Sichere IT-Berechtigungen: 5 Erfolgsfaktoren für Ihr IAM-Projekt

Lächelnde Frau tippt auf Vorhängeschloss-Symbol

Wer darf welches IT-System nutzen, und mit welchen Rechten? Wenn Unternehmen ein zentrales Tool für Identity & Access Management (IAM) einführen, ist Akribie gefragt. Mit diesen fünf Schritten gelangen Sie auf geradem Weg zum Ziel und behalten die Kosten fest im Griff.

Geht es um IT-Investitionen, steht das Thema IAM nicht unbedingt auf Platz eins der Prioritätenliste von Unternehmen. Wie eine Versicherung kostet es erst einmal Geld, während der Nutzen abstrakt bleibt. Tatsächlich ist IAM von enormer Bedeutung, denn es minimiert IT-Sicherheits- und Compliance-Risiken, indem es Software, Toolfunktionen und digitale Informationen nur denjenigen zugänglich macht, die wirklich damit arbeiten. Das erschwert unter anderem Kriminellen ihre Machenschaften, die mit gestohlenen Identitäten erheblichen Schaden anrichten können.

In Zeiten von Cloud-Computing, virtuellen und hybriden Teams mit internen und externen Mitarbeitenden ist dies brisanter denn je und schafft neue Anforderungen, die bestehende IAM-Systeme teilweise nicht erfüllen. Doch solange ein Unternehmen von größeren Schäden verschont bleibt, kann das Thema IAM auf der Management-Agenda schon einmal gegenüber anderen zahlreichen IT-Vorhaben zurückfallen. Nicht zuletzt deshalb, weil ein IAM-Projekt sämtliche Unternehmensbereiche berührt und quer durch die Organisation Ressourcen bindet.

Allerdings sind die Bedenken aus unserer Sicht nicht begründet, denn es gibt erprobte Wege, um IAM-Projekte zu planen und umzusetzen. Dies sind die fünf wesentlichen Erfolgsfaktoren aus unserer Projekterfahrung der vergangenen Jahre:

 

1. Anforderungen lückenlos ermitteln

 

Früher schlossen sich Projektverantwortliche wochenlang ein, um an Change-Plänen zu feilen. Auf Monate oder Jahre hinaus wurden einzelne Schritte festgelegt. Kam dann etwas dazwischen – etwa eine Reorganisation – musste der aufwändig erstellte Plan geändert werden. Oder man hielt womöglich daran fest, weil schon so viel Zeit und Geld in dem Konzept steckte.

Digitale Identitäten verzeihen keine Fehler. Wenn ein neuer Kollege im Unternehmen anfängt, eine Führungskraft das Team wechselt, eine externe Mitarbeiterin die Firma verlässt, muss man die entsprechenden Nutzungsberechtigungen gezielt und schnell vergeben bzw. wieder entfernen. Klappt das nicht, sind die Mitarbeitenden nicht produktiv, oder es besteht die Gefahr, dass Daten abfließen – so können zum Beispiel Firmengeheimnisse öffentlich werden. Besondere Relevanz haben dabei auch gesetzliche Vorgaben. Unter anderem darf es keine toxic right combinations geben, also keine Kombination von Berechtigungen, die Gesetzesverstöße ermöglicht oder wirtschaftlichen Schaden nach sich zieht. Im Kreditwesen sollte beispielsweise niemand in der Lage sein, Auszahlungen zu beantragen und im nächsten Schritt selbst freizugeben.

Gesetzliche Vorgaben bilden den Pflichtteil jedes IAM-Projekts – doch es sind noch zahlreiche andere Anforderungen zu ermitteln. Der erste Schritt ist daher gleich einer der umfangreichsten: Funktion für Funktion müssen die Verantwortlichen alle Stakeholder kontaktieren, um die genutzten IT-Systeme zu erfassen, regulatorische Anforderungen zu klären und Rollenmodelle für verschiedene Anwendergruppen festzulegen. Um alle Fragen zu beantworten, kommen schnell hundert oder mehr Meetings zusammen. In sportlichem Tempo ist man damit in einem größeren Unternehmen nach vier Monaten durch – realistischer ist jedoch ein halbes Jahr.

Die Akribie wird später belohnt, denn man beugt damit unvorhergesehenen Ereignissen vor. Andernfalls können im Lauf des Projekts reihenweise neue Anforderungen hinzukommen, die alles verkomplizieren und den Zeitplan durcheinanderbringen. Auch bei maximaler Sorgfalt ist ein „Anforderungs-Radar“ sinnvoll: Während der Projektlaufzeit sollten die Beteiligten regelmäßig abfragen, ob neue unternehmensinterne oder externe Anforderungen zu berücksichtigen sind.

 

2. Das passende IAM-Tool finden

 

Einige Unternehmen verwalten ihre digitalen Identitäten mit selbstentwickelten Lösungen. Erfüllt die „Marke Eigenbau“ nicht mehr alle Anforderungen, stellt sich die Make-or-Buy-Frage: Lässt sich das bestehende Tool mit verhältnismäßigem Aufwand modernisieren oder will man auf eine Standardsoftware umstellen? Einige Lösungen auf dem Markt sind bereits stärker vorkonfiguriert, andere weniger. Es gibt Software, die Unternehmen in ihrer eigenen IT Infrastruktur – on premise – betreiben können, oder Cloud-Lösungen mit der Option, Identity-as-a-Service (IDaaS) einzukaufen. In einem frühen Stadium eines IAM-Projekts muss das Unternehmen eine engere Wahl treffen und in einem Proof of Concept (PoC) abwägen, welches Tool die eigenen Anforderungen nachhaltig erfüllt.

 

3. Tool-Provider zentral steuern

 

In vielen Fällen entscheiden sich Unternehmen für eine IAM-Lösung eines Softwareanbieters. Geht es an die Umsetzung, dürfen keine Informationen am Projektteam vorbeigehen, denn jeder einzelne Schritt muss dem Projektplan folgen und Anforderungen bzw. Change Requests sind verlässlich zu dokumentieren und umzusetzen. Es sollte daher vom Start weg klar sein: Die zentrale Projektleitung steuert das Vorhaben und ist der Dreh- und Angelpunkt für sämtliche Kommunikation (Single Point of Contact, SPOC).

 

4. Angemessene Prüfprozesse festlegen

 

Ein Rollenkonzept minimiert nicht nur das Risiko eines Datenmissbrauchs, es sorgt auch dafür, dass sich IT-Berechtigungen einfacher verwalten lassen. Mitarbeitende erhalten jeweils das Set an Zugriffsrechten, das sie für ihre Aufgaben brauchen – nicht mehr, nicht weniger. Jedes Teammitglied ist einer oder mehreren Rollen zugeordnet, so dass Berechtigungen nicht mehr für jedes Tool einzeln vergeben werden müssen.

Bei kritischen Systemen ist eine Segregation of Duties besonders wichtig, also geteilte Verantwortlichkeiten. Toxische Kombinationen (toxic right combinations) sind zu vermeiden. Ist das IAM-Tool entsprechend eingerichtet, blockiert es diese Kombinationen automatisch. Je nach Branche und Unternehmensgröße kann es zusätzlich sinnvoll sein, in bestimmten Fachbereichen eine Person als Segregation of Duties Manager zu bestimmen, die jede kritische Berechtigung ein zweites Mal prüft.

 

5. Schritte kleinteilig dokumentieren

 

Das IAM-Projekt ist abgeschlossen, alle Stakeholder sind informiert und geschult. Damit auch neue Führungskräfte sich einfach mit den Prozessen vertraut machen können, sollte das Unternehmen gut durchdachte Lernmaterialien anbieten, etwa FAQs und Video-Tutorials: Wie lege ich Rollen an? Was ist beim On- und Offboarding zu beachten, was bei Teamwechseln?

Und auch bei IAM gilt: Nach dem Projekt ist vor dem Projekt. Im Lauf der Zeit können sich Anforderungen ändern, so dass man das Thema erneut anpacken muss. Dies geht erheblich schneller und einfacher, wenn jeder Projektschritt, alle Stakeholder, Anforderungen und Rollen genau dokumentiert sind.

 

02.11.2021, Grosse-Hornke

Weitere Artikel

2021 Grosse-Hornke Private Consult