Digitale Identitäten zentral und zukunftssicher managen
Werden in Organisationen Services unterschiedlicher Anbieter genutzt, wird aus dem Management der digitalen Identitäten schnell eine echte Mammutaufgabe – insbesondere, wenn man den aktuellen Trend zur “Multi-Cloud” betrachtet. Abhilfe schaffen zentrale Identitätsmanagementsysteme. Deren Auswahl stellt eine wichtige und sorgfältig zu treffende Entscheidung dar, weil damit entscheidende Fragen in Bezug auf Zukunftssicherheit, Interoperabilität, Datensicherheit und Compliance mit dem Datenschutzrecht sowie Flexibilität bei der Auswahl künftiger neuer Cloud-Services verbunden sind.
Das nachfolgende Beispiel verdeutlicht die Herausforderung: Die Mitarbeiter eines mittelständischen Unternehmens arbeiten an unterschiedlichen Standorten, im Homeoffice oder von unterwegs. Das Entwicklerteam nutzt Google G-Suite zur Kommunikation und Dateiablage sowie das Cloud-Angebot von Atlassian für das Projektmanagement mit Jira und setzt GitHub als Repository für Eigenentwicklungen ein. Jeder dieser Dienste verfügt über ein eigenes Benutzermanagement und ist unabhängig von den anderen zu verwalten. Mitarbeiter benötigen zur Zusammenarbeit also mindestens drei Log-ins nebst zugehörigen Passwörtern.
In der Praxis schalten Administratoren oft lediglich die Anwendung frei, die Verantwortung für die Nutzerverwaltung liegt innerhalb der Fachabteilungen oder sogar einzelner Teams. Dies ist nicht nur unkomfortabel, bindet wertvolle Ressourcen und führt zu hohen Kosten, sondern wirft auch Sicherheits- und Compliance-Probleme auf: Sobald ein Mitarbeiter das Unternehmen verlässt, müssen alle Konten zuverlässig deaktiviert werden – und das möglichst schnell.
Es wäre fatal, wenn ein Entwickler, der inzwischen für einen Mitbewerber tätig ist, weiterhin Einblick in die Forschungsarbeiten seines ehemaligen Arbeitgebers hätte. Hier den Überblick zu behalten und Accounts in lokalen und Cloud-basierten Diensten zu verwalten wird mit jedem weiteren Cloud-Dienst, den eine Gruppe im Unternehmen einsetzen möchte, anspruchsvoller und aufwändiger.
Zentrales Identitätsmanagement ist effizienter
Aus Sicherheits- und Effizienzgründen sollte das Management digitaler Identitäten daher möglichst zentral erfolgen. Administratoren haben die Wahl, entweder einen Account pro Benutzer und Service zu verwalten oder diese Aufgabe mit einem zentralen Identity Management System (IdM) zu erledigen. Dieses kann entweder innerhalb des eigenen Netzwerkes “On Premise” installiert oder als Identity Management as a Service (IdMaaS) via Cloud genutzt werden.
Kernfunktionen: Nutzerverwaltung und Single-Sign-On
Ein zentrales Identitätsmanagement muss den Aufwand für die Administration digitaler Identitäten senken und eine einheitliche Integration von externen Diensten und Angeboten in die Unternehmens-IT sicherstellen (Federation). Darüber hinaus sollte es möglich sein, aus persönlichen Informationen automatisiert Benutzerkonten zu erzeugen und Zugang zu allen benötigten Applikationen und Services zu gewährleisten (Provisioning). Verlässt ein Mitarbeiter das Unternehmen oder vergisst er seine Zugangsdaten, muss zudem ein Zurücksetzen der digitalen Identität möglich sein – und zwar automatisch für alle verwendeten Services (De-Provisioning).
Integration: Schnittstellen und unterstützte Dienste prüfen
Moderne und agil operierende Organisationen müssen in der Lage sein, einzelnen Teams neue Anwendungen zur Verfügung zu stellen – auch kurzfristig. Die mit dem IdM-System zukünftig zu verbindenden Dienste sind zum Zeitpunkt der Auswahl also oft noch gar nicht vollständig bekannt. Aus diesem Grund kommt es bei der Auswahl neben der Frage, ob das IdM-System die bereits im Unternehmen eingesetzten Dienste unterstützt, vor allem darauf an, ob im Enterprise-Umfeld gängige Standards wie SAML unterstützt werden. Denn das ist die Voraussetzung dafür, dass sich neue Dienste zukünftig einfach mit dem IdM-System verbinden und technisch besser in bestehende IT-Infrastrukturen integrieren lassen.
