Identity und Access Management: Herausforderung Migration
Er ist ein innovativer High-Tech-Hotspot in privilegierter Lage, mitten im stärksten wirtschaftlichen Zentrum der Schweiz: der Kanton Aargau. Attraktiv ist der Standort nicht nur für Menschen und Firmen, sondern leider auch für IT-Kriminelle. Deshalb wird Informationssicherheit in der Kantonsverwaltung bereits seit einiger Zeit großgeschrieben. Zu den schon implementierten Maßnahmen zählt unter anderem der Betrieb eines professionellen Identitäten-Managements. Vor einiger Zeit war eine Migration auf eine neue Lösung notwendig. Eine komplexe Herausforderung, für die sich der Kanton Aargau die externe Unterstützung von TÜV Rheinland sicherte. Insgesamt 14 Monate lang waren das fünfköpfige Experten-Team und die Spezialisten des Kanton Aargau mit Planung, Implementierung bis hin zum Produktiv-Betrieb befasst. Der Artikel zeigt Schlaglichter aus dem Projekt und Tipps von Profis für die Praxis.
Für eine sichere Datenverarbeitung muss jedes Unternehmen Identitäten und Berechtigungen – also Benutzerdaten, die einzelnen Personen zugeordnet sind – eindeutig bestimmen und verwalten. Ein Identity Management System umfasst dabei sowohl die organisatorischen Prozesse als auch die technische Implementierung zur Automatisierung der Prozesse.
Insbesondere in komplexen IT-Landschaften mit Cloud Services und mobilen Endgeräten ist ein leistungsstarkes Identity and Access Management (IAM) wichtig, um Identitäten, Rollen und Berechtigungen übersichtlich und dynamisch zu verwalten. Denn Berechtigungen werden in immer kürzerer Zeit vergeben, während Benutzer mit immer mehr Identitäten und Accounts belastet werden. Häufig führt das zum Einsatz identischer Passwörter für mehrere, unter Umständen sensible Systeme und voneinander abweichende Passwort-Policies zwischen unterschiedlichen Systemen. Hinzu kommt, dass die Kosten für Passwort-Rücksetzungen steigen. Eine Entwicklung, die die IT-Sicherheit aufweicht und so vor allem Angreifern in die Hände spielt.
Mit einem IAM profitieren Organisationen nicht nur von einer gesteigerten Informationssicherheit sowie höherer Transparenz und Nachvollziehbarkeit bei der Berechtigungsvergabe. Außerdem erfüllen sie die Compliance-Anforderungen im Zusammenhang mit dem Bundesdatenschutzgesetz, KWG / MaRisk, GoBD, PCI-DSS sowie der EU-Datenschutzgrundverordnung (EU-DSGVO).
IAM für wirksame IT-Sicherheitsstrategie des Kantons von zentraler Bedeutung
Zur dynamischen Pflege und sicheren Verwaltung seiner Benutzer betreibt der deutsch-schweizerische Stand bereits seit einiger Zeit ein IAM. Bis 2016 war das IAM von Sun Microsystems im Einsatz. Nach dem Verkauf des kalifornischen Softwarehauses an Oracle entschied sich der Kanton Aargau für die Lösung von Oracle. "Das IAM ist für die Wirksamkeit unserer IT-Sicherheitsstrategie von zentraler Bedeutung. Zugleich ist es eine wesentliche Grundlage für die aktive Weiterentwicklung eines modernen eGovernments", so Benno Kissling, Sektionsleiter Applikationsmanagement beim Kanton Aargau. Die beauftragten IAM-Fachleute verfügen über ausgewiesene Erfahrungen in der Implementierung beider Systeme, die umfangreiche programmatische Anpassungen erfordern. Die Experten hatten die Aufgabe, den Oracle Identity Manager auf der Basis des aktuellen Ist-Stands des Sun Identity Management Systems zu konzipieren und die Migration von Sun auf Oracle IDM in die Produktion zu planen und umzusetzen.
