Maturität Level 1 Basis Level 2 Advanced Level 3 Service orientiert Level 4 Business Driven Isolierte Single Sign-on Lösungen Unternehmensweites Single Sign-on Level 2 Standard OS Authentisierungen Starke Authentisierung für interne Benutzer Single Sign-on für alle Identitätstypen mit den jeweils angemessenen Mechanismen Single Sign-on Lösungen für Applikationen Zugriff und Abgleich mit Partnern Punktuelle Lösungen für Web Zugriff Verwaltung Auditing Vereinheitlichen von Applikationen als Unterstützung für das Single Sign-On Auditing auf System Level Richtlinien und Compliance Single Sign-on und Authentisierung Funktion Keine konsistente richtliniengetriebene Vorgehensweise Kein Abgleich mit Partnern Wenn überhaupt, dann nur punktuelle Lösungen für Compliance Mehrere Zugriffskonzepte für Portale, Applikationen und Webzugriffe Vereinzelte Implementation von Partnernabgleich Level 1 Zum Teil vereinzelte Integrations-Lösungen von Auditing Vereinzelte konsistente richtliniengetriebene Vorgehensweise Punktuelle Integration von Compliance-Lösungen Beginn von Benutzerzentrischem Identitätsmanagement Föderation von Identitäten als Standardlösung für verteilte Authentisierung und Autorisierung Zentralisierte Föderation von Identitäten für Service orientierte Applikationen Auditlog Serviceschnittstellen für Zugriffe auf verschiedene Auditlogs Konsistente richtliniengetriebenen Vorgehensweise über Systeme Vordefinierte Compliance Services Konsistentes Accessmanagement und Autorisierung im Zusammenspiel mit Föderations-Technologien und volle Integration in den Geschäftsprozessen Zentrale Verwaltung der Aufgabenseparierung und Berechtigungskontrollen Systemübergreifende Richtlinien für die Kontrolle der Informationen und Systemzugriffe Konsistente Automatisierung der Compliance über alle Systeme hinweg Tabelle 7 Maturitätsstufen von Identitäts- und Accessmanagementsystemen (Quelle: Eigene Zusammenstellung in Anlehnung an [KUPPINGER]) Die einzelnen Stufen müssen jeweils konkret ausformuliert und geplant werden. Grundlagen für die Entscheidungsfindung liefern etwa auch die Anzahl betroffener Benutzer, die IT-Ressourcen mit dem grössten Administrationsaufwand oder die IT-Ressourcen welche den grössten Sicherheitsbedarf aufweisen. Damit eine hohe Akzeptanz bei den Mitarbeitern erreicht werden kann ist zu empfehlen, den ersten Ausbauschritt auf die Mitarbeiter zu fokussieren und Funktionen zu implementieren, welche auch den Mitarbeitern einen sichtbaren Nutzen bringen. Als Beispiel sei hier die Vereinheitlichung von Passwörtern mittels einer Single Sign-on Lösung erwähnt. Für das Projektvorgehen empfiehlt es sich eine iterative Vorgehensweise zu wählen, bei der in kleinen Schritten immer ein voller Zyklus (Definition, Entwurf, Entwicklung, Einsatz) durchlaufen wird. Damit kann die Komplexität des Unterfangens auf die einzelnen Zyklen herunter gebrochen werden. Veränderungen können so jeweils im nächsten Zyklus berücksichtigt und nachkorrigiert werden.

53 Seite 53 / 153 Ein weiterer wichtiger Punkt bei der Einführung einer Identitäts- und Accessmanagementlösung ist die Definition der Datenhoheit und die Qualität der Daten: Sollen beispielsweise die Stammdaten für die digitalen Identitäten aus der Personalabteilung bezogen werden, so muss sichergestellt sein, dass diese Daten die notwendige Qualität aufweisen. Veränderungen an den Daten dürfen nur vom jeweiligen Eigner dieser Daten ausgeführt werden, sonst ist es nicht mehr möglich eine einheitliche Sicht61 auf die Daten zu haben (s. auch Abbildung 10). Somit ist es auch unerlässlich, dass die Mitarbeiter aus der entsprechenden Abteilung relativ früh miteinbezogen werden, und die Prozesse für die Bereinigung und Korrektur der Daten diskutiert werden. Nachdem der Ist-Zustand analysiert worden ist kann der Soll-Zustand definiert werden, unter der Berücksichtigung eines stufenweisen Vorgehens. Im Soll-Zustand müssen die Anforderungen an das System sowie die Ausbaustufen genau festgelegt, definiert und priorisiert werden. Erst zu diesem Zeitpunkt können erste Produkte evaluiert werden, welche es dann auch erlauben erste Aussagen über die Kosten und somit auch über die Wirtschaftlichkeit zu machen. Der Unternehmensleitung muss dargelegt werden können, welcher Nutzen für die Unternehmung erreicht wird beim Einsatz einer Identitäts- und Accessmanagementlösung. Normalerweise handelt es sich bei der Einführung und Weiterentwicklung einer solchen Lösung von der Art her immer um bereichsübergreifende Projekte. Aus diesem Grund ist es wichtig, dass Projekte dieser Art auch auf Geschäftsleitungsebene eingestuft werden. In der nächsten Phase kann eine erste Implementation im Rahmen eines Piloten entwickelt werden. Dabei ist es wichtig, dass die Pilotumgebung möglichst alle Aspekte einer produktiven Umgebung abdecken kann. Normalerweise ist hier vertieftes Spezialistenwissen von internen wie auch von externen Mitarbeitern nötig. Als nächster Schritt folgt eine ausgiebige Testphase, in der die am Anfang definierten Anforderungen überprüft und verifiziert werden. Nach allfälligen Korrekturen kann die erste Iteration produktiv eingeführt werden und für die nächste Iteration beginnt der Prozess wieder von vorne. Die organisatorischen Veränderungen welche eine Einführung einer Identitäts- und Accessmanagementlösung mit sich bringen werden im Folgekapitel beschrieben. Die Einführung und Weiterentwicklung einer Identitäts- und Accessmanagementlösung ist komplex. Es empfiehlt sich ein stufenweises Vorgehen mit einer klaren Abgrenzung der einzelnen Stufen und der Fokussierung auf Funktionen, welche den Mitarbeitern einen sichtbaren Nutzen bringen (Förderung der Akkezptanz) Organisatorischen Auswirkungen im Unternehmen Neben den technischen Herausforderungen bei der Einführung und Weiterentwicklung einer Identitätsund Accessmanagementlösung gilt es auch die organisatorischen Herausforderungen einer solchen Lösung zu meistern. Eine Uniformierung der technischen Aspekte bringt automatisch auch eine Uniformierung in die Prozesse, was aus der Sicht eines Unternehmens ein wünschenswerter Effekt ist. In grösseren Unternehmen haben sich vielfach eigenständige Prozesse über Jahre hinweg etabliert für die Verwaltung der digitalen Identitäten und deren Zugriffen62. Zum Teil müssen diese Prozesse überarbeitet oder den neuen Gegebenheiten angepasst werden. Als illustratives Beispiel sei hier die Einführung einer Single Sign-On Lösung s. Kapitel Seite 43 Vgl. Kapitel 2.2 Seite 14

54 Seite 54 / 153 erwähnt: Ohne Single Sign-On Lösung hat jede Applikation ihre eigene Benutzerverwaltung. Die Benutzer (reale Identitäten) sind sich für die Rücksetzung ihres Passwortes gewohnt ihren Fachbereich anzurufen, welcher in diesem Fall auch User-Helpdesk Funktionen wahrnimmt. Mit der Single Sign-On Lösung gibt es nunmehr ein Passwort, welches für alle Applikationen gilt. In diesem Fall kann es Sinn machen, die User-Helpdesk Prozesse zu zentralisieren und aus den einzelnen Fachbereichen auszulagern. In diesem Zusammenhang ist es ebenso wichtig, dass bereits vor der ersten Einführung eine entsprechende Information und/oder Schulung der Mitarbeiter und der Administratoren erfolgen kann. Ansonsten kann die Organisation bei der Einführung einer Identitäts- und Accessmanagementlösung schnell mal an ihre Grenzen stossen. Sobald einmal eine Identitäts- und Accessmanagementlösung eingeführt worden ist geht es darum, möglichst rasch viele IT-Ressourcen (Applikationen und Systeme) an die neue Lösung anzubinden. Es ist wichtig, dass die anzubindenden IT-Ressourcen einer Bewertung unterzogen werden und dass nach gewissen Kriterien ein Fahrplan für die Anbindung erstellt wird. Grundlagen für die Entscheidungsfindung liefern auch hier die Anzahl betroffenen Benutzern, die IT-Ressourcen mit dem grössten Administrationsaufwand oder die IT-Ressourcen welche den grössten Sicherheitsbedarf aufweisen (s. auch Grundlagen für die Formulierung der Ausbaustufen am Anfang des Kapitels). Ein besonderes Augenmerk über die organisatorischen Abläufe ist dann erforderlich, wenn plötzlich externe Benutzer wie Kunden, Partner und Lieferanten ins Spiel kommen. Wie bereits in Kapitel erwähnt, werden die Vertrauensbeziehungen, je nachdem ob es sich um einen Kunden, Partner oder Lieferanten handelt, von verschiedenen Bereichen und Personen verwaltet. Die verschiedenen internen und externen Bereiche müssen so früh wie möglich miteinbezogen werden, damit auch sie ihre bestehenden Prozesse anpassen und überarbeiten können. Damit wird sichergestellt, dass neben der technischen auch die organisatorische Integration erfolgen kann. Umgekehrt kann ein Managemententscheid ebenso weitreichende Konsequenzen haben auf die organisatorischen Belange einer Identitäts- und Accessmanagementlösung. Als Beispiele können hier das Outsourcing von ganzen Bereichen oder das In-Sourcing von neuen Dienstleistungen erwähnt werden. Plötzlich muss das Identitäts- und Accessmanagementsystem mit Mandanten umgehen können.

55 Seite 55 / 153 Bei der Einführung einer Identitäts- und Accessmanagementlösung müssen auch die organisatorischen Auswirkungen berücksichtigt werden. Besondere Aufmerksamkeit ist auf die folgenden Bereiche zu richten: Paradigmenwechsel von dezentraler- auf zentrale Verwaltung Information und Schulung der Mitarbeiter Erstellen eines Fahrplans für zukünftige Anbindungen nach bestimmten Kriterien Organisatorische Abläufe bei externen (Kunden, Partner und Lieferanten) Veränderungen im Unternehmen (Outsourcing, In-Sourcing) 2.8 Erweiterte Anforderungen Das folgende Kapitel befasst sich mit den erweiterten Anforderungen eines Identitäts- und Accessmanagementsystems. Anhand der Treuhänder Problematik wird gezeigt, wie diese Thematik mit einem föderativen Ansatz gelöst werden kann. Dabei wird auf die vorhandenen Technologien wie SAML und WSSecurity kurz eingegangen. Anhand von weiteren Projekten wie Shibboleth, OpenID und Card Space wird erklärt, mit welchen Ansätzen die erweiterten Anforderungen umgesetzt werden können. Der Zweite Teil dieses Kapitels behandelt das benutzerzentrierte Identitätsmanagement und zeigt mit welcher Problematik die neuen Technologien aus Benutzersicht verbunden sein können. Lösungen dazu werden ansatzweise erläutert Firmenübergreifende Identitäten Durch die immer grössere Vernetzung der Unternehmen untereinander entstehen neue Dienstleistungen. Diese neuen Dienstleistungen werden zunehmend durch die Beteiligung von mehreren Unternehmen erbracht. Damit wird auch das Bedürfnis grösser, dass Mitarbeiter eines einen Unternehmens Daten eines anderen Unternehmens bearbeiten oder Daten direkt an ein anderes Unternehmen zur Weiterverarbeitung einspeisen. Das bedeutet, dass sich eine ähnliche Problematik, die man Ende des letzten Jahrtausends innerhalb von Unternehmen durch den Internetboom und die Client/Server Architekturen aufgrund den zahlreichen Benutzerverwaltungen gehabt hat63, in einem grösseren Rahmen Inter-unternehmensweit auch abzeichnet. Die Problematik lässt sich am eindrücklichsten aus der Sicht eines Treuhänders beschreiben: Abbildung 13 Federated Identity: Problematik eines Treuhänders (Quelle: Eigene Darstellung) 63 Vgl. Kapitel 2.2 Seite 14

56 Seite 56 / 153 Der Treuhänder erledigt die Bankgeschäfte für seine drei Kunden (Kunde A, Kunde B, Kundin C) bei den Banken seiner Kunden (Bank 2, Bank 3, Bank 4). Er selber vertraut der Bank 1 für seine persönlichen Bankgeschäfte. Die jeweilige Bank legt für ihren Kunden (realen Identität) jeweils eine digitale Identität an. Damit nun der Treuhänder die Konten seiner Kunden bewirtschaften kann, müssen die Banken 2 4 ebenfalls eine digitale Identität des Treuhänders anlegen und diese mit der digitalen Identität der Kontoinhaber verknüpfen. Der Treuhänder kriegt von jeder Bank ein Credential (Smartcard, SecurID, Passwort etc.), das ihn seine digitalen Identität beim jeweiligen Institut beweisen lässt. Um diese Problematik zu lösen, gibt es grundsätzlich zwei Lösungsansätze: Zentralisierter Ansatz Föderativer Ansatz Beim zentralisierten Ansatz versucht man, analog wie bei einem Metadirectory, sämtliche Informationen an einem Ort64 zu verwalten. Dieser Ansatz geht von einer übergeordneten Instanz aus, welche die zentralisierte Kontrolle über alle digitalen Identitäten und IT-Ressourcen hat. Der föderative Ansatz hingegen weicht von diesem Muster ab und geht davon aus, dass die digitalen Identitäten und die IT-Ressourcen weiterhin dezentral verwaltet werden. Die Zugriffe einer fremden digitalen Identität erfolgen dabei nicht mehr aufgrund einer direkten Vertrauensbeziehung zu dieser realen oder digitalen Identität, sondern indirekt über die Vertrauensbeziehung zu einer Unternehmung der man zutraut, dass sie ihre realen und digitalen Identitäten gleich behandelt, wie man es selber tun würde. In der Fachliteratur wird dafür der Begriff Federated Identity benutzt. Der Begriff Federated Identity umschreibt einen föderativen Ansatz für die Authentisierung von digitalen Identitäten bei dem die Verwaltung der digitalen Identität weiterhin dezentral erfolgt. Der Begriff beinhaltet alle Vereinbarungen, Standards und Technologien die es erlauben eine digitale Identität mit einem bestimmten Security Level über verteilte ITRessourcen portable zu machen. Erste Ansätze für die Lösung der Problematik Authentisierung, Autorisierung, und Verrechnung über verteilte Domains hinweg können den RFC s [RFC2903], [RFC2904], [RFC2905] und [RFC2906] entnommen werden. Seit dem Jahr 2000 haben sich im Bereich Web- und Webservices einige Federation-Standards herauskristallisiert. Die Standards die immer noch erweitert und den neusten Anforderungen angepasst werden stammen aus zwei sich zu Beginn konkurrierenden Lagern: Liberty Alliance / SAML WS-Security mit den haupttreibenden Firmen Microsoft und IBM Mittlerweilen sind aber auch die WS-Security Spezifikationen65 an OASIS übergeben worden. OASIS ist ein Konsortium welches sich aus über 600 Unternehmen66 in über 100 Ländern mit mehr als 5000 Mitgliedern zusammensetzt. OASIS ist eine non-profit Organisation welche sich auf die Konvergenz von Standards im Bereich Webservices, Security und e-business konzentriert. Vgl. Kapitel Seite 43 Vgl. Anhang Kapitel 9.2 Seite SUN, IBM, BEA, EDS, SAP, Primeton u.a 64 65

57 Seite 57 / 153 Liberty Alliance ist ein Industrie Konsortium bei welchem ebenfalls non-profit Organisationen vertreten sind. Liberty Alliance erstellt Spezifikationen für föderierte Identitäten, Single Sign-on und für föderierte Autorisierung über verschiedene Netzwerk und Applikationsdomänen hinweg. OASIS und Liberty Alliance Koordinieren ihre Tätigkeiten. So entstammt ein grosser Teil der Version 2.0 von SAML dem Framework von Liberty Alliance und wurde von der OASIS in den Standard übernommen. SAML ist eine XML basierte Beschreibungssprache für die Beschreibung und Übertragung von sicherheitsbezogenen Informationen. WS-Security ist ein umfassendes Security Konzept für Web Services67. WS-Security kann als Framework betrachtet werden, das alle relevanten Punkte zum Thema Sicherheit bei Web Services beinhaltet. Dazu unterstützt, integriert und vereinheitlicht WS-Security diverse Sicherheitsmodelle, -mechanismen und technologien, welche eine plattform- und sprachenunabhängige Zusammenarbeit ermöglichen. Das Konzept unterstützt neben vielen anderen Sicherheitsmodellen auch SAML. WS-Security wurde von den Firmen Microsoft, IBM und Verisign ausgearbeitet und inzwischen an OASIS übermittelt. Neben der bereits erwähnten Anwendung von Liberty Alliance für Federated Identity (Umsetzung mit SAML) gibt es das Opensource Projekt Shibboleth. Shibboleth hat seine Ursprünge im Internet2 Projekt, einem Projekt der amerikanischen Universitären-Vereinigung UCAID68. Shibboleth basiert ebenfalls auf SAML und deckt vor allem die Anforderungen der Universitäten ab für die Bereiche E-Learning, Bibliotheken- und Webzugang sowie lokalen WLAN Zugang und Grid Computing69. Hier geht es darum, dass die digitalen Identitäten eines Studenten von einer Universität an eine andere übertragen werden kann. Dieses Projekt widmet der Privatheit der Benutzer besondere Aufmerksamkeit. So kann der Benutzer (reale Identität) selber bestimmen, welche Attribute seines Profils er der jeweiligen Universität preisgeben will. Weitere Projekte dieser Art sind OpenID70 und MS Windows Vista Card Space. OpenID legt den Fokus vor allem auf vereinfachte Weblogins (Single Sign-on im Web für Blogs, Photo streams, Profilseiten usw.) für benutzerzentrierte digitale Identitäten. OpenID gewinnt immer mehr an Bedeutung und hat Mittlerweilen auch bei namhaften Unternehmen wie AOL, Microsoft, Sun und Novel (und anderen) Interesse geweckt. Card Space von Microsoft (früher InfoCard) ist ähnlich wie OpenID, jedoch kann der Benutzer mehrere Karten mit unterschiedlichen Profilen (digitale Identitäten) haben. Bei der Authentisierung kann der Benutzer dann wählen, welche seiner Karten er benutzen will für den gewünschten Dienst. Für einfache Dienste wo die digitale Identität durch keine weitere Autorität bestätigt werden muss ist es auch möglich, sich selber eigene Karten auszustellen. Wie teilweise bereits erwähnt, ist all diesen Lösungen eines gemeinsam: Da die Vertrauensbeziehungen nicht mehr direkt hergestellt werden, wird eine dritte Partei, eine so genannte Trusted Party 71 oder auch Identity Provider benötigt. Die Aufgabe dieser Drittpartei liegt hauptsächlich in der Bestätigung der digitalen Identität des Benutzers (Authentifizierung). Vgl. Anhang: WS-Security: SOAP Message mit WS-* Standards UCAID: University Corporation for Advanced Internet Development 69 Vgl. Anhang: Shibboleth in a nuts-shell und [OPENID] 70 Vgl. Anhang Kapitel 9.5 Seite 109 und [SHIBBOLETH] 71 Der Begriff Trusted Party wird auch im PKI Umfeld verwendet. Anstelle dass sich zwei Parteien gegenseitig vertrauen, wird eine dritte Partei dazwischen geschaltet

