Kosteneinsparungen inbegriffen: Identity- und Access-Management mit Augenmaß Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


05.08.2009 Erwin Schöndlinger*

Kosteneinsparungen inbegriffen: Identity- und Access-Management mit Augenmaß

Einsparungen, die über die Implementierung von Identity- und Access-Management-Modulsets möglich sind, kommen in Zeiten knapper Budgets gerade recht.

Mit der Optimierung der Geschäftsprozesse richten die Unternehmensentscheider, was die Sicherheit ihrer Daten, Systeme und Abläufe betrifft, ihren Blick auf die Prozessebene. Idealerweise sollte die Sicherheit Ende-zu-Ende, vom zugreifenden Mitarbeiter bis zu den geschäftsprozesstragenden Applikationen, reichen. Dies ist ein Fall für Identity- und Access-Management, kurz: IAM. Die Einsparungen, die über die Implementierung des IAM-Modulsets möglich sind, inspirieren die Entscheider zusätzlich, diese höhere Sicherheit zu projektieren und zu implementieren. Die Einsparungen kommen den Unternehmen in Zeiten der Wirtschaftskrise gerade recht. Mit an Bord des IAM-Modulsets ist Auditing & Reporting für Compliance. Das motiviert das Management zusätzlich, zum IAM-Modulpack zu greifen, um externe Vorschriften und interne Regeln ohne hohe Aufwände verbindlich einhalten zu können.

Leistungsfähige IAM-Systeme haben grundsätzlich fünf Module an Bord: die Integration der Unternehmensverzeichnisse, die zentralisierte Benutzer-/Identitäten-Administration, die zentralisierte Rechte- und Rollen-Administration, das Single Sign-On (SSO) sowie das Compliance Auditing & Reporting. Das ist im Normalfall auch die Reihenfolge der Projektierung und Umsetzung der einzelnen Module.

LIGHT WEIGHT DIRECTORY ACCESS PROTOKOLL (LDAP) Als Hort für die künftig zusammenfassten Verzeichnisse dient in der Regel ein standardkonformes LDAP(Light Weight Directory Access Protokoll)-Unternehmensverzeichnis. In ihm werden mit den Modulen 2 und 3 sämtliche Benutzeridentitäten mit ihren Rechten und Rollen überführt und verwaltet. Der SSO koppelt automatisch die Netzeingangskontrolle (Authenfizierung) mit der Zugriffskontrolle (Autorisierung) für die installierten Applikationen.

Über Auditing & Reporting können sämtliche Zugriffe, auch die unberechtigten Zugriffsversuche, aufgezeichnet, ausgewertet und nachweislich dokumentiert werden. Die modulare Gestaltung hat für das Unternehmen den Vorteil, dass es IAM schrittweise projektieren kann. So gestaltet sich das Gesamtprojekt nicht nur überschaubarer und risikoärmer. Die Unternehmen können auf die Einsparungen einzelner Module und einen schnellen Return-on-Investment (ROI) bauen, bevor sie im Vorhaben fortschreiten. Diese lohnende Strategie wird, trotz Wirtschaftskrise, auch vom Einkauf akzeptiert. Mit der modularen Gestaltung des IAM-Systems mit klaren Schnittstellen dazwischen kann die Reihenfolge der Umsetzung und Implementierung aber auch anders aussehen. Viele Unternehmen starten mit dem SSO, weil er für sie die größten Einsparungen in sich birgt.

SINGLE-SIGN-ON BRINGT VIELE VORTEILE Der Blick auf die Verfahrensweise des SSO verdeutlicht, worin die Einsparungen, außerdem der Zugewinn an Sicherheit, bestehen. Indem die Zugangs- und Zugriffskontrolle gekoppelt werden, müssen die Mitarbeiter nicht länger bei jedem Einwahlprozess für jede Applikation gesondert Passwörter eingeben. Sie werden stattdessen automatisch im Hintergrund dem Benutzer zugewiesen, ohne dass sie am Bildschirm erscheinen. Zudem macht sich der SSO für die Unternehmen bei der Anmeldung und anschließend bei jedem, etwa monatlichen Passwortwechsel, bezahlt. Der Mitarbeiter bekommt über einen zeitsynchronisierten Self-Service eine Maske eingeblendet. Sie gibt zum richtigen Zeitpunkt die maximale Länge und Syntax vor. Auf diese Weise können komplexe und damit »einbruchssichere« Passwörter zum Einsatz kommen. Solange sie gelten, brauchen sich die Mitarbeiter diese Privilegien nicht zu merken und sie einzugeben. Sie können damit von Ditten weder abgeschaut noch vom Benutzer vergessen werden. Wird dennoch ein Passwort (vermeintlich) gebrochen, kann ein neues vom Benutzer-Service direkt und schnell zugewiesen werden. Wird das einzige Passwort für den Netzzugang vom Mitarbeiter vergessen, kann es problemlos und schnell vom Helpdesk zurückgesetzt werden. Zum Vergleich ohne SSO: In vielen Unternehmen verbringt der Helpdesk bis zur Hälfte der Zeit damit, komprimierte oder wahrscheinlich komprimierte Privilegien, zudem vergessene Authentifikations-Passwörter, durch neue zu ersetzen und den betroffenen Mitarbeitern umständlich zukommen zu lassen. Die Tatsache, dass bereits in mittleren Unternehmen Dutzende von Applikationen zum Einsatz kommen, macht deutlich, wie »wertvoll« für das IT-Budget und die Sicherheit SSO sein kann. In Großunternehmen können das mehrere Hundert solcher Applikationen sei.

ZENTRALE REGIE FÜR USER-RECHTE UND -ROLLEN Auch die Projektierung und Umsetzung der Module 2 und 3, nachdem die vielen bestehenden Verzeichnisse in ein umfassenden Verzeichnis überführt wurden, zahlt sich in der Regel schnell in Kosteneinsparungen und Sicherheitsgewinne (weniger Schäden für das Geschäft) aus. An die Stelle unzähliger, im Unternehmen verteilter Teiladministrationen tritt »eine« Administration sämtlicher Benutzer, Rechte und Rollen unter zentraler Regie. Das führt nicht nur zu beträchtlichen Kosteneinsparungen in der Administration. Zentral gepflegt, geändert und bei Bedarf gelöscht sind alle Einträge immer auf dem aktuellen Stand und in sich konsistent. Berechtigte Identitäten werden sicher erkannt und durchgeschaltet, unberechtigte ebenso sicher geblockt. Eintragsleichen – gefährliche Einstiegslöcher für Unberechtigte – gehören der Vergangenheit an. Rechte- und Rollenänderungen können schnell und in sich schlüssig durchgeführt werden. Kommen Gruppenrechte, beispielsweise für einzelne Abteilungen, zum Zug, erhalten neue Mitarbeiter oder Mitarbeiter in neuen Funktionen automatisch die Rechte dieser Gruppe. Sie können ohne lange Anlaufzeiten sofort mit ihren berechtigten Applikationen produktiv arbeiten. Über zentrale Rollenmodelle für unterschiedliche Mitarbeiterfunktionen können nicht nur IT-Zugriffe geregelt werden. Zugänge zu Parkplätzen, Gebäuden, Anlagen und Systemen können darüber ebenso abgesichert werden.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.



Hosted by:    Security Monitoring by: