Steigerung von Effizienz und Sicherheit durch Provisioning

NET - Zeitschrift für Kommunikationsmanagement, 6/2003[3]

Provisioning-Systeme, wie sie seit etwa zwei Jahren angeboten werden, bieten die Möglichkeit, die Vorgänge der Vergabe, des Entzugs und des Reportings von Benutzerberechtigungen zu automatisieren und in einen Workflow einzubinden. So wird eine häufige Fehlerquelle, nämlich die manuelle Handhabung von Benutzerrechten, ausgeschlossen. Provisioning-Systeme haben inzwischen Einsatzreife erlangt und können in vielen Fällen helfen, die operativen Risiken zu minimieren und Einsparungen bei der Administration der IT Systeme zu erreichen. Der Beitrag beruht auf Erfahrungen des Informatikzentrums der Sparkassenorganisation GmbH (SIZ), welches das Thema Provisioning bei der Fortführung seiner Aktivitäten zu Verzeichnisdiensten für die S-Finanzgruppe aufarbeitete.

Michael Rogulla[1], Horst Walther[2]

Als kürzlich ein Hersteller von Provisioning-Software zu einem Wettbewerb aufrief, die ungewöhnlichsten "Provisioning-Horror-Stories" zu erzählen, kam Unglaubliches zutage: So wurden z.B. einem Mitarbeiter, der in verantwortlicher Stellung zu einem Konkurrenzunternehmen wechselte, weder Zutrittskarten noch Rechnerzugriffsrechte entzogen - ohne dass er dies allerdings ausnutzte; Schaden richtete indes ein ehemaliger Netzadministrator an, der sich selbständig gemacht und noch Jahre später die Rechnerkapazität seines ehemaligen Arbeitgebers genutzt hatte. Schon diese wenigen Beispiele von vielen zeigen, dass in der Praxis die Privilegien und Zugriffsrechte der Benutzer nicht immer wirksam verwaltet werden. Insbesondere werden häufig einmal erteilte Rechte nur verspätet oder gar nicht mehr zurückgenommen. Verzögerungen bei der Vergabe von Benutzerrechten sind zwar ärgerlich, aber nicht unbedingt sicherheitskritisch, wogegen der verspätete Entzug von Zugriffsrechten fatale Folgen haben kann.

Die kritische Funktionalität

Bei der wirksamen Verwaltung der Benutzerzugriffsrechte helfen nun jedoch Provisioning-Systeme. Provisioning heißt "die Versorgung von neuen Mitarbeitern mit all den Zugangsrechten zu den DV-Ressourcen, die sie für ihre Tätigkeit benötigen". Man spricht auch von Ressource Provisioning, User Provisioning oder von E-Provisioning. Vorrangig geht es dabei um die automatisierte Zuweisung von Berechtigungen zur Benutzung von ITSystemen. De-Provisioning ist fast noch bedeutsamer: die automatisierte Unterstützung von Wechseln in der Geschäftsrolle (Beförderungen, Abteilungswechsel) und beim Ausscheiden eines Mitarbeiters aus dem Unternehmen und damit verbunden der erforderliche schnelle Entzug von Rechten. Weiterhin gibt es das sog. Reverse Provisioning, bei dem z.B. für Audit-Zwecke ein Status der Zugriffsrechte zu einem bestimmten aktuellen oder in der Vergangenheit liegenden Zeitpunkt ermittelt wird. Die Aufgabe der Benutzerverwaltung ist seit jeher für Unternehmen von hoher Bedeutung und war bislang mit hohem administrativen Aufwand verbunden. Dies ist weder im Hinblick auf den Aufwand noch auf die erreichte Geschwindigkeit befriedigend. Und die unerfreuliche Situation wird durch aktuelle Entwicklungen noch verschärft:

Wo das bisher übliche "händische" Vorgehen gerade noch akzeptabel war, wird man künftig schnellere und wirtschaftlichere Vorgehensweisen benötigen, In der Praxis hängen Arbeitsfähigkeit und Informationssicherheit häufig von Fleiß, Organisationstalent und Vertrauenswürdigkeit einiger weniger, häufig stark überlasteter Administratoren ab. Aber auch in gut organisierten Unternehmen ist z.B. ein automatisierter Abgleich der Zugriffsrechte aller wesentlichen Zielsysteme über Schnittstellenmodule, sog. Konvektoren, heute noch selten realisiert. Regelmäßige Audits aktueller und historischer Berechtigungen werden ebenfalls nur selten durchgeführt, da diese aufgrund der fehlenden Automatisierung mit einem hohen Aufwand verbunden wären. Reverse Provisioning könnte hier für eine entscheidende Verbesserung sorgen. 4) der Sparkassen-Finanzgruppe sehen sich die Institute mit der Situation konfrontiert, dass sie neben der Verwaltung von Zugriffsrechten auf interne Systeme auch verantwortlich sind für die Zuweisung solcher Rechte auf Systeme, die bei einem externen Dienstleister stehen. Eine Vereinheitlichung der Berechtigungsadministration wäre hier von Vorteil. Die Installation und der Betrieb von Provisioning-Systemen sowie die technischen Aspekte (und nur diese) der Festlegung von Berechtigungsprofilen können auch von einem betreuenden Verbandsrechenzentrum wahrgenommen werden. Die inhaltliche Definition der Berechtigungsprofile auf Basis der Geschäftsprozesse sowie die Zuweisung der einzelnen Mitarbeiter zu diesen Profilen jedoch gehören zu den hoheitlichen Aufgaben jedes einzelnen Institutes, und sie müssen daher auch bei diesem verbleiben. Es empfiehlt sich, soweit möglich, vordefinierte Templates zu verwenden, um so den damit verbundenen Aufwand zu minimieren. Weiterhin gehört zu den Aufgaben, die nicht an einen externen Dienstleister vergeben werden dürfen, die Auslösung des Prozesses zur Berechtigungsvergabe und ggf. die gesonderte Zustimmung zur Vergabe von Einzelberechtigungen.

Aus Sicherheitsgesichtspunkten muss eine Provisioning-Lösung mindestens folgende Funktionen unterstützen …

Seit kurzem sind Werkzeuge auf dem Markt , die diese Aufgaben zufriedenstellend zu unterstützen versprechen. Anbieter solcher Systeme sind z.B. BMC, IBM, Business Layers, Courion, Thor, Waveset und M-Tech. Die Übernahme von Access360, einem der führenden Anbieter von User-Provisioning-Systemen, durch IBM im September 2002 macht deutlich, dass dieses Marktsegment inzwischen auch von den Großen der Branche für bedeutsam gehalten wird. Man erwartet eine weitere Konsolidierung einer Vielzahl kleiner und mittlerer Unternehmen.

Das Indentity Management besteht - wie das Bild zeigt - aus drei Gruppen von Prozessen:

Prozessgruppen des unternehmensinternen Identity Management

Die Aspekte des Federated Identity Management, wie es Microsoft mit dem Passport-Dienst oder die Liberty Alliance behandeln und die primär auf die digitale Identität im Internet abzielen (B2C), sind nicht Gegenstand dieses Beitrages.

Aspekte des Einsatzes

Installation und Einrichtung eines systemunterstützten Provisioning sind mit erheblichem Aufwand verbunden. Insbesondere der Aufwand für Definition und Abstimmung von Mitarbeiterrollen im Unternehmen darf nicht unterschätzt werden und nimmt in Projekten oft eine unerwartet große Zeitspanne in Anspruch. Klar strukturierte und dokumentierte Prozesse sind eine notwendige Voraussetzung für die Ausarbeitung des Rollen- und Rechtemodells. Diese Aspekte sollten im Vorfeld eines Provisioning-Projektes angemessen berücksichtigt werden.

Provisioning-Systeme lohnen sich derzeit typischerweise für größere Organisationen wie Landesbanken, größere Sparkassen oder Verbandsrechenzentren mit den von ihnen betreuten Instituten. Hier können sie sich dann aber in ein bis zwei Jahren amortisieren und zu einem deutlich höheren Sicherheitsniveau beitragen. Dieser Nutzen ist auch für kleinere und mittlere Institute erreichbar, wenn die Technik von den betreuenden Rechenzentren zur Verfügung gestellt wird. Bereitgestellte Mustervorlagen für Benutzer rollen, Berechtigungsprofile und Genehmigungs-Workflow können helfen, auch den fachlichen Definitionsaufwand in überschaubaren Grenzen zu halten.

Mit der OASIS-Initiative zur Definition der XML-basierten Service Provisioning Markup Language (SPML) liegt ein Entwurf vor, der ein standardisiertes Austauschformat für Provisioning-Informationen definiert. Das wird dann wichtig, wenn User-Provisioning-Systeme über Unternehmensgrenzen hinweg, etwa zu Lieferanten oder Kunden, wirken sollen. Auch Fusionen und Unternehmensübernahmen erfordern in der Folge interoperable User-Provisioning-Systeme. (we)

[1] Michael Rogulla ist Produktmanager im Ressort Grundla­gen im Informatikzentrum der Sparkassenorganisation (SlZ) in Bonn.

[2] Dr. Horst Walther ist Geschäftsführer der SiG Software Inte­gration GmbH in Hamburg

[3] Eine ausführliche Betrachtung fikndet sich in der Studie des Informatikzentrums der Sparkassen-Finanzgruppe: "Verzeichnisdienste im Wandel".

Horst Walther, Hamburg