58 Seite 58 / 153 Wendet man diese Prinzipien auf den eingangs erwähnten Treuhänder an, so würde das so aussehen: Abbildung 14 Federated Identity: Lösung der Problematik eines Treuhänders (Quelle: eigene Darstellung) In diesem Fall muss der Treuhänder seine digitale Identität nur noch dem Identity Provider beweisen. Der Authentication Provider stellt dem Treuhänder danach einen Authentisierungsbeweis72 aus. Bei einer Serviceanfrage an eine Bank (Bank1 Bank4) liefert der Treuhänder den Authentisierungsbeweis mit. Die entsprechende Bank kann nun den Authentisierungsbeweis überprüfen indem sie sicherstellt, dass der Authentisierungsbeweis von einem vertrauten Identity Provider ausgestellt73 worden ist, und erlaubt somit dem Treuhänder den Zugriff zur Bank. Der Zugriff erfolgt, obwohl die Bank die digitale Identität des Treuhänders nicht selber überprüft hat. Die Banken (Bank1 Bank4) müssen ihrerseits dem Identity Provider vertrauen, dass er die digitalen Identitäten genauso gut authentisiert, wie wenn sie es selbst tun würden. Das Gebiet Federated Identity ist noch relativ jung. Neben Standards die von OASIS gesammelt und erweitert werden gibt es bereits erste Anwendungen im Webund Web Service Bereich für Federated Identity. Es sind dies unter anderem: Federated Identity von Liberty Alliance Shibboleth vom Ineternet2 Projekt OpenID der OpenID Foundation Card Space von Microsoft Benutzerzentriertes Identitätsmanagement Gemäss verschiedenen unabhängigen Quellen74 wird zukünftig das benutzerzentrierte Identitätsmanagement immer wichtiger werden (s. auch Tabelle 7 Maturitätsstufen von Identitäts- und Accessmanagementsystemen). Doch was bedeutet dies genau? Im einfachsten Fall ist dies eine ID welche die entsprechende Bank kennt, digital signiert vom Identity Provider. Z. Bsp. durch die Überprüfung der digitalen Signatur des Vertrauensbeweises. 74 Vgl. [JOSANG_POPE1] und [KUPPINGER] 72 73

59 Seite 59 / 153 Der Benutzer soll eine immer grössere Kontrolle über seine Identitätsinformationen erhalten. Dies kommt auch der datenschutzrechtlichen Forderung nach informationeller Selbstbestimmung75 entgegen. So könnten Benutzer ihre an verschiedenen Stellen gespeicherten Informationen zu ihrer digitalen Identität Zusammenfassen und exakt auswählen, welche Teile bei einer Registrierung für einen Service oder einer Webseite zur Verfügung gestellt werden sollen. Der Benutzer kann so selber bestimmen, welche Informationen er seinem Gegenüber preisgeben will. Die heutigen Identitäts- und Accessmanagementsysteme sind vor allem Service Provider orientiert76, d.h. die Services selber stehen im Vordergrund und nicht der Benutzer. So wird es denn auch für den Benutzer immer schwieriger festzustellen, ob er überhaupt mit dem richtigen Service Provider verbunden ist, insbesondere wenn er sich nicht mehr in seiner gewohnten Umgebung befindet (Identity Federation). Es besteht ein grundsätzlicher Unterschied zwischen der Handhabung der digitalen Identitäten eines Service Providers und der Handhabung der Service Provider durch die realen Identitäten (Benutzer): Beim Service Provider ist jede digitale Identität mit den nötigen Attributen gespeichert und verknüpft mit den Autorisierungsinformationen. Der Benutzer hingegen hat normalerweise kein Verzeichnis in dem alle Service Provider aufgelistet sind, sondern er hat eine Beziehung zu seinem Service Provider. Für den Benutzer wird es dadurch sehr schwierig, den Service Provider anhand seiner digitalen Identität einwandfrei zu erkennen. Die heutigen Mechanismen (SSL Zertifikate) welche für die Authentifizierung des Service Providers verwendet werden sind unzulänglich. Dies zeigen die vielen Phishing-Fälle deutlich. Gerade im Zusammenhang mit Identity Federation ist die Authentifizierung des Service Providers durch den Benutzer enorm wichtig. Der Benutzer überträgt sein Authentisierungsbeweis an irgend einen Hacker, der sich anschliessend mit der digitalen Identität des Opfers beim echten Service Provider ausweist und dort im Namen des Opfers einen Dienst benutzt. Beim Einsatz im Konsumentenumfeld besteht zudem die Gefahr, dass es dem durchschnittliche Benutzer egal ist welche Attribute er von sich preis gibt, sobald die Preisgabe mit dem Erhalt einer Gegenleistung verknüpft wird (Lockvogel). Es besteht damit indirekt die Gefahr, dass der durchschnittliche Benutzer damit seine digitale Identität verkauft, ohne genau zu wissen was dies für ihn bedeutet. Benutzerzentriertes Identitätsmanagement bedeutet, dass der Benutzer selber bestimmen kann, welche Informationen seiner digitalen Identität er wo preisgeben möchte. Dies kommt der datenschutzrechtlichen Forderung nach informationeller Selbstbestimmung entgegen. Es bedeutet ebenfalls, dass der Benutzer auch die Authentizität der Service Provider einwandfrei feststellen können muss, was mit den heutigen Mitteln (SSL Zertifikate) nur beschränkt möglich ist. Lösungsansätze zu dieser Problematik liegen im Einsatz eines PAD77 (Personal Authentication Device). Ein PAD kann ein Verzeichnis von digitalen Identitäten der Service Providers sein, die in einem Gerät manipulationssicher aufbewahrt werden. Der Benutzer ist im Besitz dieses Gerätes und muss sich nur gegenüber diesem Gerät authentisieren. Das Gerät selber übernimmt danach die Authentifizierung der digitalen Identität des Service Providers. Als aktuelles Beispiel wie dies vom Prinzip her aussehen könnte sei hier der Passwortspeicher von Firefox aufgeführt. Im Firefox können die Login Informationen von verschiedenen Login-Seiten in einem lokalen PKCS11 Speicher, mit einem Masterpasswort verschlüsselt, gespeichert werden. Wenn der Benuts. Kapitel Seite 36 Vgl. [JOSANG_POPE1] Kapitel 5 77 Vgl. [JOSANG_POPE1] Kapitel

60 Seite 60 / 153 zer eine seiner gespeicherten Seiten aufruft, so verlangt der Passwortspeicher von Firefox das Masterpasswort zum lokalen PKCS11 Speicher und setzt den korrekten Benutzername und das Passwort automatisch in die Login-Maske ein. Dies ermöglicht dem Benutzer ein clientseitiges SSO innerhalb seines Browsers78. Wenn das PAD nun noch über eine eigene Tastatur und ein eigenes Display verfügt und die Kommunikation zwischen dem PAD und dem Service Provider Client sicher ist, so kann dieser Ansatz zur gewünschten Lösung führen. Mit dem Einsatz von TPM hätte man heutzutage eigentlich schon fast auf jedem Computer ein solches PAD, wären da nicht auch noch andere Interessen von verschiedenen Herstellern im Spiel. Der flächendeckende Einsatz von PAD (z. Bsp. mittels TPM) würde den Identitäts- und Accessmanagementsystemen helfen sicherzustellen, dass die realen Identitäten den korrekten Service Providern und Identity Providern vertrauen und somit eine wesentliche Erhöhung der Sicherheit des Gesamtsystems erreicht würde. 2.9 Fazit und Erkenntnisse Zu Beginn von Kapitel 2 gibt ein kurzer geschichtlicher Rückblick Auskunft über die Ursachen weshalb Identitäts- und Accessmanagement heute ein so wichtiges Thema ist. Die Problematik Benutzer und Berechtigungen zentral verwalten zu wollen ist nicht grundsätzlich neu, im Gegenteil, bei Hostsystemen ist diese Problematik bereits einmal in der Geschichte der Informatik gelöst worden. Aus den nächsten Kapitel (Kapitel 2.3) folgt die Erkenntnis, dass eine Identitäts- und Accessmanagementlösung für allen drei untersuchten Standards und Frameworks (ISO27001, COBIT und ITIL) mehrere Kontrollen und Prozesse mit unterschiedlichem Deckungsgrad abdecken. Besonders zu erwähnen sind: A11 aus [ISO27001] (Access control) DS5 aus [COBIT] (Stelle Security von Systemen sicher) Prozess 23 aus ITIL (Access Management aus dem Thema Service Operation ) Bei diesen drei Themengebieten aus den jeweiligen Standards werden durch den Einsatz einer Identitätsund Accessmanagementlösung praktische alle Anforderungen und Controls abgedeckt. Ein zusammengefasster Auszug über ausgewählte Themen von Gartner zum Thema Identitäts- und Accessmanagement vermittelt einen umfassenden Eindruck über die Geschäftstreiber wie auch über die mögliche Durchschlagskraft von neuen Technologien (Hype Cycle). Besonders interessant ist auch die Sammlung der do s and don ts die bei der Planung oder Implementierung einer Identitäts- und Accessmanagementlösung zu berücksichtigen ist. In den weiteren Kapiteln 2.4, 2.5 und 2.6 werden die zentrale Begriffe Identitätsmanagement und Accessmanagement ausführlich beschrieben und es werden Möglichkeiten aufgezeigt, mit welchen Verfahren und Technologien Identitäts- und Accessmanagement Systeme umgesetzt werden können. Aus dem Folgekapitel 2.7 geht klar hervor, dass für ein Unternehmen die Prozesse rund um eine Identitäts- und Accessmanagementlösung ebenso wichtig sind wie die eingesetzten Verfahren und Technologien, damit die Lösung auch nachhaltig und effizient betrieben und weiterentwickelt werden kann. Abgerundet wird der Grundlagen Teil mit Kapitel 2.8, welches einen kurzen Ausblick auf die zukünftigen Anforderungen gibt. Es sind vor allem die Themen federated Identities und Benutzerzentriertes Identitätsmanagement welche die Unternehmen zum Teil bereits heute und in naher Zukunft beschäftigen werden. 78 s. Kapitel Seite 37

61 Seite 61 / Umfrage im Finanzdienstleistungssektor Im Rahmen dieser Masterarbeit soll in Erfahrung gebracht werden, wie Finanzdienstleister mit dem Thema Identitäts- und Accessmanagement umgehen, welche Erfahrungen sie dabei gemacht haben, und wie die heute implementierten Lösungen aussehen. Die Umfrage richtet sich an Fachkräfte79 aus der IT und/oder Security die bereits mit dem Thema Identitäts- und Accessmanagement konfrontiert worden sind und basiert auf den wesentlichen Kernaussagen im vorangehenden Kapitel 2 zu den folgenden Themen: Lifecycle Management Identitäts- und Accessmanagement Technologien und Verfahren IDM-Prozesse Zukunft Finanzielle Aspekte 3.1 Art der Umfrage Für die Art der Umfrage stehen die beiden Methoden quantitative- oder qualitative Umfrage zur Auswahl. Erstere befragt die Probanden über ihre Meinungen mit vorformulierten Fragen und Antworten und wird normalerweise bei einer relativ grossen Zahl von Befragten durchgeführt. Die qualitative Umfrage dagegen hat zwar vorformulierte Fragen, aber keine vorgegebenen Antworten. Die Antworten werden durch Befragung bei wenigen Personen mittels Interviews ermittelt. Grundsätzlich würde sich für diese Art von Umfrage eine qualitative Umfrage besser eignen, jedoch ergeben sich einige entscheidende Nachteile: Die Befragung befindet sich im Bankenumfeld: Die Fachkräfte sind nur beschränkt bereit, breitwillig über ihre internen Strukturen, Prozesse und Infrastrukturen Auskunft zu geben. Damit die Ergebnisse einem breiteren Publikum (unter anderem auch den Befragten selber) zugänglich gemacht werden können, darf keinesfalls ein Rückschluss aus den Ergebnissen auf die Befragten bzw. ihr Unternehmen möglich sein. Dies ist bei einer kleinen Anzahl Interviews unter Umständen sehr schwierig. Das Gebiet Identitäts- und Accessmanagement ist sehr breit gefächert. Aus diesem Grund macht es Sinn, dass von einem Unternehmen mehrere Personen aus verschiedenen Bereichen befragt werden, um ein fundiertes Ergebnis zu erhalten. Dies würde mehrere Interviews mit verschiedenen Personen aus einem Unternehmen bedingen. Die Befragung mittels Interviews ist relativ aufwändig und nimmt relativ viel Zeit der Befragten in Anspruch (mit 1-2h muss gerechnet werden) und ist idealerweise mit einem persönlichen Besuch vor Ort mit An- und Rückreise verknüpft. Aufgrund dieser Nachteile wird für diese Umfrage folgendes Vorgehen gewählt: Die Umfrage wird mittels einer Web-Umfrage durchgeführt Die Fragen und Antworten werden möglichst allgemein gehalten Mögliche Teilnehmer können sein: IT-Leiter, CIO, CSO oder Mitarbeiter aus den Bereichen IT-Architektur, ITSecurity, Compliance, IT-Administration, IT-Betrieb, IT-Engineering, Fachbereiche(Zugriffe), u.a. 79

62 Seite 62 / 153 Pro Unternehmen werden zwei bis vier Fachkräfte über die oben genannten Bereiche befragt Die Umfrage soll für die Befragten nicht mehr als Minuten in Anspruch nehmen Die Einladung für die Teilnahme an der Umfrage wird möglichst via einer für das jeweilige Unternehmen vertrauten Person gesendet Es besteht die Möglichkeit, zu jeder Fragegruppe noch Bemerkungen und Erläuterungen als Freitext einzugeben Für die Umfrage80 wird das Opensource Produkt Limesurvey81 in der Version eingesetzt. Nebst den Möglichkeiten der absoluten Entkopplung der Umfrageergebnisse zu den Befragten bietet Limesurvey von Haus aus sehr guten Funktionen für die graphische Darstellung der Auswertungen. Die Umfrage umfasst 67 Fragen, welche in 8 Frage-Gruppen aufgeteilt sind. 3.2 Rücklaufquote Die Unternehmen sind durch eine ihnen bekannte Vermittlungsperson oder direkt mittels für die Teilnahme an der Umfrage angefragt worden. Die Vermittlungspersonen mussten bei einer erwünschten Teilnahme 2-4 Adressen von Personen mit den entsprechenden Qualifikationen nennen. In der untenstehenden Tabelle ist die Rücklaufquote dieser Anfragen ersichtlich: Einladung via: verschickt Teilnahme Teilnahme Keine Antwort JA NEIN Bekannte Vermittlungsperson Direkte Anfrage, ohne Vermitt lungsperson TOTAL Tabelle 8 Umfrage: Rücklaufquote Anfrage für Teilnahme an Umfrage Nach dem Start der Umfrage wurde alle erhaltenen Adressen angeschrieben, und aufgefordert, die Webseite mit der Umfrage innert drei Wochen zu besuchen. In der untenstehenden Tabelle ist die Teilnahmequote der Umfrage ersichtlich: Erhaltene Verschickt Vollständig austeilweise ausgekeine Antwort Adressen gefüllt füllt Tabelle 9 Umfrage: Teilnahmequote Damit die Umfrage einerseits eine genügende Aussagekraft hat, und andererseits die Anonymität der Befragten gewährleistet ist und keine Rückschlüsse auf die an der Umfrage teilnehmenden Unternehmen möglich ist, sind vor der Umfrage folgende Grenzwerte definiert worden: Mindestanzahl an teilnehmenden Unternehmen: 6 Mindestanzahl an teilnehmenden Befragten Experten: 12 (Im Durchschnitt 2 Experten pro Unternehmen) Von den insgesamt 19 angeschriebenen Experten aus 7 Unternehmen haben 15 Experten aus 6 Unternehmen den Fragebogen vollständig ausgefüllt: Die Mindestanzahl an teilnehmenden Unternehmen und Befragten ist somit erreicht Ein Exemplar der Umfrage mit allen Fragen und Antworten befindet sich im Anhang Kapitel 9.8 Seite 116 bzw. Kapitel Seite Limesurvey besteht aus einer Sammlung von.php Scripts und ist ein Opensource Projekt. s. auch [LIMESURVEY] 80

63 Seite 63 / Die Umfrage ist nicht repräsentativ weil sie nur von 6 der insgesamt 331 Banken82 in der Schweiz ausgefüllt worden ist Die 15 Befragten Experten haben sich für die Beantwortung der Fragen je Minuten Zeit genommen s. Anhang Seite 132

64 Seite 64 / Auswertung der Befragung zum Thema Identitätsmanagement im Enterprise Umfeld In den folgenden Unterkapiteln sind die Themenbereiche der Umfrage anlog dem Fragebogen aufgeführt. Nach einer kurzen Einleitung zum Thema sind die konsolidierten Umfrageergebnisse aufgeführt und kommentiert. Der gesamte Fragebogen sowie die detaillierten Auswertungen der einzelnen Fragen befinden sich im Anhang. Am Anfang des Fragebogens werden die in der Umfrage verwendeten Begriffe definiert: Definition: Identitätsmanagement Der Begriff Identitätsmanagement umfasst die Bewirtschaftung der Benutzer (Subjekte) deren digitale Identität in einem oder mehreren Accounts festgehalten ist. Definition: Zugriffsverwaltung(Accessmanagement) Der Begriff Zugriffsverwaltung (Accessmanagement) umfasst die nachvollziehbare Verwaltung der Zugriffe der Accounts auf die IT-Ressourcen (Objekte). Abkürzungen Appl = Applikation Mgmt = Management OS = Operating System DB = Datenbank IDM = Identitätsmanagement ZV = Zugriffsverwaltung

65 Seite 65 / Thema: Unternehmen und Person Wer sind die Fachkräfte die an der Umfrage teilnehmen und wie viele Leute innerhalb des Unternehmens beschäftigen sich mit Identitäts- und Accessmanagement im weitesten Sinne? Die Antworten auf die Fragen in dieser Gruppe geben Auskunft über die Umfrageteilnehmer (Fachwissen, Organisation) und das Unternehmen selber (Dauer des Einsatzes einer Identitäts- und Accessmanagementlösung, Outsourcing des IT-Betriebs) sowie Fragen zu den aktuellen Themen in diesem Bereich. PU01.1: Wie lange setzen sie in ihrem Unternehmen bereits eine IDM+ZV Lösung ein? Die 15 Teilnehmer an der Umfrage stammen von insgesamt 6 mittleren bis grösseren Finanzdienstleistern aus der Schweiz. Restlos alle 15 der befragten Teilnehmer setzen eine IDM+ZV Lösung ein. Abbildung 15 Umfrage: Einsatzdauer IDM+ZV Lösung Im Durchschnitt ist bei den Unternehmen bereits zwischen 4-15 Jahren eine IDM+ZV Lösung im Einsatz. Nur jeweils zwei Teilnehmer gaben an, dass in ihrem Unternehmen eine IDM+ZV Lösung weniger als 4 Jahre bzw. mehr als 15 Jahre im Einsatz steht.

66 Seite 66 / 153 PU02: Wie viele potentielle IT Benutzer gibt es in ihrem Unternehmen (CH)? PU03: Wie viele dieser Mitarbeiter nutzen IT in ihrem Unternehmen (CH)? Die Anzahl Benutzer die mit der IDM+ZV Lösung verwaltet wird variiert stark, und ist sehr abhängig von der Grösse des jeweiligen Unternehmens. Die geringste Benutzeranzahl von potentiellen IT-Benutzer wurde mit 570 angegeben, und als maximale Anzahl wurden angegeben. Abbildung 16 Umfrage: Anzahl IT Benutzer Die effektiven IT-Benutzer variieren zwischen 570 (Minimum) und (Maximum). Mit Ausnahme von 2 Befragten, ergibt sich bei allen Teilnehmern ein Prozentsatz von >90% zwischen den potentiellen und den effektiven IT-Benutzern. Bei den 2 anderen Befragten liegt der Prozentsatz bei rund 40%. PU04: Wie viele Mitarbeiter aus den verschiedenen Bereichen sind in ihrem Unternehmen direkt mit der Pflege/Weiterentwicklung eine IDM+ZV Lösung beschäftigt? Abbildung 17 Umfrage: Wie viele Mitarbeiter in welchen Bereichen? Auf der Basis der Resultate ist eine durchschnittliche Anzahl Mitarbeiter pro Bereich errechnet worden, gemittelt über alle befragten Unternehmen.

