Ergebnisse eines SIZ-Projekts

erschienen in kes 2003, Nr. 6, Seite 21

Mehr IT-Ressourcen, mehr Mitarbeiterfluktuation und mehr Sicherheitsbedarf lassen eine manuelle Rechteverwaltung heutzutage häufig scheitern. Für die Sparkassen-Finanzgruppe hat ein SIZ-Projekt daher Provisioning-Systeme untersucht und dabei einen positiven Eindruck gewonnen.

Von Michael Rogulla, Bonn[1] und Horst Walther, Hamburg[2]

Erhöhte Sicherheitsanforderungen bei gleichzeitig steigender Komplexität der Benutzeradministration schaffen in vielen Unternehmen einen besonderen Handlungsdruck. Die seit etwa drei Jahren angebotenen Provisioning-Systeme ermöglichen es, die Vorgänge der Vergabe, des Entzugs und des Reportings von Benutzerberechtigungen zu automatisieren und in einen Workflow einzubinden. Damit wird eine häufige Fehlerquelle, nämlich die manuelle Handhabung von Benutzerrechten, stark verkleinert. Das Informatikzentrum der Sparkassenorganisation (SIZ) hat das Thema Provisioning im Rahmen der Fortführung seiner Aktivitäten zu Verzeichnisdiensten für die Sparkassenfinanzgruppe aufgearbeitet und möchte an dieser Stelle von seinen Erfahrungen berichten.

Als zu Beginn letzten Jahres ein Hersteller von Provisioning-Software zu einem Wettbewerb aufrief, die ungewöhnlichsten "Provisioning-Horror-Stories" zu erzählen, kamen erstaunliche Kuriositäten zusammen: In einem Fall wurden einem Mitarbeiter, der in verantwortlicher Stellung zu einem Konkurrenzunternehmen wechselte, weder Zutrittskarten noch Rechner zugriffsrechte entzogen; bei entsprechender Absicht hätte er seinem ExArbeitgeber massiv schaden können. Realen Schaden angerichtet hatte in einem zweiten Fall ein ehemaliger Netzwerkadministrator, der sich selbstständig gemacht und noch Jahre später fleißig die Rechnerkapazität (und wer weiß, was noch?) seines ehemaligen Arbeitgebers genutzt hatte.

In einem besonders kuriosen Fall wurde ein Haus mit dem ungewöhnlichen Vorzug eines kostenfreien Telefonanschlusses zum Kauf angeboten: Der Vorgänger des Hausbesitzers war ein ehemaliger Manager einer Telefongesellschaft. Bei seinem Ausscheiden hatte das Unternehmen den Entzug seiner Privilegien schlicht vergessen.

Diese drei Beispiele zeigen deutlich, dass in der Praxis die Privilegien und Zugriffsrechte von Benutzern bei weitem nicht immer wirksam verwaltet werden. Vor allem werden einmal erteilte Rechte häufig nur verspätet oder gar nicht mehr zurückgenommen. Allgemein gesagt sind Verzögerungen (z. B. durch Benutzung eines Umlaufformulars) bei der Vergabe von Benutzerrechten zwar ärgerlich, aber nicht unbedingt sicherheitskritisch, wogegen der verspätete Entzug von Zugriffsrechten fatale Folgen haben kann.

Bei der wirksamen Verwaltung solcher Benutzerzugriffsrechte helfen seit kurzem so genannte Provisioning-Systeme. Provisioning bedeutet "die Versorgung von neuen Mitarbeitern mit all den Zugangsrechten zu den Datenverarbeitungsressourcen, die sie für ihre Tätigkeit benötigen". Man spricht auch von Resource Provisioning, User Provisioning oder, im Trend der Zeit, von E-Provisioning. Vorrangig geht es dabei um die automatisierte Zuweisung von Berechtigungen zur Benutzung von IT-Systemen.

Das De-Provisioning ist das Gegenstück und fast noch bedeutsamer: Die automatisierte Unterstützung von Wechseln der Geschäftsrolle (Beförderungen, Abteilungswechsel) und dem Ausscheiden eines Mitarbeiters sowie damit verbunden dem erforderlichen schnellen Entzug von Rechten.

Weiterhin gibt es noch das so genannte Reverse Provisioning bei dem man, beispielsweise für Audit-Zwecke, einen Status der Zugriffsrechte zu einem bestimmten aktuellen oder in der Vergangenheit liegenden Zeitpunkt ermittelt.

