Anwender im Mittelpunkt des IAM

Zum vierten Mal fand im März die IAM CONNECT in Berlin statt: Diese größte deutschsprachige Identity und Accessmanagementkonferenz stellt die Anwender in den Mittelpunkt: Die Mehrheit der Teilnehmer sind IAM-Projektleiter und -Mitarbeiter und sie bestreiten auch die Mehrheit des Konferenzprogramms.

Die Bundesdruckerei: Ein visionärer Dienstleister für die öffentliche Verwaltung

Dr. Manfred Paeschke, Chief Visionary Officer bei der Bundesdruckerei, setzt auf intelligente Auswertung von Daten und auf das Prinzip „von der Natur lernen“. Das hat zu einem System geführt, das statt klassischer Blockchains auf sogenannte ID-Chains setzt.

Vor drei Jahren, als der Blockchain-Hype losging hatte man bei der Bundesdruckerei erkannt, dass viele Punkte kritisch sind: Nicht-Änderbarkeit der Daten, weit verteilte Datenhaltung etc. Abgeleitet von der Natur suchte man einen schnellen, datensparsamen und gleichzeitig hochsicheren Ansatz. Abgeschaut von Polybicarbonaten wurden statt Blockchains sogenannte ID Chains entwickelt, die nur eine bidirektionale Verkettung vorsehen. Das erlaubt eine Komprimierung und eine schnellere Übertragung.

Die jeweiligen Datenowner sind die zentrale Instanz, die Rechte hierarchisch weiterdelegieren können. Innerhalb der Sicherheitspyramide können in einem Parallelstrang z.B. Sicherheitsbeauftragte überprüfen ob Regeln eingehalten werden. Der Ansatz wurde auf einer „kognitiven Datenbank“ umgesetzt, die das Synapsensystem des Nervensystems nachempfindet: Die Daten sind ausschließlich durch bidirektionale Ketten verbunden, welche die Datenredundanz weitestgehend eliminieren. Zusätzlich können verteilte Knowledge Databases integriert werden, was insbesondere in der öffentlichen Verwaltung unabdingbar ist.

Damit will die Bundesdruckerei verhindern, dass Dokumente und personenbezogene Daten mehrfach erfasst werden.

Mit Blick auf die Bürgerdienste, die die Bundesdruckerei unterstützen soll:

• Dem Bürger gehören die Daten
• Die Verwaltung erhält selektiv Rechte an den Daten

Beispiel Personalausweis: Eigentümer der Karte ist die Bundesrepublik, dem Bürger gehören die Daten, die er aber nicht modizieren kann / darf.
Mit diesem Ansatz will Paeschke ganz neue Geschäftsmodelle ermöglichen, bei der staatliche und privater Prozesse durchmischt werden können, z.B. bei der Rente: Die Daten der gesetzlichen und privaten Renten können vom Nutzer zusammengeführt werden.

Über Delegationsverfahren kann die Nutzer-Gruppe gezielt erweitert werden: Beispielsweise haben im neuen System Eltern eine umfassende Kontrolle über die Daten, wie Systementwickler Michael Windisch in einem Live-Demonstrator zeigt: Im „Mein Thüringen“ Szenario kommt das klassische „Lebenslagenkonzept“ zum Tragen, das auch Grundlage vieler eGovernment Entwicklungen ist.

Am Beispiel der Geburt eines Kindes bedeutet das:

• Nach der Geburt vergeben die Eltern dem System das Recht, auf die Daten der Entbindungsklinik zuzugreifen.
• Dann laufen alle Prozesse automatisch durch:Erstellung der Geburtsurkunde, der Eintrag im Melderegister, die Erstellung einer Steuernummer etc.
• Diese Dokumente sind primär Datensätze – und nicht wie bisher „pdf-Dateien“.
• Die Eltern haben volle Transparenz und Selbstbestimmung auf über die Zugriffe auf die Daten des Kindes.

Die Haptik der Vergabe von Rechten folgt der, die Smartphone User schon von der Installation von Apps gewohnt sind.

In der Demo wurde durchgespielt: Die Geburt eines Kindes: Das System bekommt das Recht, auf die Daten der Entbindungsklinik zuzugreifen; dann laufen alle Prozesse automatisch durch: Standard-Rechte, Anforderung einer Steuer-ID, Erstellen von Listen für die Untersuchungen, die dann auch an einen Kinderarzt der Wahl weitergeleitet werden können. Das Land Thüringen will damit bereits starten:

Neben den Menschen spielen auch bei der Bundesdruckerei die Maschinen-Identitäten eine wachsende Rolle. Zu den klassischen ID Merkmalen wie Zertifikaten und Biometrie kommen zunehmend auch auch Verhaltensmerkmale, z.B. Bewegung.

