Identity Management



Irrtümer über IdM und seine Komponenten

 

1. „Jeder IT-Mitarbeiter kann das IdM-Projekt leiten!“

Die Einführung eines IdM-Systems (SIAM) ist ein hochkomplexes Projekt:

  • IT und Fachbereich definieren gemeinsam neue Verfahren, um Accounts und Berechtigungen einfacher zu verwalten.
  • IT und Revision definieren Auditverfahren.
  • Viele unterschiedliche Applikationen werden mit ihren Benutzerverwaltungen in das IdM integriert.

Um diese Prozesse leiten zu können, muss der Projektleiter des Kunden das Unternehmen inklusive seiner Organisation intensiv kennen. Er muss eine Vorstellung davon haben, wie die einzelnen Applikationen verwaltet werden, und sollte in der Lage sein, Sprachbarrieren zwischen IT und Fachabteilungen abzubauen.

2. „Unsere Sicherheitslücken sind durch Security Software gestopftt!“

Ohne Zweifel sind Virenscanner oder Firewall wichtige Elemente der IT-Security. Aber sie helfen nicht, wenn es um Lücken im Authorisierungsmanagement (Zugangs- und Zugriffssteuerung) geht. Die Praxis zeigt aber, dass gerade im AD in der Regel ¼ aller Einträge (Accounts und Berechtigungen) fehlerhaft sind und die ideale Angriffsfläche für Datenmissbrauch, auch von internen Mitarbeitern, bilden. Führt dann eine Sicherheitslücke zum Schadensfall, ist das Unternehmen haftbar.

3. „Missbrauch finde ich, indem ich ungenutzte Accounts suche!“

Ein gefährlicher Trugschluss, der nur für Nicht-ITler beruhigend wirkt, denn: Accounts, deren Status „unbenutzt“ sind, werden im Moment nicht missbraucht (trotzdem sollten sie entfernt werden!). Accounts, die missbraucht werden, sind dagegen aktiv!

4. „Wer LDAP einsetzt, hat IdM bereits im Griff!“

Ein System, das LDAP als Protokoll nutzt, kann die Authentisierung (Anmeldung) oder ein zentrales Repository für Identitätsdaten darstellen. Ein SIAM (Secure Identity & Access Management) bietet dagegen zusätzlich

  • ein Workflowmanagement-System (Anträge, Freigabe, etc.),
  • eine solide Regel-Engine mit erweitertem Busninessrollenmanagement,
  • eine Audit-Funktionalität mit Historisierung (reine Directory-basierende Systeme können das nicht).

Außerdem fehlt dem LDAP die hochintegrative Systemanbindung zur Provisionierung anderer Systeme.

5. „Account-Informationen mit dem Directory austauschen reicht!“

Die Konsolidierung der Benutzersteuerung, beispielsweise mit einem Active Directory, reicht nicht. So bleibt die Prozessteuerung (Workflowmanagement) unberücksichtigt und es werden nur Teilbereiche (einzelne Systeme) der Berechtigungsvergabe abgedeckt. Dem Active Directory fehlen Audit, Business-Rollenmanagement und eine hochintegrative Systemanbindung zur Provisionierung anderer Systeme.

6. „Eine Zentralisierung der Systemadministration ist ein Gewinn!“

Sicherlich ist die Zentralisierung von Services ein Gewinn – schon allein um die ITIL-Funktionen Incident-, Change- und Demand Management zu erfüllen. Aber ein SPOC (single point of contract) besitzt nur reaktive Funktion, d.h. er reagiert nur auf Bestellungen. Eines der größten Probleme im IT-Security-Management stellen aber die fehlenden Abbestellung von Berechtigungen dar. Ein IdM (SIAM-)-System ist dagegen in der Lage, auch den Entzug zu unterstützen.

7. „IdM ist SSO, und SSO einzuführen ist eine ‚low hanging fruit‘.“

Single Sign-On ist nur eine Teilkomponente eines IdM- (SIAM-) Frameworks. Es vereinfacht NUR die Authentisierung der Anwender und bietet ein rudimentäres Password-Management. Die Erstinstallation ist zwar überschaubar, die notwendige Managementkomponente („Wer darf SSO nutzen?“, „Welche Applikationen darf welcher User nutzen?“, etc.) ist dagegen schon aufwändiger. Darüber hinaus ist eine Zwei-Faktor-Authentisierung, z.B. per Smartcard, kaum zu umgehen, weil ein mögliches Ausspähen eines SSO-Passwortes unter Umständen den Komplettzugang ermöglichen würde. Dann stehen aber die hohen Lizenzkosten meist in keinem Verhältnis zum Nutzen. Ein echtes „Single Sign-On“ lässt sich oft aufgrund der technischen Komplexität der vielfältigen Systeme (AD, LINUX, HOST, SAP, Mobile Devices, Web-Applikationen, gehostete Systeme) und der Masse der Systeme schwer bis gar nicht erreichen.

8. „Ein ‚Webshop‘ liefert ein IdM!“

Dies denken viele – dabei vergessen Sie, dass sich der Webshop nicht für die Aberkennung von Rechten eignet. Die Praxis zeigt aber: Auch mit den besten Richtlinien lässt sich nicht garantieren, dass sich der verantwortliche Fachbereich um die Aberkennung der Rechte kümmert. IdM-Systeme arbeiten dagegen präventiv und verlässlich.