67 Seite 67 / 153 Das Resultat zeigt, dass sich im Durchschnitt 10.3 Mitarbeiter im Engineering, 5.1 Mitarbeiter in der Architektur, 9.9 Mitarbeiter im Bereich der Administration, 6.7 Mitarbeiter im Bereich Security und rund 4.7 Mitarbeiter in anderen Bereichen mit der Identitäts- und Accessmanagementlösung des Unternehmens beschäftigten. Dies sind insgesamt 36.7 Mitarbeiter, oder % der effektiven IT-Benutzer unter Berücksichtigung der vorangehenden Auswertung über die IT-Benutzer (PU02/PU03). PU05: Welches sind die aktuellen Themen im Bereich IDM+ZV in ihrem Unternehmen? Abbildung 18 Umfrage: Aktuelle Themen Die befragten Unternehmen gaben an, dass für sie zurzeit die Themen PKI und starke Authentisierung zu den Top Themen gehören, gefolgt von den Themen Auditing, Rollenmodelle und Anbindung von neuen Applikationen und Systemen an eine IDM+ZV Lösung. Passwort-Management und Network Access Management sind zurzeit eher weniger ein Thema. Themen mit welchen sich die Befragten eher mittelässig beschäftigen sind Web Access Management, Verwaltung von Zugriffen der Kunden und Verwaltung von Zugriffen zwischen den Applikationen. PU06: Betreibt ihr Unternehmen die IT selber oder hat ihr Unternehmen die IT outsourced? Die befragten Unternehmen betreiben ihre IT grösstenteils selber (86,7%), je ein Befragter gab an, dass der IT-Betrieb seines Unternehmens outsourced ist (6.7%), und ein weiterer gab an dass der IT-Betrieb teilweise outsourced ist (6.7%). PU07: Wie würden sie ihren Wissensstand bezüglich IDM+ZV einstufen? Mit den nächsten beiden Fragen soll der Wissenstand der Befragten bezüglich Identitäts- und Accessmanagement sowie die unternehmerische Herkunft der Befragten in Erfahrung gebracht werden: Mehr als die Hälfte (53.3%) gaben an, dass sie über einen hohen Wissensstand verfügen, nicht ganz die Hälfte der Befragten bezeichnen ihren Wissensstand mit Einiges Wissen (40%) und ein Befragter (6,7%) bezeichnet seinen Wissensstand mit generellem Wissen.

68 Seite 68 / 153 PU08: In welchem Bereich des Unternehmens arbeiten sie? Abbildung 19 Umfrage: Unternehmensbereiche der Befragten 40% der Befragten stammen aus dem Bereich IT-Security (A6), ebenfalls 40% stammen aus den beiden Bereichen IT-Architektur (A5) und IT-Engineering (A9) (inkl. Sonstige Teil IT-Architektur, Teil IT-Engineering) und 20% stammen aus den beiden Bereichen Fach-Bereichen (A10) und IT-Betrieb (A8). Die 15 befragten Experten mit einem mehrheitlich (53.3%) hohen Wissenstand zum Thema Identitäts- und Accessmanagement stammen aus insgesamt 6 Finanzdienstleistungsunternehmen innerhalb der Schweiz. Die befragten Unternehmen setzen im Durchschnitt bereits seit 4-15 Jahren eine Identitäts- und Accessmanagementlösung ein. Die Bandbreite der bewirtschafteten Benutzer bewegt sich zwischen 570 und Im Durchschnitt beschäftigen die Unternehmen 36,6 Mitarbeiter mit der Pflege und Weiterentwicklung ihrer Identitäts- und Accessmanagementlösung. Die aktuellen Top Themen der Unternehmen sind PKI und starke Authentisierungsmittel. Mehr als 4/5 der Unternehmen betreiben ihre IT selber. Die Teilnehmer der Umfrage verteilen sich mit je 2/5 gleichermassen auf die Bereiche IT-Security und IT-Engineering/Architektur und mit 1/5 auf Fachbereiche und IT-Betrieb Thema: Lifecycle Management In dieser Fragegruppe werden Fragen zum Thema Lifecycle Management gestellt. Es soll in Erfahrung gebracht werden, wie viele der in Kapitel beschriebenen Funktionen (Eröffnung, Veränderung, Auflösung) mit welchem Grad umgesetzt sind. Die Antworten sollen Aufschluss geben über welche Art von digitalen Identitäten überhaupt verwaltet werden in den jeweiligen Identitäts- und Accessmanagementlösungen und wie weit die Prozesse des Lifecycle Management automatisiert sind. Zwei weitere Fragen zum Thema Rollenkonzept sollen Auskunft geben, inwieweit diese Prozesse sich in den Unternehmen bereits etabliert haben.

69 Seite 69 / 153 LM01: Welche Arten von digitalen Identitäten werden in ihrer IMD+ZV Lösung verwaltet? Abbildung 20 Umfrage: Verwaltete Identitäten Bei restlos allen Befragten werden die digitalen Identitäten der eigenen internen Mitarbeiter (A4) in ihrer Identitäts- und Accessmanagementlösung verwaltet. Externe Mitarbeiter (A5) und Technische Identitäten (A6) werden noch bei 86.6% (A5) bzw. 66.6% (A6) der Befragten abgebildet in ihren Identitäts- und Accessmanagementlösungen. Lieferanten(A3), Kunden(A1) und Partner(A2) werden nur noch in 20% (A3), 33.3% (A1) und 40% (A2) der Befragten abgebildet. Das Hautpeinsatzgebiet einer Identitäts- und Accessmanagementlösung liegt bei der Verwaltung von internen/ externen Mitarbeitern und technischen Identitäten. LM02: Existiert ein Bereichsübergreifendes Gruppen- oder Rollenkonzept in ihrem Unternehmen? Fast die Hälfte der Befragten (46.7%) gab an, dass in ihrem Unternehmen ein Geschäftsbereichsübergreifendes Gruppen- oder Rollenkonzept umgesetzt ist. Bei 33.3% wird ein solches Konzept zurzeit erarbeitet, und bei 6.7% ist zurzeit kein solches Konzept vorhanden. LM03: Wer definiert die Rollen / Gruppen in ihrem Unternehmen? Für die Definition der Gruppen und Rollen sind mehrheitlich die einzelnen und zentralen Fachbereiche verantwortlich (bei 53.3% (einzelne Fachbereiche) bzw. 60% (zentraler Fachbereich) der Befragten). Zum Teil werden die Bereiche Enterprise Security, IT-Entwicklung, IT-Security und der Bereich Human Resources bei der Gruppen- und Rollendefinition mit einbezogen (bei je 20% der Befragten). In einzelnen Fällen ist auch die Architektur davon betroffen (bei 6.7% der Befragten). In einem Fall nimmt explizit einen Autorisierungsverantwortlicher diese Aufgabe war (bei 6.7% der Befragten). LM04: Welche der aufgelisteten Funktionen wird durch ihre IDM+ZV Lösung unterstützt? Die eingesetzten Identitäts- und Accessmanagementlösungen unterstützen bei 73.3% der Befragten einen User Self Service, sowie bei je 53.3% der Befragten die Delegation von Administrator Berechtigungen und Stellvertreterfunktionen.

70 Seite 70 / 153 LM05: Welche der folgenden Prozesse sind durch ihre IMD+ZV Lösung automatisiert in ihrem Unternehmen? Die für das Lifecycle Management wichtigen Prozesse wie hinzufügen / deaktivieren von Benutzern, erteilen / entziehen / verändern von Berechtigungen und Synchronisation der Berechtigungen mit anderen Applikationen und Systemen inkl. dem schreiben eines Audit-Logs sind bei den Befragten wie folgt automatisiert: Abbildung 21 Umfrage: Automatisierung des Lifecycle Managements Bei fast allen Befragten (93.3%) ist das Hinzufügen (A1) und Deaktivieren (A2) von Benutzern automatisiert. Bei etwas weniger (73.3%) ist die Erteilung (A3) und (mit 80%) der Entzug (A4) einer Berechtigung automatisiert. Die Veränderung einer Berechtigung (A5) ist bei 60% der Befragten automatisiert. Eine automatisierte Synchronisation mit anderen Applikationen und Systemen (A6) findet bei 86.6% der Befragten statt. Ein automatisiertes Audit-Log (A7) wird bei 66.6% der Befragten erstellt. LM06: Welche der aufgelisteten Ereignisse werden in ihrem Unternehmen automatisch durch die IDM+ZV Lösung überwacht und verarbeitet? Diese Resultate aus LM05 wieder spiegeln sich auch in den Resultaten aus den automatisch verarbeiteten Ereignissen: Bei praktisch allen Befragten werden die Ereignisse: Eintritt- und Austritt Mitarbeiter automatisch überwacht und verarbeitet (bei je 93.3% der Befragten). Bei etwas weniger (86.6% der Befragten) werden die Ereignisse wie Abteilungs- und Namenswechsel automatisch erkannt und verarbeitet. Längere Abwesenheiten von Mitarbeitern werden bei 60% der Befragten erkannt und korrekt verarbeitet.

71 Seite 71 / 153 In den Unternehmen werden hauptsächlich die Identitäten von internen wie auch externen Mitarbeitern verwaltet, gefolgt von der Verwaltung von technischen Identitäten. Bei nicht ganz der Hälfte der Befragten ist ein Rollenkonzept umgesetzt und bei einem weiteren Drittel der Befragten ist die Umsetzung eines Rollenkonzeptes in Bearbeitung. Die Aufgabe für die Definition der Gruppen- und Rollen wird vor allem von den Fachbereichen wahrgenommen, teilweise mit der Unterstützung aus den Bereichen IT-Security, IT-Entwicklung und Human Resources. Bei Fast ¾ der Befragten werden User Self Services angeboten und bei gut der Hälfte der Befragten werden Stellvertreterfunktionen und die Delegation von Administrator Berechtigungen unterstützt. Automatisierte Unterstützung für das Lifecycle Management wird bei mehr als 2/3 aller Befragten angeboten, mit unterschiedlichen Ausprägungen in der Umsetzung Thema: Identitäts- und Accessmanagement Diese Fragegruppe bezieht sich auf die Kapitel 2.4 und 2.5 in diesem Dokument und soll folgenden Fragen beantworten für die Identitäts- und Accessmanagementlösung der einzelnen Unternehmen: Welche Zugriffsmodelle werden angewendet? Wie schnell können Zugriffe erteilt werden? Wie häufig werden erteilte Zugriffe überprüft? Welche Authentisierungsmittel werden wo eingesetzt? Welche IT Ressourcen werden verwaltet? Welche Arten von Zugriffe werden bis zu welcher Granularitätsstufe verwaltet? Wie weit ist der Umsetzungsgrad beim Audit? Wie werden die Zugriffe gewährt? AM01: Welche Zugriffsmodelle werden ich ihrer IDM+ZV Lösung angewendet? Das am weitesten verbreitete Zugriffsmodell ist Role Based Access Control (RBAC) und wird von 86.6% Befragten angewendet. 20% der Befragten gaben zudem an, dass bei Ihnen ein hierarchisches RBAC-Modell im Einsatz ist, und bei einem Drittel der Befragten sind Access Control Lists (ACL) im Einsatz. Ein Befragter gab an, dass ein eigenes Zugriffsmodell im Einsatz steht. Dieses Ergebnis war zu erwarten, da sich RBAC bestens eignet um die Zuweisung einer Rolle zu einem Subjekt getrennt von der Zuweisung der Zugriffsschutz Regeln auf die Objekte zu verwalten83. AM02: Auf wie viele benötigte IT-Ressourcen (Applikationen/System) hat ein Mitarbeiter nach seinem ersten Arbeitstag Zugriff? Die Frage auf wie viele benötigte IT-Ressourcen (Applikationen/Systeme) ein neuer Mitarbeiter nach seinem ersten Arbeitstag Zugriff hat, soll einen Eindruck für die Effizienz der verschiedenen Identitäts- und Accessmanagementlösungen in den Unternehmen vermitteln. Ein einziger Befragter gab an, dass ein neuer Mitarbeiter nach seinem ersten Arbeitstag auf alle benötigten IT-Ressourcen Zugriff hat. Bei einem Drittel der Befragten haben neue Mitarbeiter im Durchschnitt auf mehr als 2/3 (67-99%) der IT-Ressourcen Zugriff. Weitere 20% der Befragten gaben an, dass neue Mitarbeiter auf 34-66% der benötigten Applikationen und Systeme Zugriff haben und der grösste Teil der Befragten gab an, dass ein neuer Mitarbeiter auf höchstens ein Drittel (1-33%) der benötigten IT-Ressourcen Zugriff hat nach seinem ersten Arbeitstag. 83 s. Kapitel Seite 40

72 Seite 72 / 153 Dieses Resultat überrascht ein wenig, gibt aber einen Hinweis darauf, dass die Abstimmung von Stellenprofilen aus dem Bereich Human Resources mit den Rollenmodellen in den Identitäts- und Accessmanagementlösungen nicht so einfach möglich ist (Aus den Antworten zur Frage LM03 in Kapitel ist ebenfalls ersichtlich, dass der Bereich Human Resources nur am Rande involviert ist bei der Rollenbildung). AM03: Wie häufig wird in ihrem Unternehmen im Durchschnitt überprüft, welche Mitarbeiter auf welche Applikationen/Systeme Zugriff haben? Nachdem ein Mitarbeiter seinen ersten Arbeitstag hinter sich hat, werden seine Zugriffe im Normalfall periodisch überprüft. Beim Grossteil der Befragten (53.3%) geschieht diese Überprüfung jährlich. Je 13.3% gaben an, dass diese Überprüfung entweder halbjährlich, auf Anfrage oder alle n-jahre mal passiert. Ein Befragter gab an, dass keine Überprüfung der Zugriffe stattfindet. AM04: Welche Authentisierungsmittel werden bei ihrer IDM+ZV Lösung eingesetzt? Abbildung 22 Umfrage: Verwendete Authentisierungsmittel Die gleiche Anzahl Befragte (73.3%) gab an, dass bei ihnen die Authentisierungsmittel Username/Passwort (A1) und Zertifikate auf Smartcard (A4) eingesetzt werden. Etwas mehr als die Hälfte (53.3%) gab an, dass bei ihnen Soft-Zertifikate (A3) im Einsatz stehen. Das Authentisierungsmittel SecurID (A2) wird bei nicht ganz der Hälfte (46.7%) der Befragten eingesetzt. Eher weniger häufig (mit je 6.6%) werden Streichlisten (A6) und andere Challenge/Response Verfahren (A8) eingesetzt. Bei einem Befragten (6.7%) wird eine spezielle Authentisierungslösung im Zusammenhang mit einem speziellen Dienst eingesetzt (Sonstiges). Gar nicht eingesetzt werden biometrische Authentisierungsmittel (A5) und Matrixkarten (A7) bei Identitäts- und Accessmanagementlösungen.

73 Seite 73 / 153 AM04.1-AM04.9: Wo verwenden sie das jeweilige Authentisierungsmittel? Die Befragten gaben aus einer Auswahl von möglichen Einsatzgebieten für Authentisierungsmittel an, in welchem Einsatzgebiet das jeweilige Authentisierungsmittel in ihrer Identitäts- und Accessmanagementlösung eingesetzt wird. Folgende Einsatzgebiete standen zur Auswahl: KU-Web: Kundenzugriffe via Web (Internet) MA-Netzwerk: Mitarbeiter Zugriffe auf Netzwerkebene (Network access) MA-System: Mitarbeiter Zugriffe auf OS-System Ebene (UNIX, Windows, etc) MA-Appl: Mitarbeiter Zugriff auf Applikations-Ebene TU-Netzwerk: Technische Benutzer Zugriffe auf Netzwerkebene TU-System: Technische Benutzer Zugriffe auf OS-System Ebene (UNIX, Windows, etc) TU-Appl: Technische Benutzer Zugriffe auf Applikations- Ebene PA-Netzwerk: Zugriffe von Partnern auf Netzwerkebene PA-System: Zugriffe von Partnern auf OS-System Ebene (UNIX, Windows, etc) PA-Appl: Zugriffe von Partnern auf Applikations-Ebene Abbildung 23 Umfrage: Einsatzgebiet der Authentisierungsmittel Um eine bessere Gesamtübersicht über die Verhältnisse zu bekommen, ist die Darstellung in Abbildung 23 auf den Höchstwert normiert dargestellt (Höchstwert=100%). Diese Höchstwert liegt beim Einsatz des Authentisierungsmittels Smartcard Zertifikate bei Mitarbeiter Zugriffen auf Applikationen (SmartCrdZert - MA-Appl, wurde von insgesamt 66.7% der Befragten angegeben). Im Bereich Mitarbeiter-Zugriffe auf die IT-Ressourcen Netzwerk, Systeme und Applikationen sind die Authentisierungsmittel Benutzername/Passwort und Smartcard Zertifikate fast gleichermassen führend. Dieses Resultat vereinigt mit den aktuellen Themen aus der Frage PU05 in Kapitel 3.3.1, in der vor allem

74 Seite 74 / 153 starke Authentisierung und PKI als Antwort angegeben wurde, lässt den Schluss zu, dass der Einsatz von Smartcard Zertifikaten für die Authentisierung der eigenen Mitarbeiter stark gefördert wird. Daneben werden die Mitarbeiter hauptsächlich mit SecurID s und Soft-Zertifikaten authentisiert. Eine grössere Palette an Authentisierungsmittel wird gemäss den Befragten für Kunden Zugriffe aus dem Web verwendet. Neben Benutzername/Passwort, SecureID, Smartcard Zertifikate, Streichlisten werden noch Challenge/ Response Verfahren angewendet. Dies zeigt, dass in den verschiedenen Unternehmen vermutlich grössere Aufwendungen notwendig wären wenn man sich schweizweit auf ein Authentisierungsmittel (als Bsp. sei hier eine Identitätskarte mit Zertifikat aufgeführt) festlegen wollte. Im Bereich technische Benutzer für die IT-Ressourcen Netzwerk, System und Applikation dominiert das Authentisierungsmittel Benutzername/Passwort. Für das gleiche Einsatzgebiet werden Soft Zertifikate ebenso häufig eingesetzt wie Smartcard Zertifikate. (ausg. Technische Benutzer im Netzwerkbereich mit Soft Zertifikaten). SecurID kann in diesem Fall nicht eingesetzt werden, weil dieses Authentisierungsmittel eine Interaktion mit einem Benutzer voraussetzt, was bei Technischen Benutzern nicht möglich ist. Partner werden gemäss den Befragten für Zugriffe auf die IT-Ressourcen Systeme und Applikationen gleichermassen mit Benutzername/Passwort und SecurID authentisiert, und etwas weniger häufig mit Soft-Zertifikaten und vereinzelt mit Challenge/ Response Verfahren. Erstaunlicherweise wird kein Partner mit Smartcard Zertifikaten authentisiert. Eine mögliche Erklärung dafür könnte der relative aufwändige Setup bei den Partnern sein: Kartenleser Hardware, Kartenleser Middleware (abgestimmt auf das Betriebsystem des Partners) usw. In diesem Fall ist das Management für Benutzername/Passwort bzw. SecurID wesentlich einfacher. Insgesamt kann man aus diesem Ergebnis ableiten, dass eine Identitäts- und Accessmanagementlösung mit mehreren Authentisierungsmittel umgehen können muss. Je nach Einsatzgebiet macht es Sinn, dass man sich aus sicherheitstechnischen (Sicherheit), fachlichen (Benutzerfreundlichkeit), technischen (Machbarkeit) und schlussendlich auch aus finanziellen Gründen für das eine oder andere Authentisierungsmittel entscheidet. AM05:Wie viele IT-Ressourcen die sie zentral verwalten möchten, schätzen sie, werden zurzeit zentral verwaltet? Mehr als die Hälfte (53.3%) der Befragten gaben an, dass sie mehr als 80% der IT-Ressourcen die sie zentral verwalten wollen bereits zentral verwalten. Ein guter Viertel der Befragten (26.7%) gaben an zwischen 50-80% der gewünschten IT-Ressourcen zentral zu verwalten. Die restlichen (20%) Befragten gaben an erst zwischen 15-33% der gewünschten IT-Ressourcen zentral zu verwalten.