Verfügbarkeit: On-Premise oder Cloud
Mit einer On-Premises-Installation befindet sich das IdM-System vollständig innerhalb des Unternehmens. Wird jedoch die Internetverbindung zum betreffenden Server unterbrochen, können Mitarbeiter an anderen Standorten oder von unterwegs oft nicht mehr auf benötigte Dienste zugreifen.
Wird das IdM hingegen redundant im Rechenzentrum eines Cloud-Anbieters betrieben, ist die Wahrscheinlichkeit, dass es von außen nicht mehr erreicht werden kann, viel geringer. Deswegen ist der Betrieb in einem unabhängigen Rechenzentrum die beste Wahl. Hier werden in der Regel auch geeignete Maßnahmen für eine hohe Ausfallsicherheit ergriffen und Backup-Systeme verfügbar gehalten.
Sicherheit: Zweifaktor-Authentifizierung ist Pflicht
Zur Absicherung von Konten, mit denen auf kritische Daten zugegriffen wird, ist Zweifaktor-Authentifizierung ein Muss. Derzeit ist es in den meisten Unternehmen noch ein Randaspekt, doch sollten Lösungen für das Management digitaler Identitäten diese Funktion unbedingt unterstützen – insbesondere, wenn sie in der Cloud betrieben werden.
Datenschutz: As a Service oder eigener Identitäts-Provider?
Die Nutzung von zentralen Cloud-Diensten und Angeboten für Identity Management as a Service (IdMaaS) ist sehr einfach und komfortabel geworden. Dabei sollten sich Entscheider jedoch darüber im Klaren sein, dass sie damit die eigene Kontrolle darüber einschränken, auf welche Anwendungen Mitglieder der eigenen Organisation zugreifen können. Werden wichtige Anwendungen von der IdM-Lösung nicht unterstützt oder ändert sich das Lizenzierungsmodell des Anbieters, kann das Outsourcing des Identitätsmanagements unter Umständen teuer zu stehen kommen.
Darüber hinaus entstehen neue Anforderungen in punkto Datenschutz. Wenn die persönlichen Daten der Nutzerprofile auf Server-Systemen außerhalb der EU gelagert werden, reicht der Abschluss eines ADV-Vertrages oft nicht mehr aus. Es gilt also genau zu prüfen, ob der Einsatz einer IdM-Lösung den hierzulande gültigen Rechtsvorschriften entspricht und auch alle Regelungen der 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung (EU-DSGVO) erfüllt.
Ein möglicher Ausweg ist der zentrale Betrieb einer von Cloud-Anbietern unabhängigen IdM-Lösung bei einem IaaS-Anbieter – jedoch sollten für dessen Services die Gesetze des Rechtsraumes gelten, in dem auch der Kunde ansässig ist.
Kriterien zur Bewertung von Herstellerabhängigkeit
Gegen die Nutzung von so in der Cloud bereitgestellten IdM-Systemen spricht also zunächst nichts – im Gegenteil: Entsprechende Angebote sind sehr einfach in Betrieb zu nehmen, da viele Herausforderungen rund um Datensicherheit, Netzanbindung, Verfügbarkeit, Sicherung und Betrieb bereits vom Cloud-Anbieter gelöst wurden. Diesbezüglich signalisieren die vom BSI aufgezählten Qualitätssiegel wie SaaS von EuroCloud, CSA STAR, TÜV Trust IT Zuverlässigkeit
Neben den bereits angesprochenen Kriterien müssen Organisationen vor der Entscheidung für ein Cloud-IdM aber auch prüfen, in wie weit sie sich damit in eine möglicherweise nur schwer auflösbare Abhängigkeit vom Anbieter begeben. Dazu ist die Beantwortung der folgenden drei Fragen hilfreich:
1. Kann das IdM-System unabhängig vom spezifischen Angebot eines Cloud-Anbieters auch On-Premise oder bei einem anderen Cloud-Anbieter betrieben werden?
Wenn das IdM-System als Software auch unabhängig vom Cloud-Angebot am Markt verfügbar ist, ist bei späteren Änderungen wie dem Wechsel des Cloud-Providers mit deutlich geringen Aufwänden zu rechnen. Datenformate und Schnittstellen können dann unverändert bleiben und es sind keine oder lediglich geringe Anpassungen notwendig. So können Organisationen leichter auf Veränderungen im Markt oder zukünftige Compliance-Anforderungen reagieren.
2. Unterstützt das System die Replikation von Verzeichnissen zwischen unterschiedlichen Cloud-Systemen und mit Verzeichnisdiensten anderer Hersteller wie Microsoft Active Directory?
Verzeichnisreplikation ist immer dann wichtig, wenn bei unterschiedlichen Providern verwendete Services genutzt werden oder lokale Anmeldungen an mehreren Standorten notwendig sind. Fällt ein Cloud-System aus, sind Daten, wie zum Beispiel Benutzereinstellungen, dennoch weiter verfügbar.
Nutzer können sich also selbst bei Ausfall eines Cloud-Rechenzentrums noch an ihren Computern anmelden und nicht vom Ausfall betroffene Dienste wie gewohnt nutzen. Unternehmen, die bisher (auch) Microsoft Active Directory zur Verwaltung von Nutzern verwenden, sollten zudem darauf achten, dass dieses sich mit dem ausgewählten IdM-System integrieren lässt.
3. Ist das IdM-System auch unter Open-Source-Lizenz verfügbar?
Open Source Software lässt sich unabhängig vom Hersteller prüfen, pflegen und anpassen – und ist damit zukunftssicherer als proprietäre Lösungen. Organisationen können so die dauerhafte Nutzbarkeit von offenen Schnittstellen, Anpassungen und Erweiterungen gewährleisten. Auch der Export von Daten oder Integrationen mit Nicht-Standardkonformen Systemen, die es leider auch immer wieder gibt, ist mit Zugriff auf den Quellcode einfacher möglich.
Eine Open Source Lizenz ermöglicht zudem die unabhängige Überprüfung der durch die Software abgebildeten Prozesse. Dies ist für erhöhte Sicherheits- und Compliance-Anforderungen von enormer Wichtigkeit.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Obwohl Open Source Software theoretisch auch unabhängig vom Hersteller betrieben werden kann, ist dies für die meisten und gerade für kleinere Organisationen oft nicht wirtschaftlich. Bei einer Open Source Lösung sollte deswegen darauf geachtet werden, dass diese auch als Enterprise-Subskription erhältlich ist. Dabei übernimmt der Hersteller zu marktüblichen Konditionen Verantwortung für Funktionsfähigkeit, Pflege und Support, ohne dass auf die Vorteile des offenen Quellcodes verzichtet werden muss.
Experten-Tipp: Ein guter Startpunkt für die Recherche ist der AWS Marketplace. Hier sind verschiedene IdM-Lösungen verfügbar, die in der Regel sowohl als Cloud-Lösung als auch unabhängig davon als Software verfügbar sind. Einige davon sind vollständig als Open Source Software verfügbar.
Fazit: Rationale Entscheidungen gefragt
Zentrales Identity Management erleichtert die Administration von IT- und Cloud-Services enorm. Um die Kontrolle darüber zu behalten, welche Anwendungen Nutzern auch zukünftig bereitgestellt werden können, sollten Unternehmen jedoch nicht nur auf bequeme Handhabung und Konnektoren achten. In vielen Fällen ist eine weitgehende Kontrolle über ein so zentrales System wie das Identitätsmanagement mehr als empfehlenswert
Das entsprechende IdM-System muss etablierte Standards unterstützen und sollte unabhängig vom Cloud-Service auch als Software verfügbar sein – idealerweise ist es sogar Open Source. Unternehmen können so Dienste so unterschiedlicher Anbieter wie Amazon Web Services, Google G-Suite und Office 365 mit vielen weiteren Angeboten kombinieren und die Rechte der Nutzer dennoch zentral und einheitlich und datenschutzkonform verwalten.
Die Entscheidung, ob eine Organisation ein eigenes Identity Management On-Premise, bei einem Cloud-Provider in Deutschland betreibt oder als IdMaaS bei einem großen internationalen Anbieter nutzt, ist strategischer Natur. CIOs sollten hier ein Für und Wider genau abwägen, nach individuellen Kriterien urteilen und rational entscheiden. Wollen sie ihre IT flexibel und zukunftssicher aufstellen, ist Open Source Software aus oben genannten Gründen die beste Wahl.
Über den Autor
Peter H. Ganten ist Gründer und CEO der Univention GmbH und Vorsitzender der Open Source Business Alliance (OSBA). Er beschäftigt sich seit 1994 mit Open Source im professionellen Einsatz, ist Autor eines erfolgreichen Handbuches zu Debian GNU/ Linux und tritt als Experte auf Fachkonferenzen und Veranstaltungen auf.