Vendor Lock-In Effekt – So vermeidest Du die Abhängigkeit vom Softwareanbieter
Was ist der Vendor Lock-In Effekt?
Unter Vendor Lock-In Effekt versteht man, dass Kunden von den Produkten und Dienstleistungen eines Anbieters abhängig sind. Dies wird erzielt, indem die Programme, Software und Anwendungen eines Anbieters im firmeneigenen Ökosystem sehr gut miteinander funktionieren. Die Anbieter bieten außerdem den Service, dass ihre Anwendungen in Verbindung mit anderen Produkten des Unternehmens einige Vorteile haben. Dadurch ist der Kunde bei dem Unternehmen sozusagen „eingesperrt”, weil der Wechsel zu einem anderen Anbieter aufwändig und teuer ist. Vendor Lock-In Effekte bilden sich häufig, wenn Technologien noch neu sind und sich noch keine akzeptierten Standards auf dem Markt gebildet haben, die die Hersteller erfüllen müssen. Somit nutzen Unternehmen die Systeme, die für sie am vorteilhaftesten sind.
Aus administrativer Sicht kann es durchaus Vorteile haben als Unternehmen mit den Dienstleistungen und Programmen eines einzigen Anbieters zu arbeiten. Dadurch wird eine homogene Umgebung mit geringer Komplexität hergestellt. Zudem sind die Dienste darauf ausgerichtet, sehr gut miteinander zu funktionieren, was die Verwendung sehr komfortabel macht.
Allerdings begeben sich Unternehmen dadurch in eine direkte Abhängigkeit und gelangen so in eine schlechte Verhandlungsposition. Wenn Anbieter beispielsweise die Preise drastisch erhöhen oder die Qualität ihrer Angebote senken, sind Kunden gezwungen dies zu dulden. Wenn Systeme ausfallen, können Unternehmen unter Umständen ihren Service nicht anbieten, weil sie auf sämtliche Programme des Providers angewiesen sind.
Vendor Lock-In Effekt und IAM
Warum stellt der Vendor Lock-In Effekt bei IAM Systemen ein Risiko dar?
Auch bei Identity und Access Management Systemen kann es wie allgemein in der IT zu einem Vendor Lock-In Effekt kommen. Dieser ist beispielsweise gegeben, wenn alle Komponenten und Softwares von einem Anbieter gekauft werden. Es kann beispielsweise passieren, dass einzelne Module nicht mehr ausgetauscht werden können, da sie so entworfen wurden, dass sie nur zusammen funktionieren. Das hat den Grund, dass beispielsweise keine offenen Standards verwendet wurden.
Vor allem wenn sich Unternehmen in den Jahren nach der Implementierung weiterentwickeln, kann es sein, dass die Software des IAM Systems mit neuen Elementen erweitert werden müsste. Diese lassen sich dann jedoch aufgrund des Vendor Lock-In Effekts nicht verwenden, was dazu führt, dass das Unternehmen sein IAM System nicht optimal nutzen kann. Außerdem kann es sein, dass Kunden keinen Zugriff mehr auf Daten oder Konfigurationen haben und somit vollständig vom Anbieter abhängig sind. Sie geben somit ihre Datenhoheit ab und machen sich unter Umständen angreifbar.
So vermeidest Du den Vendor Lock-In Effekt
Eine Methode den Vendor Lock-In Effekt zu vermeiden, ist den Service und Komponenten von verschiedenen Herstellern zu beziehen. Am besten wird das bereits bei der Planung der IT-Architektur miteinbezogen. Dies ist zwar mit erhöhten Kosten bei der Umsetzung verbunden, bietet aber langfristig eindeutige Vorteile. Unternehmen sind deutlich flexibler und unabhängiger bei Preiserhöhungen oder Ausfällen. Bei Identity und Access Management Systemen sollten dementsprechend zentrale Komponenten wie der Identity Provider (IdP), Identity Governance und Administration (IGA) und das Directory von unterschiedlichen Anbietern genutzt werden.
Ein weiterer wichtiger Faktor ist, sich in seiner IT-Landschaft auf offene Standards zu konzentrieren und nicht zu sehr von herstellerspezifischen Funktionalitäten Gebrauch zu machen. Dadurch wird es erleichtert, Daten ohne Veränderung zu speichern oder in ein anderes System zu übertragen. So können auch Systeme einfach ausgetauscht oder erweitert werden. In diesem Zusammenhang ist es ratsam, sich bereits zu Beginn zu überlegen, wie gewisse Komponenten ersetzt werden können. Dadurch kann im Ernstfall schnell reagiert werden. Außerdem sollte immer darauf geachtet werden, dass die eigene Datenhoheit gewahrt wird. Hilfreich sind dabei Off Site Backups der Nutzerdaten. Zudem sollten vorab ein paar Fragen geklärt werden:
-
Wem gehören die Daten?
