User sicher identifizieren - Identity Management in einer ganzheitlichen Betrachtung Autor: Prof. Dr. Dr. Gerd Rossa

Transkript

1 Typisch für technologische Lösungen, die sich in einer stürmischen Entwicklung befinden, ist eine hohe Unschärfe in der Begriffsdefinition sowie ein marketingorientiertes Verbiegen von Definitionen, die seit Jahren eigentlich eindeutig festgelegt sind. Identification: Als Aktion der Zuordnung eines systemweit eindeutigen Namens, einer Nummer oder eines anderen Merkmals (zum Beispiel Biometrie) zu einem Subjekt (Person, Programm ), dass dieses Subjekt eindeutig identifiziert (Action consisting of associating to a subject a name or a number that uniquely identifies him or her). Authentication: Als Aktion der Prüfung, ob ein Subjekt genau ist, was es vorgibt zu sein (Action that check that a subject is actually who he or she pretends to be.) Authorization: Zuordnung eines Rechtes zu einem Subjekt mit einem Objekt bestimmte Operationen auszuführen. (Right of executing an operation by a subject on an objekt). Diese drei Begriffe unter Identity Management zusammen zu fassen, kann nur als Indiz der aktuellen Brisanz der Thematik gewertet erden. Die Funktionen und Begriffe überdecken sich im aktuellen Gebrauch, obwohl das Identity Management sich eigentlich nur auf die Identifikation bezieht. Analog verhält es sich mit dem zweiten technologischen Modewort- Provisioning - was vom Inhalt her nichts anderes als der hinlänglich bekannte Prozess der Authorization ist. Abgesehen von diesem Marketingüberschwang sind diese Bereiche zurzeit eine der wenigen IT- Themen, die sowohl einen nachweisbaren Nutzen als auch eine Erhöhung des Security- Niveaus bewirken können. Im Folgenden werden die oben genannten drei Prozesse (auch der Mode folgend) unter IPM (Identity and Provisioning Management) zusammengefasst behandelt. Bei der Identifikation wird dem User ein eindeutiges Merkmal zugeordnet. Dies muss Semantik sein und (zumindest aus Sicht des Unternehmens) für immer an den User gebunden sein. Diese Anforderung ist nicht unbedingt trivial. Allein die Anforderung an eine einheitliche User- ID ist in vielen Unternehmen und deren IT- Organisation nicht gegeben. Vielfach wird versucht, ein vorhandenes ID- System zu nutzen( zum Beispiel SAP-HR oder Paisy). Hier fangen die Probleme schon an. Es sind nicht alle personalisierten User (zum Beispiel Externe, Lieferanten, ) und erst recht nicht die nichtpersonalisierten User (System, Schulungs- und Test- User) in dem PIM (Personalverwaltungssystem) enthalten. Außerdem gelten für den Ein- und Austritt sowie den Wechsel innerhalb eines Konzernsunternehmens unterschiedliche Regeln. Aus der Sicht der PIM ist ein Wechsel ein Aus- und Neueintritt eines Users. Aus Sicht der IT und erst recht der Internen Revision bleibt es aber derselbe User.

2 Dies, weil er unter Umständen nach dem Wechsel dieselben Aufgaben und damit Rechte hat und die personenbezogene Nachvollziehbarkeit zugegeben sein muss. Also ist für ein Identity- System (IS) eine Dublettenkontrolle und beim Provisioning die Dublettenauflösung erforderlich. Ganz chaotisch wird es für ein IS, wenn ein und derselbe User in mehreren Konzernunternehmen angestellt ist und auch separat abgerechnet wird. Dann ist er eine sogenannte Echte Dublette, die durch das IS wiederum anders zu behandeln ist. Ebenso sind längere zeitweise Abwesenheiten (Schwangerschaft, Militärdienst) aus Sicht des PIM ununterbrochene Anstellungen. Aus Sicht der Rechteverwaltung ist es aber ein Austritt, für den eine Regel gefunden werden muss, aus der das IPM ersieht, dass dieser User zu sperren ist. Diese wenigen Beispiele zeigen deutlich, welche grundlegende und eigentlich primitive Funktion ein IS in einem Unternehmen zu erfüllen hat. Einheitliche Verwaltungs- ID Die einzig sinnvolle Lösung ist ein völlig semantikfreies ID- System (in der Regel eine laufende Nummer). Diese Verwaltungs- ID ist nur an die Person (bzw. die Subjekte) gebunden und wird dann durch das IPM mit den jeweiligen systembezogenen User- ID referenziert. Auf diese Weise ist das System der User- Identifikation offen für alle Erweiterungen. Wenn ein neues Unternehmen dazukommt, können diese User für ihre alten Systeme alle Logon- Daten behalten. Wenn diese dann in dem zentralen System mit der Verwaltungs- ID referenziert wurden, ist die Identität des Users gegeben (Abbildung 1) Einheitliche Verwaltungs- ID User Verwaltungs- ID SAP- Personal- ID LAN- ID AIX- ID Host- ID 1 Host- ID 2 Attribute: - Status - Datum Status von - Datum Status bis - Struktureinheit - Tätigkeit - Abb. 1: Prinzip der Referenzierung der System- User- ID mit einheitlichen Verwaltung- ID

