IAM Strategie – Experten Insights für die Praxis

Was muss ich vor der Implementierung beachten, um langfristig von IAM profitieren zu können?

Die Grundfragen

Weil IAM-Systeme sehr vielseitig einsetzbar sind, sollten Unternehmen konkrete Ziele festlegen, die sie mit einem IAM System erreichen möchten. Wichtig ist auch, die Erwartungen zu formulieren, um hinterher nicht enttäuscht zu werden. Dabei sollten auch immer langfristige Pläne und Veränderungen miteinbezogen werden. Deshalb Tim empfiehlt, dass sich Unternehmen für eine gelungene IAM-Strategie zuallererst mit einigen grundlegenden Fragen beschäftigen sollten.

• Soll es ein Access Management für Endkunden oder Mitarbeitende sein?
• Geht es hauptsächlich um Gonvernance und Security Themen?
• Sollen Abläufe transparenter gestaltet werden?

Wichtig zu beachten ist in allen Fällen, dass ein IAM-System in bestehende Strukturen eingreift und nachhaltige Veränderungen im Unternehmen hervorruft:

“Was IAM-Projekte speziell kennzeichnet ist, dass IAM ein kritisches und sicherheitsrelevantes Themengebiet ist und auch in die bestehenden Strukturen recht tief eingreift. Das Ziel eines Identity und Access Management ist immer eine Übersicht und eine Kontrolle über Personen, Maschinen und deren Berechtigungen im System zu bekommen.”

Diese Berechtigungen sollen dann verwaltet und kontrolliert werden. Das heißt auch, dass bestehende Strukturen ganz konkret in Frage gestellt werden. Dadurch kann es passieren, dass Fehler, provisorische Lösungen oder unsaubere Arbeit an Systemen oder Codes zum Vorschein kommt, was Firmen lieber verstecken würden. Ein IAM-System muss von solchen “Leichen im Keller” aber wissen, um funktionieren und richtig arbeiten zu können.

Wen muss ich in die IAM-Strategie einbinden?

Da ein IAM-System weitreichende Veränderungen mit sich bringt, ist es unerlässlich vor der Implementierung die entsprechenden Stakeholder, Führungskräfte und den Betriebsrat miteinzubeziehen. Zu diesen Personen gehören beispielsweise Systembetreuer, Verantwortliche aus Fachabteilungen, die etwa für die Daten im Unternehmen zuständig sind oder Führungskräfte, die hinterher den Zugriff vergeben. Diese Personen sollten so früh wie möglich mit die die Planung und Entscheidung integriert und von dem Vorhaben überzeugt werden.

Trotzdem ist es wichtig, diesen Weg zu gehen und eine Einigung zu erzielen. Ansonsten wird das System hinterher immer wieder von verschiedenen Seiten torpediert. Außerdem werden immer wieder Mittel und Wege gefunden das IAM-System zu umgehen, wodurch kein nachhaltiger Erfolg möglich ist. Mit welchen Argumenten Du deinen Chef und den Betriebsrat am besten von der Einführung eines Identity und Access Management System überzeugst, haben wir bereits in einem anderen Artikel für dich zusammengetragen.

Je nach Status Quo des Unternehmens müssen auch die Mitarbeitenden in das Vorhaben miteinbezogen werden. Wenn der Zugriff auf Daten bisher beispielsweise hinter verschlossenen Türen von der IT vergeben wurde, ohne, dass Benutzer davon etwas mitbekommen haben, müssen diese vorab intensiv mit einem Identity und Access Management System und dessen Funktionen vertraut gemacht werden. Wenn diese aber den Zugriff und ihre Berechtigungen bereits z.B. über ein ServiceNow (Plattform für vereinfachte Workflows) selbst beantragen, wird sich nicht viel ändern. Wichtig ist dabei immer, so Tim, auf die jeweiligen Gegebenheiten und Bedürfnisse eines Unternehmens einzugehen.

Identity und Access Management ist ein Prozess – “Ansonsten läuft das Ding gegen ‘ne Wand”

Für einen langfristigen Erfolg muss laut Tim das Bewusstsein herrschen, dass ein IAM-System eine IT-Landschaft beobachtet und deshalb immer wieder an die Gegebenheiten angepasst werden muss. Das System wird nicht einmal angebunden und dann läuft es für die nächsten Jahre. Verschiedene Benutzerrechte und der Zugriff auf Daten und Konten müssen beispielsweise immer wieder angepasst werden. Aus diesem Grund sollte schon vor der Implementierung genügend operative Kapazität bereitgestellt werden.

