Agenda, 6. Oktober 2009

Begrüßung und Einleitung

Ulrich Parthier, Program Director Digital ID World 2009, it verlag GmbH

Analyse für das Identity Management:
Schnelltest mit Handlungsempfehlungen

Robert Gerhards, Berater, centracon GmbH

Auch neu eingeführte Identity Management-Systeme können aufgrund ihrer Komplexität deutliche Schwächen aufweisen. Obwohl in den Unternehmen kaum noch Zweifel an der Notwendigkeit einer effizienten Verwaltung von Benutzern und ihren Rechten besteht, sieht die Realität in Sachen Identity Management (IM) häufig anders aus. Über zwei Drittel der IT-Manager bewerten ihre gegenwärtige Situation bei der Verwaltung der Benutzerrechte als unzureichend bezeichnen. Um die Unternehmen für eine offensivere Beschäftigung mit den Erfordernissen zu sensibilisieren, wurde eine IdM-Schnelltest entwickelt. Er gibt einen tendenziellen Aufschluss über die Gründe für die schwächelnden Verhältnisse im Identity Management und macht deutlich, ob ein dringender Handlungsbedarf besteht.

Der Schnelltest umfasst zehn Punkte und zielt auch auf die Unternehmen ab, die in den letzten Jahren zwar in neuere Lösungen für die Verwaltung der Benutzer und Rechte investiert haben, aber trotzdem in keiner zufrieden stellenden Situation sind. Es ist zu beobachten, dass Unternehmen mitunter sehr umfangreiche Systeme eingeführt haben, deren technische und organisatorische Komplexität jedoch ein labiles Identity Management erzeugt hat. Diese Konzepte können sogar die eigentlichen Ziele kontrakarieren, weil sie den Sicherheits- und Transparenzerfordernissen zuwider laufen - obwohl sie gerade zur Verbesserung von Sicherheit und Transparenz eingesetzt werden sollen.

Die Evolution im Identity Management:
Ganzheitliches Service LifeCycle Management wertet IdM-Lösungen auf

Die Kernfunktionalität einer Identity Management-Lösung besteht darin, Identitäten auf eine nachvollziehbare Art und Weise und den Vorgaben entsprechend zu verwalten und mit Berechtigungen zu versorgen. Dabei soll zu jedem Zeitpunkt eine vollständige Transparenz über die vergebenen Berechtigungen vorliegen und die Prozesse rund um die Vergabe von Berechtigungen sollen möglichst effizient und automatisiert abgebildet werden. Service LifeCycle Management (SLcM) erweitert dieses Konzept an wesentlichen Stellen:

• Statt nur die Prozesswelt für Berechtigungen und Benutzerstammdaten zu betrachten, werden sämtliche IT-Services in einen zentralen Service-Katalog aufgenommen und über Self-Service für Benutzer bereit gestellt.
• Die Prozesse zur Beantragung (Bestellung) sowie zur Provisionierung (Bereitstellung) der Services werden vereinheitlicht und zentral abgebildet. Dabei wird auf einen ggf. bereits vorhandenen, ITIL-basierten Service Delivery-Rahmen aufgesetzt.
• Der Bestand an benutzten IT-Services und die damit verbunden Kosten werden für den Benutzer transparent dargestellt und etwa auf den Ebenen Abteilung und Bereich aggregiert. Eine Kostenverrechnung wird über die Integration mit Finanzsystemen ermöglicht.

Dieser Vortrag zeigt auf, wie aus einer Identity Management-Lösung ein ganzheitliches Service LifeCycle Management wird und wie die oben beschriebenen Aspekte basierend auf SAP NetWeaver Identity Management abgebildet werden können.

Framework-Ansatz im Identity Management:
Dynamische Anpassung an Infrastruktur und Prozesse

Markus Förster, Berater, xTigo Software AG

Im Bereich der Verwaltung von Benutzerkonten stehen Unternehmen und die IT im Speziellen der Anforderung häufiger organisatorischer Änderungen (Mitarbeiter Ein/Austritt, Abteilungswechsel, Änderung der Rolle etc.) gegenüber. Die Verwaltung der unterschiedlichen Benutzerkonten erfolgt heute auf Basis definierter Prozesse jedoch meist manuell in den einzelnen technischen Systemen über die jeweilige Fachabteilung. Auch die Steuerung des Prozesses ist heute nicht oder nur teilweise automatisiert.

Das xTigo Automation Framework automatisiert als modulares und offenes Framework die Prozesse mittels vordefinierter Workflows und steuert zudem die pro Prozessschritt notwendigen Jobs in den technische Systeme wie Active Directory, Softwareverteilung, HR oder Microsoft Exchange. Somit garantieren sie, dass nur die Mitarbeiter, die in ihrem Unternehmen aktiv sind, einen Zugang zu den IT-Systemen haben. Ausgeschiedene Mitarbeiter werden automatisch von allen IT-Systemen ausgeschlossen.