Die Bundesdruckerei setzt die Technologie konsequent intern ein: So wurde der „AD Administrator abgeschafft“ und die Verantwortung dem IdM übergeben.
Technologien, die bundesweit im Eisnatz sind: Fingerprint auf den Smartcards, Visotec starke Kryptographie ermöglicht Betrieb mit unterschiedlichen Cloudanbietern.

Weg von Papierformularen bei einem Mittelständler

Milad Fatemiyeh, Projektleiter Organisation bei der Eurobaustoff Handelsgesellschaft, deren Gesellschafter auf 1.700 Standorte verteilt sind hat als „klassischer Mittelständler“ folgende Anforderungen zu erfüllen: Es sollte eine automatische Bestandsführung für Apps und Rechte sowie Hard- und Software sollte eingeführt werden.

Vorher gab es im Unternehmen Berechtigungen „auf Zuruf“. Die papiergebundenen Checklisten für Eintritt und Austritt sollten durch digitale Prozesse abgelöst werden. Das bisherige Blanko-Formular für die Bedarfsanforderung ebenso.

Zuerst mussten in 30 Fachbereichen Applikationen (insgesamt ca. 100) Funktionen und Basisrollen erfasst werden. Als Muster-User wurden eher Mitarbeitende mit umfassenden Berechtigungen ausgewählt, um andere nicht einzuschränken, bzw. keine Rechte „wegzunehmen“. Dadurch konnte die Anzahl von Basisrollen wirksam begrenzt werden. Das Mischkonzept sah vor, dass es auch optionale Rechte an einer Rolle geben kann.

Um das Rollenkonzept umzusetzen musste allerdings erst die AD-Gruppenstruktur bereinigt werden.

Die Umsetzung im IdM folgte trotzdem der Logik der bisherigen Formulare. Die Rollendefinition und -zuweisung erfolgt im HR-System. Beim Eintritt werden diese dann automatisch zugwiesen. Zusätzliche Berechtigungen sowie die Büroausstattung werden von den Vorgesetzten ausgewählt, die dann von den Bereichsleitern genehmigt werden. Dieser kann einen Antrag dann in toto genehmigen, oder muss mit Kommentaren ablehnen, die dann zurückgespielt werden.

Besondere Herausforderungen bei der digitalen Umsetzung der Bedarfsanforderung waren:

• Der Umgang mit dem Bestand: Es muss nun geklärt werden, ob und für welchen Bestand etwas angefordert werden soll.
• Freitext-Felder mussten durch strukturierte Felder bzw. auswählbare Attribute ersetzt werden.

Derzeit wird der Rollenlebenszyklus angepasst: Veränderungen an Rollen werden dann automatisch für alle Betroffenen umgesetzt. Außerdem werden Fälligkeitsfristen und Vertretungs-Mechanismen z.B. im Krankheitsfall umgesetzt.
 

Einführung eines IAM in 20 Tagen bei der Krankenkasse IKK classic

Thomas Januskewitz von der IKK Classic berichtete über die Einführung eines IAM in 20 Tagen.

Ausgangslage: Hervorgegangen aus mehrfachen Fusionen existierten heterogene AD-Strukturen, die im Jahr 2018 bereinigt werden sollten. Da die Krankenversicherung und die KRITIS Regulatierung fällt, mussten auch die Prozesse BSI-komform umgesetzt werden.

9000 interne und ext. Personen hatten 14.500 User verteilt zwei Active Directories, wobei etliche Personen dann mit zwei AD-Accounts arbeiten mussten, um in allen relevanten Applikationen arbeiten zu können. Zwei Handlungsoptionen wurden im Vorfeld einer Implementierung beleuchtet:

• Option 1: Reine technische Migration in ein AD, die technisch einfachste Lösung schafft keine besseren Prozesse und noch keine Automatisierung. Trotzdem war die Projektlaufzeit auf mindestens ein Jahr geschätzt worden.
• Option 2: Schnelle Verbesserung der Verwaltbarkeit mit einem IdM System. Dabei fiel die Wahl auf ein vorkonfiguriertes Produkt aus der Cloud, das einen Start innerhalb kürzester Zeit ermöglicht hat.