Einer der ersten Schritte bei der Implementierung bzw. Migration des IAM war es, den aktuellen Stand des bestehenden Sun-IAMs und die zukünftigen fachlichen und technischen Anforderungen an eine Oracle-IAM-Implementierung zu ermitteln.
Im nächsten Schritt verschafften sich die Experten einen Überblick über die Komplexität des gesamten Projekts: Welche Berechtigungsprozesse sind notwendig? Wo sind Sonderregelungen erforderlich? Im Kanton Aargau waren die Berechtigungsworkflows relativ komplex, darüber hinaus galt es, pro User eine Vielzahl an Attributen zu bewältigen. Überdies stand bereits fest, dass die Telefonie-Anbindung mittelfristig wegen der Umstellung auf Voice over IP aus dem bestehenden Legacy-System ins Active Directory umziehen musste.
Alle Faktoren erforderten eine relativ komplexe Logik. Auf dieser Basis entwickelte man ein Architekturkonzept inkl. Prozess-/Identitäts- und Rollenkonzept, das die Bedürfnisse des Kantons Aargau dezidiert berücksichtigte.
Die Migration erfolgte sukzessive nach Benutzergruppen, allerdings – um die hohe Verfügbarkeit aller angebundenen Systeme zu gewährleisten – in einem überschaubaren, anspruchsvollen Zeitfenster. Da der Kanton Aargau auch an das BIT, das Bundesamt für Informatik, angeschlossen ist, über das die Zertifikate für die gesamte Schweiz verwaltet werden und auf das auch jeder normale Bürger zugreifen kann, kam der Verwaltung von Zertifikaten im Oracle IDM ein besonders hoher Stellenwert zu.
Sicher ist sicher: drei Umgebungen für Entwicklung, Test und Produktion
Zu den Herausforderungen innerhalb eines gewachsenen Systems, das über den Quellcode hinaus bis dato nicht dokumentiert war, zählten unter anderem:
- die Migration von fünf Benutzertypen und neun Systemen,
- das Aufspüren und Aufklären von Inkonsistenzen sowie
- die konsequente Bereinigung der Datenqualität, die z. B. auch scheinbar kleine, aber in der Praxis problematische Details, wie den Missbrauch von Eingabefeldern künftig vermeidet.
Um Performance und Authentisierung zu erproben, konfigurierte TÜV Rheinland im Auftrag des Kantons drei Umgebungen für Entwicklung, Test und Produktion. Die Bewährungsproben für Konzept, Infrastruktur und Prozesse verliefen erfolgreich, der Launch des Pilots und der Flächenrollout erfolgte Ende 2015. Seitdem begleitet TÜV Rheinland den Kanton im laufenden Betrieb sowie mit gezielten Schulungen.
Im Laufe des Projekts erstellte man eine detaillierte, heute mehrere hundert Seiten umfassende Dokumentation. Sie stellt eine wichtige Basis für alle weiteren Arbeiten am lebenden System und dessen Fortentwicklung dar. "Angesichts der Komplexität unseres bereits implementierten IAM war der Systemwechsel für uns eine gewaltige Herausforderung, die wir ohne externe Unterstützung wohl nicht gemeistert hätten", so Benno Kissling.
IAM: Investment in die Zukunft des Unternehmens
Jeder, der sich beruflich in der internen IT-Umgebung bewegt, kennt das: In der Regel muss der User erst einmal seine Identität nachweisen (Authentisierung) und dann sein Recht (Autorisierung), dass er auf die Ressource bzw. Anwendung zugreifen darf. In welchem Umfang er berechtigt ist, darauf zuzugreifen, bestimmt die so genannte Rolle, die ihm die Führungskraft zugedacht und die der Admin eingerichtet hat. Optimal verwaltet werden Benutzer, Rollen und Berechtigungen in einem zentralen Identity und Access Management System (IAM-System). Hier können Benutzer, Rollen und Berechtigungen mit etablierten Prozessen angelegt, verwaltet und wieder gelöscht werden. Ein professionell aufgestelltes IAM ist sinnvoll für alle Organisationen, die dynamische Organisationsstrukturen produktiv abbilden wollen und Mitarbeiter, Geschäftspartner und Kunden einzubinden haben.