-
Wer darf die Daten speichern?
-
Wie dürfen Daten verwendet werden?
-
Was passiert bei Datenmissbrauch?
Unternehmen müssen für die Datenhoheit über Kunden-, Nutzer- und Geschäftsdaten sorgen und dementsprechende Sicherheitsvorkehrungen treffen. Deshalb sollte genau geregelt sein, wie Drittdienstleister mit den Daten umgehen und welche Nutzerrechte sie haben.
Es lässt sich jedoch sagen, dass Identity und Access Management Systeme aber grundsätzlich bemüht sind, den Vendor Lock-In Effekt zu durchbrechen, indem sie zu großen Teilen mit offenen Standards arbeiten. Dadurch lassen sie sich mit vielen verschiedenen Systemen und Modulen verknüpfen. So sind sie individuell anpassbar und lassen sich einfach erweitern.
Wir bewahren Deine Unabhängigkeit!
Der Vendor Lock-In Effekt wird von vielen Anbietern bewusst herbeigeführt, um ihre Kunden an sich zu binden. Für diese stellt es allerdings häufig ein großes Risiko dar, von einem einzigen Anbieter derart abhängig zu sein. Vor allem bei einem Identity und Access Management System , was tief in bestehende Strukturen eines Unternehmens eingreift, sensible Daten behandelt und eine große Investition ist, sollte deshalb möglichst versucht werden, den Vendor Lock-In Effekt zu vermeiden. Dabei sollten immer die Kosten und Nutzen abgewogen und möglichst alle Faktoren im Vorhinein bedacht werden. Wenn dies nicht geschieht, können bei der Implementierung vielleicht ein paar tausend Euro gespart werden, am Ende verursacht der Vendor Lock-In Effekt aber eventuell einen Schaden in Millionenhöhe.
amiconsult unterstützt Dich deshalb von Beginn an als unabhängiger Berater bei einer Risikoanalyse und hilft Dir, dich für Dein Identity und Access Management System unabhängig aufzustellen. So wirst Du erst gar nicht vom Vendor Lock-In Effekt “eingesperrt”. Schreib uns also gerne eine Nachricht und lass Dich beraten!
Wir bei amiconsult bringen Ihr Identity & Access Management auf das nächste Level. Wir perfektionieren Ihr Workforce Management, damit Sie beim nächsten Audit nicht ins Schwitzen kommen. Wir haben es uns zur Aufgabe gemacht, Projekte pragmatisch anzugehen und uns stets an die Gegebenheiten und individuellen Wünsche unserer Kunden anzupassen. Seit 2003 unterstützen wir als Softwarepartner und externes IT-Unternehmen. Unsere Philosophie "Freu(n)de bei der Arbeit" verbindet uns mit unseren Kunden und die Begeisterung für unseren Beruf. Gemeinsam revolutionieren wir IAM.
amiconsult GmbH
Amalienstraße 33
76133 Karlsruhe
Telefon: +49 (721) 9128340
Telefax: +49 (721) 9128349
https://amiconsult.de
Telefon: +49 (721) 91283-40
E-Mail: ruland@amiconsult.de
Deshalb benötigen Maschinen jetzt eine Identität
Warum benötigen Maschinen eine Identität?
Erhöhte Effizient und Nachhaltigkeit
Das produzierende Gewerbe setzt im Zuge der Industrie 4.0 und der Nachhaltigkeit immer mehr auf Automatisierung und digitale Technologien. Der Kerngedanke dabei ist, dass Maschinen untereinander vernetzt sind, miteinander kommunizieren und so automatisiert Aktionen durchführen. Dabei übernehmen Maschinen immer mehr die Rollen und Aufgaben von Menschen und müssen deshalb ähnlich geschützt werden. Maschinen dienen beispielsweise als Impulsgeber, indem sie Temperaturen messen, die sie dann an andere Maschinen weitergeben. Diese führen daraufhin Aktionen aus. Zuvor waren diese Impulsgeber Menschen. Damit alle Aufgaben korrekt von den Maschinen ausgeführt werden, werden deren Berechtigungen und Aktionen ganz genau mithilfe von Policies festgelegt.