75 Seite 75 / 153 AM06:Welche Arten von IT-Ressourcen werden innerhalb ihrer IDM+ZV Lösung zentral verwaltet? Abbildung 24 Umfrage: Zentral verwaltete IT-Ressourcen Mit dieser Frage soll in Erfahrung gebracht werden, welche IT-Ressourcen den genau zentral verwaltet werden in einer Identitäts- und Accessmanagementlösung. Am häufigsten zentral verwaltet werden die OS-Accounts (UNIX, Linux, etc) sowie Windows-Accounts, Windows-Shares, Web-Applikationen (intern und extern), Business-Applikationen (SAP, etc) und Datenbank Accounts (Oracle, DB2, etc). Vereinzelt werden noch viele bis alle Firewall-Rules (User basiert), WLAN-Accounts und Kunden-Accounts zentral verwaltet. Die wenigsten Befragten gaben an, dass ihre Identitäts- und Accessmanagementlösung die zentrale Verwaltung von Sachmitteln wie Handys, Memorystick, PDA s, Digitalkameras usw. unterstützt.

76 Seite 76 / 153 Dies lässt den Schluss zu, dass Identitäts- und Accessmanagementlösungen vorwiegend für die zentrale Verwaltung von Accounts eingesetzt werden. Die Verwaltung von Sachmitteln der Mitarbeiter ist nur vereinzelt integriert in einer Identitäts- und Accessmanagementlösung. AM07:Welche Arten von Zugriff werden mittels ihrer IDM+ZV Lösung verwaltet? Welche Arten von Zugriffen (Welche Subjekt-Objekt Beziehungen) werden in den Identitäts- und Accessmanagementlösungen verwaltet? Zur Auswahl standen die Subjekte: Benutzer, Administrator, Applikation84 und die Objekte: Applikation, Datenbank, OS, Shares Aus diesem Set wurden den Befragten insgesamt 9 sinnvolle Variationen zur Auswahl gestellt: Tabelle 10 Umfrage: Verwaltete Zugriffsarten 80% und mehr der Befragten gab an, dass sie die Zugriffe von Benutzer und Administratoren auf Applikationen sowie die Zugriffe von Benutzer und Administratoren auf Betriebssystemebene innerhalb ihrer Identitäts- und Accessmanagementlösung verwalten. Etwas mehr als die Hälfte der Befragten (53.3%) gab an, dass sie zusätzlich auch noch die Zugriffe von Benutzern auf Datenbanken sowie die Zugriffe von Applikationen auf Datenbanken und die Zugriffe von Benutzer auf Shares innerhalb ihrer Lösung verwalten. Die Zugriffe von Applikationen auf Applikationen werden gerade noch von 40% und die Zugriffe von Administratoren auf Datenbanken von 46.7% der Befragten innerhalb ihrer Identitäts- und Accessmanagementlösung verwaltet. AM08:Bis zu welcher Granularitätsstufe werden Autorisierungsdaten zentral verwaltet in ihrem Unternehmen? Diese Frage soll Aufschluss geben, bis zu welcher Granularitätsstufe die Autorisierungsinformation zentral verwaltet wird in den Identitäts- und Accessmanagementlösungen der Befragten. Bei den Granularitätsstufen wird unterschieden zwischen Zugriffen: auf ein System (auf einem System können 1..n Applikationen laufen) auf eine Applikation (eine Applikation stellt 1 n Services zur Verfügung) auf einen Service (ein Service besteht aus 1.n Operationen) auf eine Operation auf einen Kontext (ein Kontext kann durch verschiedene Argument gegeben werden, oder durch globale Regeln wie z. Bsp. Uhrzeit: zwischen 10:00-12:00 oder Betrag > sFr usw.) Alle Befragten (100%) gaben an, dass sie Regeln auf der Granularität applikatorische Zugriffe zentral verwalten. 80% der Befragten gaben an, dass sie Regeln auf Stufe System zentral verwalten, und noch Wenn eine Applikation A einen Aufruf auf eine andere Applikation B macht, tritt Applikation A aus der Sicht Applikation B als Subjekt auf. 84

77 Seite 77 / % der Befragten gaben an, dass sie Service Zugriffe Zentral verwalten. Gerade noch 40% der Befragten verwalten Operationen zentral und bei noch 20% der Befragten werden Kontextinformationen zentral geführt, welche dann als Zugriffsinformation bei der Durchsetzung des Zugriffschutzes dienen. AM09:Arbeiten die Applikationen in ihrem Unternehmen alle mit einer einheitlichen Autorisierungs-Policy oder ist die Autorisierung jeweils applikationsspezifisch gelöst? Die Mehrheit der Befragten gab an (73.3%) dass es keine einheitliche Autorisierungs-Policy gibt, sondern dass diese jeweils applikationsspezifisch gelöst ist. Bei rund einem Viertel der Befragten (26.6%) ist die Autorisierungs-Policy für alle Applikationen gleich. Daran kann man erkennen, dass mit der Umsetzung des Zugriffschutzes innerhalb der Applikationen oft eigene Autorisierungs-Policies implementiert werden, die sehr verschieden sein können und sich vermutlich nicht einfach zentral verwalten lassen. Ein verbreiteter Einsatz von einer gemeinsamen Sprache für Autorisierungsdaten (z. Bsp. XACML) könnte diesen Umstand verbessern, und so eine zentrale Verwaltung solcher Daten wieder ermöglichen. AM10:Werden von ihrer IDM+ZV Lösung Auditdaten generiert, zentral gespeichert, ausgewertet und Alarme ausgelöst bei Policy Verletzungen? Die Antworten auf diese Frage sollen aufzeigen, inwieweit das Aufzeichnen, Speichern und Überwachen von Auditdaten implementiert ist bei den Identitäts- und Accessmanagementlösungen der Befragten. Mit der Ausnahme von einem Befragten (6.67%) werden bei allen Befragten Auditdaten erfasst und zentral gespeichert. Ausgewertet werden die Audidaten noch bei 60% der Befragten. Bei noch einem Drittel der Befragten (33.3%) werden aufgrund von erkannten Policy-Verletzungen Alarme ausgelöst85. AM11: Welche Aussagen treffen auf ihr Unternehmen zu in Bezug auf die Gewährung von Zugriffen mittels ihrer IDM+ZV Lösung? Mit den Antworten auf diese Fragen soll in Erfahrung gebracht werden, wie weit Workflows86 durch Identitäts- und Accessmanagement Lösungen unterstützt werden. Bei 73.3% der Befragten sind die Gewährten Zugriffe zeitlich begrenzt. Bei 93.3% der Befragten können Zugriffe Tool-unterstützt beantragt werden. Bei 80% der Befragten werden die beantragten Zugriffe durch mehrere Stellen kontrolliert (Separation of Duties) und bei 86.7% der Befragten werden die Zugriffe auch automatisch entzogen beim Eintreten von bestimmten Ereignissen. Bei noch gut einem Viertel der Befragten (26.7%) wird automatisch überprüft, ob sich gewährte Zugriffe gegenseitig ausschliessen. Ebenfalls bei einem guten Viertel der Befragten (26.7%) können Zugriffe stundenweise vergeben werden s. Kapitel Seite 42 s. Kapitel Seite 41

78 Seite 78 / 153 In den Unternehmen wird vorwiegend RBAC als Zugriffsmodell eingesetzt. Ein neuer Mitarbeiter hat bei 1/3 der Befragten auf mehr als 60% der benötigten ITRessourcen und bei 1/5 der Befragten auf 34-66% der benötigten IT-Ressourcen Zugriff nach seinem ersten Arbeitstag. Hauptsächlich werden die Authentisierungsmittel: Smartcard Zertifikate, Benutzername/Passwort, SecurID und Soft-Zertifikate eingesetzt. Smartcard Zertifikate werden vor allem für die Authentisierung von Mitarbeitern bei Zugriffen auf Netzwerke, Systeme und Applikationen eingesetzt. Das Authentisierungsmittel Benutzername/Passwort wird daneben in erster Linie für die Authentisierung von technischen Benutzern, Systembenutzern und Applikationsbenutzern eingesetzt. Die grösste Vielfalt an eingesetzten Authentisierungsmitteln kann bei der Authentisierung der Kunden für Zugriffe auf Webapplikationen festgestellt werden. Mehr als die Hälfte der Befragten gaben an, dass der Umsetzungsgrad der zentral verwalteten IT-Ressourcen über 80% liegt. Identitäts- und Accessmanagementlösungen werden vorwiegend für Account-Verwaltungen eingesetzt, eine Verbindung zu Sachmitteln wie Handys, Memorysticks, PDA s, usw. wird in den wenigsten Fällen unterstützt. Der Schwerpunkt bei der Accountverwaltung liegt bei den applikatorischen Benutzer- und Administratoren Accounts, gefolgt von OS Benutzer Accounts und Administratoren Accounts sowie Benutzer Shares im Windows Umfeld. Zentral verwaltet werden Autorisierungsinformationen bis auf die Granularitätsstufe Service (inkl. Zugriffe auf Applikationen und Systeme bei 73.3% der Befragten). Die Daten für den Zugriffschutz auf Applikationsebene werden in den meisten Fällen (73.3%) nicht zentral verwaltet. Auditdaten werden bei praktisch allen Befragten zentral gespeichert, jedoch nur bei rund 60% der Befragten ausgewertet. Mit der Ausnahme von der Erkennung von sich ausschliessenden Zugriffen und der stundenweise Vergabe von Berechtigungen werden die gängigen Workflow Funktionen bei den Lösungen von mehr als 73% der Befragten eingesetzt Thema: Technologien und Verfahren Die Fragen in dieser Gruppe beziehen sich auf das Kapitel 2.6 und sollen in Erfahrung bringen, wie die Unternehmen ihre digitalen Identitäten speichern und welche Directory-Technologien sie im Einsatz haben. Die Fragen sollen Antworten geben, wie viel von der Identitäts- und Accessmanagementlösung aus Eigenentwicklung bzw. Standard-Produkten stammt. Abgerundet wird diese Fragegruppe mit Fragen zum Ausbaustatus zu verschiedenen Teilaspekten der eingesetzten Lösungen, und einer Frage zur eingesetzten Single Sign-On Lösung. SI01:Welche der genannten Technologien sind bei ihrer IDM+ZV Lösung im Einsatz? Praktisch alle Befragten (93.3%) setzen ein LDAP-Directory ein in ihrer Identitäts- und Accessmanagementlösung. Nicht ganz die Hälfte (46.7%) setzen Konnektoren und Agenten ein für die Synchronisation mit umliegenden Systemen und 40% der Befragten bezeichnen ihre Lösung als Metadirectory. Am wenigsten werden virtuelle Directories eingesetzt, nämlich nur bei 13.3% der Befragten. SI02:Werden mehrere Directories eingesetzt oder gibt es ein Enterprise Directory?

79 Seite 79 / 153 Insgesamt 40% der Befragten setzen in ihrer Identitäts- und Accessmanagementlösung ein Enterprisedirectory ein, während die Lösung von 60% der Befragten auf dem Einsatz von mehreren Direcotries beruht. SI03:Verwenden sie Passwortsynchronisation in ihrem Unternehmen um Passwörter zwischen verschiedenen Applikationen und Systemen abzugleichen? Etwas mehr als die Hälfte der Befragten (53.3%) setzen keine Passwortsynchronisationsmechanismen ein um Passwörter zwischen verschiedenen Applikationen und Systemen abzugleichen. Die restlichen 46.7% der Befragten setzen solche Mechanismen ein. SI04-06:Haben sie ihre IDM+ZV Lösung selber entwickelt / entwickeln lassen / als Standardprodukt eingekauft? Gut ein Viertel der Befragten (26.7%) gab an, ihre Identitäts- und Accessmanagementlösung vollkommen selber entwickelt zu haben. Teilweise und wenig selber entwickelt wurde die Lösung bei 73.3% der Befragten, und wenig selber entwickelt wurde die Lösung bei 13.3% der Befragten. Niemand der Befragten konnte ohne eigenes Engineering innerhalb ihrer Lösung auskommen. 40% der Befragten haben nichts von ihrer Lösung bei einem dritten entwickeln lassen. Fast die Hälfte (46.7%) gaben an, dass sie Teile oder ganz wenig von Ihrer Lösung durch einen Dritten entwickeln liessen. Bei insgesamt 13.3% der Befragten wurde ihre Lösung vollständig durch einen Dritten entwickelt. Niemand der Befragten hat seine Identitäts- und Accessmanagementlösung als Standardprodukt einkaufen können. Gut die Hälfte der Befragten (56.7%) konnte wenig oder teilweise Standardprodukte in ihrer Lösung verwenden. 40% der Befragten haben gar keine Standardprodukte bei ihrer Identitäts- und Accessmanagementlösung im Einsatz. Diese Ergebnisse zeigen, dass die heute eingesetzten Lösungen grösstenteils ein Gesamtsystem darstellt das aus Eigenentwicklungen, eingekauften Lösungen und aus Fremdentwickelten Teilen sich zusammensetzt. Die Ergebnisse vermitteln auch einen Hinweis auf die Komplexität, mit der man im Umfeld einer Neu- bzw. Weiterentwicklung einer Identitäts- und Accessmanagementlösung rechnen muss.

80 Seite 80 / 153 SI07:Wie würden sie den Ausbaustatus ihrer IDM+ZV Lösung beschreiben für den jeweiligen Themenbereich? Abbildung 25 Umfrage: Ausbaustaus IDM+ZV Lösung Gut bis sehr gut zufrieden sind die meisten Befragten mit der Integration ihrer Identitäts- und Accessmanagementlösung in die Unternehmensprozesse, der konsistenten Sicht über alle Benutzer hinweg, der Bereitstellung von Workflows und der Beherrschung ihrer Prozesse mit ihrer Lösung. Am wenigsten zufrieden sind die meisten Befragten mit der Integration von anderen Identitäts- und Accessmanagement Systemen, der Integration von Partnern und einer Unternehmensweiten Single Sign-On Lösung. Am meisten divergieren die Meinungen beim Ausbaustatus für den Zugriff auf Auditinformationen. SI08: Welche Single Sign-On (SSO) Lösungen werden in ihrem Unternehmen verwendet? In den Unternehmen der Befragten werden Single Sign-On Lösungen mehrheitlich für Webanwendungen eingesetzt (53.3%). Clientbasiertes Single Sign-On wird bei gut einem Viertel (26.7%) der Befragten eingesetzt und Serverbasiertes Single Sign-On steht bei nicht ganz der Hälfte (46.7%) der Befragten im Einsatz. 13.3% der Befragten gaben an, dass sie gar keine Single Sign-On Lösung im Einsatz haben. Bei keinem der Befragten ist eine Federated Single Sign-On Lösung in Betrieb.

81 Seite 81 / 153 Praktisch alle der Befragten setzen ein LDAP-Directory in ihrer Identitäts- und Accessmanagementlösung ein. Nicht ganz die Hälfte der Befragten setzt Konnektoren und Agenten ein für die Synchronisation mit umliegenden Systemen und Applikationen. 40% der Befragten verfolgen den Ansatz eines einzigen Enterprise-Directories und die anderen 60% arbeiten mit mehreren Directories. Nicht ganz die Hälfte der Befragten setzt Mechanismen für die Passwortsynchronisation zwischen Applikationen und Systemen ein. Fast ¾ der Befragten haben an ihrer Identitäts- und Accessmanagementlösung wenig bis grössere Teile selber entwickelt. Nur gerade 13.3% der Befragten haben ihre Lösung vollständig durch einen Dritten entwickeln lassen. Bei etwas mehr als der Hälfte der Befragten konnten wenig bis teilweise Standardprodukte eingesetzt werden. Gut bis sehr gut zufrieden sind die Befragten mit der Integration ihrer Lösung in die Unternehmensprozesse, der konsistenten Sicht über alle Benutzer hinweg, der Bereitstellung von Workflows und der Beherrschung der Prozesse. Weniger zufrieden sind die Befragten mit der Integration von anderen Identitäts- und Accessmanagement Systemen, der Integration von Partnern und einer unternehmensweiten Single Sign-On Lösung. Mehr als die Hälfte der Befragten setzt SSO-Lösungen im Zusammenhang mit WebAnwendungen ein. Clientbasiertes SSO wir bei gut einem Viertel der Befragten eingesetzt, und serverseitiges SSO steht bei nicht ganz der Hälfte der Befragten im Einsatz. Ein kleiner Prozentsatz setzt überhaupt keine SSO-Lösung ein, federated SSO kommt nirgends zur Anwendung Thema: IDM Prozesse Die Fragen zum Thema IDM Prozesse beziehen sich auf Aussagen in Kapitel 2.7 und soll einen Einblick geben, wie die Unternehmen mit dem relativ jungen Thema Identitäts- und Accessmanagement in Bezug auf Nachhaltigkeit umgehen. Es soll in Erfahrung gebracht werden, inwieweit ein IDM-Prozess in den Unternehmen etabliert ist für die Bereiche Identitätsmodellierung, Workflow-Modellierung und Zugriffsmodellierung. Es soll die Frage beantwortet werden, ob diese Prozesse in der Organisation verankert sind.

82 Seite 82 / 153 IP01:Welche Beschreibung des Identitätsmanagement Prozesses triff am ehesten auf ihr Unternehmen zu? Abbildung 26 Umfrage: Identitätsmanagementprozess Bei keinem der Befragten ist kein formaler IDM-Prozess definiert (A1). Bei 6.7% ist man daran, einen formalen Identitätsmanagement Prozess zu definieren (A2). Bei 33.3% der Befragten ist ein solcher Prozess vorhanden, wird jedoch nicht vollständig angewendet (A3). Bei 20% der Befragten ist ein Identitätsmanagement-Prozess definiert und wird angewendet. Bei einem Drittel der Befragten (33%) wird ein vorhandener Identitätsmanagement-Prozess zusätzlich überwacht (A5), und bei einem guten Viertel der Befragten (26.7%) wird der überwachte Prozess sogar optimiert. Zusammengefasst wird bei einem sehr grossen Teil der Befragten (80%) ein Identitätsmanagement-Prozess angewendet (A4 + A5 + A6). Dieses Resultat deutet darauf hin, dass die heutigen Identitäts- und Accessmanagementlösungen mit den dazugehörigen Prozessen grösstenteils in den Unternehmen etabliert und verankert sind.

83 Seite 83 / 153 IP02:Wie würden sie den Status innerhalb ihres Unternehmens in Bezug auf einen Identitätsmanagement Prozess zu den jeweiligen Teilaspekten / Teilprozessen einordnen? Abbildung 27 Umfrage: Status Identitätsmanagement Prozess Diese Frage soll Aufschluss geben über den Umsetzungsgrad der einzelnen Teilaspekte/Teilprozesse des Identitätsmanagement Prozesses. Bei restlos allen Befragten (100%) sind die Richtlinien und Policies vorhanden. Diese bilden eine wichtige Grundlage für einen Identitätsmanagement Prozess. Wie aus der vorangehenden Frage (IP01) zu erwarten war, sind auch die Teilaspekte und Teilprozesse im Durchschnitt bei etwa 70% der Befragten vorhanden. Den höchsten Umsetzungsgrad (bei je 80% der Befragten vorhanden) weisen die Aspekte Erzeugung und Deaktivierung von digitalen Identitäten und die Nutzung von Workflows auf. Ein Drittel der Befragten beschäftigt sich momentan aktiv mit der Erstellung von Zugriffsmodellen. Jeweils ein guter Viertel der Befragten (26.7%) ist daran, ihre Workflows zu modellieren oder ihre Rollen und Privilegien zu optimieren. IP03-05:Welcher Organisationsbereich innerhalb ihres Unternehmens ist verantwortlich für die Modellierung der Zugriffe auf die IT-Ressourcen / der Workflows / der verwendeten Identitäten? Aus den Resultaten zu dieser Frage kristallisiert sich heraus, dass die Fachdienste (zentral und einzelne) für die Modellierung aller drei Bereiche eine entscheidende Rolle spielen: Zwischen 40 und 60% der Befragten gaben an, dass die Fachdienste für die Modellierung der drei aufgeführten Disziplinen verantwortlich sind. Etwas weniger, zwischen 40 und 47% der Befragten gaben an, dass der Bereich IT-Security ebenso für die Modellierung dieser drei Bereiche verantwortlich ist. Der Bereich IT-Architektur ist bei 33% der Befragten einzig für die Modellierung der verwendeten Identitäten und zum Teil noch (bei 20% der Befragten) für Modellierung der Zugriffe auf die IT-Ressourcen verantwortlich. Gemäss den Befragten gar nicht involviert sind der Bereich Enterprise Architektur und externe. Nur am Rande zeichnet sich der Bereich Enterprise Security (mit je 13.3% der Befragten) verantwortlich für die Modellierung der Zugriffe und die Modellierung der verwendeten Identitäten.

84 Seite 84 / 153 Die restlichen Bereiche (IT-Entwicklung, IT-Betrieb) sind von jeweils 20% und weniger der Befragten als verantwortliche Bereiche für die Modellierung der angegebenen Disziplinen angegeben worden. Die Resultate zeigen deutlich, dass die Modellierung der Zugriffe auf die IT-Ressourcen, die Modellierung der Workflows sowie die Modellierung der verwendeten Identitäten vorwiegend im Verantwortungsbereich der Fachbereiche zusammen mit dem Bereich IT-Security liegt. IP06:Welcher Organisationsbereich innerhalb ihres Unternehmens ist verantwortlich für die Weiterentwicklung ihrer IDM+ZV Lösung? Ein ähnliches Bild wie in den Resultaten aus IP05 zeichnet sich auch bei der Verantwortlichkeit für die Weiterentwicklung der Identitäts- und Accessmanagementlösung ab: Gut die Hälfte (53.3%) der Befragten gaben an, dass ein zentraler Fachbereich für die Weiterentwicklung verantwortlich ist. Bei 40% der Befragten ist der Bereich IT-Security ebenso verantwortlich für die Weiterentwicklung und bei einem Drittel der Befragten (33.3%) ist der Bereich IT-Entwicklung und bei einem guten Viertel der Befragten (26.7%) der Bereich IT-Architektur involviert und mitverantwortlich für die Weiterentwicklung der Identitäts- und Accessmanagementlösung. Gegenüber den Resultaten aus der Frage IP05 sind bei der Weiterentwicklung neben den Fachbereichen und der IT-Security die beiden Bereiche IT-Entwicklung und IT-Architektur stärker involviert und mitverantwortlich. IP07:Setzen sie ihre IDM+ZV Projekte mit der Unterstützung eines Consultants um? Etwas mehr als ein Viertel (26.7%) der Befragten setzt in ihren Identitäts- und Accessmanagement Projekten externe Consultants zur Unterstützung ein. Die restlichen 73.3% der Befragten setzen ihre Projekte ohne Consultants um. Beim Grossteil der Befragten (80%) ist in ihren Unternehmen ein Identitätsmanagementprozess definiert und wird angewendet. Der höchste Umsetzungsgrad innerhalb des Prozesses weisen die Aspekte Erzeugung und Deaktivierung von digitalen Identitäten und die Nutzung von Workflows auf. Aktuell beschäftigen sich die Unternehmen der Befragten hauptsächlich mit der Erstellung von Zugriffsmodellen, der Modellierung von Workflows und der Optimierung ihrer Rollen und Privilegien. Für die Modellierung der Zugriffe auf die IT-Ressourcen, der Workflows sowie der verwendeten Identitäten sind hauptsächlich die Fachbereiche und der Bereich IT-Security verantwortlich. Vereinzelt sind die Bereiche IT-Architektur, und für die Weiterentwicklung der Identitäts- und Accessmanagementlösung zusätzlich noch der Bereich IT-Entwicklung mitverantwortlich. Identitäts- und Accessmanagement Projekte werden gemäss ¾ der Befragten vorwiegend ohne Unterstützung von Consultants umgesetzt Thema: Zukunft Die Fragen in dieser Gruppe gehen auf Aspekte aus dem Kapitel 2.8 ein und sollen vor allem die Frage beantworten, ob Identity Federation eingesetzt wird in den Unternehmen. Zwei weitere Fragen sollen aufzeigen, welche Themen in den nächsten paar Jahren aus der Sicht der Unternehmen wichtig sind und welches die Treiber dafür sind. FU01:Was denken sie, welches werden in der nächsten Zeit die wesentlichen Treiber sein für die Weiterentwicklung ihrer IDM+ZV Lösung?

85 Seite 85 / 153 Abbildung 28 Umfrage: Treiber für die Weiterentwicklung der IDM+ZV Lösung Jeweils zwei Drittel der Befragten (66.7%) gaben an, dass die wesentlichen Treiber für die Weiterentwicklung ihrer Identitäts- und Accessmanagementlösung einerseits die IT-Sicherheit (A1) und andererseits das Risiko Management (A4) sein werden, dicht gefolgt von den Compliance Anforderungen (A6) mit 60% der Befragten. Gut die Hälfte (55.3%) der Befragten sehen die Produktivität (A3) als weiteren Treiber für die Weiterentwicklung ihrer Lösung und 40% der Befragten denken, dass die Kosten (A2) ein entscheidender Faktor für die Weiterentwicklung ihrer Identitäts- und Accessmanagementlösung darstellt. Der kleinste Anteil der Befragten (13.3%) denkt, dass die Unternehmensführung ein wichtiger Treiber für die Weiterentwicklung ihrer Lösung sein wird.

86 Seite 86 / 153 FU02:Wie schätzen sie die Wichtigkeit der folgenden Themen ein in Bezug auf die IDM+ZV Lösung in ihrem Unternehmen? Abbildung 29 Umfrage: Wichtige Themen Mit den Antworten zu dieser Frage wird die Wichtigkeit der beiden Themen Starke Authentisierung (von allen Befragten als heute relevant genannt) und PKI (von 93.3% der Befragten als heute relevant genannt) nochmals unterstrichen. Diese beiden Themen sind aus bereits vorangegangenen Fragen (PU05 in Kapitel und AM04 in Kapitel 3.3.3) in anderen Zusammenhängen ebenfalls bereits von den Befragten als aktuelle Themen genannt worden. Ebenfalls für einen grossen Teil der Befragten bereits heute relevant sind die Themen Identitätsdiebstahl (80% der Befragten) und Network Access Control (66.7% der Befragten). Das Thema Trusted Computing wird von gut einem Drittel (40%) der Befragten und das Thema Identity Federation von einem Drittel (33.3%) der Befragten als wichtiges Thema in den nächsten 1-2 Jahren eingeschätzt. Biometrische Authentisierungsmittel und Contactless Smartcards werden gemäss den Befragten eher später als in 2 Jahren wichtig (bei 60% bzw. 53.3% der Befragten) bzw. als unwichtig eingestuft (bei 26.7% bzw. 13.3% der Befragten). Am wenigsten bekannt sind die Themen Identity Federation und User-Centric-IDM (bei jeweils 26.6% der Befragten). FU03:Werden innerhalb ihrer Infrastruktur Identitäten von ihren Partnern / Lieferanten akzeptiert, ohne dass sie direkt von der Infrastruktur ihres Unternehmens authentifiziert worden sind? In keinem Unternehmen der Befragten werden Identitäten von Partnern oder Lieferanten akzeptiert, welche von einer unternehmensfremden Infrastruktur (z. Bsp. einem Identity Provider87) ausgestellt worden sind. 87 Vgl. Kapitel Seite 55

87 Seite 87 / 153 FU04:Werden Identitäten ihrer Mitarbeiter von anderen Unternehmen akzeptiert, ohne dass sich ihre Mitarbeiter direkt bei der Infrastruktur ihres Partners authentifizieren müssen? Ein Befragter (6.7%) gab an, dass Identitäten von Mitarbeitern seines Unternehmens bei einer Infrastruktur eines Partners akzeptiert werden, ohne dass sich diese Mitarbeiter direkt bei der Infrastruktur des Partner authentifizieren. Die Antworten auf die Fragen FU03 und FU04 zeigen auf, dass Identity Federation praktisch gar nicht eingesetzt wird bei den Befragten. Zwei Drittel der Befragten sind der Ansicht, dass die IT-Sicherheit und das Risiko Management die wesentlichen Treiber sein werden für zukünftige Weiterentwicklungen ihrer Identitäts- und Accessmanagementlösung. Einmal mehr sind als Themen die heute wichtig sind starke Authentisierung und PKI von mehr als 93% der Befragten angegeben worden. Weitere aktuelle Themen sind Identitätsdiebstahl und Network Access Control. Trusted Computing und Identity Federation werden von mehr als einem Drittel der Befragten als wichtige Themen in den nächsten 1-2 Jahren eingeschätzt. Identity Federation ist bei einem Viertel der Befragten unbekannt und wird, mit Ausnahme von einem Befragten, zurzeit nicht eingesetzt.

88 Seite 88 / Thema: Finanzielle Aspekte In dieser Fragegruppe werden einige Fragen zu finanziellen Aspekte einer Identitäts- und Accessmanagementlösung gestellt. Eine Frage soll aufzeigen, in welchen Gebieten mit einer IDM+ZV Lösung ein Mehrwert erreicht wird. Mit den restlichen Fragen zu diesem Thema soll in Erfahrung gebracht werden ob die heute getätigten Investitionen in die IT-Security in den richtigen Bereichen getätigt werden und ob die Investitionen angemessen sind. FI01:In welchem Gebiet muss eine IDM+ZV Lösung ihrer Meinung nach ihrem Unternehmen einen Mehrwert erbringen? Abbildung 30 Umfrage: Mehrwert für das Unternehmen Praktisch alle Befragten sind der Meinung (93.3% der Befragten innerhalb der beiden Höchstwertungen), dass eine Identitäts- und Accessmanagementlösung einem Unternehmen verbesserte Sicherheit bringt. Ebenso sind die Befragten der Meinung, dass eine Identitäts- und Accessmanagementlösung ihrem Unternehmen ein besseres Benutzer- und Account Management für interne Benutzer (93.3% der Befragten innerhalb der beiden Höchstwertungen) und mit 86.6% der Befragten auch für technische Benutzer bringt. Bei allen anderen Themen haben durchschnittlich 60-80% der Befragten eine der beiden Höchstwertungen verliehen. Es sind dies die Gebiete: Bessere Erfüllung von Vorgaben (80% der Befragten) Single Sign-On (80% der Befragten) Höhere Transparenz (Auditing) (80% der Befragten) Erweiterte Möglichkeiten für die Endbenutzer (77.3% der Befragten) Höhere Effizienz, Kosteneinsparungen (73.3% der Befragten) Erweiterte Möglichkeiten für E-Business (60% der Befragten) Besseres Benutzer + Account Management für externe Benutzer (60% der Befragten)

89 Seite 89 / 153 Das Gebiet mit den grössten tiefe Zustimmungs-Anteil sind die erweiterten Möglichkeiten für E-Business (von einem Drittel (33.3%) der Befragten mit einem der beiden Tiefstwertungen bewertet). Das Themengebiet mit der grössten Verteilung der Stimmen ist das Gebiet besseres Benutzer und Account Management für externe Benutzer. Hier sind sich die Befragten Fachleute am wenigsten einig, ob dieser Punkt dem Unternehmen einen Mehrwert bringt. FI02:Was denken sie sind zurzeit die wichtigsten Bereiche in ihrem Unternehmen in welche in ITSecurity investiert wird? Abbildung 31 Umfrage: IT-Security Investitionen (IST) Mehr als 80% der Befragten bewerten (Bewertung mit 4:eher hohe oder 5:hohe Zustimmung) den Bereich Anbindung von Applikationen und Systemen an ihre Identitäts- und Accessmanagementlösung als den wichtigsten Bereich, in welchen zurzeit in ihrem Unternehmen in IT-Security investiert wird. Als zweit-wichtigster Bereich wird von den Befragten die besseren Auditmöglichkeiten (73.3% der Befragten) gefolgt von der Wichtigkeit der Investitionen in die bessere Durchsetzung von Policies (66.7%) angegeben. Weniger wichtig bezüglich der Investitionen sind die Bereiche bessere Verschlüsselungsmöglichkeiten (von 33% der Befragten mit eher hoch eingestuft) und bessere Überwachungsmöglichkeiten (von 46.7% der Befragten mit eher hoch bis hoch eingestuft). Durch die Befragten gleichmässig wichtig eingestuft sind die Investitionen in die Bereiche (mit 60% der Befragten als eher hoch und hoch eingestuft): Mehr End-Benutzer Sicherheit Awareness der End-Benutzer Bessere Authentifikationsmittel Web Access Security

90 Seite 90 / 153 FI03:Angenommen, sie bekommen Budget für die Verbesserung der IT-Security. In welche Bereiche würden sie investieren? Abbildung 32 Umfrage: IT-Security Investitionen (WUNSCH) Wenn die Befragten selber investieren könnten, sieht das Bewertungsprofil ziemlich ähnlich aus, wie das Bewertungsprofil der aktuellen Situation aus FI02 (Abbildung 31). Die drei Bereiche: Anbindung Applikationen und Systeme an die Identitäts- und Accessmanagementlösung Mehr End-Benutzer Sicherheit Bessere Durchsetzung von Policies würden von den Befragten in etwa gleichermassen berücksichtigt, wie sie heute bereits in ihrem Unternehmen berücksichtigt werden. Etwas weniger investieren würden die Befragten in die Bereiche (weisser Pfeil in Abbildung 32): Bessere Auditmöglichkeiten (-20% gegenüber FI02) Bessere Authentifikationsmittel (-6.7% gegenüber FI02) Web Access Security (-6.7% gegenüber FI02) Dafür würden die Befragten in folgende Bereiche etwas mehr investieren (roter Pfeil in Abbildung 32): Awareness der End-Benutzer (+20% gegenüber FI02) Bessere Verschlüsselungsmöglichkeiten (+6.7% gegenüber FI02) Bessere Überwachungsmöglichkeiten (+6.7% gegenüber FI02) Die Resultate aus FI02 und FI03 zeigen, dass die Befragten der Ansicht sind, dass der Bereich Awareness der End-Benutzer etwas zu kurz kommt und vermehrt gefördert werden müsste.

91 Seite 91 / 153 FI04:Was denken sie über die Investitionen, die ihr Unternehmen zurzeit in IDM+ZV macht? Abbildung 33 Umfrage: Aktuelle Investitionen Der grösste Teil der Befragten (73.3%) ist der Meinung, dass die Investitionen die ihr Unternehmen im Bereich Identitäts- und Accessmanagement tätigt, gerade richtig sind. 20% der Befragten finden, dass die Investitionen ihres Unternehmens zu niedrig sind, und 6.7% der Befragten finden die Ausgaben ihres Unternehmens in diesem Bereich seien zu hoch. Die Befragten sind der Meinung, dass eine Identitäts- und Accessmanagementlösung einem Unternehmen vor allem in den Bereichen verbesserte Sicherheit und besseres Benutzer- und Account Management für interne und auch für technische Benutzer einen Mehrwert erbringen muss. Als wichtigste Bereiche, in welche die Unternehmen momentan in IT-Security investieren, stufen die Befragten die Anbindung von Applikationen und Systemen an die Identitäts- und Accessmanagementlösung, bessere Auditmöglichkeiten und bessere Durchsetzung von Policies ein. Wenn die Befragten selber investieren könnten, würde die Mehrheit der Befragten vor allem im Bereich Awareness der End-Benutzer mehr investieren, dafür würde die Mehrheit der Befragten im Bereich Bessere Auditmöglichkeiten die Investitionen etwas reduzieren. Nicht ganz ¾ der Befragten finden, dass die Investitionen die ihr Unternehmen zurzeit in Identitäts- und Accessmanagement tätigt gerade richtig sind. 20% der Befragten finden die aktuellen Investitionen ihres Unternehmens seien zu niedrig.

92 Seite 92 / Zusammenfassung Unternehmen und Befragte Experten Insgesamt haben 15 Experten aus 6 Finanzdienstleistungsunternehmen der Schweiz an der Webumfrage teilgenommen. Die Experten stammen aus den Bereichen IT-Security, IT-Engineering/Architektur, Fachbereiche und IT-Betrieb und haben einen mehrheitlich hohen Wissensstand bezüglich Identitäts- und Accessmanagementlösungen. Die Bandbreite der bewirtschafteten Benutzer bewegt sich zwischen 570 und Die Identitäts- und Accessmanagementlösungen der Befragten Experten sind im Durchschnitt seit 4-15 Jahren in Betrieb und erfordern im Durchschnitt etwa 37 Personen pro Unternehmen für den Betrieb, die Wartung, die Pflege und Weiterentwicklung dieser Lösung. Die aktuellen Top Themen der Unternehmen in diesem Bereich sind PKI und starke Authentisierungsmittel. Lifecycle Management Mit den Identitäts- und Accessmanagementlösungen der Befragten werden hauptsächlich die Identitäten von internen und externen Mitarbeitern verwaltet, gefolgt von der Verwaltung von technischen Identitäten. Rollenkonzepte sind grösstenteils vorhanden und zum Teil bereits umgesetzt. Die Erarbeitung der Rollenkonzepte und die Definition der Rollen werden vorwiegend von den Fachbereichen und dem Bereich ITSecurity wahrgenommen. Das Lifecycle Management der Benutzeridentitäten geschieht mehrheitlich automatisiert. Daneben unterstützen die eingesetzten Lösungen mehrheitlich User Self Services sowie die Delegation von Administrator Berechtigungen. Identitäts- und Accessmanagement Für die Authentisierung der Mitarbeiter werden vorwiegend die Authentisierungsmittel: Smartcard Zertifikate, Benutzername/Passwort, SecurID und Soft-Zertifikate eingesetzt. Technische Benutzer, Systembenutzer sowie applikatorische Benutzer werden hauptsächlich durch Benutzername/Passwort authentisiert. In den aktuellen Identitäts- und Accessmanagementlösungen der Befragten Experten werden in erster Linie applikatorische Benutzer- und Administratoren-Accounts sowie OS Benutzer- und AdministratorenAccounts verwaltet inklusive deren Zugriffen auf die entsprechenden Applikationen und Systeme. Eher selten werden mit einer solchen Lösung auch Zugriffe auf Sachmittel wie Handys, Memorysticks, PDA s usw. verwaltet. Ein neuer Mitarbeiter hat beim grössten Teil der Befragten auf höchstens ein Drittel der benötigten ITRessourcen Zugriff nach seinem ersten Arbeitstag. Auditdaten werden bei praktisch allen Befragten zentral gespeichert, jedoch nur bei rund 60% der Befragten auch ausgewertet. Technologien und Verfahren Praktisch alle Befragten Experten setzen mehrere LDAP-Directories in ihrer Identitäts- und Accessmanagementlösung ein und bezeichnen ihre Lösung als Metadirectory. Diese Lösung ist häufig auch in der Lage Synchronisationsaufgaben mittels Agenten und Konnektoren mit umliegenden Systemen und Applikationen zu bewerkstelligen. Die aktuellen Lösungen beinhalten oft grössere Teile an eigenem Engineering und werden teilweise mit Standardprodukten und Fremdentwicklungen ergänzt.