Tim und seine Kollegen beobachten, dass Banken und öffentliche Einrichtungen meist statischer sind als Unternehmen. Das liegt daran, dass in Unternehmen häufiger Personalwechsel stattfinden und IT-Abteilungen zusammengelegt werden, wodurch mehr Bewegung herrscht. Das hat zur Folge, dass I öfter Anpassungen im IAM-System vorgenommen werden müssen. Außerdem unterliegen Firmen einem höheren Kostendruck als Banken und öffentliche Institutionen. Deshalb ist es essenziell, dass bei der Planung eines IAM-Systems absolute Kostentransparenz herrscht. So wissen Unternehmen genau, was auf sie zukommt, und sie können die Ausgaben einplanen.

Um die anfallenden regelmäßigen Aufgaben zu erledigen, sollte ein festet Team bereitgestellt werden, was dafür verantwortlich ist. Tim empfiehlt, dass dieses aus mindestens zwei Personen besteht. Diese Zahl variiert natürlich wieder stark je nach Unternehmensgröße, IAM-Strategie und System. Bei ca. 10.000 Mitarbeitenden hält Tim ein Team von 2-6 Personen für ausreichend. Es kann jedoch auch sinnvoll sein, die Aufgaben aufzuteilen, da teils sehr unterschiedliche Skill Sets benötigt werden.

IAM frisch eingebunden – Und jetzt?

Wie im vorherigen Abschnitt bereits angeklungen ist, ist das Identity und Access Management System mit der technischen Implementierung noch nicht einsatzbereit. Wie bei jedem neuen System ist das Monitoring zu Beginn besonders wichtig. Tim rät, vor allem die Systemschnittstellen und die Ressourcenauslastung engmaschig zu überwachen. Das ist nötig, weil das neue System für viele die Arbeitsgrundlage bildet, ohne die sie nicht arbeiten können. Deshalb muss alles funktionieren.

Um das neue IAM-System nutzen zu können, müssen die Mitarbeitende an einem Onboarding-Prozess teilnehmen. Sie machen sich mit neuen Prozessen und Abläufen vertraut, um zu lernen, wie sie das System richtig verwenden.

Tim empfiehlt Unternehmen außerdem immer langfristig zu denken. Jetzt ist das System noch frisch und funktioniert einwandfrei, aber wie sieht es in der Zukunft aus? Sollen zusätzliche Benutzergruppen eingebunden und der Zugriff erweitert werden? Wenn das System in einer Cloud angesiedelt ist, skalieren die Lizenzkosten oft mit der Anzahl der Benutzer und der angeschlossenen Systeme. Diese Skalierung muss beobachtet werden, damit die Betriebskosten mit der Zeit nicht zu hoch werden.

Wie halte ich mein IAM-System auf dem neusten Stand?

Wie bei jedem technischen System stehen auch bei einem IAM-System nach einiger Zeit verschiedene Software-Updates an. Diese unterscheiden sich im Aufwand je nach verwendetem System. Es kann z.B. sein, dass neue Pakete durch den Software-Anbieter im Zusammenhang mit dem Modell des Software as a Service im Hintergrund eingespielt werden und die Benutzer davon nichts mitbekommen. Es besteht aber auch die Möglichkeit, dass diese Aufgabe das eigene Rechenzentrum übernimmt, wozu allerdings die Ressourcen bereitgestellt werden müssen.

Vor allem wenn das Identity und Access Management System mit anderen Systemen verbunden ist, geschieht dies auf Basis von Zertifikaten. Diese laufen nach einer gewissen Zeit ab und müssen somit regelmäßig erneuert werden. Auch das sollte bei der Einrichtung bereits bedacht werden.

Vor allem bei Identity Governance und Administration Systemen (IGA) muss der soll und ist Zustand der Berechtigungen regelmäßig überwacht und abgeglichen werden. Dazu werden sogenannte Rezertifizierungskampagnen durchgeführt, die immer wieder den aktuellen Stand mit den Wissensträgern abgleichen.

IAM-Strategie – Herausforderungen und wie Du sie angehst

Tim konnte in den letzten Jahren 2 bis 3 Problemgruppe ausmachen, die in Verbindung mit einem IAM-System immer wieder auftreten.

Die Herausforderungen
Eines der häufigsten Probleme bei der Implementierung eines IAM-Systems sind technische Restriktionen innerhalb eines Unternehmens. Vorab muss genau überprüft werden, welche technischen Möglichkeiten und Hintergründe in einem Unternehmen vorherrschen und wie diese mit einem Identity und Access Management System kompatibel sind. Die große Schwierigkeit dabei ist, dass Systemlandschaften sehr unterschiedlich aussehen können und die darin eingebundene Systeme verschiedene Möglichkeiten bieten. Genau betrachtet werden müssen die APIs, um zu überprüfen, ob das System überhaupt die gewünschten Anforderungen erfüllen kann.

Ein weiteres Problem ist, dass die organisatorischen und betrieblichen Anforderungen durch das IAM-System nicht gelöst werden können. Unternehmen haben unter Umständen falsche Vorstellungen von den Möglichkeiten eines Identity und Access Management Systems und setzen sich Ziele, die damit nicht erreicht werden können.

