Je wertvoller Daten werden, desto besser muss man sie schützen. Hier helfen Identity- und Access-Management Lösungen (IAM). Marc Burkhard ist CEO und Senior Solution Architect bei ITSENSE. Er erklärt, wann der Einsatz einer IAM-Lösung im Unternehmen Sinn ergibt und wo die grössten Probleme bei IAM-Projekten liegen.
Ein Interview von George Sarpong mit Marc Burkhard, CEO & Senior Solution Architect ITSENSE AG.
Wieso ist IT-Security im Jahr 2016 immer noch ein so grosses Problem, obwohl Unternehmen viel Geld für hochmoderne Technik ausgeben?
Marc Burkhard: Die Beschaffung von hochmoderner Technik ist ein wichtiger Punkt. Der sinnvolle und korrekte Einsatz dieser Mittel sowie die Beherrschung der Komplexität ist noch wichtiger. Viele Unternehmen sind heute mit der Hausforderung konfrontiert, mit gleichbleibendem Budget immer mehr Leistungen zu erbringen. Diese Umstände führen oft zu einer chronischen Überlastung der IT-Organisation und schwerwiegenden Versäumnissen. Ausser dem Bestreben, Abläufe zu automatisieren, muss die fachliche Ausbildung der IT-Mitarbeiter sichergestellt werden. Gleichzeitig müssen alle Mitarbeiter eines Unternehmens kontinuierlich in sicherheitsrelevanten Themen geschult und sensibilisiert werden.
Ab welcher Unternehmensgrösse ist ein Identity- und Access-Management, kurz IAM, sinnvoll?
Erfahrungsgemäss liegt die Einstiegsgrösse bei etwa 200 Mitarbeitern, wobei die Anzahl Mitarbeiter nicht immer ausschlaggebend sein muss. Hohe Sicherheitsbedürfnisse, organisationsübergreifende Zusammenarbeit oder eine hohe Fluktuation können gleichermassen ein Initiator für IAM sein.
Was sind die drei grössten Probleme Ihrer Kunden im Bereich IAM?
Erstens ist die Motivation, ein IAM einzuführen und zu betreiben, je nach Interessengruppe sehr unterschiedlich. Daraus resultiert oft ein differenziertes Verständnis, was unter IAM verstanden wird und welche Ziele mit IAM erreicht werden sollen. Dieses Verständnis gilt es zu harmonisieren. Zweitens wird dem Thema IAM vielfach zu wenig Aufmerksamkeit geschenkt. Der Irrglaube, mit der Beschaffung einer IAM-Lösung sei die Arbeit getan, ist weit verbreitet. Unternehmen und Anforderungen sind dynamisch, und so muss auch ein IAM der Dynamik folgen können, um einen optimalen Wirkungsgrad erzielen zu können. Das bedeutet, geschultes Fachpersonal, Verständnis dafür, wie das Unternehmen funktioniert und die Bereitschaft zur organisationsübergreifenden Zusammenarbeit. Und drittens hat die Einführung eines Identity-Management-Systems nicht nur technische Konsequenzen für den Betrieb, sondern muss auch in den organisatorischen Abläufen entsprechend berücksichtigt werden. Wird etwa ein HR-System als führendes System eingebunden, müssen die darin geführten Personaldaten eine hohe Qualität aufweisen, da sie als wichtiges Steuerelement dienen. Die HR-Abteilung selbst wird dadurch ein wichtiger Teil der IAM-Prozesse und Verantwortlichkeiten werden verteilt.
Sie beschreiben in Ihrem Fachbeitrag, dass es nicht die Aufgabe der IT-Abteilung sei, die Zugangsberechtigungen von Mitarbeitern zu kontrollieren? Wen sehen Sie in der Kontrollpflicht?
Eine Validierung ist grundsätzlich nur dann sinnvoll, wenn der Informationsgehalt verstanden wird und dessen Richtigkeit beurteilt werden kann. Falls möglich sollte die Validierung von Berechtigungen zwischen mehreren Instanzen aufgeteilt werden. Der Linienvorgesetzte soll etwa über funktionsorientierte, die Security über sicherheitsrelevante und die Projektleiter über projektorientierte Berechtigungen entscheiden. Die Kontrollpflicht sehe ich primär bei den Vorgesetzten, die über die Funktionen und Aufgaben ihrer Mitarbeiter am besten Bescheid wissen sollten.
Wie haben Sie das Identity Management in Ihrem Unternehmen organisiert?
Wir vertrauen auf unsere eigene, vollständig in der Schweiz entwickelte IAM-Lösung. Die «CoreOne Suite» ermöglicht das sichere und zentrale Identity- und Access-Management über die von uns eingesetzten lokalen oder cloudbasierten Dienste.