93 Seite 93 / 153 Die Befragten Experten sind sehr zufrieden mit der Integration ihrer Lösung in ihre Unternehmensprozesse, mit der konsistenten Sciht über alle Benutzer hinweg, der Bereitstellung von Workflows und der Beherrschung der Prozesse. Weniger zufrieden sind die Befragten Experten mit der Integration von anderen Identitäts- und Accessmanagementlösungen und der Integration von Partnern. Die meisten Befragten Experten setzen SSO-Lösungen im Zusammenhang mit Web-Anwendungen ein. Serverseitiges SSO wird doppelt so häufig eingesetzt wie Clientbasiertes SSO. Federated SSO wird aktuell nirgends eingesetzt. IDM Prozesse Beim Grossteil der befragten Experten existiert ein Identitätsmanagementprozess und er wird auch angewendet. Zurzeit sind die Unternehmen innerhalb dieses Prozesses hauptsächlich mit der Erstellung von Zugriffsmodellen, der Modellierung von Workflows und der Optimierung von Rollen beschäftigt. Für die Modellierung der Zugriffe auf die IT-Ressourcen, der Workflows sowie der verwendeten Identitäten zeichnen sich hauptsächlich die Fachbereiche und der Bereich IT-Security der jeweiligen Unternehmen verantwortlich. Zukunft Bei den zukünftigen Treibern für die Identitäts- und Accessmanagementlösungen werden von den befragten Experten die beiden Treiber IT-Sicherheit und Risiko Management genannt. Als Themen, die in naher Zukunft wichtig sein können, werden von den befragten Experten Trusted Computing und Identity Federation genannt. Bereits heute wichtig sind die Themen starke Authentisierung, PKI, Identitätsdiebstahl und Network Access Control. Identity Federation wird, mit Ausnahme von einem Befragten Experten, zurzeit nicht eingesetzt. Finanzielle Aspekte Neben einer verbesserten Sicherheit soll eine Identitäts- und Accessmanagementlösung einem Unternehmen ein besseres Benutzer und Account Management für interne und technische Benutzer als Mehrwert erbringen. Gemäss den Befragten Experten müssten bei den zukünftigen Investitionen die Awarenes der End-Benutzer besser berücksichtigt werden. Hingegen könnten die Investitionen im Bereich Bessere Auditmöglichkeiten eventuell etwas verringert werden. Insgesamt finden die befragten Experten die Investitionen angemessen, die ihr Unternehmen in ihre Identitäts- und Accessmanagementlösungen tätigt.

94 Seite 94 / Konzept: IDM Anbindung von PF Windows Applikationen 4.1 Management Summary Dieses Kapitel ist VERTRAULICH und nur einem limitierten Leserkreis zugänglich. In dieser Version des Dokumentes ist dieses Kapitel absichtlich entfernt worden.

95 Seite 95 / Abschlussbetrachtung 5.1 Zusammenfassung der Ergebnisse Mit dem ersten Teil dieser Masterarbeit wurden die theoretischen Grundlagen im Bereich Identitäts- und Accessmanagement für die vorliegende Arbeit aufbereitet. Nach einem kurzen geschichtlichen Rückblick sind die drei Sicherheitsstandards ISO27001, COBIT und ITIL (Quasi-Standard) aus dem Fokus Identitäts- und Accessmanagement näher betrachtet worden. Bei allen drei Standards konnten entsprechende Kapitel bzw. Prozesse in den Standards ausfindig gemacht werden, für deren wirtschaftliche und effiziente Umsetzung eine zentralisierte Identitäts- und Accessmanagementlösung unabdingbar ist. Als nächstes wurden die Kernaussagen aus fünf ausgewählten Publikationen von Gartner zum Thema Identitäts- und Accessmanagement extrahiert, um die Breitgestützten Analysen dieses in der IT bestens bekannten Marktforschungsunternehmen auszuleuchten. Die Begriffe Identitätsmanagement und Accessmanagement wurden in zwei weiteren Unterkapiteln genauer umschrieben und abgegrenzt. Dabei wurde auch die Problematik mit den Themen Risiko, Vertrauen und rechtliche Aspekte genauer betrachtet. Die Technologien und Verfahren die heutzutage bei der Umsetzung von Identitäts- und Accessmanagementlösungen angewendet werden sind in einem weiteren Kapitel näher untersucht worden. In diesem Zusammenhang wurden die Begriffe Metadirectory, Virtuelles Directory, Provisioning, Synchronisation, Passwortsynchronisation und Single Sign-On näher betrachtet. In einem weitern Kapitel wurde auf die organisatorischen Auswirkungen einer Identitäts- und Accessmanagementlösung hingewiesen. Anhand des Identitäts- und Accessmanagementprozesses wurde aufgezeigt, welche Subprozesse in einem solchen Prozess Idealerweise enthalten sein sollten. Abgerundet wurde das Kapitel mit der Vorstellung einer möglichen Vorgehenswiese bei der Einführung eines Identitäts- und Accessmanagementsystems und dessen Auswirkung auf ein Unternehmen. Im letzten Kapitel des ersten Teils wurde unter den erweiterten Anforderungen anhand eines praktischen Beispiels die Problematik aufgezeigt, die mit firmeübergreifenden Identitäten entstehen kann. In diesem Zusammenhang wurden Möglichkeiten aufgezeigt, wie diese Problematik mit den heutigen Technologien gelöst werden könnte: Providerseitig durch den Einsatz von föderativen Systemen und Benutzerseitig durch den Einsatz von PAD s (Personal Authentication Devices) und Benutzerzentriertem Identitätsmanagement. Im zweiten Teil der Arbeit wurde anhand einer Web-Umfrage bei sechs Schweizer Finanzdienstleistern in Erfahrung gebracht, wie die heute eingesetzten Identitäts- und Accessmanagementlösungen aussehen. Auf der Basis des vorangehenden Kapitels wurden insgesamt 67 Fragen aus den 7 Themengebieten: Unternehmen und Person, Lifecyle Management, Identitäts- und Accessmanagement, Technologien und Verfahren, IDM-Prozesse, Zukunft und Finanzielle Aspekte zusammengestellt und von den insgesamt 15 Experten aus sechs verschiedenen Unternehmen beantwortet. Die Ergebnisse der Umfrage sind aufbereitet und mit Graphiken ergänzt worden, und dokumentieren den Umsetzungsgrad von Identitätsund Accessmanagementlösungen in der Praxis. Im dritten Teil der Arbeit wurden die konzeptionellen Grundlagen für die Anbindung von Windows Applikationen an die Identitäts- und Accessmanagementlösung von PostFinance geschaffen. Dieser Teil der Masterarbeit ist vertraulich und befindet sich in einem separaten Kapitel88 welches nur einem limitierten Leserkreis zugänglich ist. 88 s. Kapitel 4 Seite 94

96 Seite 96 / Betrachtungen zur Diplomarbeit Erarbeitung der theoretischen Grundlagen Die theoretischen Grundlagen zu dem relativ jungen Thema Identitäts- und Accessmanagement wurden vom Autor durch intensive Recherchen im Internet und teilweise aus Artikeln von Fachbüchern und Fachzeitschriften erarbeitet. Die Hauptschwierigkeit lag dabei vor allem in der Aussortierung der verwendbaren Artikel und Dokumente. Es gibt unendlich viele Produkte und kommerzielle Lösungen welche sich in irgendeinem Zusammenhang mit den Begriffen Identity- bzw. Accessmanagement schmücken, sich bei genauerem hinsehen aber als spezifische Lösung für genau ein Problem in diesem Umfeld entpuppen. Vielfach haben die Literaturverzeichnisse von interessanten Artikeln,Dokumenten und Büchern wertvolle Hinweise auf weitere interessante Artikel geliefert. Bei der Aufarbeitung der Grundlagen für die Sicherheitsstandards (ISO27001, COBIT und ITIL) konnten das bereits während dem MAS-IS Studium erlangte Wissen nochmals vertieft und angewendet werden. Die bereits zu Beginn der Arbeit vorgelegte Struktur hat sich bewährt und einen wesentlichen Beitrag dazu geleistet dass sich der Autor auf die wesentlichen Aspekte konzentrieren konnte. Erarbeitung und Durchführung der Umfrage Bei der Umfrage ging es darum, einen Bezug von den theoretischen Erkenntnissen aus dem ersten Teil zu der praxisbezogenen Umsetzung bei Schweizer Finanzdienstleistungsunternehmen herzustellen. Die Hauptschwierigkeit dabei lag in der Gewinnung von möglichst vielen Experten, welche sich an der Umfrage beteiligen. Die meisten Kontakte zu den befragten Experten kamen durch die Vermittlung von einem persönlichen Bekannten des jeweiligen Unternehmens zustande. Die Umfrage als Web-Umfrage durchzuführen hat sich insofern bezahlt gemacht als dass sich für persönliche Interviews wohl kaum ein so breites Spektrum an Experten (15 Experten aus 6 Unternehmen und 5 Bereichen) zur Verfügung gestellt hätte. Insgesamt konnte die vordefinierte minimale Anzahl an teilnehmenden Unternehmen (6 Unternehmen), welche für die Veröffentlichung und das Aushändigen der Resultate notwendig waren, erreicht werden. Dass sich 15 Experten an der Umfrage beteiligten zeigte dem Autor, dass Identitäts- und Accessmanagement bei den Unternehmen ein aktuelles Thema ist und sich der Aufwand für die Erarbeitung der Umfrage gelohnt hat. Erarbeitung des Konzeptes Während es bei den ersten beiden Teilen mehrheitlich darum ging, ein Thema möglichst breit und umfassend zu untersuchen, ging es beim Dritten Teil darum, ein Konzept für eine spezifische Problematik in der Tiefe zu erarbeiten und konkrete Vorschläge für die praktische Umsetzung vorzuschlagen. Hier lag der Hauptfokus darin, sich innert kurzer Zeit ein grosses Know-how für einen spezifischen Teil anzueignen, und mögliche Lösungen soweit zu entwickeln, dass sie in einer nächsten Phase umgesetzt werden können. In diesem Teil haben sich persönliche Interviews mit den direkt Betroffenen als das richtige Mittel für die Informationsbeschaffung bewährt. Besonders geholfen haben hier die Erkenntnisse aus dem ersten Teil bezüglich der organisatorischen Einflüsse auf eine Lösung. Damit sind neben den technischen Massnahmen auch die organisatorischen Massnahmen in das Konzept eingeflossen.

97 Seite 97 / Literaturhinweise und Links Referenz [BENANTAR] [BSI_ISO_MAP] Beschreibung Benantar, M. (2006). Access Control Systems. New York: Springer. BSI Online ( ) [BV] Schweizerische Bundeskanzlei. (2006). Bundesverfassung der schweizerischen Eidgenossenschaft. SR101. The IT Governance Institut. (2007). COBIT 4.1 Framework, Control Objectives, Management Guidelines, Maturity Models. Rolling Meadows, USA. Bitterli, P. (2007). COBIT der internationale IT-Governance Standard. Skript MASIS11, Hochschule für Wirtschaft Luzern. Del Vecchio, D., Humphrey, M., Basney, J. & Nagaratnam, N. (2005). CredEx: User-Centric Credential Management for Grid and Web Services. IEEE International Conference on Web Services (ICWS 2005 / ). Orlando Schweizerische Bundeskanzlei. (2006). Bundesgesetz über den Datenschutz. SR Haenni, N. Itin, M., Kulhavy, V., Rüber, H. & Winteregg, C. (2007). Referenzmodell IAM V1.1 (Whitepaper No.: IAM ). Fachgruppe Identity & Access Management IAM. egovernmentstandards ech. Eckert, C. (2006). IT-Sicherheit. München: Oldenburg Verlag. Wagner, R., Witty, R., Enck, J. & Kreizmann, G. (2006). The Do s and Don ts of Identity and Access Management. Gartner. Witty, R., Allan, A., Enck, J. & Wagner, R. (2003). Identity and Access Management Defined. Gartner. Witty, R. (2003). Five Business Drivers of Identity and Access Management. Gartner. Witty, R., Allan, A., Enck, J. Hirst, C., Runyon, B., Wagner, Ray., Perkins, E., Pescatore, J. & Wheatman, V. (2005). Hype Cycle for Identity and Access Management Technologies. Gartner Gartner. IAM Tools: The Complete Picture. Online ( ) [COBIT] [COBIT_BIT] [CREDEX] [DSG] [ECH] [ECKERT] [GARNTER04] [GARTNER01] [GARTNER02] [GARTNER03] [GARTNER05] [GARTNER06] [HEISE] Perkins, E. & Allan, A. (2005). Consider Identity and Access Management as a Process, Not a Technology. Gartner. Heise Online. ( ). AOL-Mitarbeiter wegen Verkaufs von Kundendaten verhaftet. [HOST_MM] [IAM_WIKI] Meier, M. (2007). Host-Rechner. Skript MASIS11, Hochschule für Wirtschaft Luzern. IAM-Wiki (Online ) [ISACA01] [ISO27001] [ISO27002] [IT_GOV] IT Governance Institute. (2007). Aligning CobiT, ITIL and ISO ISO/IEC. (2005). International Standard ISO/IEC27001:2005. Genf. ISO/IEC. (2007). International Standard ISO/IEC27002:2005. Genf. Johannsen, W. & Goeken, M. (2007). Referenzmodelle für IT-Governance (1. Aufl). Heidelberg: dpunkt Verlag,

98 Seite 98 / 153 [ITIL_COBIT] [ITITL_ORG] Glenfis AG. (2007). ITIL V3 COBiT V4.1 Mapping Overview. Online ( ). Das Portal für Informationen rund um ITIL (Online ) [IX_0706] Rauh, O., Heckel, P. & Meitinger, K. (2006). Repositories und Rollen. ix-extra - 7/2006. Heise. [JOSANG_POPE1] Josang, A. & Pope, S. (2005). User Centric Identity Managment. The university of Queensland. Australia. [JOSANG_POPE2] Josang, A., Pope, S., Fabre, J., Hay, B. & Dalziel, J. (unknown date). Trust Requirements in Identity Management. Distributed Systems Technology Centre, Telstra Reserach Laboratories, Macquaire University. [KAMPMAN] Kampman, K. & Kampman, C. (2000). All About Network Directories. Wiley Computer Publishing, USA [KARVONEN] Karvonen, K. (2007). Enabling Trust between Humans and Machines. The European e-identity Conference, 12./13. Juni 2007, Paris. [KEARNS] Kearns, D. (2004). The Administrator Shortcut Guide to User Management and Provisioning. Realtimepublishers.com, Inc. [KUPPINGER] Kuppinger, M. (2007). Identity Management Roadmap and Maturity Levels. Referat an der Security Zone (Handouts per angefordert) [LIMESURVEY] Limesurvey (Online ) [MEZLER] [MSOFT] [OGC] Mezler-Andelberg, C. (2008). Identity Management eine Einführung. Heidelberg: dpunkt.verlag GmbH. Klement, P., Michela, F. & Palme, M. (2003). Active Directory, Ein konzeptioneller Überblick über den Verzeichnisdienst von Microsoft Windows Server 2003 (2. Auflage). Unterschleissheim: Microsoft Press. Office of Government Commerce Online ( ) [OPENID] OpenID Projekt Online ( ) [PARTHIER01] Parthier, U. (2004). eprovisioning & Identity Management. Sauerlach: it-research. (Online ) [PARTHIER02] [REED] [RFC2903] Parthier, U. (2007). Rollenmanagement & -design rücken in den Fokus. Zeitschrift IT-Managment Sauerlach: IT-Verlag. Reed, A. (2004). The Definitive Guide To Identity Management. Realtimepublishers.com, Inc. de Laat, C., Gross, G., Gommans, L., Vollbrecht, J. & Spence, D. (2000). RFC2903 Generic AAA Architecture. Network Working Group. (Online )

99 Seite 99 / 153 [RFC2904] Vollbrecht, J., Calhoun, P., Farrell, S., Gommans, L., Gross, G., de Bruijn, B., de Laat, C., Holdrege, M. & Spence, D. (2000). RFC2904 AAA Authorization Framework. Network Working Group. (Online ) [RFC2905] Vollbrecht, J., Calhoun, P., Farrell, S., Gommans, L., Gross, G., de Bruijn, B., de Laat, C., Holdrege, M. & Spence, D. (2000). RFC2905 AAA Authorization Application Examples. Network Working Group. (Online ) [RFC2906] Farrell, S., Vollbrecht, J., Calhoun, P., Gommans, L., Gross, G., de Bruijn, B., de Laat, C., Holdrege, M. & Spence, D. (2000). RFC2906 AAA Authorization Requirements. Network Working Group. (Online ) [RICHTER] Richter, M. (2007). Identity Management. Berlin: VCM Verlag Dr. Müller. Schneier, B. (2001) Secrets & Lies. Heidelberg: dpunkt Verlag, Schützig, R. (2007) Assurance Begriff, Assurance schaffende Methoden. Skript MASIS11, Hochschule für Wirtschaft Luzern. Shibboleth Online ( ) [SCHNEIER] [SCHUETZIG] [SHIBBOLETH] [STANFORD] Autoren unbekannt: Novell Worldwide Services. (2003). Exploring Secure Identity Management in Global Enterprises. Stanford University and Hong Kong University of Science and Technology. Online ( ). [SURY] [TELETRUST] Sury, U. (2004). Identity-Management und Recht. Informatik Spektrum Springer Verlag. Bong, Hartwich, Morgenthaler, Olbrich & Steiner. (2006). Digitale Identitäten und Online Prozesse. Erfuft: TeleTrusT Deutschland. Online ( ) [ULD] [WP_UXWAR] Autoren unbekannt. (2003). Identity Management Systems (IMS): Identification and Comparison Study ( F1ED SEV DE). Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein und Studio Notarile Genghini. Wikipedia Online ( ). Unix war s.

100 Seite 100 / Verzeichnisse 7.1 Abkürzungsverzeichnis Abkürzung AI AOL B2B B2C B2E B2P CCTA CERN CIO COBIT COBIT CoP CSO DB DHCP DNS DS ERP GRC GUI HSM IAM ISACA ISMS ISO IDM IT ITIL ITSM LDAP ME NAC OASIS OECD OTP PACS PAD PC PIN PKI PO RACF RADIUS RFC SAML Beschreibung Acquire and Implement American Online Geschäftsbeziehung: Business to Business Geschäftsbeziehung: Business to Customer Geschäftsbeziehung: Business to Employe Geschäftsbeziehung: Business to Partner Central Computer and Telecommunications Agency Centre Européen pour la Rechereche Nucléaire Chief Information Officer Control Objectives for Information and related Technology Control objectives for information related technology Code of Practice Chief Security Officer Datenbank Dynamic Host Configuration Protocol Desoxyribonukleinsäure Deliver and Support Enterprise Ressource Planning Governance Risk and Compliance Graphical user interface Hardware Security Modul Identity and Access Management Information Systems Audit and Control Association Information Security Management System International Organization for Standardization Identity Managment Information Technology Information Technology Infrastructure Library IT Service Management Lightweight Directory Access Protocol Monitor and Evaluate Network Access Control Organization for the Advancement of Structured Information Standards Organisation for Economic Co-operation and Development One Time Password Personal Access Communication System Personal Authentication Device Personal Computer Persönlichen Identifikationsnummer Public Key Infrastrcture Plan and organise Resource Access Control Facility Remote Authentication Dial-IN User Service Request for comment Security Assertion Markup Language

101 Seite 101 / 153 SAP SAPM SOD SSO SUPM TPM UCAID XML ZV In diesem Dokument ist mit diesem Kürzel die Anwendung SAP gemeint. (SAP Stand früher (bis 2005) für Systems, Applications and Products, und ist seit 2005 die offizielle Firmenbezeichnung für die SAP AG) SAP Management Separation of duties Single Sign-on Superuser Password Management Trusted Platform Module University Corporation for Advanced Internet Development Extensible Markup Language Zugriffsverwaltung 7.2 Abbildungsverzeichnis Abbildung 1 Aufbau und Inhalt Abbildung 2 Identitätsmanagement und Accessmanagement Abbildung 3 Vier Themenbereiche von COBIT Abbildung 4 ITIL Überblick Abbildung 5 Gartner Definition Identitäts- und Accessmanagement Abbildung 6 Gartner Hype Cycle für Identitäts- Accessmanagement-Technologien...29 Abbildung 7 Gartner IAM Tools: das Gesamtbild Abbildung 8 Zusammenspiel zwischen Identitätsmerkmalen und realer Identität...35 Abbildung 9 Lifecycle einer digitalen Identität Abbildung 10 Metadirectory einheitliche Sicht auf Informationen Abbildung 11 Metadirectory typische Architektur Abbildung 12 Identitätsmanagement Prozess Abbildung 13 Federated Identity: Problematik eines Treuhänders Abbildung 14 Federated Identity: Lösung der Problematik eines Treuhänders Abbildung 15 Umfrage: Einsatzdauer IDM+ZV Lösung Abbildung 16 Umfrage: Anzahl IT Benutzer Abbildung 17 Umfrage: Wie viele Mitarbeiter in welchen Bereichen? Abbildung 18 Umfrage: Aktuelle Themen Abbildung 19 Umfrage: Unternehmensbereiche der Befragten Abbildung 20 Umfrage: Verwaltete Identitäten Abbildung 21 Umfrage: Automatisierung des Lifecycle Managements Abbildung 22 Umfrage: Verwendete Authentisierungsmittel Abbildung 23 Umfrage: Einsatzgebiet der Authentisierungsmittel Abbildung 24 Umfrage: Zentral verwaltete IT-Ressourcen Abbildung 25 Umfrage: Ausbaustaus IDM+ZV Lösung Abbildung 26 Umfrage: Identitätsmanagementprozess Abbildung 27 Umfrage: Status Identitätsmanagement Prozess Abbildung 28 Umfrage: Treiber für die Weiterentwicklung der IDM+ZV Lösung Abbildung 29 Umfrage: Wichtige Themen Abbildung 30 Umfrage: Mehrwert für das Unternehmen Abbildung 31 Umfrage: IT-Security Investitionen (IST) Abbildung 32 Umfrage: IT-Security Investitionen (WUNSCH) Abbildung 33 Umfrage: Aktuelle Investitionen

102 Seite 102 / Tabellenverzeichnis Tabelle 1 Kriterienkatalog der Relevanz für die Bewertung Tabelle 2 Relevanz Identitäts- und Accessmanagement im ISO Tabelle 3 Relevanz Identitäts- und Accessmanagement bei COBIT (PO + AI) Tabelle 4 Relevanz Identitäts- und Accessmanagement bei COBIT (DS + ME) Tabelle 5 Relevanz Identitäts- und Accessmanagement bei ITIL Tabelle 6 Verantwortlichkeiten für Beziehungen in einem Unternehmen Tabelle 7 Maturitätsstufen von Identitäts- und Accessmanagementsystemen Tabelle 8 Umfrage: Rücklaufquote Anfrage für Teilnahme an Umfrage Tabelle 9 Umfrage: Teilnahmequote Tabelle 10 Umfrage: Verwaltete Zugriffsarten

103 Seite 103 / Eidesstattliche Erklärung Ich erkläre hiermit, dass ich die vorliegende Arbeit resp. die von mir ausgewiesene Leistung selbständig, ohne Mithilfe Dritter und nur unter Benützung der angegebenen Quellen verfasst habe. Das Urheberrecht der Arbeit liegt beim Verfasser. Das Institut für Wirtschaftsinformatik hat ein internes Nutzungsrecht. Rizenbach, , Peter Egli

104 Seite 104 / Anhang 9.1 COBIT: Beispiel einer kompletten Prozessbeschreibung Quelle: [COBIT]

105 Seite 105 / 153

106 Seite 106 / 153

107 Seite 107 / 153

108 Seite 108 / WS-Security Standards (Quelle: IBM) 9.3 WS-Security: SOAP Message mit WS-* Standards (Quelle: FH Fulda, FB Informatik)

109 Seite 109 / Shibboleth in a nuts-shell (Quelle: Switch) AAI = Authentication and Authorization Infrastructure 9.5 OpenID in a nuts-shell (Quelle: IAM-Wiki) 1. Der Benutzer gibt in dem Formular in seinem Webbrowser seine OpenID-Identität ein. Danach schickt er das Formular über den Submit-Button an den Webserver ab. 2. Der Webserver seinerseits verarbeitet den Formularrequest und parst den HTML-Inhalt. Dabei sucht er nach folgendem Tag: <link rel="openid.server" href="$open_id_server">

110 Seite 110 / 153 An der Stelle ist natürlich anzumerken, dass der Wert für das Attribut "href" die jeweilige URL des OpenID-Servers beinhaltet. 3. Aus den erhaltenen Informationen des Parse-Vorganges wird eine Query erstellt. Diese Query wird an den URL des Servers gerichtet. Dies erfolgt indem der Browser des Benutzers entsprechend umgeleitet wird. 4. Der OpenID-Server vollzieht nun die Authentifizierung der angegebenen Identität. Sofern noch kein gültiger Sitzungs-Cookie vorliegt, wird dem Benutzer in seinem Browser ein Formular angezeigt. In diesem muss das Passwort des OpenID-Accounts angegeben werden. Ist bereits ein solcher Cookie vorhanden, so entfällt dieser Schritt natürlich. Nach der Authentifizierung muss der Benutzer nun entscheiden, ob er der Anwendung Zugriff auf seinen OpenID-Account geben möchte oder nicht. Hierzu hat er drei Optionen zur Auswahl: Für immer freischalten, einmalig freischalten oder aber ablehnen. 5. Hat sich der Benutzer für die erste oder zweite Option entschieden, so wird vom OpenID-Server ein erneuter Redirect initiiert. Und zwar gelangt der Benutzer nun wieder auf die zuvor gewählte Seite. Dieses mal trägt er aber den Status "angemeldet". 9.6 P3P, EPAL, XrML, XACML in a nuts-shell (Quelle: TU-Dresden) P3P 1.0 The Platform for Privacy Preferences Project (P3P) is an international, standardised technical platform to transfer privacy practices within the WWW. In 2002, P3P became a W3C recommendation in 2002 and currently, i.e., February 2007, the P3P 1.1 Specification Working Group works towards P3P 1.1 Candidate Recommendation. P3P enables WWW users to gain control over their personal information. For a web site, it provides a way to encode its practices of data collection and usage which are described in the P3P policy. Since P3P is based on the Resource Description Framework, P3P policies are expressed in machine-readable XMLformat. A P3P user agent informs the user of the policy of a web site and automates decision-making based on user s settings. The goal of this language is to allow web sites to present their practices regarding data collection in a standardised, machine-readable manner. It also supports users to understand which data is collected by visited web sites they visit and how these data is respectively will be used EPAL 1.2 The Enterprise Privacy Authorization Language (EPAL) 1.2 is an interoperability language for exchanging privacy policies between applications or enterprises in a formal way. By means of EPAL privacy policies it is possible to specify how and for what purpose someone can handle personal data independent of user s rights given by the used software system. The aim of EPAL is to provide the ability to encode privacy-related data-handling policies and practices of enterprise s. Furthermore, it is aimed to provide a language importable and enforceable by a privacy enforcement system. EPAL was designed to extend the possibilities of P3P by adding privacy-related access control and authorisation in the enterprise context.

111 Seite 111 / 153 On November 10, 2003 IBM submitted the the technical specification EPAL 1.2 to W3C, which acknowledged it in December But XrML 2.0 The Enterprise Privacy Authorization Language (EPAL) 1.2 is an interoperability language for exchanging privacy policies between applications or enterprises in a formal way. By means of EPAL privacy policies it is possible to specify how and for what purpose someone can handle personal data independent of user s rights given by the used software system. The aim of EPAL is to provide the ability to encode privacy-related data-handling policies and practices of enterprise s. Furthermore, it is aimed to provide a language importable and enforceable by a privacy enforcement system. EPAL was designed to extend the possibilities of P3P by adding privacy-related access control and authorisation in the enterprise context. On November 10, 2003 IBM submitted the the technical specification EPAL 1.2 to W3C, which acknowledged it in December But XACML XACML is a common XML Schema language for expressing and processing security policies. In February 2003 the first version of the standard was ratified by the standardisation consortium OASIS. Actually, the standard XACML is existent as version 2 (October 2006). XACML describes a policy language and an access control decision request/response language as well. By means of this policy language, delineation of general access control requirements and definition of new functions, data types, and combination of logic through standard extension points is possible. Access control decision requests are used to express queries whether actions are allowed or not. After an interpretation of the query, the accordant results will be delivered as response.

112 Seite 112 / Übersicht P3P, EPAL, XrML, XACML (Quelle: TU-Dresden) Vergleich EPAL XACML von SUN SUN hat die beiden Standards, die sich zum Teil konkurrenzieren miteinander verglichen: (Quelle: Sun) Feature Difference between EPAL and XACML Decision request EPAL supports a subset of XACML Rule EPAL supports a subset of XACML Applicability of rules EPAL supports a subset of XACML Condition Equivalent Nested policies EPAL does not support Result conflicts EPAL supports a subset of XACML Policy references EPAL does not support Vocabulary XACML supports a subset of EPAL Attribute mapping EPAL supports a subset of XACML

113 Seite 113 / 153 Attribute retrieval Equivalent XML attribute values EPAL does not support Hierarchical roles EPAL does not support Hierarchical categories XACML does not support Hierarchical resources / XML document resources EPAL supports a subset of XACML Subjects with multiple attributes EPAL supports a subset of XACML Multiple subjects EPAL does not support Purpose attribute EPAL supports a subset of XACML Error handling EPAL does not support Revision number Equivalent Data types EPAL supports a subset of XACML Functions EPAL supports a subset of XACML Obligations EPAL supports a subset of XACML Multiple responses EPAL does not support Status as a standard XACML is an OASIS Standard EPAL is not a standard 9.7 Einladungsmail für Teilnahme an Umfrage Subject: IDM/IAM im Enterpriseumfeld Guten Tag Meine Name ist Peter Egli, und ich absolviere zurzeit das Studium -- MAS Information Security -an der HSW in Luzern (neu HSLU, Hochschule Luzern) und schreibe meine Master Thesis zum Thema "Identitätsmanagement im Enterpriseumfeld". Ein Teil dieser Arbeit besteht aus einer Umfrage bei Schweizer Finanzdienstleistern zu diesem Thema. Die Web-Umfrage besteht aus ca. 50 Fragen zu Themen rund um das Identitätsmanagement und die Zugriffsverwaltung: * * * * * Identitäts- und Accessmanagement Lifecyclemanagement Technologien und Verfahren IDM-Prozesse Future

114 Seite 114 / 153 * Finanzielle Aspekte Die Umfrage richtet sich an Fachkräfte aus der IT und/oder Security die bereits mit dem Thema Identitätsmanagement und Zugriffsverwaltung konfrontiert worden sind, und soll beantworten, wie Finanzdienstleister in der Schweiz mit diesem Thema umgehen und welche Erfahrungen damit gemacht worden sind. Wenn Sie sich auch schon Gedanken darüber gemacht haben, wie "man" bei Finanzdienstleistern in der Schweiz mit dem Thema "Identitätsmanagement und Zugriffsverwaltung" umgeht, machen Sie mit bei der Umfrage, und Sie erhalten auf Wunsch ein Exemplar der Auswertungen zu dieser (*)Umfrage! Wie können Sie an der Umfrage teilnehmen? - Schicken Sie mir eine mit mindestens 2 (ideal 3-4) Adressen von Personen aus ihrem Unternehmen, die sich bereits mit "Identitätsmanagement und Zugriffsverwaltung" auseinander gesetzt haben, und die bereit sind, an der Umfrage teilzunehmen. (Mögliche Teilnehmer: IT-Leiter,CIO,CSO oder Mitarbeiter aus den Bereichen: IT-Architektur, IT-Security, Compliance, IT-Administration, IT-Betrieb,IT-Engineering,Fachbereiche(Zugriffe), u.a.) - Diese 2-4 Adressen werden in den nächsten 2-3 Wochen eine erhalten mit einem Link, der Sie auf eine Website mit der Umfrage führt. Die Fragen sind in ca Minuten beantwortet. ==> Die Fragen sind allgemein gehalten und so gestellt, dass _KEINE_ Informationen über eingesetzte Produkte oder spezifische Informationen über ihr Unternehmen erfragt werden. ==> Aus den Auswertungen ist _KEIN_ Rückschluss auf einzelne Teilnehmer und Teilnehmerkreise möglich.(s. auch (*)) ==> Sie bestimmen, ob der Name ihres Unternehmens in der Auswertung namentlich aufgeführt wird, oder ob Sie eine "anonyme Teilnahme" wünschen. (*) Die Auswertung kann ich Ihnen nur zukommen lassen, bei einer genügenden Anzahl Teilnehmer an der Umfrage. -- Falls ich Ihnen noch eine Frage zur Umfrage beantworten darf, senden Sie mir bitte eine . Es würde mich freuen, wenn Sie mit ihrem Unternehmen an der Umfrage teilnehmen! Ich zähle auf Sie! An den Initiator:

115 Seite 115 / 153 Modifizieren Sie untenstehenden Text, und schicken Sie bitte eine der folgenden Antworten an mich zurück: Besten Dank! Mit freundlichen Grüssen: Peter Egli, Absolvent 8<--TEILNAHME JA Guten Tag Ja, unser Unternehmen ist an der Teilnahme an der Umfrage "Identitätsmanagement im Enterpriseumfeld" interessiert. Die Web-Umfrage findet statt im Zeitraum vom Hier sind die Adressen der Umfrage-Teilnehmer aus unserem Unternehmen: Die Teilnehmer sind über ihre Teilnahme informiert. [X] Der Name unseres Unternehmens darf in der Auswertung (bei genügender Anzahl Teilnehmer ==> 6 oder mehr Unternehmen) erwähnt werden. [ ] Der Name unseres Unternehmens darf nicht erwähnt werden. [X] Unser Unternehmen ist an der Auswertung der Umfrage interessiert, schicken Sie die Auswertung (.pdf) bitte an folgende Adresse: <--TEILNAHME NEIN Guten Tag Unser Unternehmen ist an der Teilnahme an der Umfrage "Identitätsmanagement im Enterpriseumfeld" NCIHT interessiert

116 Seite 116 / Web-Umfrage zum Thema Identitätsmanagement im Enterpriseumfeld Willkommens Seite Einleitung

117 Seite 117 / Unternehmen und Person

118 Seite 118 / 153

119 Seite 119 / Lifecycle Management

120 Seite 120 / 153

121 Seite 121 / Identitäts- und Accessmanagement

122 Seite 122 / 153

123 Seite 123 / 153

124 Seite 124 / 153

125 Seite 125 / Technologien und Verfahren

126 Seite 126 / 153

127 Seite 127 / IDM-Prozesse

128 Seite 128 / 153

129 Seite 129 / Zukunft

130 Seite 130 / Finanzielle Aspekte

131 Seite 131 / Abschluss

132 Seite 132 / Resultate der Umfrage Banken in der Schweiz (Quelle: Bundesamt für Statistik) Unternehmen und Person Folgende Fragen wurden in dieser Gruppe gestellt: PU01: Benutzen sie in ihrem Unternehmen eine IDM+ZV Lösung? PU01.1: Wie lange setzen sie in ihrem Unternehmen bereits eine IDM+ZV Lösung ein? PU01.2: Wird in ihrem Unternehmen in den nächsten 1-2 Jahren ein IDM+ZV Lösung implementiert und oder ausgerollt? PU02: Wie viele potentielle IT Benutzer gibt es in ihrem Unternehmen (CH)? PU03: Wie viele dieser Mitarbeiter nutzen IT in ihrem Unternehmen (CH)? PU04: Wie viele Mitarbeiter aus den verschiedenen Bereichen sind in ihrem Unternehmen direkt mit der Pflege/Weiterentwicklung eine IDM+ZV Lösung beschäftigt? PU05: Welches sind die aktuellen Themen im Bereich IDM+ZV in ihrem Unternehmen? PU06: Betreibt ihr Unternehmen die IT selber oder hat ihr Unternehmen die IT outsourced? PU07: Wie würden sie ihren Wissensstand bezüglich IDM+ZV einstufen? PU08: In welchem Bereich des Unternehmens arbeiten sie?

133 Seite 133 / 153

134 Seite 134 / 153

135 Seite 135 / 153

136 Seite 136 / 153

137 Seite 137 / Lifecycle Management Folgende Fragen wurden in dieser Gruppe gestellt: LM01: Welche Arten von digitalen Identitäten werden in ihrer IMD+ZV Lösung verwaltet? LM02: Existiert ein bereichsübergreifendes Gruppen- oder Rollenkonzept in ihrem Unternehmen? LM03: Wer definiert die Rollen / Gruppen in ihrem Unternehmen? LM04: Welche der aufgelisteten Funktionen wird durch ihre IDM+ZV Lösung unterstützt? LM05: Welche der folgenden Prozesse sind durch ihre IMD+ZV Lösung automatisiert in ihrem Unternehmen? LM06: Welche der aufgelisteten Ereignisse werden in ihrem Unternehmen automatisch durch die IDM+ZV Lösung überwacht und verarbeitet?

138 Seite 138 / Access Management Die Fragen lauten im Detail: AM01: Welche Zugriffsmodelle werden ich ihrer IDM+ZV Lösung angewendet? AM02: Auf wie viele benötigte IT-Ressourcen (Applikationen/System) hat ein Mitarbeiter nach seinem ersten Arbeitstag Zugriff? AM03: Wie häufig wird in ihrem Unternehmen im Durchschnitt überprüft, welche Mitarbeiter auf welche Applikationen/System Zugriff haben? AM04: Welche Authentisierungsmittel werden bei ihrer IDM+ZV Lösung eingesetzt? AM : Wo verwenden sie <das Authentisierungsmittel aus AM04> als Authentisierungsmittel? AM05:Wie viele IT-Ressourcen, die sie zentral verwalten möchten, schätzen sie werden zurzeit zentral verwaltet? AM06:Welche Arten von IT-Ressourcen werden innerhalb ihrer IDM+ZV Lösung zentral verwaltet? AM07:Welche Arten von Zugriff werden mittels ihrer IDM+ZV Lösung verwaltet?

139 Seite 139 / 153 AM08:Bis zu welcher Granularitätsstufe werden Autorisierungsdaten zentral verwaltet in ihrem Unternehmen? AM09:Arbeiten die Applikationen in ihrem Unternehmen alle mit einer einheitlichen Autorisierungs-Policy oder ist die Autorisierung jeweils applikationsspezifisch gelöst? AM10:Werden von ihrer IDM+ZV Lösung Auditdaten generiert, zentral gespeichert, ausgewertet und Alarme ausgelöst bei Policy Verletzungen? AM11: Welche Aussagen treffen auf ihr Unternehmen zu in Bezug auf die Gewährung von Zugriffen mittels ihrer IDM+ZV Lösung?

140 Seite 140 / 153

141 Seite 141 / 153

142 Seite 142 / 153

143 Seite 143 / 153

144 Seite 144 / Technologien und Verfahren SI01:Welche der genannten Technologien sind bei ihrer IDM+ZV Lösung im Einsatz? SI02:Werden mehrere Directories eingesetzt oder gibt es ein Enterprise Directory? SI03:Verwenden sie Passwortsynchronisation in ihrem Unternehmen um Passwörter zwischen verschiedenen Applikationen und Systemen abzugleichen? SI04-06:Haben sie ihre IDM+ZV Lösung selber entwickelt / entwickeln lassen / als Standardprodukt eingekauft? SI07:Wie würden sie den Ausbaustatus ihrer IDM+ZV Lösung beschreiben für den jeweiligen Themenbereich? SI08: Welche Single Sign-On (SSO) Lösungen werden in ihrem Unternehmen verwendet?

145 Seite 145 / 153

146 Seite 146 / IDM-Prozesse IP01:Welche Beschreibung des Identitätsmanagement Prozesses triff am ehesten auf ihr Unternehmen zu? IP02:Wie würden sie den Status innerhalb ihres Unternehmens in Bezug auf einen Identitätsmanagement Prozess zu den jeweiligen Teilaspekten / Teilprozessen einordnen? IP03-05:Welcher Organisationsbereich innerhalb ihres Unternehmens ist verantwortlich für die Modellierung der Zugriffe auf die IT-Ressourcen / der Workflows / der verwendeten Identitäten? IP06:Welcher Organisationsbereich innerhalb ihres Unternehmens ist verantwortlich für die Weiterentwicklung ihrer IDM+ZV Lösung? IP07:Setzen sie ihre IDM+ZV Projekte mit der Unterstützung eines Consultants um?

