Michael Rogulla[1], Horst Walther[2]

Zusammenfassung

Erhöhte Sicherheitsanforderungen bei gleichzeitig steigender Komplexität der Benutzer-Administration schaffen in vielen Unternehmen aktuell einen besonderen Handlungsdruck. Die seit etwa zwei Jahren angebotenen Provisioning Systeme bieten hierbei die Möglichkeit, die Vorgänge der Vergabe, des Entzugs und des Reportings von Benutzerberechtigungen zu automatisieren und in einen Workflow einzubinden. Damit wird eine häufige Fehlerquelle, nämlich die manuelle Handhabung von Benutzerrechten, stark verkleinert

Provisioning Systeme haben zwischenzeitlich Einsatzreife erlangt. Ihr Einsatz kann empfohlen werden, da er in vielen Fällen hilft, die operativen Risiken zu minimieren. Dies kann vor dem Hintergrund Basel II zu einer Reduzierung von Rückstellungen führen. Weitere Einsparungen können sich bei der Administration der IT-Systeme ergeben.

Das SIZ hat das Thema Provisioning im Rahmen der Fortführung seiner Aktivitäten zu Verzeichnisdiensten für die S-Finanzgruppe aufgearbeitet und stellt in diesem Artikel kurz die Ergebnisse zum Thema Provisioning vor. Die weiteren Ergebnisse aus dem Projekt zu Verzeichnisdiensten werden in einem später erscheinenden Artikel dargestellt.

Die Situation

Als zu Beginn dieses Jahres ein Hersteller von User Provisioning Software zu einem Wettbewerb aufrief, die ungewöhnlichsten "Provisioning-Horror-Stories" zu erzählen, kamen erstaunliche Kuriositäten zusammen:

Diese drei Beispiele zeigen deutlich, dass in der Praxis die Privilegien und Zugriffsrechte der Benutzer nicht immer wirksam verwaltet werden. Insbesondere werden häufig einmal erteilte Rechte nur verspätet oder gar nicht mehr zurück genommen. Allgemein gesagt sind Verzögerungen (z.B. durch Benutzung eines Umlaufformulars) bei der Vergabe von Benutzerrechten zwar ärgerlich, aber nicht unbedingt sicherheitskritisch, wogegen der verspätete Entzug von Zugriffsrechten fatale Folgen ha-ben kann.

Die kritische Funktionalität

Bei der wirksamen Verwaltung dieser Benutzerzugriffsrechte helfen seit kurzem sogenannte User Provisioning Systeme.

Der Handlungsdruck

Abbildung 2: Produktivitätsverlust und Sicherheitsrisiko (Quelle: M-Tech)

Die Aufgabe der Benutzerverwaltung ist seit je her für Unternehmen von hoher Bedeutung und war bislang mit hohem administrativem Aufwand verbunden (händische Eingriffe oder Versand von eMails mit der Aufforderung Änderungen vorzunehmen etc.). Dies ist weder im Hinblick auf den getriebenen Aufwand noch auf die erreichte Geschwindigkeit befriedigend. Gleichwohl ist sie in vielen großen Unternehmen nach wie vor nicht zufriedenstellend gelöst. Diese unerfreuliche Situation wird durch aktuelle Entwicklungen noch verschärft: …

Anforderungen und Anbieter

Wo das bisher übliche "händische" Vorgehen in der Vergangenheit gerade noch akzeptabel war, wird man künftig schnellere und wirtschaftlichere Vorgehensweisen benötigen.

In der Praxis hängen Arbeitsfähigkeit und Informationssicherheit häufig von Fleiß, Organisationstalent und Vertrauenswürdigkeit einiger weniger, häufig stark überlasteter Administratoren ab. Aber auch in gut organisierten Unternehmen ist beispielsweise ein automatisierter Abgleich der Zugriffsrechte aller - wesentlichen - Zielsysteme über Schnittstellenmodule, sogenannte Konnektoren, heute noch selten realisiert.

Regelmäßige Audits aktueller und historischer Berechtigungen werden ebenfalls nur in den wenigsten Fällen durchgeführt, da diese aufgrund der fehlenden Automatisierung mit einem hohen Aufwand verbunden wären. Reverse Provisioning könnte hier für eine entscheidende Verbesserung sorgen.

In der Sparkassen-Finanzgruppe sehen sich die Institute mit der Situation konfrontiert, dass sie neben der Verwaltung von Zugriffsrechten auf internen Systemen auch verantwortlich sind für die Zuweisung solcher Rechte auf Systemen, die bei einem externen Dienstleister stehen. Eine Vereinheitlichung der Berechtigungsadministration wäre hier von Vorteil. Die Installation und der Betrieb von Provisioning-Systemen sowie die technischen Aspekte (und nur diese) der Festlegung von Berechtigungsprofilen können auch von einem betreuenden Verbandsrechenzentrum wahrgenommen werden. Die inhaltliche Definition der Berechtigungsprofile auf Basis der Geschäftsprozesse sowie die Zuweisung der einzelnen Mitarbeiter zu diesen Profilen jedoch gehört zu den hoheitlichen Aufgaben jedes einzelnen Institutes und muss daher auch bei diesem verbleiben. Es empfiehlt sich, soweit möglich, vordefinierte Templates zu verwenden um so den damit verbundenen Aufwand zu minimieren. Weiterhin gehört zu den Aufgaben, die nicht an einen externen Dienstleister vergeben werden dürfen, die Auslösung des Prozesses zur Berechtigungsvergabe und ggf. die gesonderte Zustimmung zur Vergabe von Einzelberechtigungen.

Aus Sicherheitsgesichtpunkten muss eine solche Lösung aber mindestens folgende Funktionen unterstützen …

Seit kurzem sind Werkzeuge auf dem Markt[3], die diese Aufgaben zufriedenstellend zu unterstützen versprechen. Anbieter solcher Systeme sind z.B. BMC, Access360, Business Layers, Courion, Systor, Thor, Waveset und M-Tech. Die Übernahme von Access360, einem der führenden Anbieter von User Provisioning Systemen, durch die IBM im September 2002 macht deutlich, dass dieses Marktsegment inzwischen auch von den Großen der Branche für bedeutsam gehalten wird.Man erwartet eine weitere Konsolidierung einer Vielzahl kleiner und mittlerer Unternehmen.

User Provisioning und Identity Management

Das unternehmensinterne Identity Management besteht aus drei Gruppen von Prozessen (siehe Abbildung 1):

User Provisioning und Identity Management

Abbildung 1: Prozessgruppen des Identity Management

Aspekte des Einsatzes

Nach Aussagen der Gartner Analysten[4] ist die Einführung eines systemunterstützten User Provisioning aktuell eine der wenigen Verwaltungsmaßnahmen, deren schnelle Amortisation unmittelbar nachgewiesen werden kann.

Gleichwohl sind Installation und Einrichtung mit erheblichem Aufwand verbunden. Insbesondere der Aufwand für Definition und Abstimmung von Mitarbeiterrollen im Unternehmen darf nicht unterschätzt werden und nimmt in Projekten oft eine unerwartet große Zeitspanne in Anspruch. Klar strukturierte und dokumentierte Prozesse sind eine notwendige Voraussetzung für die Ausarbeitung des Rollen- und Rechte-Modells. Diese Aspekte sollten im Vorfeld eines Provisioning Projektes angemessen berücksichtigt werden.

Provisioning Systeme lohnen sich aktuell typischerweise für größere Organisationen wie Landesbanken, größere Sparkassen oder Verbandsrechenzentren mit den von ihnen betreuten Instituten. Hier können sie sich dann aber in 1 bis 2 Jahren amortisieren und zu einem deutlich höheren Sicherheitsniveau beitragen. Dieser Nutzen ist auch für kleinere und mittlere Institute erreichbar, wenn die Technik von den betreuenden Rechenzentren zur Verfügung gestellt wird. Bereitgestellte Mustervorlagen für Benutzer-Rollen, Berechtigungsprofile und Genehmigungs-Workflow können helfen, auch den fachlichen Definitionsaufwand in überschaubaren Grenzen zu halten.

Mit der OASIS-Initiative zur Definition der XML-basierten Provisioning Services Markup Language (PSML) liegt ein Entwurf vor, der ein standardisiertes Austauschformat für Provisioning-Informationen definiert. Das wird dann wichtig, wenn User Provisioning Systeme über Unternehmensgrenzen hinweg, etwa zu Lieferanten oder Kunden, wirken sollen. Auch Fusionen und Unternehmensübernahmen erfordern in der Folge interoperable User Provisioning Systeme.

Empfehlung

Der Einsatz von User-Provisioning Systemen in Unternehmen der Finanzdienstleistungsbranche sollte erwogen werden. Einerseits hat der Handlungsdruck für viele Unternehmen stark zugenommen. Andererseits haben die angebotenen Systeme inzwischen Einsatzreife erlangt. Bei Einhaltung der oben geschilderten Hinweise und Maßnahmen lassen sich erhebliche Verbesserungen des Sicherheitsniveaus und eine Reduktion der Administrationsaufwände erzielen, sodass Investitionen in Provisioning Systeme auch in wirtschaftlich schwierigen Zeiten gerechtfertigt werden können.

[1] Michael Rogulla ist Produktmanager im Ressort Grundla­gen im Informatikzentrum der Sparkassenorganisation (SlZ) in Bonn.

[2] Dr. Horst Walther ist Geschäftsführer der SiG Software Inte­gration GmbH in Hamburg

[3] Eine ausführliche Betrachtung der angebotenen Systeme und eine Abgrenzung gegenüber verwandten Disziplinen findet sich in der SIZ-Studie: "Fortschreibung Verzeichnisdienste", Arbeitspaket 1: "Ressource Provisioning als Directory Enabled Application".

[4] "User Provisioning - Automating Accounts and Access", 02. October 2002 - Roberta Witty

Horst Walther, Hamburg