Identity & Access Management (I&AM) ist ein maßgeblicher Enabler der Digitalisierung – das reine Zuweisen von Berechtigungen war gestern. IT-Tools sind bereits heute elementare Voraussetzung für Geschäftsprozesse in Unternehmen. Die Menge geschäftskritischer Daten steigt rapide an und unterliegt zudem laufend Veränderungen. Die Kernaufgabe des I&AM, der Schutz von Zugriffsberechtigungen auf Daten, gewinnt somit ebenso an Bedeutung wie die Sicherstellung der Arbeitsfähigkeit von Mitarbeitern durch die effiziente und intelligente Zuweisung von IT-Berechtigungen. Gefördert durch diese Entwicklung, nimmt das I&AM eine exponierte Stellung in Bezug auf den nachhaltigen Unternehmenserfolg ein. Um dieser Bedeutung gerecht zu werden, sind regulatorische und prozessuale Einflüsse sowie deren Veränderungen zu berücksichtigen. Aufgrund dieser Komplexität müssen bestehende I&AM-Ansätze in vielen Unternehmen grundlegend überdacht und durch einen modernen und flexibleren Ansatz abgelöst werden.
Gartner hat im Jahr 2017 die folgenden fünf Trends für das zukünftige I&AM identifiziert:
Fünf Gartner-Trends im Bereich I&AM
Horváth & Partners hat bereits zahlreiche Projekte im Bereich I&AM erfolgreich begleitet und erklärt auf Basis dieser Expertise im Folgenden, was die Trends für die Praxis bedeuten.
Erweiterung des I&AM Scopes durch Digitalisierung
Im Zeitalter der Digitalisierung ist der Einsatz von IT-Systemen eine grundlegende Voraussetzung für effiziente Geschäftsprozesse – eine klare Trennung zwischen IT und Fachbereich existiert nicht mehr. Neben dem Effizienzgedanken müssen auch erfolgskritische Geschäftsdaten geschützt werden. Ein modernes I&AM muss demnach eng mit den operativen Geschäftsprozessen verbunden sein. Denn nur wenn sich fachliche Aufgaben auch in IT-Berechtigungen wiederfinden, ist es möglich, die Fachbereiche schnell mit den richtigen Zugriffsrechten zu versorgen. Gelingt dies, werden sowohl die Arbeitsfähigkeit der Mitarbeiter gesichert und Opportunitätskosten gesenkt als auch gefährliche Überberechtigungen vermieden.
Neue Anforderungen durch die Fachbereiche
Eine stärkere Verbindung zwischen Fachbereich und IT wird mittels eines ganzheitlichen Businessrollenansatzes hergestellt. Businessrollen bilden dabei prozessspezifische und aufgabenbasierte Funktionen ab, die Mitarbeiter innerhalb eines Unternehmens an ihrem Arbeitsplatz einnehmen. Den Businessrollen werden Rollen aus mehreren Applikationen zugeordnet, um Aufgaben durchgängig über verschiedene Applikationen hinweg bearbeiten zu können. Eine Möglichkeit zur Strukturierung von Businessrollen ist die Prozessorientierung – entlang der unternehmensspezifischen Prozesse werden relevante Aufgaben bzw. die dazu notwendigen Applikationsrollen in einer Businessrolle gebündelt, um Mitarbeiter dann im besten Fall mit nur einer Businessrolle vollständig arbeitsfähig zu machen.
Zusammenspiel von Business- und Applikationsrollen am Beispiel eine IT-Mitarbeiters
Die gesteigerte Effizienz und Nutzerfreundlichkeit, die fachlich orientierte Businessrollen mit sich bringen, motiviert Fachbereiche, sich aktiv mit der Thematik I&AM auseinanderzusetzen. Im Gegensatz zu klassischen I&AM–Ansätzen, welche die Verantwortung für den Zugang und Zugriff auf Applikationen ausschließlich im IT-Bereich verorten und dem Fachbereich dessen Vorstellung eines Rollen- und Rechtemanagements aufzwingen, wird der Fachbereich durch die Nutzung von Businessrollen aktiv in die Gestaltung des I&AM eingebunden. Dieses Mitgestaltungsrecht wirkt sich positiv auf die Akzeptanz des einzuführenden Systems aus.
Der Einsatz von Businessrollen steigert neben der Motivation der eingebundenen Fachbereiche auch die Effizienz und Transparenz des I&AM–Systems. Durch die Nutzung von Businessrollen wird es dem Mitarbeiter ermöglicht, schneller und leichter Zugriff auf die für seinen Arbeitsplatz benötigten Systeme, Programme oder Applikationen des Unternehmens zu erhalten. Auch im Falle eines Abteilungswechsels des Mitarbeiters oder einer Umstrukturierung des Unternehmens und seinen Geschäftsprozessen ist es leichter, einzelne Businessrollen pro Mitarbeiter zu entfernen, anstelle dem Angestellten unzählige Einzelrechte zu entziehen.