Die integrierte Revisionssicherheit macht nachvollziehbar, welcher Mitarbeiter zu welchem Zeitpunkt welche Berechtigungen besaß. So halten Unternehmen Richtlinien und gesetzliche Bestimmungen ein. Die in der Identity Management-Lösung abgebildeten Workflows können dynamisch auf jede Infrastruktur und Prozesse angepasst werden. Dies ist einfach mittels Drag ´n Drop im xTigo-Studio möglich. Über Schnittstellen lassen sich weitere Systeme integrieren, um das Identity Management zu standardisieren.

Workshop

Identity Management: Business-Aufgabe oder Infrastrukturthema?

Dr. Martin Kuhlmann, Senior Consultant, Omada A/S

Identity Management (IdM) bietet zahlreiche Funktionen zur Automation und Überwachung von Infrastruktu-raufgaben. In immer stärkerem Maße werden IdM- Lösungen jedoch auch von Fachabteilungen, Governance-Verantwortlichen und der Revision als Werkzeug entdeckt: Sie müssen Business-Anforderungen wie den kontrollierten Zugang zu Geschäfts-daten, Self-Service, Risiko-management oder IT-Kostenkontrolle erfüllen.

Wodurch ist die Business-Sicht auf Identity Management gekenn-zeichnet? Welche Konsequenzen hat das für IdM-Projekte? Welche Features in IdM-Produkten sind für Business-Verantwortliche wichtig? Wie gelingt die Zusammenarbeit von IT und Business beim Thema IDM? Für diese Fragen sollen gemeinsam Antworten entwickelt werden.

Wer war Root – und was hat er getan?
Sicherer Umgang mit privilegierten Benutzerkonten

Jochen Koehler, Managing Director, Cyber-Ark Software

Ein Bereich des Identity Management stellt eine ganz besondere Herausforderung dar: Die genauso kritischen wie notwendigen „shared accounts” - sie sind der Schlüssel zum Königreich. Ob Root, Enable, Sys, DBA, Admin oder SAP*, jedes IT-System bringt eingebaute, besonders hoch privilegierte Benutzerkonten mit, die in klassischen Identity Management-Lösung entweder gar keine oder nur unzureichende Berücksichtigung finden. Cyber-Ark’s Privileged Identity Management (PIM) Suite verwaltet diese Accounts automatisch und sorgt gleichzeitig für eine durchgehende Kontrolle und Auditierbarkeit der Nutzung aller privilegierten Benutzerkonten, bis hin zur vollständigen Aufzeichnung ganzer Admin-Sessions.

Maturity Modell für ein Identity Management System
Prof. Dr. Dr. Gerd Rossa, Geschäftsführer, ISM Institut für Systemmanagement GmbH

Capability Maturity Models sind Ansätze für sogenannte Reifegradmodelle zur Beurteilung der Qualität oder des Entwicklungsstandes verschiedenster Business-Prozesse. Ursächlich im Bereich der Software-Entwicklung beziehungsweise des Projektmanagements angesiedelt, wurde auch versucht, diesen Ansatz auf IdM-Lösungen beziehungsweise -projekte zu übertragen. Es werden für diese nachfolgenden fünf Betrachtungspunkte jeweils technologische und methodische Ansätze dargestellt und diskutiert. Die organisatorische Reife eines Unternehmens um überhaupt ein IdM-Projekt erfolgreich realisieren zu können beziehungsweise die Voraussetzungen, um ein IdM-Projekt aufsetzen zu können. Die technologische Reife eines IdM-Produktes, um ein bestimmtes Niveau der Prozessorganisation überhaupt erreichen zu können.

• Die Reife des Projektmanagements eines IdM-Projektes, die letztlich maßgeblich den Erfolg, den Zeitrahmen und vor allem den Aufwand (Kosten) zur Realisierung eines IdM-Projektes bestimmt. Hier ist ein aus diversen realisierten Projekten abgeleitetes allgemeines Vorgehensmodell die Grundlage für einen hohen Reifegrad des Projektmanagements.
• Die erreichte Prozess-Reife einer IdM-Lösung, als Gesamtheit aus Zielstellung, Produkt, Organisationslösung und Projektmanagement, die letztlich das Ziel eines IdM-Projektes sein sollte.
• Begleitet wird ein IdM-Projekt durch ein gleitendes Projekt-Controlling (Zeit, Aufwand, Budget), wodurch letztlich die Reife des IdM-Projektes als Abgleich zwischen Zielvorgaben und Realisierungsstand bestimmt wird. Im Ergebnis wird ein geplanter ROI mit dem erreichten ROI als Ergebnis einer umfassenden Nachkalkulation verglichen.
  