3 Biometrie und Identity- Management Seit diversen Jahren haben biometrische Identifikations- Systeme einen festen Platz in viele Unternehmen mit sicherheitsrelevanten IT- Ressourcen, besonders zu sichernden Datenbeständen und Räumlichkeiten wie Serverräumen. Mit der Weiterentwicklung dieser Technologie kamen die Devices auch in preislich relevante Bereiche für einen breiteren Einsatz bis hin zum Arbeitsplatz. Genau genommen ist die biometrische Identifikation das Verfahren, dass eindeutig die Identität eines Users bestätigt. Mit dieser Entwicklung kamen auch die deutschen Bedenkenträger insbesondere aus dem Bereich des Datenschutzes auf den Plan, die schon im prophylaktischen Vorgriff dagegen waren. Dies allerdings ohne offensichtlich die Technologie intern evaluiert zu haben und vor allem nicht im Ansatz versucht zu haben, die Vorteile auch in Richtung Datenschutz zu erkunden. Die Möglichkeit, eindeutig die Identität einer Person zu bestimmen, ohne das Hinzuziehen von Hilfsdaten wie Bild, Name, Vorname, Geburtsdatum, Adresse und in Österreich in offiziellen Dokumenten zum Beispiel immer noch die Namen von Vater und Mutter, sollte doch eigentlich die Datenschützer begeistern. Mit Hilfe biometrischer Identifikationsdaten kann auf der Basis der jetzt verfügbaren Technologien einfach, sicher und kostengünstig die Authentifizierung eines Users vorgenommen werden. Damit werden auch zusammen mit einem geeigneten SSO (Single Sign On) die verschiedensten Passworte überflüssig. Digitale Signatur und andere sekundäre Identifikationsmittel Im Ergebnis der Erkenntnis, dass es notwendig ist, nicht nur die Authentifikationen und Autorisierungen eines Users verwalten zu können, sondern diese auch auf eine einzige Identität zu beziehen, stehen weitere Verfahren und Mittel zu Nutzung bereit. Die digitalen Signaturen gelangen zumindest in Unternehmen zu einer gewissen Einsatzbreite. Das Hemmnis besteht derzeit noch darin, dass eine zusätzliche Verwaltung (PKI) erforderlich ist und das gesamte System doch recht kostenintensiv ist, zumindest, wenn die Signaturen gesetzeskonform sein sollen. Zusätzlich ist weiter Hardware am Arbeitsplatz erforderlich. Wenn der Einsatz der Signatur als Ident- Mittel geplant ist, sollte das Konzept aber in Richtung einer CompanyCard bis zur Kantine und Parkberechtigung enthält. Die CompanyCard für Authentifizierung an IT- Systemen macht jedoch eine duale Authentifikation erforderlich (Abbildung 2).

4 Abb. 2: Authentifikation werden stets durch einen sogenannten Auth- Server realisiert, wie diese Grafik verdeutlicht. Einfachere aber genauso sichere Lösungen sind zum Beispiel durch das Security- Token möglich, das auch als sehr kostengünstige Softwarelösung bereit steht. Diese Lösung sollte dann in Betracht gezogen werden, wenn keine Signierungen nach außen (elektronische Unterzeichnung von Dokumenten) erforderlich sind. In beiden Fällen werden alle Authentifikationen durch einen Auth- Server(s. Abb. 2) realisiert. Nach diesem Prinzip des Zentralen Auth- Servers arbeiten alle derzeit propagierten Verfahren und Standards (RSA- Token, SAML, Liberty- Alliance und MS-Passport). ROI Betrachtung zum IPM Software wird unter dem aktuellen Trend beziehungsweise Zwang zur Kostenreduzierung zunehmend danach bewertet, welchen Beitrag sie zur Kostensenkung leistet. Dies betrifft auch und insbesondere Systeme, die sich vordergründiger IT- Security widmen. Diese Tendenz erfordert ein erweitertes Blickfeld hin zu Security- Aspekten in den Geschäftsprozessen des Unternehmens und generiert eine neue IT- Security- Doktrin: Die Business Process Security verbindet erhöhte direkte Sicherheit mit der Reorganisation und Rationalisierung von Geschäftsprozessen, die diesen Bereich tangieren.

