13. Oktober 2008 - Identitätsmanagement

Nur ein einheitliches Identitätsmanagement kann erfolgreich sein

Modernes Identitätsmanagement ist mehr als das bloße Verwalten von Zugangsdaten und Berechtigungen. Der mögliche Datenmissbrauch durch interne Benutzer macht das Identitätsmanagement zu einem wichtigen Teil der Datensicherheit. Doch viele Unternehmen leiden unter der Komplexität zahlreicher parallel existierender Identitätssysteme im eigenen Netzwerk. Aktualisierungen und Prüfungen des Identitätsmanagements können schnell auf der Strecke bleiben. Empfehlen Sie deshalb die Migration zu einem einheitlichen System zur Administration, Pflege und Kontrolle digitaler Identitäten.

nur-ein-einheitliches-identitatsmanagement-kann-erfolgreich-sein.jpeg
Auch digitale Identitäten lassen sich missbrauchen (Bild: Thinkstock)

Zahlreiche Benutzerprofile und Identitäten im Internet erhöhen die Gefahr des Datenmissbrauchs. Deshalb versuchen verschiedene Initiativen wie OpenID den Weg zu einer einheitlichen Identität im Web zu ebnen.

Nicht nur im Internet spricht vieles für einheitliche Identitäten

Doch nicht nur im Internet häufen sich die Identitäten der Benutzer. Auch das interne Firmennetzwerk ist oftmals nicht frei von dem Problem der multiplen Identität. Viele Administratoren kennen die Schwierigkeiten, einen neuen Benutzer in allen relevanten Systemen anzulegen, die Berechtigungen eines Benutzers in einzelnen Systemen abzuändern oder die Zugänge von ausgeschiedenen Mitarbeitern zu deaktivieren und zeitnah zu löschen.

So finden sich meist eigene Benutzerprofile, Rollen und Berechtigungen z.B.

  • in Netzwerkbetriebssystemen
  • in verschiedenen Fachanwendungen
  • auf dem Mail-Server
  • im Intranet
  • im Gruppenkalender

Identitätsmanagement kann zum Risiko werden

Die zentrale Bedeutung der regelmäßigen Pflege und Kontrolle der Identitäten im Netzwerk wird schnell deutlich, wenn Sie sich vergegenwärtigen, dass der Inhaber einer digitalen Identität einen Zugang ins Netzwerk und Zugriffsmöglichkeiten auf bestimmte vertrauliche Daten hat. Manchmal werden Identitäten deshalb auch mit bewusst geschaffenen „Löchern“ im Sicherheitswall um das Firmennetzwerk verglichen.

Solche Zugänge oder „Sicherheitsschleusen“ müssen sich nach dem tatsächlichen Bedarf richten und immer wieder kontrolliert werden. Andernfalls droht der Missbrauch dieser Zugänge, also der Missbrauch der digitalen Identitäten.

Trotzdem ist das Identitätsmanagement oftmals nicht aktuell

Auch wenn die Risiken veralteter und unkontrollierter Identitäten auf der Hand liegen, werden Sie in der Praxis immer wieder auf Benutzerkonten früherer Mitarbeiter oder auf Berechtigungen stoßen, die ein bestimmter Mitarbeiter nur für eine gewisse Zeit haben sollte, die allerdings bereits zwei Monate vorbei ist.

Komplexität reduzieren

Der Anspruch eines Identitätsmanagementsystems, den richtigen Mitarbeiterinnen und Mitarbeitern zur richtigen Zeit die korrekten Zugriffsmöglichkeiten zu verschaffen, führt bereits bei kleineren Netzwerken zu einer hohen Komplexität. Diese Komplexität gilt es zu reduzieren, um die Administration zu vereinfachen und damit die Datensicherheit zu erhöhen.

Vereinheitlichen Sie auch intern die Identitäten

Die Komplexität wird durch verschiedene Faktoren bestimmt wie die Anzahl der Benutzer, die Menge an Berechtigungen und Rollen und die Vielzahl an Systemen mit eigener Benutzerverwaltung. Sicherlich kann man in vielen Fällen einiges an den vergebenen Berechtigungen und den erstellten Rollen vereinfachen, indem man die gewachsenen Strukturen und Definitionen insgesamt betrachtet und bereinigt.

Besonderes Potenzial zur Vereinfachung des Identitätsmanagements steckt jedoch in der Einführung eines zentralen, einheitlichen Systems zur Administration, Pflege und Kontrolle der Identitäten im Netzwerk.

Zentrales Identitätsmanagement muss einiges leisten

Eine solche Vereinheitlichung im Netzwerk betrifft viele interne Vorgänge und Abläufe, darunter

  • die Zugangskontrolle zu Systemen, Ressourcen und Daten
  • die Unterstützung verschiedener Verfahren wie die Zwei-Faktor-Authentifizierung oder Single-Sign-On (SSO)
  • die Verwaltung von Verzeichnisdiensten
  • die Definition von Berechtigungen und Rollen
  • die Dokumentation und Kontrolle der Netzwerkzugriffe unter Beachtung der Datenschutzvorgaben

Starten Sie die schrittweise Migration

Mit der Beschaffung und der Installation eines zentralen Identitätssystems ist es deshalb nicht getan.

Vielmehr sollten Sie aus Sicht des Datenschutzes ein Projekt begleiten, in dem
  • die vergebenen Identitäten konsolidiert und hinsichtlich ihrer Qualität und Gültigkeit geprüft werden
  • daraus eine einheitliche Identität entwickelt wird
  • die zu der Identität gehörenden Berechtigungen und Rollen festgelegt werden
  • die Organisationsstruktur des Unternehmens in dem System abgebildet wird
  • mögliche Änderungen an der Identität über Protokolle nachvollziehbar bleiben
  • die Identitäten regelmäßig zentral in einem System gepflegt werden oder aber nach dem nutzerorientierten Identitätsprinzip die Benutzer ihre Identität im Netz im Rahmen der Möglichkeiten selbst aktuell halten (abgesehen von ausscheidenden Mitarbeitern, bei denen der Administrator in jedem Fall aktiv werden muss)

Wichtig ist dabei jedoch ein schrittweise Vorgehen, bei dem eine Benutzerverwaltung nach der anderen in das zentrale, einheitliche System aufgenommen wird. Andernfalls wird die Umstellung womöglich noch komplexer als der Betrieb der einzelnen Identitätssysteme. Und dann könnten erst recht fehlerhafte Konfigurationen zu unerwünschten Berechtigungen und einem Datenmissbrauch führen.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln