Kurze Frage, wenn ein Angestellter oder eine Angestellte Ihre Firma oder die Firma Ihres Kunden verlässt, wie viele Systeme müssen Sie anfassen, bevor der gesamte IT-Zugang dieser Person deaktiviert ist? Falls Ihre Antwort „Mehr als ein System“ lautet, dann ist die Einführung eines Identity Management Systems oder die Verbesserung Ihres bestehenden Systems ein Projekt, das Sie angehen sollten. Ein Identiy Management System, kurz IDM, kümmert sich nicht nur darum, dass sich Benutzer an den richtigen Diensten anmelden können, sondern sorgt auch dafür, dass die Rollen und Privilegien innerhalb der IT-Umgebung richtig vergeben werden. Viele Administrator*innen oder IT-Verantwortliche fürchten jedoch, dass die Einführung eines IDM komplex ist. Dies muss jedoch nicht sein. Folgen Sie mir einfach anhand eines Beispiels und sehen Sie, wie Sie UCS einführen können, ohne dass Sie alle Ihre Dienste migrieren müssen.
Identity Management System (IDM) – Zugriffskontrolle und konsistente Datenbestände
Vielen Unternehmen wachsen parallel mit ihrer IT-Umgebung und den Administrator*innen wird oft erst recht spät klar, wie viele Dienste im Laufe der Zeit hinzugekommen sind. Zuerst gibt es oft nur einen E-Mail-Server, dann kommt die Dateiablage dazu und natürlich gibt es für alle Angestellte einen Laptop oder Desktop-PC. All diese Dienste entwickeln sich unabhängig voneinander oder als kleine Inseln von zwei oder drei miteinander integrierten Diensten, und für jeden Dienst müssen die Nutzer*innen einzeln verwaltet werden.
Mit der Professionalisierung der Unternehmensprozesse kommen schnell weitere Anforderungen hinzu. Die Daten der Personalabteilung müssen separat von der Buchhaltung gespeichert sein und Mitarbeiter*innen aus der Produktion sollten auf keinen der beiden Datenbestände Zugriff haben. Ein funktionierendes IDM würde hier fast automatisch von Anfang an für eine sinnvolle Rollenverteilung bei den Zugriffsrechten sorgen. Denn es stellt sicher, dass jede*r Angestellte*r Zugriff auf genau die Daten und Dienste hat, die sie oder er für die tägliche Arbeit benötigt. Nicht mehr und nicht weniger.
Weiterhin stellt ein IDM sicher, dass die Nutzerdaten in allen Systemen konsistent bleiben. Falls Ihr Unternehmen z.B. Kopano als Groupware und ownCloud für die Dateiablage einsetzt, dann sorgt das IDM dafür, dass beide Anwendungen dieselbe E-Mail-Adresse des Nutzers verwenden. Damit verringert sich das Risiko, dass z.B. ein einfacher Tippfehler bei doppeltem oder dreifachem Einpflegen der Daten das Arbeiten von Mitarbeiter*innen behindert. Ein IDM ermöglicht auch übergreifende Benutzernamen und Passwörter für alle Anwendungen und eine passwortlose Anmeldung mittels Single-Sign-On-Mechanismen.
Mehr Sicherheit vor Ransomware durch Vorgaben und automatische Prüfungen
Auch zwingt ein IDM Mitarbeiter*innen zur Einhaltung von Betriebsvorgaben. Die bekanntesten sind dabei Authentifizierungsvorgaben, wie z.B. die Passwortkomplexität oder der zwingende Einsatz von Smartcards. Ein IDM erlaubt jedoch auch komplexere Einschränkungen, wie z.B. die Überprüfung des Ortes, von dem aus der Zugriff erfolgt. So ist es doch eher unwahrscheinlich, dass sich jemand auf zwei unterschiedlichen Kontinenten gleichzeitig physikalisch befindet und an Rechnern anmeldet. In Zeiten von Ransomware und Hackerangriffen sind diese Prüfungen unabdingbar, um die Sicherheit der Unternehmens-IT und damit das Funktionieren der Unternehmens-Prozesse überhaupt zu gewährleisten.
Zu guter Letzt kann ein IDM die Arbeitsaufwände der IT-Abteilung verringern. Automatisierungen, wie z.B. Templates, sorgen dafür, dass Informationen vorausgefüllt zur Verfügung stehen. Damit verringert sich die Fehleranfälligkeit und der Vorgang vereinfacht sich soweit, dass selbst nicht-IT-Professionals Benutzer anlegen können. Das gilt natürlich auch für den Lieblingsvorgang jeder Supportabteilung – das Zurücksetzen von Passwörtern.