5 Die direkte Security erhöht sich durch den Einsatz eines IPM alleine dadurch beträchtlich, dass jeder User nur die Berechtigungen erhält, die er real benötigt. Ein leitungsfähiges IPM Abb. 3: Darstellung der verschiedenen Komponenten, die an ein zentrales Usermanagement angebunden werden können, um ein leistungsfähiges IPM zu bilden Der Prozess- Nutzen Die Ordnung und Nachvollziehbarkeit in den Geschäftsprozessen ermöglicht deutliche Kosteneinsparungen und erhöht gleichzeitig das Security- Niveau. Security- Maßnahmen mit nachweisbarem Prozess- Nutzen haben einen hohen Stellenwert in der Investitionsplanung. Da die Einführung einer zentralen Nutzverwaltung mit Berechtigungsvergabe in fast allen Fällen eine Neuordnung diverser Prozessabläufe erfordert, die dann genauer strukturiert und gestrafft werden, ergeben sich hier geordnete beziehungsweise verbesserte Geschäftsprozesse. Dies betrifft vor allem Bereiche der Personalverwaltung, da dies in der Regel Daten-liefernde Systeme sind, sowie Bereiche, die die benötigten Organisationsdaten (Aufbauorganisation, Standorte, Kostenstellen, Leiter, Stellvertreter usw.) verwalten.

6 Berechtigungen eines Mitarbeiters 100% Anknüpfung von Rechten durch Abteilungswechsel Kontrolle und Entfernung eines unnötigen Rechtes Zuteilung eines Rechtes 0% Zeit Abb. 4:Die Anzahl der Berechtigungen und die Kosten stehen im Zusammenhang Synergetischer Nutzen Je mehr einzelne Komponenten im Rahmen eines Gesamtkonzeptes zusammenspielen, umso geringer ist der Aufwand zur Implementierung der einzelnen Komponenten. Wenn ein IPM implementiert ist, sind bis auf das Passwort alle erforderlichen Informationen vorhanden, um ein Single Sign- On (SSO) aufzusetzen. Ein anderer Effekt ist durch die Anbindung von Fremdsystemen wie Lizenzmanagement, IT- Asset- Management, Software- Verteilung und das Triggern einer PKI erreichbar. Alle diese Systeme verwalten auch User und deren Ressourcen. Wenn diese Systeme die Bewegungsdaten von einem zentralen User- Management erhalten, wird der wesentlichste Teil der Pflege dieser Systeme automatisiert ablaufen. Ein weiterer Nutzen ist durch die Integration von Directory- Systemen zu realisieren (zu einem Vergleich der verschiedenen Basistechnologien von IPM sie auch Cube.de). Die Integration von LDAP, NDS oder AD erweitert wiederum die Möglichkeiten der Kosteneinsparung.

7 Vorher nicht zu realisierende Funktionen werden erst durch ein IPM in Verbindung mit einem integrierten Workflow-System ermöglicht, das sich auf ein leistungsfähiges Organisations- und Rollenmodell stützt. Nutzen neuer Funktionalitäten Dann können durch die Attribut- Referenzierung von Rollen vollautomatische Prozesse der Berechtigungsvergabe realisiert werden. Dies bedeutet, dass kein Admin tätig werden muss, um einen neuen Mitarbeiter alle seine Berechtigungen zuzuteilen, die er benötigt, um arbeiten zu können und dies dann auch noch gleich am ersten Tag. Sinnvoll und Aufwand reduzierend sind folgende Prozesse, wenn diese zumindest teil- automatisiert ablaufen: Vollautomatische Berechtigungsvergabe bei Neutritt eines Mitarbeiters Antrag von Berechtigten über Rollen Automatische Bearbeitung der Berechtigungen beim Wechsel der Tätigkeit/ Rollen Mitarbeiteraustrittverfahren Rollenbasierte Steuerung von Zutrittsberechtigungen Antragsverfahren für Arbeitsplatzwechsel Wichtig ist in diesem Zusammenhang, dass der größte direkt nachweisbare Nutzen eines IPM mit der Einführung dieser (automatischen) Prozesse zu erreichen ist. Ein ROI- Kalkulator für IPM mit Berücksichtigung einer rollenbasierten User- und Berechtigungsverwaltung und Best Practice Antragsverfahren kann beim Autor angefordert werden. Die Komponenten des IPM 12% 10% 8% 10% Zentrales User Management als EAI Single Sign-On Einsatz Workflowsystem Automatisierte Adminfunktion 13% 14% 33% Rollenbasierte Kompetenzvergabe Verwaltung aller Appliklationen Keine Nacharbeiten bei Admin Abb. 5: Anteiliger Nutzen einzelner Komponenten eines IPM

8 Single Sign-On im Zusammenwirken mit Identity- Management Die Notwendigkeit, sich mit dem Thema Single Sign-On zu beschäftigen, ergibt sich einerseits aus dem Aspekt der Sicherheitsanforderungen heraus und der Benutzbarkeit der verschiedensten Systeme und Anwendungen mit jeweils eigener Berechtigungsverwaltung. In einer solchen Systemvielfalt, die sich in den meisten Unternehmen sehr schnell ermitteln lässt, hat ein Nutzer in der Regel 3-6 verschiedene Anmeldungsprozeduren mit differenzierten Parametern (User- ID und PW) den Vorschriften entsprechend, im Kopf zu haben. Da dies sehr schnell unhandlich wird, greift der User zu Hilfsmitteln, die in der Regel gegen die Security- Richtlinien verstoßen. Ein weiteres negatives Ergebnis dieser Systemlandschaft lässt sich jeden Montag nach längerer Abwesenheit (Urlaub, Krankheit) im UHD (User- Help- Desk) verfolgen, wenn die Zahl der Passwort- Rücksetz- Anforderungen merklich ansteigt. Es besteht in der Regel die Vorgabe, in einer bestehenden heterogenen Umgebung von LAN auf Basis win 200/AD und NT über Unix und Host möglichst alle wesentlichen Anwendungen in einem SSO-Destop zusammenzufassen. Das System muss in einer Terminal- Server- Umgebung nutzbar sein, Funktionen eines Applictions Launchers besitzen, IKS (Internes Kontroll- System)- Funktionen wie das Vier- Augen- Prinzip und die Weiterleitung unterstützen und diverse Zusatzfunktionen wie schnellen Userwechsel, Dateiverschlüsselung und personalisiertes SSO realisieren. Die SSO- Funktionalität muss auch zur Verfügung stehen, wenn der jeweilige Client nicht mit dem SSO- Server bzw. dem Netz verbunden ist. Letzteres ist erforderlich. Aus dieser Sicht heraus, muss der SSO- Client die jeweiligen Systemumgebungen erkennen und separat darstellen. Weiterhin ist die Bereitstellung verschiedener Technologien zur Realisierung der automatischen Interaction des SSO- Systems mit der jeweiligen Applikation erforderlich, um eine möglichst breite Palette von Anwendungen zu integrieren. Dies wird als horizontale Integrationsfähigkeit bezeichnet. Neben dieser primären SSO- Funktionalität gehören sekundäre Funktionen zu einer kompletten SSO- Lösung: Gesichertes LogOn (am besten biometrisch) Reconnect- Funktion User- Selbst- Registrierung/PW- Anlernen Passwort- Management Lokales Profil mit system- individueller Gültigkeit Mehrserversystem mit automatischer Replikation Unverzichtbar ist eine Integration der Verwaltungsfunktionen in ein IPM, da eine nur für das SSO erforderliche Userverwaltung unakzeptabel ist. Dies ist ein Problem bei den angeflanschten SSO- Systemen (Sun, Novell, )

