IT-Governance ist eine der Hauptaufgaben der IT-Leitung. Dabei geht es um die Organisation, Steuerung und Kontrolle der Unternehmens-IT und ihre konsequente Ausrichtung an der Unternehmensstrategie. Im Fokus steht insbesondere ein adäquates Risiko- und Chancen-Management. Kernthemen sind das Strategic Alignment und damit die Fähigkeit zur flexiblen Umsetzung von Business-Anforderungen und das IT-Risk-Management, also die Erkennung und Beurteilung von IT-Risiken und der Umgang damit.
Innerhalb des Risiko-Managements, aber auch für das strategische Alignment, spielt die Compliance eine zentrale Rolle, also die Einhaltung gesetzlicher, aufsichtsbehördlicher und anderer Regelungen.
Sowohl für die Compliance und das Risiko-Management als auch das strategische Alignment und hier speziell die einfache, flexible und sichere Umsetzung von Geschäftsprozessen spielt das Identity Management eine zentrale Rolle. Die Frage, wer welche Zugriffsrechte in welchen Systemen hat, lässt sich nur beantworten, wenn man das „wer“ – also die digitalen Identitäten der Benutzer – im Griff hat. Gleiches gilt natürlich auch für die zweite Kernfrage der Compliance: „Wer hat wann was gemacht?“
Aber auch für sichere Geschäftsprozesse ist die Beherrschung der digitalen Identitäten zwingend. Denn dort muss über alle genutzten Dienste hinweg sichergestellt werden, dass Benutzer nur bestimmte Aktivitäten durchführen dürfen. Eine durchgängige Sicht auf die digitalen Identitäten über den gesamten Prozess hinweg ist also zwingend.
Die technischen Herausforderungen
So einfach diese Anforderungen zunächst klingen mögen – bei der Realisierung stößt man auf eine Reihe von Herausforderungen. So sind auch heute noch in den meisten Unternehmen die Identitätsdaten über etliche Systeme verteilt. Eine zentrale Basis mit vertrauenswürdigen Identitätsdaten fehlt. Wenn man den Blick dabei nicht nur auf die Mitarbeiter richtet, sondern auch über Kunden und Partner nachdenkt, die auf unternehmensinterne Systeme zugreifen, haben noch die wenigsten Unternehmen ihre Hausaufgaben in diesem Bereich gemacht.
Diese Herausforderung ist aber technisch lösbar. Das Identity Management stellt mit seinen Synchronisations- und Provisioning-Technologien alles bereit, was es braucht, um eine vertrauenswürdige, stabile Basis an Identitätsdaten aufzubauen.
Damit ist es aber immer noch nicht getan. Ohne Rollenkonzepte kann man die Steuerung von Zugriffsberechtigungen nicht effizient lösen. Rollenmodelle lassen sich aber nicht von der IT alleine erstellen. Hier ist ein enges Zusammenspiel von IT, Unternehmensorganisation und Fachbereichen gefordert. Auf der technischen Ebene gibt es sowohl für die Analyse bestehender Rollen als auch das Management auch komplexer Rollenmodelle inzwischen etliche Lösungen. Die Hürde ist hier schlicht die Organisation
Der Bruch: Identitäts- und Systemmanagement
Die größte Herausforderung entsteht aber an einer anderen Stelle. Provisioning-Systeme können heute zum Beispiel sehr gut steuern, welche Benutzerkonten für eine neue digitale Identität in welchen untergeordneten Systemen wie dem Active Directory, auf Linux-Systemebene und an anderen Stellen angelegt werden sollen. Sie können auch die Zuweisung von Gruppen oder Systemrollen durchführen.
Was diese Gruppen oder Systemrollen tatsächlich für Berechtigungen haben, wird aber auf einer anderen Ebene administriert – bei jedem einzelnen System. Eine vollständig zentralisierte Administration hätte auch eine starke Tendenz dazu, zu komplex zu werden. Aus der heute üblichen Trennung entstehen aber zwei gravierende Probleme.
Probleme
Zum einen kann man Richtlinien im Bereich der Zugriffssteuerung nur auf organisatorischer Ebene durchsetzen. Man muss sicherstellen, dass die Gruppen und Rollen auf Systemebene auch tatsächlich genau das dürfen, was auf der übergeordneten Ebene des Identity Managements vorgesehen ist. Änderungen müssen entsprechend abgestimmt werden. Hier muss man klare organisatorische Regelungen schaffen.
Das gleiche Problem gibt es aber auch in die umgekehrte Richtung. Beim Auditing gibt es die Logs und oft auch Analysefunktionen der Systeme. Und es gibt die der Provisioning-Lösung. Bis heute fehlen allerdings noch Tools, mit denen man einfach alle diese Daten kombinieren und auswerten könnte.
Einige Anbieter wie CA oder Oracle arbeiten zwar an solchen Lösungen. Noch gibt es aber kein Produkt, mit dem man auf Knopfdruck auswerten könnte, auf welche Systeme und Daten ein bestimmter Mitarbeiter zu einem bestimmten Zeitpunkt Zugriff gehabt hat.
Federation für Prozesse
Schließlich gibt es noch die Herausforderung der sicheren Geschäftsprozesse. Mit den Standards und Produkten für Identity Federation, also die system- und unternehmensübergreifende, standardisierte Nutzung von Identitätsinformationen gibt es hier eine Basis, auf der man auch in komplexen, SOA-basierenden Anwendungen durchgängige Sicherheitskonzepte bis auf die Ebene einzelner Dienste realisieren kann.
Die Problematik liegt hier mehr darin, dass aus Sicht der Anwendungsarchitekten zu wenig auf die Notwendigkeit einer stabilen Identity Management-Infrastruktur geachtet wird und die Möglichkeiten, die Federation bietet, zu wenig genutzt werden. Die gemeinsame Definition von Infrastrukturen für die Anwendungssicherheit durch Architekten und Identity Management-Verantwortliche ist ein unerlässlicher Schritt, um diese Herausforderung zu lösen.
Ein Fazit
Wenn man ein Fazit zieht, dann muss man konstatieren, dass es im Bereich der IT-Governance und ihrer Teilbereiche für die meisten Unternehmen noch einiges an Arbeit gibt. Die meisten der Aufgabenstellungen, die im Zusammenhang mit dem Identity Management stehen, sind dabei heute gut in den Griff zu bekommen. Es gibt ausgereifte Produkte und es gibt ausreichend Implementierungserfahrung bei Herstellern, Beratern und Integratoren.
Die größte Hürde ist sicherlich die durchgängige Umsetzung von Richtlinien und Regeln im Bereich der Sicherheit bis aus Systemebene, die klare organisatorische Regeln verlangt, weil es auf Systemebene einen Bruch gibt. Auch das Rollenmanagement ist in hohem Maße eine organisatorische Herausforderung.
Die größte Lücke besteht aber beim Auditing. Es gibt zwar zunehmend mehr Hersteller, die an der Lösung arbeiten. Doch noch fehlt es sowohl an Standards als auch an Produkten, die die Herausforderung wirklich umfassend adressieren. Die Hersteller sind hier gefordert, damit Unternehmen durchgängige Lösungen für diesen zentralen Bereich der IT-Governance umsetzen können.(mha)