Prozessuale Standards als Basis für ein effizientes I&AM
Eine Studie des unabhängigen Marktforschungsunternehmens Ovum im Jahr 2014 ergab, dass Unternehmen weltweit in Summe 6,7 Mrd. Dollar pro Jahr für I&AM ausgeben. Die Digitalisierung muss finanziert werden – deshalb steigt der Kostensenkungsdruck auch für I&AM und eine maximale Automatisierung ist zwingend erforderlich.
Die Zugriffe auf IT-Systeme und Daten müssen unter Berücksichtigung aller geltenden Compliance-Anforderungen effizient und dynamisch gesteuert werden. Ein gut designtes I&AM kann durch die Erhöhung der Prozesseffizienz und die gleichzeitige Reduktion des Administrationsaufwands einen enormen Mehrwert schaffen. Hierzu muss mittels Automatisierung und intelligenter Policies der Beantragungsprozess von Berechtigungen schneller und sicherer gestaltet werden. Zur Beschleunigung tragen insbesondere dynamisch ermittelte und per Workflow eingeholte Freigaben bei. Für zusätzliche Sicherheit sorgt die automatische Prüfung von kritischen Berechtigungskombinationen auf User-Ebene, die verbotene Kombinationen noch vor der Zuweisung ausschließt. Die Zentralisierung der I&AM-Prozesse ermöglicht zudem eine durchgängige und vollständige Dokumentation der Berechtigungsdaten – also genau das, was die Prüfer fordern.
Die typischen Kritikpunkte von Endanwendern hinsichtlich umständlicher Beantragungsprozesse über mehrere Tools und Medien hinweg, nicht sprechender Berechtigungsbeschreibungen oder auch langer Wartezeiten durch träge Freigabe- und Zuweisungsprozesse werden durch ein zentrales I&AM vollständig aufgelöst. Darüber hinaus leistet die Verbesserung der Usability auch einen nicht zu unterschätzenden Beitrag zur Erhöhung der Compliance. Durch Unklarheiten bei der Antragsstellung und Unwissenheit bei der Genehmigung entsteht ein erhebliches Risiko, dass zu viele und zu umfangreiche Berechtigungen vergeben werden.
Im Freigabeprozess kann mithilfe eines umfangreichen Regelwerkes und adäquaten Verantwortlichkeiten für zusätzliche Sicherheit gesorgt werden. Die Herausforderung liegt in der Identifikation der relevanten Prozessakteure sowie Etablierung der neuen Verantwortlichkeiten. Zu Beginn eines I&AM-Projekts sind die Verantwortlichen zunächst damit konfrontiert, ein umfassendes Bild über die aktuellen Berechtigungsmanagementprozesse zu erhalten. Aufgrund der oft dezentralen Prozesse existieren meist unterschiedliche Dokumentationsstände (Qualität der Berechtigungskonzepte; Aktualität und Vollständigkeit; Grad der Automatisierung). Bereinigt man diese Schiefstände nicht vor Übernahme in das I&AM, riskiert man Doppelaufwände und wiederkehrende Beanstandungen von internen und externen Prüfern, die dann wieder kosten- und ressourcenintensiv aufgelöst werden müssen. Kurz gesagt: Die Überführung des Status quo manifestiert die Mängel im Berechtigungswesen und die Compliance-Anforderungen werden am Ende nicht vollständig erfüllt!
Werden hingegen die Ergebnisse der initialen Analyse und Bereinigung berücksichtigt und die Compliance-Vorgaben, wie zum Beispiel die regelmäßige Rezertifizierung der Berechtigungsdokumentation und -vergabe, mittels nachhaltiger und automatisierter Prozesse sichergestellt, können sich die anfangs sicherlich sehr hoch erscheinenden Investitionskosten für eine I&AM-Implementierung schon nach drei bis fünf Jahren komplett amortisiert haben.
I&AM as a Service als neue „Wunderwaffe“
Den Trend Identity & Access Management as a Service (IDaaS), also eine Cloud-basierte I&AM-Lösung, haben viele Anbieter von I&AM Softwarelösungen erkannt und bieten den Kunden IDaaS entweder als zusätzliche oder gar als einzige Lösung an. Gartner erwartet laut einer Studie (Magic Quadrant for IDaaS) aus dem Jahr 2016 sogar einen Anstieg des Marktanteils von IDaaS Lösungen von 20 Prozent auf 40 Prozent bis zum Jahr 2020.
Viele Unternehmen entscheiden sich inzwischen dafür, einen Großteil ihrer IT-Systeme auf der Basis kostengünstiger Cloud-Anbieter zu implementieren. Die Vorteile der sehr geringen Implementierungskosten, der konzernweiten Einsetzbarkeit per Web-Interface auch mit Partnerunternehmen, die Single-Sign-On-Funktionalität und die Erreichbarkeit über mobile Endgeräte klingen vielversprechend, setzen jedoch auch einige Abstriche – insbesondere im Compliance-Bereich – auf Kundenseite voraus. So sind Anpassungen an Freigabe-Workflows, die automatische Anbindung von intern betriebenen Applikationen über Konnektoren oder besondere Anforderungen an das Audit-Logging deutlich eingeschränkt. Die heutigen IDaaS-Lösungen bieten aber einen klaren Mehrwert, wenn es um die Anbindung von Standardapplikationen wie Mail- und Office-Anwendungen, Social Media und Laufwerke geht.
