Identity & Access Management (IAM) Painpoints – wie geht man damit um?

Achim Stolz | IPG AG

Herr Stolz, sie beraten IPG-Kunden zu IAM im Vorfeld von technischen Integrationsprojekten. Wo sehen Sie für IAM die grössten Herausforderungen?
Die Unternehmen erbringen ihre Leistungen in einem Umfeld, welches immer stärker geprägt ist von hoher Dynamik im Verhalten der Kunden, Märkte und Partner, rascher technologischer Entwicklungen und immer öfter auch disruptiven Geschäftsmodellen. Dies bedeutet, sich als Unternehmen laufend anzupassen und sich manchmal sogar neu zu erfinden.

Was hat das nun mit Identity und Access Management zu tun?
Mit IAM stellen wir sicher, dass auf Informationen in ihrem geschäftlichen Kontext sicher zugegriffen werden kann und unzulässige Zugriffe unterbunden werden.

Wenn sich das Unternehmen verändert und es seine Prozesse anpassen muss, hat dies auch für das IAM weitreichende Konsequenzen. Denn seine Leistungen und Leistungsprozesse, seine Organisation, die Informationssammlungen und Applikationen, also so ziemlich alles, was Anhaltspunkte gibt, wer in welcher Funktion welche Zugriffe benötigt verändern sich ebenfalls.

Oft werden Neuausrichtungen mit internen Projekten durchgeführt. Sie benötigen Ansprechpartner, welche die Konsequenzen für die Zugriffssteuerung und Informationssicherheit überblicken, auffangen und umsetzen können. Unserer Erfahrung nach ist dafür eine fachseitige IAM-Organisation mit guter Vernetzung zu den Informations-Besitzern, dem HR, der Applikationsentwicklung und dem Informatikbetrieb am besten geeignet. Wenn die Zugriffe auf die neuen Anforderungen angepasst werden müssen, steht naturgemäss die Sicherstellung des Betriebs an erster Stelle, denn die Mitarbeiter müssen schliesslich in der veränderten Situation handlungsfähig sein. Die Rolle der IAM-Organisation ist hierbei, die Anpassung der Zugriffssteuerung so zu moderieren, dass den IAM-Prinzipien Rechnung getragen und Grundsätze wie need-to-know, Funktionentrennung, Nachvollziehbarkeit und Belegbarkeit eingehalten werden. Gelebte Prozesse mit klaren Verantwortlichkeiten, welche nicht nur das tägliche Antragswesen oder den Joiner-Mover-Leaver-Prozess abdecken, sondern auch das Angleichen von Geschäftsrollen, das Berücksichtigen von Veränderungen in der Aufbauorganisation oder Zielsystemanbindungen sind hier natürlich immens wertvoll…

…aber, heisst das nicht, auf der sprichwörtlichen grünen Wiese neu anzufangen?
Überhaupt nicht. Grundsätzlich spielt es erstmal keine Rolle, welche Mittel ein Unternehmen gegenwärtig für die Zugriffssteuerung einsetzt. Irgendwie hat IAM im Haus ja bislang auch funktioniert. Auch falls unmittelbare Herausforderungen bestehen – seien es «anhängliche» Revisionsbefunde, ein ungutes Gefühl der Dateneigner, wenn sie einen Berechtigungsantrag genehmigen oder eine grassierende Analog-User-Kultur, in welcher der neue Team-Mitarbeiter grundsätzlich mal alle Berechtigungen erhält, die sein Nachbar schon akkumuliert hatte, eine Symptombekämpfung ist immer möglich.

Schwieriger wird es, wenn die Einführung einer neuen IAM-Lösung schon in der Anforderungsphase in hunderte Detaildiskussionen zerfasert, weil keine klare Ausrichtung und Positionierung der angestrebten Lösung besteht, weil die IAM-Stakeholder nicht klar oder nicht genügend fit sind usw.. Richtiggehend unüberschaubar wird die Gemengelage spätestens dann, wenn die Geschäftsleitung sich mit dem Gedanken trägt, die Unternehmenskunden oder -partner stärker in die eigenen Geschäftsprozesse zu integrieren und sich abzeichnet, dass deren Identitäten und Zugriffe ebenfalls zu managen sind («Customer-IAM»).

Nebst der Erfüllung der regulatorischen Vorgaben, bei denen es im Wesentlichen um das Optimum aus minimaler Erreichung und bestmöglicher Effizienz und Automatisierung geht, kommt hier eine dritte Dimension dazu: IAM wird zum Enabler, aber eben auch zur Voraussetzung für neu gestaltete Geschäftsmodelle!

Es gilt also, Übersicht zu schaffen und einen Plan zu machen?
Auch wenn es situative und branchen-typische Muster gibt, treffen wir bei jedem unserer Kunden eine andere Ausgangslage und andere Schwerpunkte an. Hier hilft uns eine nach Handlungsfeldern strukturierte Methodik, den Handlungsbedarf in seiner Gesamtheit herauszuschälen und zielführende Optionen vorzuschlagen. Technische Lösungen stehen dabei nur selten im Vordergrund, sondern die Frage, wie IAM den Geschäftszweck unterstützen kann, welche IAM-Prozesse und -Disziplinen dabei relevant sind und wie sie organisatorisch eingebettet werden können.

Damit entsteht ein Zielbild und eine Vorgehensstrategie, welche die Prozessreife, den organisatorischen Aufbau, die Mitarbeiterkenntnisse und -sensibilisierung und schliesslich dann auch die Evaluation und Umsetzung adäquater technischer Lösungen steuert. Damit bringen wir Transparenz in die Bedürfnisse und erarbeiten mit unseren Kunden die Voraussetzungen, damit ihr IAM mit ihrer Geschäftsstrategie im dynamischen Umfeld Schritt hält.

Achim Stolz ist seit 2016 bei IPG als Lead IAM Advisor bei der IPG-Gruppe tätig und zeichnet für den Bereich Advisory verantwortlich.