Diskutiert werden folgende Thesen:

• Die Einführung von Identity Management in Unternehmen muss preiswerter, weniger aufwendig und komplex werden; die Technik bzw. Tools und Produkte zum Identity Management müssen sich dem Reifegrad der Konzepte annähern.
• Customer Identity Management im Internet mit zentralisierter Authentifikation und reduzierter Autorisation sowie Federation-Prozeduren wird Standard.
• Im Enterprise Identity Management wird Autorisation absehbar eine dezentrale Angelegenheit bleiben, komplexe technische Rollen werden weiterhin in Endsystemen verwaltet, Federation wird nur eine geringe Rolle spielen.
• Der Stellenwert von Identity Management in Unternehmen muss (ebenso wie Security-Themen und Datenschutz) eine bessere Awareness und Verankerung im Management sowie der IT-Governance erhalten.

Moderation: Ulrich Parthier

Festliches Dinner (Casual Dress)

Agenda, 7. Oktober 2009 (2. Tag)

Begrüßung

Entwicklung eines Compliance-Reifegradmodells
Der Beitrag der IT bei deren Umsetzung

Michael Kranawetter, Chief Security Advisor, Microsoft Deutschland GmbH

Die Informationstechnologie trägt wesentlich dazu bei, regulatorische Anforderungen und die Automatisierung der Compliance zu erfüllen. Gleichzeitig gilt sie mittlerweile als eine der wichtigsten Komponenten, um Geschäftsziele zu erreichen. Nachfolgend erfahren Sie, wie die IT zum Erlangen von geschäftlichen und regulatorischen Zielen in den fünf Kernbereichen beiträgt.

So hat beispielsweise Microsoft 19 Lösungskategorien identifiziert, die für Compliance-Management relevant sind. Diese technologischen Lösungsbereiche sind in unterschiedlicher Ausprägung für die Umsetzung gängiger Standards und Regularien, wie etwa die ISO 27002, EUDPD, Cobit und andere, erforderlich. Jeder der fünf Kernbereiche Informationsschutz, Risikomanagement, Informationsmanagement, Internes Kontrollsystem und Mitwirkungs-/ Informationspflicht hat seine eigenen Anforderungen an die Nutzung dieser Lösungen.

GRC: Von der Theorie zur Praxis
Standardprozesse für GRC

Peter Weierich, Business Development, Voelcker Informatik AG

Ganzheitliches Account Reporting Segregation of Duties Attestierung und Rezertifizierung Mitigation Workflows GRC-Prozesse für IT-Berechtigungen: Ein großes Wort, mit dem sehr gerne komplexe Auswertungen und Prozesse verbunden werden. Tatsächlich besteht der größte Teil der Arbeiten darin, ein gesamtheitliches Reporting aufzusetzen: Wer hat warum welche Berechtigung – und wann? Darauf aufbauend können dann weitere Prozesse etabliert werden: Preventive und detective controls für Fragen der Funktionstrennung, Attestierung und Rezertifizierung sowie risiko-orientierte Verfahren zum Auflösen von Konflikten.

Dazu wachsen mittlerweile immer mehr toolunterstützte Standardprozesse heran, die nur noch an kundenspezifische Besonderheiten angepasst werden müssen. Im Vortrag werden wir diese vorstellen und anhand einzelner Kundenprojekte beleuchten. Schließlich werden weitere Projekte in den Unternehmen adressiert, die von einer sauberen Implementierung profitieren, etwa dem Lizenzmanagement, der IT-Leistungsverrechnung etc.

IdM-Systeme für mehr Sicherheit

Gefahren bei der Projektumsetzung

Dr. Bruce Sams, Geschäftsführer,  optima bit GmbH

Identity Management-Systeme sollen für mehr IT-Sicherheit sorgen, etwa durch die Einhaltung von Revisionsanforderungen oder die Abbildung von zentralgesteuerten Berechtigungssystemen. Leider ist es so, dass ein unsicheres Systemdesign oder eine unachtsame Implementierung zu gravierenden Sicherheitslücken führen kann. Dieser Workshop zeigt die Sicherheitsvorteile und auch die Gefahren bei der Projektumsetzung, basierend auf Praxiserfahrung in Großunternehmen auf. Teilnehmer lernen worauf sie achten müssen, um ein praxistaugliches und sicheres System aufzustellen.