Das dritte Problem wurde weiter oben bereits angesprochen: Es geht um die fehlende Akzeptanz von Führungskräften, Stakeholdern, dem Upper Management oder dem Betriebsrat. Manche von ihnen können schwer von der Implementierung eines Identity und Access Management Systems überzeugt werden und wollen lieber eine andere Agenda fahren.

Die Lösung

In allen drei Fällen nennt Tim als Lösung ein starkes IT-Projektmanagement. Zuständige sollten für ihr Projekt werben und sich frühzeitig an den CIO und Fachabteilungen wenden. Sie sollten sich außerdem intensiv Wissen aneignen, um bei Fragen und Kritik entsprechend reagieren zu können. Denn häufig haben Menschen schlichtweg Angst, bestehende Strukturen zu verändern. Deshalb sollte das Vorgehen und was damit zusammenhängt genau erklärt werden, damit alle wissen, was auf sie zukommt und was mit IAM möglich ist. Dafür stehen auch die Consultans von amiconsult zur Verfügung, die durch ihre langjährige Erfahrung Unsicherheiten aus dem Weg räumen und beratend zur Seite stehen.

IAM-Systeme können in alle bestehenden Systeme eingebunden werden, es muss nur an die jeweiligen Gegebenheiten angepasst werden. So kann es allerdings sein, dass die Vergabe vom Zugriff auf gewisse Daten beispielsweise nicht automatisiert abläuft, weil es das System nicht hergibt. In so einem Fall kann es aber als Service Ticket bearbeitet werden. Dennoch kann dieser Vorgang dann in ein System eingetragen werden, wodurch der gesamte Ablauf protokolliert und transparent gestaltet wird.

Unzufrieden mit IAM? Das könnten die Gründe sein

Einer der häufigsten Gründe, wieso Unternehmen mit ihrem IAM-System unzufrieden sind, ist laut Tim, dass sie falsche Erwartungen an das System gestellt haben, die dann nicht erfüllt wurden. Das kann beispielsweise durch Misskommunikation oder ein falsches Verständnis für die Thematik hervorgerufen werden.

Ein weiterer Grund ist, dass Firmen den Projektaufwand und die Dauer für ihr IAM-System falsch einschätzen. Sie sind der Annahme, dass sich diese Projekte viel schneller umsetzen lassen und rechnen mit schnelleren Effizienzgewinnen. Unternehmen unterschätzen auch den Aufwand, die vorgefundenen Datensätze und etwaige Probleme mit sich bringen, die zudem noch die Kosten in die Höhe treiben. Dadurch wächst Unternehmen so ein Projekt schnell mal über den Kopf.

Herausfordernd kann auch die Wahrnehmung gegenüber einem Identity und Access Management System sein. Ein Kunde hat einmal zu Tim gesagt, dass IAM unfassbar langweilig klingt und man damit niemanden wirklich beeindrucken kann. Das System an sich ist aber unfassbar wichtig und interessant. Identity und Access Management ist ein Kern-System in der IT-Landschaft und betrifft sämtliche Bereiche eines Unternehmens. Tim appelliert deshalb daran, in einer Implementierung eines IAM-Systems eine Chance für interne IT-ler und alle Benutzer zu sehen, um die Strukturen und Systeme eines Unternehmens kennenzulernen und zu verstehen. Auch werden so vielleicht das Interesse und die Begeisterung bei Entscheidern geweckt, die das System dann anders wahrnehmen.

Tims Rat für eine gelungene IAM-Strategie

Damit bei Deinem IAM-Projekt erst gar keine Probleme entstehen und du von Anfang an alles richtig machst, hat Tim zum Abschluss noch ein paar Tipps, die er aus seiner langjährigen Erfahrung gesammelt hat.

Diese Fragen sollten vor der Implementierung eines Identity und Access Management Systems auf jeden Fall geklärt werden:

• Wozu will ich ein IAM-System nutzen?
• Was ist die perspektivische und strategische IT-Ausrichtung meines Unternehmens?
• Worauf liegt mein Augenmerk? Sicherheit? Gute Login Erfahrungen?
• Wer soll das System nutzen? Geschäftspartner? Endkunden? Dienstleister?
• Was ist der Status Quo und was sind die Bedürfnisse in der Zukunft?

Abschließend rät Tim, dass spätestens vor der Implementierung eines IAM-Systems ein externer Berater hinzugezogen werden sollte. Dieser stellt u.a. die oben genannten Fragen und macht Unternehmen auf Aspekte aufmerksam, an die sei selbst nicht gedacht haben. Vertrauensvolle und erfahrene Partner spielen dabei immer mit offenen Karten, sind transparent was Kosten angeht und wollen nicht nur schnell etwas verkaufen.

Genau solche Berater haben wir hier bei amiconsult. Falls Du also Interesse an einem Identity und Access Management System hast, schreib uns einfach kurz und wir sind für Dich da!