Ziel des IAM ist es, Anwendungs- und Netzwerksicherheit aktiv zu steuern, unter anderem, indem sich Identitäten dynamisch pflegen und Berechtigungen automatisch provisionieren lassen. Berechtigungsvergaben und Rezertifizierungen sind so jederzeit transparent nachvollziehbar, doppelter Aufwand zur Pflege von Benutzerkennungen lässt sich vermeiden, Benutzer müssen sich nur einmal anmelden.
Die Vorteile:
- Prozessautomatisierung,
- eine zeitnahe Einrichtung, Ändern und Löschen von Benutzern,
- Nachvollziehbarkeit der Berechtigungsvergabe:
- Report über alle vorhandenen Benutzer,
- Report der Berechtigungen eines Benutzers (inkl. Historie),
- Report der Mitglieder einer Gruppe / Rolle (inkl. Historie) und
- Report über Grund und Genehmiger einer Berechtigungsvergabe,
- Re-Zertifizierung von Berechtigungen:
- Nachweis (Report) über eine ordnungsgemäß durchgeführte Prüfung der Berechtigungen aller Benutzer im Sinne des "Need to know" (oft mind. jährlich) und
- eine am tatsächlichen Bedarf orientierte Berechtigungsvergabe.
Weil eine leistungsfähige und flexible IT-Infrastruktur in Unternehmen und Verwaltung ohne den Einsatz von Cloud-Diensten heute kaum noch denkbar ist, empfiehlt TÜV Rheinland eine stärkere Verzahnung von IAM- und Cloud-Strategie.
IAM und Cloud sind die neuen Perimeter der Organisation.
Eine stärkere Verzahnung kann bedeuten, ein zentrales IAM-System auch für die Cloud-Dienste zu verwenden. Steuern lässt sich der Zugriff auf die Cloud-Services durch ein bereits vorhandenes lokales IAM-System. Dort wird nach wie vor der Benutzer angelegt. Nach einer Genehmigung durch den Vorgesetzten legt das Identity Management System den Benutzer in allen erforderlichen weiteren Systemen, wie z. B. einer externen Cloud-Anwendung, an.
Alternativ dazu lässt sich auch das komplette IAM-System in die Cloud auslagern. Benutzer, Rollen und Berechtigungen werden in diesem Falle sowohl lokal als auch in den eingesetzten Cloud-Systemen aus dem Cloud-IAM-System heraus verwaltet. Das Ergebnis: eine erhöhte Agilität und Effizienz der Organisation sowie ein echter Sicherheitsgewinn auf allen Ebenen innerhalb der Organisation.
Herausforderung IAM-Implementierung: 9 Tipps für die Praxis
Die Implementierung eines IAM ist kein "Nebenbei"-Projekt, sondern erfordert hohe Aufmerksamkeit vor allem auf Management-Ebene sowie Sorgfalt in Vorbereitung und Durchführung.
- Tipp 1: Ausreichend Zeit für die Analyse einplanen. Antworten finden auf Fragen wie: Was soll das IAM leisten, welche Anforderungen sind zu definieren, welche Schnittstellen sind zu berücksichtigen, welche technologischen Erfordernisse gibt es innerhalb der Organisation?
- Tipp 2: Ein Projektteam gründen, Verantwortlichkeiten und Rollen definieren. Ein IAM-Projekt hat Schnittstellen zu vielen anderen IT-Systemen in der Organisation. Deshalb ist es wichtig, alle Stakeholder mit ins Boot zu holen. Idealerweise gehören dem Projektteam neben den IT-Fachleuten auch Kollegen aus dem operativen Bereich an, die sich mit den Prozessen im Hause bestens auskennen.