Handlungsdruck

Produktivitätsverlust und Sicherheitsrisiko

Abbildung 1: Produktivitätsverlust und Sicherheitsrisiko

Die Benutzerverwaltung ist seit jeher für Unternehmen von großer Bedeutung, war aber sehr aufwändig (manuelle Eingriffe oder Versand von E-Mails mit der Aufforderung, Änderungen vorzunehmen etc.) und langwierig. Gleichwohl ist die Aufgabenstellung in vielen großen Unternehmen nach wie vor nicht zufriedenstellend gelöst. Diese unerfreuliche Situation wird durch aktuelle Entwicklungen noch verschärft. So haben wir es heute mit einer steigenden Dynamik zu tun: Der Wechsel wird zum Normalzustand. Mitarbeiter bleiben für kürzere Zeit als früher mit einer Geschäftsrolle verknüpft. Sie wechseln Abteilungen, arbeiten in Projekten oder gehen für einige Wochen zu einer Niederlassung. Normal ist auch der zeitweilige Einsatz externer Kräfte, die meist Zugriff auf bestimmte interne Ressourcen benötigen.

Die stärkere IT-Durchdringung in der Büroarbeit bringt heute zudem fast immer auch die Nutzung von IT-Ressourcen wie PC, E-Mail, Firmen-Intranet mit sich. Dazu kommt das höhere Sicherheitsbewusstsein: Die Erfahrungen mit den Gefahren des Internet, die hohe IT-Abhängigkeit und nicht zuletzt das aktuelle Weltgeschehen haben zu einer erhöhten Security Awareness geführt. Ein "leih mir mal Dein Passwort!" wird heute nicht mehr akzeptiert.

Auch die externen Auflagen sind strenger geworden: Behördliche Regelungen nehmen sich immer intensiver IT-bedingter Risiken an und definieren entsprechende Anforderungen. Beispielsweise müssen sich Banken nach den Plänen des Basel Accord 11 darauf einrichten, für die operativen Risiken (Operational Risks) ihrer internen Abläufe Rückstellungen zu bilden. Diese lassen sich nur dann reduzieren, wenn nachzuweisen ist, dass die internen Abläufe geringere Risiken bergen als pauschal unterstellt wird.

Wo das bisher übliche händische Vorgehen in der Vergangenheit gerade noch akzeptabel war, wird man künftig also schnellere und wirtschaftlichere Vorgehensweisen benötigen.

In der Praxis hängen Arbeitsfähigkeit und Informationssicherheit häufig von Fleiß, Organisationstalent und Vertrauenswürdigkeit einiger weniger, häufig stark überlasteter Administratoren ab. Aber auch in gut organisierten Unternehmen ist beispielsweise ein automatisierter Abgleich der Zugriffsrechte aller - wesentlichen - Zielsysteme über Schnittstellenmodule, so genannte Konnektoren, heute nur selten realisiert.

Regelmäßige Audits aktueller und historischer Berechtigungen werden ebenfalls nur in den wenigsten Fällen durchgeführt, da diese aufgrund der fehlenden Automatisierung mit einem hohen Aufwand verbunden wären. Reverse Provisioning könnte hier für eine entscheidende Verbesserung sorgen.

Spezielle Anforderungen

In der Sparkassen-Finanzgruppe sind die Institute nicht nur für die Verwaltung von Zugriffsrechten auf internen Systemen verantwortlich, sondern auch für die Zuweisung solcher Rechte auf Systemen, die bei einem externen Dienstleister stehen. Eine Vereinheitlichung der Berechtigungsadministration wäre hier vorteilhaft. Denn die Installation und der Betrieb von Provisioning-Systemen sowie die technischen Aspekte (und nur diese) der Festlegung von Berechtigungsprofilen können auch von einem betreuenden Verbandsrechenzentrum wahrgenommen werden.

Die inhaltliche Definition der Berechtigungsprofile auf Basis der Geschäftsprozesse sowie die Zuweisung der einzelnen Mitarbeiter zu diesen Profilen gehört jedoch zu den "hoheitlichen" Aufgaben jedes einzelnen Institutes und muss daher auch bei diesem verbleiben. Es empfiehlt sich, soweit möglich, vordefinierte Templates zu verwenden, um so den damit verbundenen Aufwand zu minimieren. Weiterhin gehört zu den Aufgaben, die nicht an einen externen Dienstleister vergeben werden dürfen, die Auslösung des Prozesses zur Berechtigungsvergabe und gegebenenfalls die gesonderte Zustimmung zur Vergabe von Einzelberechtigungen.

Aus Sicherheitsgesichtspunkten muss eine ProvisioningLösung mindestens folgende Funktionen unterstützen:

Seit kurzem sind Werkzeuge auf dem Markt, die diese Aufgaben zufriedenstellend zu unterstützen versprechen. Anbieter solcher Systeme sind zum Beispiel BMC, IBM (exAccess360), Business Layers, Courion, Thor, Waveset (Akquisition durch Sun Microsystems angekündigt) und M-Tech. Die Übernahme von Access360, einem der ehedem führenden Anbieter von User-Provisioning-Systemen, durch IBM im September 2002 sowie die aktuellen Ankündigungen von Oracle und Microsoft machen deutlich, dass inzwischen auch die Großen der Branche dieses Marktsegment für bedeutsam erachten. Man erwartet eine weitere Konsolidierung einer Vielzahl kleiner und mittlerer Unternehmen.

Provisioning und Identity Management

Ein unternehmensinternes Identity Management besteht typischerweise aus drei Gruppen von Prozessen (vgl. Abb. 2):

Prozessgruppen des Identity Managment

Abbildung 2:Prozessgruppen des Identity Management

Die Aspekte des aktuell viel diskutierten Federated Identity Management, wie es Microsoft (Passport) oder die Liberty Alliance behandeln und die primär auf die (private) digitale Identität im Internet abzielen (B2C), sind hiervon jedoch zu unterscheiden und nicht Gegenstand dieses Beitrags.

Aspekte des Einsatzes

Nach Aussagen von GartnerAnalysten ist die Einführung eines systemunterstützten Provisioning aktuell eine der wenigen IT-Investitionen, deren schnelle Amortisation unmittelbar nachzuweisen ist. Gleichwohl sind Installation und Einrichtung mit erheblichem Aufwand verbunden: Vor allem den Aufwand für Definition und Abstimmung von Mitarbeiterrollen im Unternehmen darf man nicht unterschätzen; das dauert in Projekten oft unerwartet lange. Klar strukturierte und dokumentierte Prozesse sind eine notwendige Voraussetzung für die Ausarbeitung des Rollen- und Rechte-Modells. Diese Aspekte sollten im Vorfeld eines Provisioning-Projekts angemessen berücksichtigt werden.

Provisioning-Systeme lohnen sich derzeit typischerweise für größere Organisationen wie Landesbanken, größere Sparkassen oder Verbandsrechenzentren mit den von ihnen betreuten Instituten. Hier können sie sich dann aber schon in ein bis zwei Jahren amortisieren und zu einem deutlich höheren Sicherheitsniveau beitragen. Dieser Nutzen ist auch für kleinere und mittlere Institute erreichbar, wenn die Technik von den betreuenden Rechenzentren zur Verfügung gestellt wird. Bereitgestellte Mustervorlagen (Templates) für Benutzerrollen, Berechtigungsprofile und Genehmigungs-Workflow können helfen, auch den fachlichen Definitionsaufwand in überschaubaren Grenzen zu halten.

Mit der OASIS-Initiative zur Definition der XML-basierten Provisioning Services Markup Language (PSML) liegt ein Entwurf vor, der ein standardisiertes Austauschformat für Provisioning-Informationen definiert (s. a. www.oasis-open.org/committees/provision/). Das wird dann wichtig, wenn User-Provisioning-Systeme über Unternehmensgrenzen hinweg wirken sollen, etwa zu Lieferanten oder Kunden. Auch Fusionen und Unternehmensübernahmen erfordern in der Folge interoperable User Provisioning-Systeme.

Fazit

Der Einsatz von User-Provisioning-Systemen in Unternehmen der Finanzdienstleistungsbranche sollte in Betracht gezogen werden. Einerseits hat der Handlungsdruck für viele Unternehmen stark zugenommen. Andererseits haben die Systeme inzwischen Einsatzreife erlangt. Berücksichtigt man die geschilderten Hinweise und Maßnahmen, dann lässt sich damit das Sicherheitsniveau erheblich erhöhen und der Administrationsaufwand reduzieren, sodass Investitionen in Provisioning-Systeme auch in wirtschaftlich schwierigen Zeiten zu rechtfertigen sind.

[1] Michael Rogulla (Michael.Rogulla@siz.de) ist Produktmanager im Ressort Sicherheitstechnologie des Informatikzentrum der Sparkassenorganisation GmbH (SIZ) in Bonn.

[2] Dr. Horst Walther (Horst.Walther@Si-G.com) ist Geschäftsführer der SiG Software Integration GmbH in Hamburg.

Horst Walther, Hamburg