IAM-Implementierung: 9 Profi-Tipps für die Praxis

Helpful TipsEin IAM ist innerhalb der IT-Infrastruktur ein wichtiges Instrument, um Datenzugriff und Prozesse dynamischen Anforderungen effektiv anzupassen. Das Sicherheitsniveau steigt, der Produktivitäts- und Effizienzgewinn des Einzelnen zahlt sich aus – durch eine höhere Flexibilität und Dynamik der gesamten Organisation.

Mit einem IAM profitieren Organisationen aber nicht nur von einer gesteigerten Informationssicherheit sowie höherer Transparenz und Nachvollziehbarkeit bei der Berechtigungsvergabe. Außerdem erfüllen sie die Compliance-Anforderungen im Zusammenhang mit dem Bundesdatenschutzgesetz, KWG / MaRisk, GoBD, PCI-DSS sowie der EU-Datenschutzgrundverordnung (EU-DSGVO). Nachfolgend ein paar Tipps für Implementierung bzw.
Migration:

Anzeige

Tipp 1: Ausreichend Zeit für die Analyse einplanen. Antworten finden auf Fragen wie: Was soll das IAM leisten, welche Anforderungen sind zu definieren, welche Schnittstellen sind zu berücksichtigen, welche technologischen Erfordernisse gibt es innerhalb der Organisation?

Tipp 2: Ein Projektteam gründen, Verantwortlichkeiten und Rollen definieren. Ein IAM-Projekt hat Schnittstellen zu vielen anderen IT-Systemen in der Organisation. Deshalb ist es wichtig, alle Stakeholder mit ins Boot zu holen. Idealerweise gehören Projektteam neben den IT-Fachleuten auch Kollegen aus dem operativen Bereich an, die sich mit den Prozessen im Hause bestens auskennen.

Tipp 3: Datenlage bereinigen. Vor der Migration sind alle bestehenden Benutzerkonten den Beschäftigten im Unternehmen zuzuordnen, nicht mehr relevante Accounts zu löschen und Dateninkonsistenzen zwischen verschiedenen Systemen zu beheben (User-ID-Konsolidierung). So ist sichergestellt, dass die Mitarbeiter nur Zugriffsrechte auf Systeme haben, die sie wirklich haben dürfen. So lassen sich die Datenlage bereinigen, unnötige Lizenzkosten einsparen und unkalkulierbare Sicherheitsrisiken für die Organisation vermeiden.

Tipp 4: Das richtige Beratungshaus finden. Wichtig ist, dass das IAM-Beratungshaus das Unternehmen von der Analyse über die Konzeption bis zur Produktauswahl und Implementierung begleiten kann. Es sollte bei Bedarf die Projektleitung übernehmen können und den Auftraggeber mit einem festen Mitarbeiterstamm über das gesamte Projekt hinweg unterstützen.

Tipp 5: Konzipieren, planen, kontrollieren. Ein IAM-Projekt ist ein komplexes IT-Projekt, das ein Konzept, definierte Ziele und ein straffes Controlling benötigt. Im Konzept sollte die Ist-Situation im Unternehmen auch dann berücksichtigt werden, wenn noch gar kein IAM im Einsatz ist, denn auch dann wurden zu diesem Zeitpunkt bereits digitale Identitäten verwaltet, Berechtigungen vergeben bzw. ist die Zustimmung eines Verantwortlichen einzuholen, bevor eine Berechtigung vergeben werden kann.

Tipp 6: Testsystem einrichten. Auf einem produktionsnahen Testsystem lassen sich mögliche Anpassungen durchspielen, bevor es in die eigentliche heikle Phase, das Migrieren der Systeme und der Daten, geht. Dieser Phase gilt eine besondere Sorgfalt, denn eine Inkonsistenz von Daten kann je nach Größe der Organisation gleich mehrere hunderte oder gar tausende von Benutzern betreffen und damit kostenträchtige Produktivitätsverluste und gravierende Sicherheitsrisiken erzeugen.

Tipp 7: Schrittweise vorgehen. Es empfiehlt sich, im Projektverlauf iterativ vorzugehen, da sonst zeitliche Verzögerungen und erhöhter Aufwand vorprogrammiert sind. Beispielsweise sollten zuerst nur einige wenige wichtige Systeme angebunden und damit automatisiert werden. Mit diesen Erfahrungen lassen sich weitere Arbeitspakete viel besser in Angriff nehmen.

Tipp 8: Prozesse sauber definieren: Die erforderlichen Prozesse für die Verwaltung von Benutzern und Berechtigungen sollten sauber definiert und aufeinander abgestimmt sein. Wichtig ist, hier auch auf Vollständigkeit zu achten, insbesondere bei Benutzergruppen, die vom Standard abweichen wie z.B. Azubis, Externe, die bei einem Abteilungswechsel gern mal durchs Raster fallen.

Tipp 9: Re-Zertifizierung planen. Zugriffsberechtigungen müssen regelmäßig überprüft werden – auch dies lässt sich mit einem IAM professionell über eine Standardisierung und Automatisierung von festgelegten Zeiträumen planen.

Weil eine leistungsfähige und flexible IT-Infrastruktur in Unternehmen und Verwaltung ohne den Einsatz von Cloud-Diensten heute kaum noch denkbar ist, empfiehlt TÜV Rheinland eine stärkere Verzahnung von IAM- und Cloud-Strategie. IAM und Cloud sind die neuen Perimeter der Organisation, was eine entsprechende Adaption der aktuellen Cyber-Security-Strategie erfordert.

Weitere Informationen vom TÜV Rheinland:
IAM: mit Profis die System-Migration meistern

Günter Thiel, Florian Probst, Experten für Identity und Access Management bei TÜV Rheinland

www.tuv.com/iam
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.