- Tipp 3: Datenlage bereinigen. Vor der Migration sind alle bestehenden Benutzerkonten den Beschäftigten im Unternehmen zuzuordnen, nicht mehr relevante Accounts zu löschen und Dateninkonsistenzen zwischen verschiedenen Systemen zu beheben (User-ID-Konsolidierung). So ist sichergestellt, dass die Mitarbeiter nur Zugriffsrechte auf Systeme haben, die sie wirklich haben dürfen. So lassen sich die Datenlage bereinigen, unnötige Lizenzkosten einsparen und unkalkulierbare Sicherheitsrisiken für die Organisation vermeiden.
- Tipp 4: Das richtige Beratungshaus finden. Wichtig ist, dass das IAM-Beratungshaus das Unternehmen von der Analyse über die Konzeption bis zur Produktauswahl und Implementierung begleiten kann. Es sollte bei Bedarf die Projektleitung übernehmen können und den Auftraggeber mit einem festen Mitarbeiterstamm über das gesamte Projekt hinweg unterstützen.
- Tipp 5: Konzipieren, planen, kontrollieren. Ein IAM-Projekt ist ein komplexes IT-Projekt, das ein Konzept, definierte Ziele und ein straffes Controlling benötigt. Im Konzept sollte die Ist-Situation im Unternehmen auch dann berücksichtigt werden, wenn noch gar kein IAM im Einsatz ist, denn auch dann wurden zu diesem Zeitpunkt bereits digitale Identitäten verwaltet, Berechtigungen vergeben bzw. ist die Zustimmung eines Verantwortlichen einzuholen, bevor eine Berechtigung vergeben werden kann.
- Tipp 6: Testsystem einrichten. Auf einem produktionsnahen Testsystem lassen sich mögliche Anpassungen durchspielen, bevor es in die eigentliche heikle Phase, das Migrieren der Systeme und der Daten, geht. Dieser Phase gilt eine besondere Sorgfalt, denn eine Inkonsistenz von Daten kann je nach Größe der Organisation gleich mehrere hunderte oder gar tausende Benutzer betreffen und damit kostenintensive Produktivitätsverluste und gravierende Sicherheitsrisiken erzeugen.
- Tipp 7: Schrittweise vorgehen. Es empfiehlt sich, im Projektverlauf iterativ vorzugehen, da sonst zeitliche Verzögerungen und erhöhter Aufwand vorprogrammiert sind. Beispielsweise sollten zuerst nur wenige wichtige Systeme angebunden und damit automatisiert werden. Mit diesen Erfahrungen lassen sich weitere Arbeitspakete viel besser in Angriff nehmen.
- Tipp 8: Prozesse sauber definieren: Die erforderlichen Prozesse für die Verwaltung von Benutzern und Berechtigungen sollten sauber definiert und aufeinander abgestimmt sein. Wichtig ist, hier auch auf Vollständigkeit zu achten, insbesondere bei Benutzergruppen, die vom Standard abweichen wie z. B. Azubis, Externe, die bei einem Abteilungswechsel gern mal durchs Raster fallen.
- Tipp 9: Re-Zertifizierung planen. Zugriffsberechtigungen müssen regelmäßig überprüft werden – auch dies lässt sich mit einem IAM professionell über eine Standardisierung und Automatisierung von festgelegten Zeiträumen planen.
Fazit
Ein IAM ist innerhalb der IT-Infrastruktur ein wichtiges Instrument, um Datenzugriff und Prozesse dynamischen Anforderungen effektiv anzupassen. Das Sicherheitsniveau steigt, der Produktivitäts- und Effizienzgewinn des Einzelnen zahlt sich aus – durch eine höhere Flexibilität und Dynamik der gesamten Organisation.