147 Seite 147 / 153

148 Seite 148 / 153

149 Seite 149 / Zukunft FU01:Was denken sie, welches werden in der nächsten Zeit die wesentlichen Treiber sein für die Weiterentwicklung ihrer IDEM+ZV Lösung? FU02:Wie schätzen sie die Wichtigkeit der folgenden Themen ein in Bezug auf die IDM+ZV Lösung in ihrem Unternehmen? FU03:Werden innerhalb ihrer Infrastruktur Identitäten von ihren Partnern / Lieferanten akzeptiert, ohne dass sie direkt von der Infrastruktur ihres Unternehmens authentifiziert worden sind? FU04:Werden Identitäten ihrer Mitarbeiter von anderen Unternehmen akzeptiert, ohne dass sich ihre Mitarbeiter direkt bei der Infrastruktur ihres Partners authentifizieren müssen?

150 Seite 150 / Finanzielle Aspekte FI01:In welchem Gebiet muss eine IDM+ZV Lösung ihrer Meinung nach ihrem Unternehmen einen Mehrwert erbringen? FI02:Was denken sie sind zurzeit die wichtigsten Bereich in ihrem Unternehmen in welche in ITSecurity investiert wird? FI03:Angenommen, sie bekommen Budget für die Verbesserung der IT-Security. In welche Bereiche würden sie investieren? FI04:Was denken sie über die Investitionen, die ihr Unternehmen zurzeit in IDM+ZV macht?

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012 Empfehlungen von ITIL zu ITSM Einführung Jacqueline Batt, 12. Juni 2012 Wo ist das WIE in ITIL?! Service Strategy! Service Design! Service Transition! Service Operation! C. Service Improvement Kapitel

Mehr

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005 XIONET empowering technologies AG Bochum, 20. Oktober 2005 EIS Analyseorientierte Informationssysteme DSS Einkauf F u E MIS Lager Vertrieb Produktion Operative Informationssysteme Folie 2 Oktober 05 Anwender

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

Teil I Überblick... 25

Teil I Überblick... 25 Inhaltsverzeichnis Vorwort... 17 Motivation und Intention... 18 ITIL ist nicht nur reine Technik... 18 ITIL ist mehr... 19 ITIL ist auch ein Thema für die Organisation... 19 Zurück zum Thema Motivation...

Mehr

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb sverzeichnis Christian Wischki, Lutz Fröhlich ITIL & ISO/IEC 20000 für Oracle Datenbanken Praxisleitfaden für die Einführung und den Betrieb ISBN: 978-3-446-41978-0 Weitere Informationen oder Bestellungen

Mehr

ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien

ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien Der heilige Gral des Service Management Was ist ein Standard? Was ist Best / Good Practice? Standard

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

ITIL V3 Basis-Zertifizierung

ITIL V3 Basis-Zertifizierung Nadin Ebel ITIL V3 Basis-Zertifizierung Grundlagenwissen und Zertifizierungsvorbereitung für die ITIL Foundation-Prüfung ^- ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow,

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

1 Die IT Infrastructure Library 1

1 Die IT Infrastructure Library 1 xix 1 Die IT Infrastructure Library 1 1.1 ITIL ein erster Überblick................................. 2 1.2 Service Management Grundlegende Begriffe.................. 5 1.2.1 Dienstleistungen (Services)..........................

Mehr

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL) Zertifikatslehrgang IT Service Management (ITIL) IHK-Lehrgang IT Service Management (ITIL) Termin: 01.06.2012 bis 16.06.2012 IT12090 Ort: Industrie- und Handelskammer Erfurt Arnstädter Str. 34 99096 Erfurt

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 sverzeichnis Martin Beims IT-Service Management mit ITIL ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-43087-7

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance Seite 1 Inhaltsçbersicht 01 IT-Governance Strategische Unternehmensziele durch IT-Compliance optimal unterstçtzen 01200 IT Governance und IT Compliance die wichtigsten GW Normen und Regelwerke 01250 COBIT

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg sverzeichnis Christian Wischki ITIL V2, ITIL V3 und ISO/IEC 20000 Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg ISBN: 978-3-446-41977-3 Weitere Informationen oder Bestellungen

Mehr

Identity-Management flexible und sichere Berechtigungsverwaltung

Identity-Management flexible und sichere Berechtigungsverwaltung Identity-Management flexible und sichere Berechtigungsverwaltung Neue Herausforderungen im nationalen und internationalen Einsatz erfordern dynamische IT- Prozesse Bonn, 06. November 2009 Herausforderungen

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Was ist Identity Management?

Was ist Identity Management? DECUS IT - Symposium 2005 Andreas Zickner HP Deutschland 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Problem IT Admin Mitarbeiter

Mehr

IT-Service-Management mit ITIL 2011 Edition

IT-Service-Management mit ITIL 2011 Edition Roland Böttcher IT-Service-Management mit ITIL 2011 Edition Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen 3., aktualisierte Auflage Heise Prof. Dr. Roland Böttcher roland.boettcher@hs-bochum.de

Mehr

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014 Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung 1 KRM/Wildhaber Consulting, Zürich 2014 Kreditkartendaten gestohlen u Die Geheimdienste zapfen systematisch Rechner an u Cloud Lösungen sind

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite 1 itsmf Deutschland e.v. Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite Ben Martin, Glenfis AG Zürich 26.09.2012 Service Strategie und Sourcing

Mehr

ITIL Version 3. Kompakter Überblick. Mai 2007

ITIL Version 3. Kompakter Überblick. Mai 2007 ITIL Version 3 Kompakter Überblick Mai 2007 Inhalt Struktur der Version 3 Prozesse in der Version 3 Inhaltsstruktur der neuen Bücher Die neuen ITIL Bücher Service Strategy Service Design Service Transition

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Compliance mit Identity & Access Management. ISACA After Hours Seminar - Compliance mit Identity & Access Management - Herr Marco Rohrer

Compliance mit Identity & Access Management. ISACA After Hours Seminar - Compliance mit Identity & Access Management - Herr Marco Rohrer Seite 1 Compliance mit Identity & Access Referent: Marco Rohrer VP Pre-Sales & Partner Betriebsökonom FH ipg ag Seite 2 ipg ag fokussiert sich auf Konzeption, Planung und Umsetzung von Identity & Access

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

-Dokumentation. Zentrum für Informatik ZFI AG. MCTS Windows Server 2008 (MUPG)

-Dokumentation. Zentrum für Informatik ZFI AG. MCTS Windows Server 2008 (MUPG) Zentrum für Informatik - MCTS Windows Server 2008 (MUPG) - Java Ausb... 1/6 -Dokumentation Zentrum für Informatik ZFI AG MCTS Windows Server 2008 (MUPG) http://www.zfj.ch/mupg Weitere Infos finden Sie

Mehr

Agenda ITIL v3 Framework

Agenda ITIL v3 Framework Agenda ITIL v3 Framework Overview & Allgemeines ITIL Service Lifecycle Service Strategies Service Design Service Transition Service Operation Continual Service Improvement ITIL V3 Continual Service Improvement

Mehr

Vorlesung Hochschule Esslingen IT-Winter School 2013

Vorlesung Hochschule Esslingen IT-Winter School 2013 Service - ITIL V3 Leitfaden für Vorlesung für Vorlesung Vorlesung Hochschule Esslingen IT-Winter School 2013 Einführung in die IT Infrastructure Library (ITIL) Agenda 1 Was ist ITIL? 2 Wieso ITIL, mit

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

BPM Solution Day 2010 T-Systems Multimedia Solutions GmbH 28.09.2010 1

BPM Solution Day 2010 T-Systems Multimedia Solutions GmbH 28.09.2010 1 T-Systems Multimedia Solutions GmbH 28.09.2010 1 Qualitätssteigerung im Servicemanagement durch Verbesserung der IT-Prozesse der Bundesagentur für Arbeit durch optimiertes IT-Servicemanagement. T-Systems

Mehr

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz Reifegradmodelle Skiseminar Software Engineering Robin Schultz Agenda Grundlagen Die IT Infrastructure Library Entwicklung Aufbau Kritik Kombination mit anderen Modellen Praktischer Einsatz Fazit und Ausblick

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit.

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit. www.actgruppe.de ACT Gruppe Effizienz. Innovation. Sicherheit. ACT Gruppe, Rudolf-Diesel-Straße 18, 53859 Niederkassel Telefon: +49 228 97125-0, Fax: +49 228 97125-40 E-Mail: info@actgruppe.de, Internet:

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Befähigen Beherrschen Bestätigen

Befähigen Beherrschen Bestätigen ISO 20000-1:2011 Befähigen Beherrschen Bestätigen ISO/IEC 20000-1:2011 - Der Standard für IT Service Management ISO/IEC 20000-1:2011 ist ein Service Management System (SMS) Standard. Er spezifiziert die

Mehr

1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Management Consulting

1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Management Consulting 1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Consulting Service Strategy Business Relationship der IT Demand Service Portfolio Financial Kundenbeziehungen Strategische

Mehr

IT-Servicemanagement mit ITIL V3

IT-Servicemanagement mit ITIL V3 IT-Servicemanagement mit ITIL V3 Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen von Roland Böttcher 2., aktualisierte Auflage IT-Servicemanagement mit ITIL V3 Böttcher schnell und

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

Peter Hake, Microsoft Technologieberater

Peter Hake, Microsoft Technologieberater Peter Hake, Microsoft Technologieberater Risiken / Sicherheit Autos Verfügbarkeit Richtlinien Service Points Veränderungen Brücken Straßen Bahn Menschen Messe Airport Konsumenten Kennt die IT-Objekte,

Mehr

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Identity Management Service-Orientierung 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Das Extended Enterprise verändert den Umgang mit Identitäten und Sicherheit Mitarbeiter Kunden Lieferanten

Mehr

Einführung des IT-Service-Managements

Einführung des IT-Service-Managements Kassel, ITSMF-Jahreskongress Einführung des IT-Service-s Stadtwerke Düsseldorf Informationsmanagement Realisierung Meilensteine ISO 20000-Pre Assessment, Ausgangsniveau Prozessreife ITIL-Schulungen für

Mehr

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management

Mehr

Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Management

Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Management Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Ort: FH Bonn-Rhein-Sieg, Grantham-Allee 20, 53757 Sankt Augustin Termine: 01.03-02.03.06 täglich 9.00-17.00 Uhr Veranstalter:

Mehr

Quelle: www.roewaplan.de. Stand März 2009

Quelle: www.roewaplan.de. Stand März 2009 Quelle: www.roewaplan.de Stand März 2009 ITIL V2 V3 Bridge Auszug aus der Präsentation vom 06.03.2009 RÖWAPLAN AG 2 Quellen http://www.itil.org/de/ http://de.wikipedia.org http://www.it-processmaps.com/

Mehr

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Frank Reiländer, Berater IT-Sicherheit/Datenschutz IT Security & Risk Management, INFODAS GmbH f.reilaender@infodas.de www.save-infodas.de

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90 ISO/IEC 20000 Eine Einführung Wie alles begann in den 80 & 90 1986 1988 1989 1990 CCTA initiiert ein Programm zur Entwicklung einer allgemein gültigen Vorgehensweise zur Verbesserung der Effizienz und

Mehr

Welche Kompetenzen einer internen IT-Organisation sind relevant in den verschiedenen Phasen des Cloud-Computing-Lifecycles?

Welche Kompetenzen einer internen IT-Organisation sind relevant in den verschiedenen Phasen des Cloud-Computing-Lifecycles? und die IT-Organisation stellt neue Anforderungen an eine IT-Organisation., die auf das der Phasen für Cloud-Services ausgerichtet sind, müssen neu definiert werden. Von Ben Martin, Pricipal Consultant,

Mehr

Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt

Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt it-sa 2012 Identity und Access Management Area Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt Ga-Lam Chang Leiter ISM Solutions g.chang@peak-solution.de

Mehr

Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim

Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim ITIL I undco. Servicekonzepte/IT-Servicemanagement Servicemanagement Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim ITIL I IT Infrastructure Library Entstehung und Definition: Bestehende Best-Practices-Sammlung

Mehr

Inhaltsverzeichnis. Inhaltsverzeichnis

Inhaltsverzeichnis. Inhaltsverzeichnis 1 Qualitätssichernde Prozesse 1 1.1 Was war die alte ISO 9000:1994?... 3 1.2 ISO 9000:2000... 4 1.3 ITIL und ISO 9000: 2000... 10 1.4 Six Sigma (6)... 12 1.4.1 Fachbegriffe unter Six Sigma... 17 1.4.2

Mehr

Company Presentation

Company Presentation Glenfis AG Company Presentation IT Service Management Vom Kennen. Zum Können. Zum Tun. Mit Glenfis vom Kennen, zum Können, zum Tun. Als unabhängiger Berater und akkreditiertes Schulungsunternehmen sind

Mehr

Seminar "Smarte Objekte und smarte Umgebungen" Identity Management

Seminar Smarte Objekte und smarte Umgebungen Identity Management Seminar "Smarte Objekte und smarte Umgebungen" Identity Management Teil1: Einführung und die ideale Sicht Systeme aus der Forschung (Bettina Polasek) Teil2: Die angewandte Sicht - Industrielle Systeme

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet Xpert.press ITIL Das IT-Servicemanagement Framework von Peter Köhler überarbeitet ITIL Köhler schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: SAP Springer

Mehr

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you.

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you. Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002 Manfred Scholz, CISA Manfred.Scholz@sec4you.com Internet Banking aus der Sicht eines Prüfers Anforderungen

Mehr

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung Ihr Partner für das der IT von der Strategie bis zur Lösung Agenda In aller Kürze 1. Tätigkeitsfelder 2. Leistungen 3. Referenzen 4. Unternehmen 2015 2 Lieferanten 1. Tätigkeitsfelder Gestalten Sie die

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

Service Management schrittweise und systematisch umsetzen. Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience

Service Management schrittweise und systematisch umsetzen. Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience Service schrittweise und systematisch umsetzen Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience santix in Kürze santix ist Unternehmensberatung und Lösungsanbieter

Mehr

Change- und Configuration Management

Change- und Configuration Management 12. itsmf Jahreskongress 2012 3./4. Dezember 2012 FUTURE OF ITSM Change- und Configuration Management Praktische Umsetzung COBIT 4.1 und Toolimplementierung 1 Vorgehensweise Prozessimplementierung Die

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

ITIL Foundation Prüfung

ITIL Foundation Prüfung ITIL Foundation Prüfung Musterprüfung A, Version 5.1 Multiple Choice Anweisungen 1. Alle 40 Fragen sollten beantwortet werden. 2. Alle Antworten müssen in einer echten Prüfungssituation auf dem beiliegenden

Mehr

IIBA Austria Chapter Meeting

IIBA Austria Chapter Meeting covalgo consulting GmbH IIBA Austria Chapter Meeting ITIL und Business Analyse 20. März 2012 Dr. Gerd Nanz 1040 Wien, Operngasse 17-21 Agenda Ein Praxisbeispiel Was ist Business Analyse? Was ist ein Service

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Spezifische organisatorische Fähigkeiten : Service-Planung Service-Spezifizierung Planung von IT-Prozessen und organisatorischen Abläufen

Spezifische organisatorische Fähigkeiten : Service-Planung Service-Spezifizierung Planung von IT-Prozessen und organisatorischen Abläufen Spezifische organisatorische Fähigkeiten : Service-Planung Service-Spezifizierung Planung von IT-Prozessen und organisatorischen Abläufen Qualitätsmanagement Anwenderunterstützung Kundenmanagement Management

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

HP Service Manager 7 mit ITSM Implementation Accelerator (IIA) ITIL V3 out of the box?

HP Service Manager 7 mit ITSM Implementation Accelerator (IIA) ITIL V3 out of the box? HP Service Manager 7 mit ITSM Implementation Accelerator (IIA) ITIL V3 out of the box? 04. November 2008 ITC GmbH 2008 Agenda Was bringt der HP Service Manager 7? Überblick SM7 Module Neue / zusätzliche

Mehr

Asset Management für Instandhalter: Alter Wein in neuen Schläuchen?

Asset Management für Instandhalter: Alter Wein in neuen Schläuchen? Asset Management für Instandhalter: Alter Wein in neuen Schläuchen? Prof. Dr. Christoph Heitz Institut für Datenanalyse und Prozessdesign Zürcher Hochschule für Angewandte Wissenschaften Winterthur, Switzerland

Mehr

Networkers AG. Kurzvorstellung

Networkers AG. Kurzvorstellung Kurzvorstellung Kurzvorstellung a d v a n c e d n e t w o r k i n g Die Networkers AG ist Spezialist für die Planung, den Aufbau und den Betrieb sicherer und leistungsfähiger Applikations- und Netzwerkinfrastrukturen.

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

AnyWeb AG 2008 www.anyweb.ch

AnyWeb AG 2008 www.anyweb.ch Agenda - BTO IT heute Was nützt IT dem Business? Die Lösung: HP Software BTO Q&A IT heute Kommunikation zum Business funktioniert schlecht IT denkt und arbeitet in Silos und ist auch so organisiert Kaum

Mehr

MNP: Model zur Implementierung der IT-Prozesse

MNP: Model zur Implementierung der IT-Prozesse Lionel Pilorget MNP: Model zur Implementierung der IT-Prozesse Mit 60 Abbildungen PRAXIS VIEWEG+ TEUBNER 1 Einleitung 1 2 Präsentation der IT-Prozesslandkarte 7 2.1 MIIP IT-Prozesslandkarte 8 2.2 Definition

Mehr

Methoden und Tools zur effizienten Integration in Anwendungen und Geschäftsprozesse

Methoden und Tools zur effizienten Integration in Anwendungen und Geschäftsprozesse Methoden und Tools zur effizienten Integration in Anwendungen und Geschäftsprozesse 04.03.2010 Marc Albrecht marc.albrecht@de.ibm.com 199x / 200x / 201x von der Vision über die Diskussionen zur Realisierung

Mehr

etom enhanced Telecom Operations Map

etom enhanced Telecom Operations Map etom enhanced Telecom Operations Map Eigentümer: Telemanagement-Forum Adressaten: Telekommunikationsunternehmen Ziel: Industrieeigenes Prozessrahmenwerk Verfügbarkeit: gegen Bezahlung, neueste Version

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Vision: ITIL für den Mi1elstand. Dr. Michael Rietz

Vision: ITIL für den Mi1elstand. Dr. Michael Rietz Vision: ITIL für den Mi1elstand Dr. Michael Rietz Bringt ITIL etwas für den Mi1elstand? Gibt es einen Beitrag zu Umsatz? Rentabilität? Neukundengewinnung? Kundenbindung? Mitarbeiterzufriedenheit?... 14.11.12

Mehr

Modul 1: Grundbegriffe und Einführung in ITIL

Modul 1: Grundbegriffe und Einführung in ITIL Modul 1: Grundbegriffe und Einführung in ITIL 1. Was ist ein Service? 2. Was ist ein Asset? 3. Was ist Servicemanagement? 4. Was ist eine Rolle? 5. Was ist ein Service Provider? 6. Was ist ein Prozess?

Mehr

ITSM (BOX & CONSULTING) Christian Hager, MSc

ITSM (BOX & CONSULTING) Christian Hager, MSc ITSM (BOX & CONSULTING) Christian Hager, MSc INHALT Ausgangssituation ITSM Consulting ITSM Box Zentrales Anforderungsmanagement Beispielhafter Zeitplan Nutzen von ITSM Projekten mit R-IT Zusammenfassung

Mehr

SAP BusinessObjects Solutions for Governance, Risk and Compliance

SAP BusinessObjects Solutions for Governance, Risk and Compliance SAP BusinessObjects Solutions for Governance, Risk and Compliance B4: Berechtigungsvergabe datenschutz- und compliancekonform gestalten mit SAP BusinessObjects Access Control und SAP Netweaver Identity

Mehr