Durch die Automatisierung soll beispielsweise die Auslastung von Maschinen besser geplant werden oder es werden mithilfe von Algorithmen optimale Lieferwege für die Logistik berechnet. Dadurch sollen Effizienz und Produktivität deutlich erhöht werden, was die Nachhaltigkeit der Unternehmen verbessert. Diese Thematik basiert unter anderem auf dem Internet der Dinge oder Internet of Things (IoT). Dies ermöglicht, dass sich eindeutig identifizierbare physische und virtuelle Objekte miteinander vernetzen.
Maschinen sind in diesem Kontext nicht zwingend klassische Produktionsmaschinen. Man versteht unter dem Begriff auch Anwendungen, Software IOT Devices oder Server. Damit diese automatisch interagieren und funktionieren, müssen Maschinen eindeutig identifizierbar sein und sich gegenseitig vertrauen. Dazu benötigt jede Maschine eine eigene digitale Identität.
Um die Kommunikation abzusichern, müssen drei Hauptfaktoren gegeben sein:
• Authentizität
• Verbindlichkeit
• Integrität
Bei der Authentizität geht es darum, nachzuvollziehen, mit welchem Gerät der Kommunikationsfluss stattgefunden hat, d.h. es muss sichergestellt werden, dass beide Geräte die sind, die sie vorgeben zu sein. Bei der Verbindlichkeit geht es darum, dass mit dem richtigen Gerät kommuniziert wird. Die Integrität dient dazu, dass Daten vertraulich übermittelt und nicht manipuliert werden.
Maschinenidentitäten – Sicherheit hat Priorität
Warum müssen Maschinenidentitäten geschützt werden?
Der Schutz von digitalen Identitäten – egal ob menschliche oder maschinelle – ist ein hochgradig relevantes Thema für die heutige Geschäftswelt. Identitäten haben Zugriffsrechte auf verschiedene Daten und Anwendungen, die gerne von Cyberkriminellen ausgenutzt werden. Vor allem Administrationsidentitäten geraten häufig ins Visier von Hackern, da sie dadurch Zugang zu zentralen Informationen und Schnittstellen bekommen. Somit können Daten ausspioniert, gestohlen oder manipuliert werden, was einen enormen Schaden verursacht. Auch Maschinenidentitäten greifen genau wie Menschen auf kritische Systeme und Daten zu und müssen deshalb genauso geschützt werden.
Offizielle Identitäten durch Zertifikate
Maschinen besitzen genau wie Menschen eindeutige Merkmale, an denen sich deren Identität festmachen lässt. Um die Echtheit einer Maschinenidentität zu beweisen, werden Zertifikate ausgestellt. Solch ein digitales Zertifikat ist technisch betrachtet ein elektronischer Datensatz, der Identitätsinformationen der Maschine enthält (wo befindet sie sich, was macht sie etc.). Ein gängiges Zertifikat ist in diesem Zusammenhang das X.509-Zertifikat, was einen wichtigen Pfeiler der IT-Sicherheit darstellt, weil es die Realisierung der Public Key Infrastruktur ermöglicht. Um für erhöhte Sicherheit zu sorgen, sind alle Identitätsangaben durch kryptografische Verschlüsselungsmechanismen vor Veränderungen geschützt. Die Zertifikate werden von einer unabhängigen externen Partei, einer Certification Authority ausgestellt und bestätigt. Diese unterliegen strengen Sicherheitsvorschriften und Haftungsregelungen, was die Echtheit und Authentizität der Zertifikate noch erhöht. Zertifikate sind vor allem wichtig, um eine Vertrauensbasis mit Partnern und externen Dienstleistern herzustellen. So können diese sicher sein, dass alle Maschinen eine zertifizierte digitale Identität besitzen.
Mit dem Erstellen der Zertifikate ist es allerdings noch nicht getan. Maschinen müssen sich authentifizieren, um auf Systeme zugreifen zu können. Außerdem müssen Maschinenidentitäten immer überwacht und kontrolliert werden. So wird für jede Maschinenidentität festgestellt, ob sie noch den Sicherheitsrichtlinien entspricht (Updates, Berechtigungen etc.). Außerdem können so Manipulationen frühzeitig erkannt und ein Schaden verhindert werden. Das Managen der Zertifikate und Maschinenidentitäten kann als fortlaufender und skalierbarer Prozess verstanden werden, der für Unternehmen essenziell ist.
Schutz durch gegenseitige Authentifikation
Mithilfe von digitalen Identitäten sollen Maschinen nicht nur eindeutig zuordbar sein, sie sollen sich auch gegenseitig authentifizieren können. Dies geschieht beispielsweise mit mTLS (Mutual Transport Layer Security), einem Verschlüsselungsprotokoll. Darüber wird sichergestellt, dass Maschinen nur auf die nötigen Daten Zugriff haben und Informationen nur an autorisierte Maschinen weitergeben. Dies ist wichtig, weil im Zuge der Industrie 4.0 nicht mehr der Mensch der Impulsgeber für Aktionen ist, sondern Maschinen selbst. Eine Maschine ist z.B. dafür zuständig mittels eines Sensors die Temperatur zu messen und diese Informationen an eine weitere Maschine weiterzugeben. Diese führt basierend auf diesen Daten eine Aktion aus, die den weiteren Kreislauf der Produktionskette beeinflusst. Deshalb müssen sich beide Maschinen gegenüber der jeweils anderen authentifizieren, um sicherzugehen, dass die Informationen von der richtigen Maschine an die entsprechende Stelle weitergegeben werden.
Authentifizierung und Verwaltung mit Identity und Access Management Systemen
Identity und Access Management Systeme dienen grob gesagt dazu, Benutzer und Identitäten und deren Berechtigungen zu verwalten. In Form von Rollen oder Policies wird festgelegt, welcher Nutzer auf welche Bereiche und Daten des Unternehmens zugreifen darf. Diese Berechtigungen können übersichtlich überwacht und flexibel entzogen oder hinzugefügt werden. IAM Systeme sind deshalb ein wichtiger Bestandteil einer ganzheitlichen IT-Sicherheitsstrategie in Unternehmen.
Volle Kontrolle behalten mit IAM
Moderne IAM Systeme erweitern ihren Anwendungsbereich auf die Industrie 4.0, indem sie sich für die Verwaltung und Authentifizierung von Maschinenidentitäten nutzen lassen. Die Verwaltung der Maschinenidentitäten ist ein zentraler Punkt, der auf keinen Fall vernachlässigt werden sollte. In Unternehmen existieren unzählige Maschinenidentitäten mit dazugehörigen Zertifikaten, die überwacht und überblickt werden müssen. Ohne hilfreiche Softwarelösung ist dies schlichtweg unmöglich.
Die Maschinenidentitäten werden wie andere Identitäten auch als Account in einem Identity und Access Management System angelegt. In den Account werden die Zertifikate eingepflegt und sämtliche Berechtigungen verwaltet. Technische Identitäten haben somit immer einen Owner, also eine menschliche Person, die für die Maschinenidentität zuständig ist. Das hat den Vorteil, dass es immer einen festen Ansprechpartner gibt, der für die Berechtigungen der Maschinen verantwortlich ist und der im Falle einer Manipulation eingreifen kann. Mithilfe des IAM Systems kann zu jeder Zeit transparent nachverfolgt werden, welche Maschine mit wem kommuniziert und auf welche Daten, Systeme oder Applikationen Zugriff hat. Somit können unautorisierte Zugriffe sofort erkannt werden.
Häufig ist es notwendig, dass auf gewisse Ereignisse schnell reagiert werden muss, um einen großen Schaden zu verhindern. Wenn Hersteller beispielsweise bekanntgeben, dass Platinen gewisser Maschinen Mängel haben, müssen die Zertifikate und Rechte der fehlerhaften Maschine sofort zurückgezogen werden, damit sie keine falschen Handlungen ausführt. Auch bei Wartungszyklen müssen bei mehreren Maschinen gleichzeitig Berechtigungen und Zugriffe widerrufen werden, um die Wartung ordnungsgemäß ausführen zu können und die aktive Produktion nicht durcheinander zu bringen. Beides lässt sich mithilfe eines Identity und Access Management Systems einfach und schnell umsetzen.
Maschinen können allerdings erst auf die für sie notwendigen Bereiche zugreifen, wenn sie sich authentifiziert haben, d.h. dass sie ihre Identität zweifelsfrei bezeugen können. Das geschieht je nach IAM System beispielsweise mittels Basic Authentication, OAuth2 oder SAML. So wird sichergestellt, dass nur berechtigte Maschinen Zugriff erlangen. Dieser Mechanismus gilt als Kontrollinstanz, der vor allem in automatisierten Produktionen der Industrie 4.0 essenziell ist.
Policy Based Access – neuer Ansatz bei der Vergabe von Berechtigungen
Momentan wird die Vergabe von Berechtigungen bei den meisten IAM Systemen mithilfe von Rollen festgelegt. Eine Rolle ist die Funktion, die man als Mitarbeitender ausführt, z.B. Sales, Consultant oder Developer. Dies ist in Bezug auf Maschinen allerdings zu kurz gefasst, da die Verwaltung von den unzähligen Identitäten und IoT Maschinen mit Role Based Access Control sehr aufwändig wäre. Das System kommt dort schnell an seine Grenzen. Deshalb werden Berechtigungen im Zusammenhang mit Maschinenidentitäten nach dem Policy Based Access Prinzip vergeben. Dabei werden keine Rollen, sondern Attribute zugeteilt, die sich viel feiner definieren lassen. Attribute sind dabei beispielsweise Eigenschaften oder Locations. Um aus den Attributen Berechtigungen abzuleiten, sind viele Policies nötig, die genau definiert werden müssen. Wie man sich vorstellen kann, ist dies bei vielen Identitäten sehr komplex und es ist auch noch nicht abschließend geklärt, wie sich die gezielte Vergabe von vielen Policies umsetzen lässt.
Ein Unterschied zum Role Based Acces ist, dass beim Policy Based Access der Fokus auf die Tasks, die ausgeführt werden müssen, gelegt wird. Dabei werden die Prozesse in einem Unternehmen angeschaut, um herauszufinden, welche Tätigkeiten eine Person oder eine Maschine ausführt. Anhand dessen werden schließlich die Zugriffe vergeben.
Sei Deiner Konkurrenz voraus!
Maschinenidentitäten werden in den nächsten Jahren immer bedeutender. Die Industrie 4.0 wird in immer mehr Unternehmen zur Realität und dadurch ändern sich Arbeitsabläufe und -prozesse, die die Produktion effizienter und nachhaltiger machen. Dazu kommt allerdings auch, dass Cybersicherheit noch relevanter wird, weil ein Großteil der Produktion digital gesteuert werden wird. Dadurch ergeben sich neue Angriffsmöglichkeiten durch Hacker, die damit ganze Unternehmen lahmlegen können und einen enormen Schaden anrichten.
Deshalb sollten Unternehmen schon jetzt ein IT-Konzept entwickeln, das festlegt, wie sich ihre Maschinenidentitäten in Zukunft authentifizieren und verwalten möchten. Mithilfe eines Identity und Access Management Systems lassen sich die Sicherheitszertifikate der Maschinen im Blick behalten. Somit werden sie immer regelmäßig erneuert. Auch können in IAM Systemen Zugriffsberechtigungen durch Policies festgelegt und gemanaged werden. Wenn Du mit dem Gedanken spielst, ein IAM System für Deine Maschinenidentitäten einzusetzen, oder bereits eines verwendest, was Du erweitern möchtest, schreib uns gerne. Wir beraten Dich, damit Du dein passendes IAM System findest und Deiner Konkurrenz einen Schritt voraus bist!
amiconsult GmbH
Amalienstraße 33
76133 Karlsruhe
Telefon: +49 (721) 9128340
Telefax: +49 (721) 9128349
https://amiconsult.de
Telefon: +49 (721) 91283-40
E-Mail: ruland@amiconsult.de
IAM Strategie – Experten Insights für die Praxis
Was muss ich vor der Implementierung beachten, um langfristig von IAM profitieren zu können?
Die Grundfragen
Weil IAM-Systeme sehr vielseitig einsetzbar sind, sollten Unternehmen konkrete Ziele festlegen, die sie mit einem IAM System erreichen möchten. Wichtig ist auch, die Erwartungen zu formulieren, um hinterher nicht enttäuscht zu werden. Dabei sollten auch immer langfristige Pläne und Veränderungen miteinbezogen werden. Deshalb Tim empfiehlt, dass sich Unternehmen für eine gelungene IAM-Strategie zuallererst mit einigen grundlegenden Fragen beschäftigen sollten.
• Soll es ein Access Management für Endkunden oder Mitarbeitende sein?
• Geht es hauptsächlich um Gonvernance und Security Themen?
• Sollen Abläufe transparenter gestaltet werden?
Wichtig zu beachten ist in allen Fällen, dass ein IAM-System in bestehende Strukturen eingreift und nachhaltige Veränderungen im Unternehmen hervorruft:
“Was IAM-Projekte speziell kennzeichnet ist, dass IAM ein kritisches und sicherheitsrelevantes Themengebiet ist und auch in die bestehenden Strukturen recht tief eingreift. Das Ziel eines Identity und Access Management ist immer eine Übersicht und eine Kontrolle über Personen, Maschinen und deren Berechtigungen im System zu bekommen.”
Diese Berechtigungen sollen dann verwaltet und kontrolliert werden. Das heißt auch, dass bestehende Strukturen ganz konkret in Frage gestellt werden. Dadurch kann es passieren, dass Fehler, provisorische Lösungen oder unsaubere Arbeit an Systemen oder Codes zum Vorschein kommt, was Firmen lieber verstecken würden. Ein IAM-System muss von solchen “Leichen im Keller” aber wissen, um funktionieren und richtig arbeiten zu können.
Wen muss ich in die IAM-Strategie einbinden?
Da ein IAM-System weitreichende Veränderungen mit sich bringt, ist es unerlässlich vor der Implementierung die entsprechenden Stakeholder, Führungskräfte und den Betriebsrat miteinzubeziehen. Zu diesen Personen gehören beispielsweise Systembetreuer, Verantwortliche aus Fachabteilungen, die etwa für die Daten im Unternehmen zuständig sind oder Führungskräfte, die hinterher den Zugriff vergeben. Diese Personen sollten so früh wie möglich mit die die Planung und Entscheidung integriert und von dem Vorhaben überzeugt werden.
Trotzdem ist es wichtig, diesen Weg zu gehen und eine Einigung zu erzielen. Ansonsten wird das System hinterher immer wieder von verschiedenen Seiten torpediert. Außerdem werden immer wieder Mittel und Wege gefunden das IAM-System zu umgehen, wodurch kein nachhaltiger Erfolg möglich ist. Mit welchen Argumenten Du deinen Chef und den Betriebsrat am besten von der Einführung eines Identity und Access Management System überzeugst, haben wir bereits in einem anderen Artikel für dich zusammengetragen.
Je nach Status Quo des Unternehmens müssen auch die Mitarbeitenden in das Vorhaben miteinbezogen werden. Wenn der Zugriff auf Daten bisher beispielsweise hinter verschlossenen Türen von der IT vergeben wurde, ohne, dass Benutzer davon etwas mitbekommen haben, müssen diese vorab intensiv mit einem Identity und Access Management System und dessen Funktionen vertraut gemacht werden. Wenn diese aber den Zugriff und ihre Berechtigungen bereits z.B. über ein ServiceNow (Plattform für vereinfachte Workflows) selbst beantragen, wird sich nicht viel ändern. Wichtig ist dabei immer, so Tim, auf die jeweiligen Gegebenheiten und Bedürfnisse eines Unternehmens einzugehen.
Identity und Access Management ist ein Prozess – “Ansonsten läuft das Ding gegen ‘ne Wand”
Für einen langfristigen Erfolg muss laut Tim das Bewusstsein herrschen, dass ein IAM-System eine IT-Landschaft beobachtet und deshalb immer wieder an die Gegebenheiten angepasst werden muss. Das System wird nicht einmal angebunden und dann läuft es für die nächsten Jahre. Verschiedene Benutzerrechte und der Zugriff auf Daten und Konten müssen beispielsweise immer wieder angepasst werden. Aus diesem Grund sollte schon vor der Implementierung genügend operative Kapazität bereitgestellt werden.
Tim und seine Kollegen beobachten, dass Banken und öffentliche Einrichtungen meist statischer sind als Unternehmen. Das liegt daran, dass in Unternehmen häufiger Personalwechsel stattfinden und IT-Abteilungen zusammengelegt werden, wodurch mehr Bewegung herrscht. Das hat zur Folge, dass I öfter Anpassungen im IAM-System vorgenommen werden müssen. Außerdem unterliegen Firmen einem höheren Kostendruck als Banken und öffentliche Institutionen. Deshalb ist es essenziell, dass bei der Planung eines IAM-Systems absolute Kostentransparenz herrscht. So wissen Unternehmen genau, was auf sie zukommt, und sie können die Ausgaben einplanen.
Um die anfallenden regelmäßigen Aufgaben zu erledigen, sollte ein festet Team bereitgestellt werden, was dafür verantwortlich ist. Tim empfiehlt, dass dieses aus mindestens zwei Personen besteht. Diese Zahl variiert natürlich wieder stark je nach Unternehmensgröße, IAM-Strategie und System. Bei ca. 10.000 Mitarbeitenden hält Tim ein Team von 2-6 Personen für ausreichend. Es kann jedoch auch sinnvoll sein, die Aufgaben aufzuteilen, da teils sehr unterschiedliche Skill Sets benötigt werden.
IAM frisch eingebunden – Und jetzt?
Wie im vorherigen Abschnitt bereits angeklungen ist, ist das Identity und Access Management System mit der technischen Implementierung noch nicht einsatzbereit. Wie bei jedem neuen System ist das Monitoring zu Beginn besonders wichtig. Tim rät, vor allem die Systemschnittstellen und die Ressourcenauslastung engmaschig zu überwachen. Das ist nötig, weil das neue System für viele die Arbeitsgrundlage bildet, ohne die sie nicht arbeiten können. Deshalb muss alles funktionieren.
Um das neue IAM-System nutzen zu können, müssen die Mitarbeitende an einem Onboarding-Prozess teilnehmen. Sie machen sich mit neuen Prozessen und Abläufen vertraut, um zu lernen, wie sie das System richtig verwenden.
Tim empfiehlt Unternehmen außerdem immer langfristig zu denken. Jetzt ist das System noch frisch und funktioniert einwandfrei, aber wie sieht es in der Zukunft aus? Sollen zusätzliche Benutzergruppen eingebunden und der Zugriff erweitert werden? Wenn das System in einer Cloud angesiedelt ist, skalieren die Lizenzkosten oft mit der Anzahl der Benutzer und der angeschlossenen Systeme. Diese Skalierung muss beobachtet werden, damit die Betriebskosten mit der Zeit nicht zu hoch werden.
Wie halte ich mein IAM-System auf dem neusten Stand?
Wie bei jedem technischen System stehen auch bei einem IAM-System nach einiger Zeit verschiedene Software-Updates an. Diese unterscheiden sich im Aufwand je nach verwendetem System. Es kann z.B. sein, dass neue Pakete durch den Software-Anbieter im Zusammenhang mit dem Modell des Software as a Service im Hintergrund eingespielt werden und die Benutzer davon nichts mitbekommen. Es besteht aber auch die Möglichkeit, dass diese Aufgabe das eigene Rechenzentrum übernimmt, wozu allerdings die Ressourcen bereitgestellt werden müssen.
Vor allem wenn das Identity und Access Management System mit anderen Systemen verbunden ist, geschieht dies auf Basis von Zertifikaten. Diese laufen nach einer gewissen Zeit ab und müssen somit regelmäßig erneuert werden. Auch das sollte bei der Einrichtung bereits bedacht werden.
Vor allem bei Identity Governance und Administration Systemen (IGA) muss der soll und ist Zustand der Berechtigungen regelmäßig überwacht und abgeglichen werden. Dazu werden sogenannte Rezertifizierungskampagnen durchgeführt, die immer wieder den aktuellen Stand mit den Wissensträgern abgleichen.
IAM-Strategie – Herausforderungen und wie Du sie angehst
Tim konnte in den letzten Jahren 2 bis 3 Problemgruppe ausmachen, die in Verbindung mit einem IAM-System immer wieder auftreten.
Die Herausforderungen
Eines der häufigsten Probleme bei der Implementierung eines IAM-Systems sind technische Restriktionen innerhalb eines Unternehmens. Vorab muss genau überprüft werden, welche technischen Möglichkeiten und Hintergründe in einem Unternehmen vorherrschen und wie diese mit einem Identity und Access Management System kompatibel sind. Die große Schwierigkeit dabei ist, dass Systemlandschaften sehr unterschiedlich aussehen können und die darin eingebundene Systeme verschiedene Möglichkeiten bieten. Genau betrachtet werden müssen die APIs, um zu überprüfen, ob das System überhaupt die gewünschten Anforderungen erfüllen kann.
Ein weiteres Problem ist, dass die organisatorischen und betrieblichen Anforderungen durch das IAM-System nicht gelöst werden können. Unternehmen haben unter Umständen falsche Vorstellungen von den Möglichkeiten eines Identity und Access Management Systems und setzen sich Ziele, die damit nicht erreicht werden können.
Das dritte Problem wurde weiter oben bereits angesprochen: Es geht um die fehlende Akzeptanz von Führungskräften, Stakeholdern, dem Upper Management oder dem Betriebsrat. Manche von ihnen können schwer von der Implementierung eines Identity und Access Management Systems überzeugt werden und wollen lieber eine andere Agenda fahren.
Die Lösung
In allen drei Fällen nennt Tim als Lösung ein starkes IT-Projektmanagement. Zuständige sollten für ihr Projekt werben und sich frühzeitig an den CIO und Fachabteilungen wenden. Sie sollten sich außerdem intensiv Wissen aneignen, um bei Fragen und Kritik entsprechend reagieren zu können. Denn häufig haben Menschen schlichtweg Angst, bestehende Strukturen zu verändern. Deshalb sollte das Vorgehen und was damit zusammenhängt genau erklärt werden, damit alle wissen, was auf sie zukommt und was mit IAM möglich ist. Dafür stehen auch die Consultans von amiconsult zur Verfügung, die durch ihre langjährige Erfahrung Unsicherheiten aus dem Weg räumen und beratend zur Seite stehen.
IAM-Systeme können in alle bestehenden Systeme eingebunden werden, es muss nur an die jeweiligen Gegebenheiten angepasst werden. So kann es allerdings sein, dass die Vergabe vom Zugriff auf gewisse Daten beispielsweise nicht automatisiert abläuft, weil es das System nicht hergibt. In so einem Fall kann es aber als Service Ticket bearbeitet werden. Dennoch kann dieser Vorgang dann in ein System eingetragen werden, wodurch der gesamte Ablauf protokolliert und transparent gestaltet wird.
Unzufrieden mit IAM? Das könnten die Gründe sein
Einer der häufigsten Gründe, wieso Unternehmen mit ihrem IAM-System unzufrieden sind, ist laut Tim, dass sie falsche Erwartungen an das System gestellt haben, die dann nicht erfüllt wurden. Das kann beispielsweise durch Misskommunikation oder ein falsches Verständnis für die Thematik hervorgerufen werden.
Ein weiterer Grund ist, dass Firmen den Projektaufwand und die Dauer für ihr IAM-System falsch einschätzen. Sie sind der Annahme, dass sich diese Projekte viel schneller umsetzen lassen und rechnen mit schnelleren Effizienzgewinnen. Unternehmen unterschätzen auch den Aufwand, die vorgefundenen Datensätze und etwaige Probleme mit sich bringen, die zudem noch die Kosten in die Höhe treiben. Dadurch wächst Unternehmen so ein Projekt schnell mal über den Kopf.
Herausfordernd kann auch die Wahrnehmung gegenüber einem Identity und Access Management System sein. Ein Kunde hat einmal zu Tim gesagt, dass IAM unfassbar langweilig klingt und man damit niemanden wirklich beeindrucken kann. Das System an sich ist aber unfassbar wichtig und interessant. Identity und Access Management ist ein Kern-System in der IT-Landschaft und betrifft sämtliche Bereiche eines Unternehmens. Tim appelliert deshalb daran, in einer Implementierung eines IAM-Systems eine Chance für interne IT-ler und alle Benutzer zu sehen, um die Strukturen und Systeme eines Unternehmens kennenzulernen und zu verstehen. Auch werden so vielleicht das Interesse und die Begeisterung bei Entscheidern geweckt, die das System dann anders wahrnehmen.
Tims Rat für eine gelungene IAM-Strategie
Damit bei Deinem IAM-Projekt erst gar keine Probleme entstehen und du von Anfang an alles richtig machst, hat Tim zum Abschluss noch ein paar Tipps, die er aus seiner langjährigen Erfahrung gesammelt hat.
Diese Fragen sollten vor der Implementierung eines Identity und Access Management Systems auf jeden Fall geklärt werden:
• Wozu will ich ein IAM-System nutzen?
• Was ist die perspektivische und strategische IT-Ausrichtung meines Unternehmens?
• Worauf liegt mein Augenmerk? Sicherheit? Gute Login Erfahrungen?
• Wer soll das System nutzen? Geschäftspartner? Endkunden? Dienstleister?
• Was ist der Status Quo und was sind die Bedürfnisse in der Zukunft?
Abschließend rät Tim, dass spätestens vor der Implementierung eines IAM-Systems ein externer Berater hinzugezogen werden sollte. Dieser stellt u.a. die oben genannten Fragen und macht Unternehmen auf Aspekte aufmerksam, an die sei selbst nicht gedacht haben. Vertrauensvolle und erfahrene Partner spielen dabei immer mit offenen Karten, sind transparent was Kosten angeht und wollen nicht nur schnell etwas verkaufen.
Genau solche Berater haben wir hier bei amiconsult. Falls Du also Interesse an einem Identity und Access Management System hast, schreib uns einfach kurz und wir sind für Dich da!
amiconsult GmbH
Amalienstraße 33
76133 Karlsruhe
Telefon: +49 (721) 9128340
Telefax: +49 (721) 9128349
https://amiconsult.de
Telefon: +49 (721) 91283-40
E-Mail: ruland@amiconsult.de