Für Unternehmen mit eher geringen Compliance-Anforderungen und einer homogenen Systemlandschaft kann IDaaS aus unserer Sicht schon heute eine sehr interessante Komplettlösung darstellen. Für den Großteil der Unternehmen sehen wir IDaaS als Ergänzung zu einer konventionellen I&AM-Lösung, um Standardapplikationen über viele Endgeräte konzernweit zugänglich zu machen.
Intelligentes Management von privilegierten Berechtigungen
Der im Finanzsektor herrschende Druck von außen ist bekannt – somit stehen auch die I&AM-Lösungen der Banken im besonderen Fokus der Aufsicht. Das Kernthema jeder Prüfung nach §44 KWG sieht im Berechtigungsmanagement einen ihrer Schwerpunkte.
Aber auch außerhalb des Bankensektors existieren auf nationaler und internationaler Ebene eine Vielzahl gesetzlicher und aufsichtsrechtlicher Vorgaben (z. B. ISO 27001 und 27002, Sarbanes Oxley Act, KonTraG, BDSG und GoBS). Aus diesen lassen sich verpflichtende Anforderungen an das Management von privilegierten Berechtigungen (PAM) und Benutzern ableiten. Eine privilegierte Berechtigung umfasst dabei ein Zugriffsrecht auf bestimmte Applikationen und Infrastrukturen, mit denen ein Benutzer (personifiziert oder nicht personifiziert) in IT-Systemen Änderungen an grundlegenden Konfigurationseinstellungen durchführen und die Verwaltung und den Betrieb steuern kann. Zudem befähigen sie den jeweiligen Rechteinhaber – egal ob IT-Administrator, Business User oder Technischer User, welcher durch eine interaktive Anmeldung als anonymes Sammelkonto benutzt werden kann – definierte Prozesse und Verfahren zu umgehen.
Darstellung von zu kontrollierenden Aktivitäten eines privilegierten Bereichs
Das PAM umfasst die Administration (Berechtigungsvergabe, -pflege, -entzug sowie Rezertifizierung) sowie die Überwachung (Protokollierung, Überprüfung und Einleitung von Maßnahmen) von kritischen Aktionen der privilegierten Berechtigungen und Benutzer.
PAM-Gesamtprozess mit den jeweiligen Zielen und Prozessakteuren
Um PAM im Unternehmen aufbauen zu können, benötigt es zum einen eine entsprechende Organisation und zum anderen die passende IT-Unterstützung. Die IT-Lösungen umfassen einen schlanken Antragsprozess, die Verwahrung der Passwörter in einem gesicherten Bereich sowie eine umfangreiche Protokollierung der Aktivitäten und deren Auswertung. Nur durch eine vollständige Nachvollziehbarkeit aller Aktivitäten kann eine PAM-Lösung die externen Prüfer zufriedenstellen.
Fazit: Ein modernes I&AM ist eine zwingende Voraussetzung für Unternehmen
Um mit den aktuellen Entwicklungen Schritt zu halten und wettbewerbsfähig zu bleiben, müssen sich Unternehmen mit den I&AM-Trends auseinandersetzen. Individuelle Handlungsfelder müssen identifiziert und unternehmensspezifisch bewertet werden, um die Grundlage für die Digitalisierung von Prozessen und Geschäftsmodellen sicher zu ermöglichen. Aus der Sicht von Horváth & Partners müssen Software-Anbieter das Cloud-basierte I&AM, kurz IDaaS, noch um einige Compliance Features erweitern, um gegenüber den konventionellen I&AM-Lösungen eine echte Alternative darstellen zu können. Die steigenden regulatorischen Anforderungen bringen verpflichtende Maßnahmen zum Management von privilegierten Berechtigungen mit sich, wodurch die notwendige Beweispflicht gegenüber den Prüfern nur noch mittels Automatisierung sichergestellt werden kann. Setzen Unternehmen diese Anforderungen richtig um, werden sie mit gesteigerter Prozesseffizienz und verbesserter Datensicherheit belohnt. Gelingt zusätzlich die Einbindung des Fachbereichs durch fachlich orientierte Businessrollen, sind sie im Bereich I&AM auf der Höhe der Zeit. Ein entscheidender Faktor für eine erfolgreiche I&AM-Implementierung ist ein erfahrener Partner, der beim Spagat zwischen Effizienz und Compliance berät und den bekannten Brückenschlag zwischen Fachbereich und IT beherrscht.
Klaus Martin Jäck ist Diplom-Physiker und hat sich seit 20 Jahren auf das Themengebiet des Risikomanagements spezialisiert. Nach Stationen bei PricewaterhouseCoopers und IBM Global Business Services leitet er seit 2013 bei Horváth & Partners das Business Segment Risikomanagement & Compliance. Co-Autor des Artikels ist Tobias Tschiggfrey, Managing Consultant bei Horváth & Partners.