Workshop

Erfolg durch Synchronisation
Business Process Management und Identity Management

Prof. Dr. Dr. Gerd Rossa, Geschäftsführer,
Institut für Systemmanagement GmbH

Mit der zunehmenden Funktionalität im reinen Provisioning hat sich der Schwerpunkt der Anwenderthemen auf eine höhere Ebene, auf das „IdM Business-Process Management“ verlagert. Die Voraussetzung dafür, dass ein IdM-Produkt diese Anforderungen auch erfüllen kann, ist ein qualifiziertes Rollen- und Prozess-Management, das sich auf ein leistungsfähiges Regelwerk stützen kann.

Mit dieser Funktionalität nehmen auf der anderen Seite auch die Komplexität der Modellierung und die damit verbundenen Probleme im Betrieb als auch der Aufwand für diesen Komplex zu. Gegensteuern kann man mit einem Rollen-Referenzmodell und mit diversen vorkonfigurierten Standard-Prozessen. Beide Entwicklungen eröffnen unter gewissen Voraussetzungen die Möglichkeit, ein sehr leistungsfähiges IdM-System in 20 bis 30 Tagen produktiv einsetzen zu können. Hiermit wird den üblicherweise sehr hohen individuellen Implementierungen von IdM-Systemen eine Projekt-Strategie entgegengesetzt, die gerade in den aktuellen Budget-Situationen besonders wichtig ist.

Durch diese kurzen Projektlaufzeiten lassen sich hohe Rationalisierungseffekte durch bis zu 80% Automatisierung in der IT-Administration erreichen. Dies schlägt sich in einer deutlichen Kostenreduzierung nieder Neben diesem Kostenfaktor können sozusagen als Neben-Effekt alle Compliance-Anforderungen mit hoher Effektivität erfüllt werden.

Case Study: Zwei Probleme – eine Lösung

Service Request Management und IdM im Duett

Peter Weierich, Business Development, Voelcker Informatik AG

Service Request Management, IT-Webshop, Employee Self Service (ESS) oder gar Management Self Service (MSS): Viele Namen für eine immer häufiger geforderte Anwendung, deren Implementierung in der Praxis oft scheitert. An sie werden oft  sehr unterschiedliche Erwartungen geknüpft werden. Diese sind abhängig vom initiierenden Fachbereich die Selbstdatenpflege (HR), das Bestellen und Genehmigen von IT-Ressourcen (IT), das Bestellen von Hardware und Software (Einkauf), das IT-Reporting und Compliancemanagement (Compliance) sowie die Attestierung und Rezertifizierung (Interne Revision – vor allem bei Banken).

Unglücklicherweise führt das häufig zu parallelen Intranet-Projekten für die einzelnen Aufgaben: Ein HR-getriebenes Employee Self Service Portal für die Pflege persönlicher Daten, Beantragung von Urlaub etc., das elektronische Telefonbuch („White Pages“), ein Service-Request-Portal zum Bestellen und Genehmigen von IT-Ressourcen, ein oder mehrere Compliance-Portale für Reporting, Behandlung von Regelverstößen, Rezertifizierung.

Das Ergebnis sind isolierte Datensilos sowie eine unbefriedigende Usability: Die Mitarbeiter müssen sich in mehreren Portalen anmelden, Daten mehrfach eingeben und sie müssen vorher wissen, was sie wo bestellen können. Das schadet nicht nur der Akzeptanz sondern führt zu inkonsistenten Datenbeständen und damit zu Mehrkosten und Sicherheitsrisiken. Als Lösung dieses Problems hat es sich bewährt, möglichst viele Funktionen in einem homogenen IT-Serviceportal zu integrieren und nur die sensiblen (persönlichen) HR-Prozesse in einem reinen HR Portal abzuwickeln. Allerdings sollten beide Funktionen für den Benutzer in einer homogenen Oberfläche integriert sein. Im Ergebnis führt die Einführung eines solchen IT-Shops zu einer Verbesserung der Prozesse: Durchlaufzeiten werden verkürzt und die hohe Dokumentationsqualität erleichtert die Auditierung wesentlich. Häufig beobachten wir massive Einsparungen durch zwei Effekte: Erstens reduzieren automatisierte Prozesse die Administrationskosten um bis zu 80 %; zweitens trägt die erhöhte Transparenz dazu bei, dass nicht mehr Benötigtes abbestellt wird, was Lizenzkosten reduziert.

In diesem Vortrag  beschreiben wir anhand zweier Praxisbeispiele bei der Schott AG und der Krones AG Best Practices für das IT-Serviceportal. Es gliedert sich in die folgenden Teile:

• Funktionsblöcke des IT Shops aus Benutzersicht mit Info, Passwortmanagement, Delegationsregelungen, Mitarbeiterverwaltung, Bestellen, Genehmigen, Compliance

• Usability-Kriterien

Closing Note
Ulrich Parthier, Program Director Digital ID World

Änderungen an der Agenda sind den Veranstaltern vorbehalten.