9 Marktprognose Nach Frost & Sullivan (Jose Lopez 2003) wird den bereich Identity Management im Sinne der Benutzer- und Berechtigungsverwaltung für Europa eine Steigerung von 250 Millionen Euro für 2006 gesehen. Lopez sieht in einem solchen System die Komponenten: Bereitstellung und Aktualisierung der Nutzerdaten Den Prozess der Authentifizierung und Die Autorisierung Also die wesentlichen Komponenten eines IPM. Speziell gehören dazu (digitale) Zertifikate, Authentifikation für den Webzugang und das Provisioning. Nicht enthalten sind in dieser Studie die Ertragsmöglichkeiten durch ein SSO, ein Antragsverfahren, Entry- Management und andere. Laut Giga Group liegen die Unterschiede zwischen den Herstellern in der Intensität, wie Anbieter Workflow- Komponenten in die Tools einbauen, wie sie helfen, Rollen von Benutzern zu definieren und wie sie in der Lage sind, Directory Services einzubinden. Derzeit ist zu beobachten, sich die Anbieter von Systemen des Identity- Managements, Provisioning, SSO sowie der Organisations- und Rollenmodellierung samt Antragsverfahren am europäischen und internationalen Markt konsolidieren. Business Layers ist gerade von Netegrity gekauft worden, Sun hat Waveset übernommen und Access 360 ist bei IBM gelandet. SAP hatte sich offensichtlich auch um Business Layers bemüht, aber gegenüber Negegrity wohl den Kürzeren gezogen. Dasselbe war mit BMC und Business Layers zu beobachten. Beta Systems hat von der insolventen Systor das in die Jahre gekommene Provisioning System SAM samt Mannschaft (und Kunden) übernommen. Aus dieser Entwicklung ist zumindest eins ersichtlich, dass die betreffenden Unternehmen zu der Erkenntnis gekommen sind, dass die Funktionalitäten eines Identity- Managements nicht recht vom Provisioning zu trennen sind und dieses wiederum ein leistungsfähiges Organisations- und Rollenmodell erfordert. Der Bull- Ableger Evidian hat zwar ein leistungsfähiges Single Sign-on im Angebot, kann dies aber schlecht placieren, da nur eine rudimentäre Nutzerverwaltung vorhanden ist. Sun und auch Netegrifty haben sich mit ihren Einkäufen sinnvoll funktionell ergänzen wollen. Ganz deutlich wird aus diesen Fakten, dass diese Integrations- Problematik am Markt eine zunehmende Bedeutung gewonnen hat und vor allem auf einen einheitlichen IPM- Ansatz orientiert, der jedoch von den wenigsten Anbietern

10 realisiert wurde. Ein weiteres Produkt in diesem Umfeld ist bi-cube, das auf einem einheitlichen konzeptuellen Ansatz beruht und eine große funktionelle Breite bietet. Erfahrungen aus realisierten Projekten Durch den Einsatz eines IPM mit automatisierten Vergabeprozessen in Unternehmen von 500 bis zu Usern konnte folgender Nutzen erreicht werden: Massive Verringerung des Aufwandes in der Administration Weniger personal im UHD erforderlich (ca. 35%) Deutliche Verringerung der opportunity costs (Bereitstellung von 14 tagen auf 1 Tag) Weniger Ausfälle von Arbeitszeit durch IT (Verringerung 45%) Verringerung der Lizenzkosten für Software Einfaches und flaches Active Directory mit geringerem Änderungsaufwand (Adminaufwand um 70% reduziert) Verringerte Migrationskosten ins ADS/ win 2000 (um 60%) ROI von unter 2 Jahren Zusammenfassung Ein IPM ist ein wirksames Mittel, um die User- und Berechtigungsverwaltung organisatorisch zu ordnen, die Security zu erhöhen und gleichzeitig merkliche Kosten- und Personaleinsparungen zu realisieren. Eine Grundvoraussetzung ist allerdings die Entscheidung für ein Tool, das größtmögliche Offenheit auf verschiedenen Ebenen eines einheitlichen Konzepts und funktionelle Breite bietet. Bei dieser Gelegenheit wird an vielen Stellen Ordnung in die Prozesse gebracht, eine Notwendigkeit, die dem Management zwar immer geläufig war, aber selten angefasst wurde.

11 Weitere Fragen oder Informationen zu diesem Thema? Lesen Sie auch folgende Dokumente des ism: Evaluierungskriterien für den Einsatz einer Identity Management Lösung Checkliste zur Reife eines Identity & Provisioning Managements Konzept zur Erstellung eines Rollenmodells auf Basis der Berechtigungsstruktur Unsere Kompetenzen : Identity Management Provisioning Process Management Rollenmodellierung Single Sign-On Gerne beantworten wir jederzeit Ihre Fragen. Überzeugen Sie sich selbst von unseren Lösungen und unserem Know-how auf unserer Webseite: