Zugangskontrollen sollen die Cloud sicherer machen

silicon.de: IAM (Identity and Access Management) ist weder ein neues Thema im IT-Alltag noch eines, das man spontan in die Nähe von Cloud Computing rücken würde. Sie tun es dennoch – wo sehen Sie die Verbindung?

Hirsch: Studien zeigen, dass Unternehmen nur zögerlich den Schritt in die Cloud wagen, weil sie Bedenken hinsichtlich Sicherheit, Datenschutz und Compliance haben. Die zentrale Frage dabei ist: Wer hat Zugriff auf meine Daten? Die Cloud-Technologie kommt also ohne ein zuverlässiges Rechte- und Sicherheitsmanagement nicht aus. Genau dafür sorgen Identity- und Access-Management-Systeme der neuen Generation. Sie definieren, steuern und kontrollieren, welche Anwender auf welche Daten und Applikationen zugreifen dürfen – und das über unterschiedliche Plattformen, Unternehmen und Länder hinweg. Damit lassen sich Cloud-Dienste sicher und nachvollziehbar verwalten und Sicherheitsrisiken minimieren.

silicon.de: Ist es nicht eine Illusion, eine virtuelle Umgebung mit einem solchen Zugangskontrollsystem sicher machen zu wollen?

Hirsch: Ganz und gar nicht. Es genügt heute längst nicht mehr, in einem Unternehmen nur interne IAM-Strukturen aufzusetzen. Denn durch Cloud Computing weichen heute Unternehmensgrenzen mit starren Infrastrukturen zu Gunsten von On-Demand-Modellen immer weiter auf. Mitarbeiter greifen heute von überall auf Daten und Anwendungen zu, von unterwegs oder vom Heimbüro, über Laptops oder Smartphones. Ein modernes IAM-System ist in der Lage, mit diesen Entwicklungen Schritt zu halten.

silicon.de: Wie lässt sich ein vorhandenes IAM-System an die neuen virtuellen Infrastrukturen anpassen?

Hirsch: Es geht darum, die Applikationen in der Cloud zu provisionieren, also automatisiert die richtigen Rechte für die richtigen Benutzer zu vergeben. Basis hierfür sind zweifelsfreie Identitäten, die ein Identity Provider (IdP) verwaltet und zur Verfügung stellt. Für diese Aufgabe gibt es bisher zwei Modelle: Entweder werden die Identitäten bei einem externen IdP verwaltet, der dann die Cloud-Applikationen provisioniert. Viele Service-Anbieter stellen hierfür bereits die passenden Schnittstellen zur Verfügung. Oder die Identitäten verbleiben im Unternehmen, das dann selbst als IdP fungiert. Der Zugriff auf die Cloud-Dienste erfolgt dann über Identity Federation und Web Single Sign-On. Die Benutzer authentifizieren sich jeweils über sichere Zertifikate, die von einem Trustcenter ausgegeben werden. Dank dieser Berechtigungen können sich Mitarbeiter oder Geschäftspartner auch in der Cloud gegenseitig eindeutig identifizieren und vertrauen.

silicon.de: Was müssen Unternehmen dabei beachten?

Hirsch: Die Verwaltung der Identitäten und die Rechtevergabe müssen in der Cloud genauso strikt und verlässlich erfolgen wie innerhalb eines Unternehmens. Dies umfasst nicht nur die Erfassung von Identitäten, sondern auch deren Aktualisierung und Löschung, ebenso wie die Provisionierung, Aktualisierung und den Entzug von Rechten. So müssen etwa verwaiste Accounts ausgeschlossen sein. Zudem sollte für die Benutzer der Übergang zwischen dem Arbeiten innerhalb des Unternehmens und in der Cloud fließend sein. Um die Zugangsrechte für Cloud-Anwendungen aus einem Unternehmens-IAM-System heraus zu erstellen, sollte eine IAM-Lösung zum einen über eine standardisierte Schnittstelle für die Provisionierung verfügen, die möglichst viele Anbieter unterstützen. Zum anderen ist ein integriertes Web Access Management wichtig, das es den Benutzern ermöglicht, mittels Web Single Sign-On auf die Cloud Services zuzugreifen. Das verringert Aufwand und Kosten für die Integration erheblich. In besonders sicherheitskritischen Bereichen kann der Zugang zu den Cloud-Diensten zusätzlich durch starke Authentifizierungsmechanismen wie etwa biometrische Verfahren oder Token abgesichert werden.

silicon.de: Wie kann die Interoperabilität zwischen Cloud-Diensten und IAM-Systemen sichergestellt werden?

Hirsch: Für Interoperabilität zwischen Cloud-Diensten und IAM-Systemen sorgen im Hinblick auf die Authentifizierung standardisierte Federation-Protokolle wie SAML 2.0 (Security Assertion Markup Language). Damit können Partner vertrauenswürdige Identitäten wechselseitig sicher nutzen, ohne sie selbst pflegen zu müssen. Stattdessen authentifizieren sich die Benutzer bei einem Identity Provider. SAML 2.0 ist das weltweit am häufigsten verwendete Föderierungsprotokoll. Es wird von allen führenden Herstellern von Web Access Management angeboten und weltweit von Geschäfts-, Bildungs- und Regierungsinstitutionen eingesetzt. Bezüglich der Provisionierung ist SPML (Service Provisioning Markup Language) der Standard, der den sicheren Austausch von Benutzer-, Ressourcen- und Service-Provisioning-Informationen zwischen den kooperierenden Organisationen gewährleistet.

silicon.de: Werden IAM-Systeme selbst irgendwann in die Cloud wandern?

Hirsch: Dafür gibt es schon einige Ansätze. Wir bieten Unternehmen beispielsweise Identity Federation auch aus der Cloud an. Mit dem “Identity Provider on Demand” können sie Identitäten externer Kooperationspartner einfach und sicher verwalten und eine konsistente Zugangskontrolle für Cloud Services schaffen. Der Service schützt die Unternehmensdaten, gibt jedoch dem Cloud-Anbieter keinen Einblick in die Identitätsdaten der Mitarbeiter.

silicon.de: Interessieren sich im Zuge des Virtualisierungstrends auch Unternehmen für IAM, die sich vorher mit dem Thema nicht beschäftigt haben?

Hirsch: Ja, die Nachfrage nach IAM-Lösungen ist in den letzten Jahren ungebrochen und dementsprechend hoch ist auch das Marktwachstum. Einer der wichtigsten Gründe, warum Unternehmen IAM einführen, ist die Einhaltung von Compliance-Vorgaben. An zweiter Stelle wollen sie Sicherheitsrisiken minimieren und Geschäftsabläufe optimieren. Deshalb öffnen sich vor allem Unternehmen aus dem Energie- und Gesundheitssektor zunehmend dem Thema. Denn technologische Entwicklungen wie das Smart Grid oder auch die elektronische Patientenakte sowie Online-Gesundheitsplattformen erhöhen die Anforderungen an Compliance und Sicherheit. Zudem ist der Öffentliche Sektor ein großer Treiber für IAM-Projekte. So adressiert die E-Government-Strategie des Bundes vor allem die Themen Sicherheit, Benutzerfreundlichkeit und Kostenoptimierung. Und genau das sind die Stärken von IAM.

silicon.de: Worauf müssen Unternehmen achten, wenn sie IAM einführen wollen?

Es gibt hauptsächlich drei Dinge zu beachten: Zum Ersten ist der größte Stolperstein bei der Einführung bisher oft noch die fehlende Geschäftsausrichtung. Unternehmen konzentrieren sich zu sehr auf die Technik und nicht auf die Abläufe, die mittelbar von IAM betroffen sind. Doch IAM ist niemals nur ein Projekt, sondern vielmehr ein Prozess. Und der steht und fällt mit der richtigen Strategie. Zum Zweiten ist eine transparente Kommunikation wichtig. Betriebsrat und Mitarbeiter sollten von Anfang an einbezogen werden, um Missverständnisse und etwaige Vorbehalte auszuräumen. Auch die Rollen und Rechte können nur gemeinsam mit dem Management im Vorfeld definiert werden, denn sie müssen sich an den Geschäftsprozessen, der Aufbauorganisation und den Funktionen der Mitarbeiter orientieren. Zum Dritten empfehlen wir unseren Kunden vor allem bei komplexeren IAM-Vorhaben, mit kleineren Abschnitten und den wichtigsten Systemen anzufangen und dann Schritt für Schritt weitere einbinden. Auf diese Weise werden Erfolge viel schneller sichtbar und das erhöht auch die Akzeptanz im Unternehmen. Wichtig ist hier ein Lösungspartner, der das Geschäft seines Kunden genau versteht und über das notwendige Branchen-Know-how verfügt.

silicon.de: Was kann Ihre hauseigenen IAM-Lösung DirX, was andere nicht können?

Hirsch: Das Besondere an der DirX-Produktsuite ist, dass sie organisch gewachsen ist und ihre Komponenten Identity, Access, Audit, Federation und Web Single Sign-On genau aufeinander abgestimmt sind. Das senkt den Integrationsaufwand erheblich. Viele andere IAM-Anbieter können mit ihren Lösungen zwar die Funktionalität anbieten, bieten aber keine komplette Produktfamilie an und damit im Gegensatz zu DirX nicht immer die nötige Integrationstiefe. Außerdem gehört die multi-mandantenfähige Lösung zu den größten Identity-Management-Systemen weltweit. Zum Beispiel bildet sie die Basis des weltweiten Siemens Corporate Directory mit mehr als 450.000 Einträgen und etwa 150 Millionen monatlichen Zugriffen. Über unser Produktangebot hinaus verfügen wir durch eine enge Verbindung zu Siemens auch über die nötige Industrie-Expertise. Nicht zuletzt deshalb sehen uns Analysten als führend beim Angebot integrierter Branchen-Gesamtlösungen.

silicon.de: Welche Trends sehen Sie bei IAM in den kommenden Jahren?

Hirsch: Durch den weiterhin hohen Kostendruck und die fortschreitende Virtualisierung werden sich Managed-Service-Modelle für IAM weiter durchsetzen. Denn dadurch sparen sich Unternehmen die Verwaltung eines komplexen Identitäts- und Zugriffsmanagements und können hohe Anfangsinvestitionen in variable Kosten umwandeln. Zudem geht der Trend weg von IAM als Einzellösung. Stattdessen richtet sich die Technologie künftig als ein Teil vertikaler und horizontaler Lösungen noch näher an den Kernprozessen aus.