Die Cloud-Lösung hatte den Vorteil, direkt in die AD-Anmeldung integriert zu sein und bietet viele Standardprozesse zur Verwaltung von Mitarbeiterdaten und regelbasierter Berechtigungssteuerung.

In einer 1 Phase wurden beide ADs integriert und das Berechtigungsmanagement vollständig auf das IdM übertragen, einschließlich der Umsetzung von Basisrollen. Erste Selfservices sollten die Vorteile für den Endbenutzer spürbar machen.

Start: 29.11.2019

1. Projektwoche: Einrichten des Hub-Servers für die Verbindung zum Cloud-System. Bereitstellen der Infrastruktur und der erforderlichen Basisinformation für die AD und HR Objekte sowie Fileshareinformationen. Definition von Basiberechtigungen und Prozessen rund um den User Lifecycle. Dazu war es allerdings notwendig, in einer Vorphase eine umfassende Datenanalyse vorzunehmen – z.B. zur Zuordnung von Accounts zu Personen.
2. Analyse von AD und HR Daten für das IdM
3. Projektwoche: Bereiststellen der Zertifikate für die Kommunikation mit der Cloud-Lösung, Bereitstellen von HR-Daten und der Verbindung zum AD, so dass die der HR-Feed und die AD-Anbindung umgesetzt werden konnte. Durchführen einer ersten Remote-Anwenderschulung
4. Projektwoche: Import der AD-Gruppen; erste Tests der Useranlage inkl. Mailanlage konnten stattfinden.
5. Projektwoche: Test und Abnahme der Basisprozesse, Nacharbeiten vor allem an der Datenqualität; Umsetzung der Basisrollen

Während des Projekts wurden HR-Daten „zu spät“ geliefert, so dass anfänglich User vorab manuell angelegt und nachträglich zugeordnet werden mussten. Im neuen Jahr wurde die AD-Berechtigungsverwaltung an das IdM übertragen und Self Services für einen Unternehmensbereich zur Verfügung gestellt.

Erfolge: Zunächst konnte so eine transparente Verwaltung zweier Ads mit einem IdM System umgesetzt werden. Es ist damit auch reportbar, wer warum Zugriff auf welche AD-Ressourcen bekommen hat. Erstmalig konnte eine Standardiserung der AD-Konten erreicht werden.

Nächste Schritte: Einführung von Fachrollen, weitere Anbindungen, weitere Automatisierung und Verschlankung des Antragsprozesses durch Einführung der Fachrollen.
Durch die zentrale Verwaltbarkeit der AD-Accounts soll dann auch die Migration auf eine Domäne erfolgen können.
 

Vom Enduser erfunden: Das neue Frontend des Union Access Management

2013 hatte die Bank ein IdM eingeführt und dabei das Standardfrontend verwendet, dessen Prozesse für viele Nutzern zu wenig intuitiv waren. Die Union Investment verwaltet heute 7.500 Identitäten im IdM, die allerdings sehr komplex sei können: 463 Systeme sind an das IdM angeschlossen und erfordern fast 200.000 Rezertifizierungen jedes Jahr. 2018 wurden ca. 100.000 Bestellungen ausgelöst.

Für die Migration des IdM Produkts auf die neueste Version resümierte das Projektteam die Schwierigkeiten des Standardfrontends:

• Nicht intuitiv bedienbar, u.a. weil die Menüstruktur mit den Anforderungen historische gewachsen war und nicht der Lebenswelt der Nutzer entsprach.
• Freitextsuche war oft wenig performant
• eils lange Ladezeiten z.B. bei großen Rezertifizierungen.
• Das System war nicht konform mit den aktuellen Corporate Design Richtlinien.

Daher fiel die Entscheidung, die neue Option des Produkts zu ziehen und das Frontend als unabhängige Komponente in Angular 6 zu entwickeln und via APIs in das IdM zu integrieren.

Dieter Fromm, Senior Project Manager bei der Union Investment, berichtet leicht ironisch: „Dann haben wir mal was ganz Neues gemacht: Wir haben nicht die IT, sondern einfach nur die Anwender gefragt.“ Sie haben dazu UX-Spezialisten angeheuert, die in etlichen Workshops mit Endanwendern basierend auf der vorhandenen Informationsinfrastruktur eine neues Frontend entworfen haben. Bei diesen Workshops war die IT nicht involviert.

Bei der Umsetzung waren einige Herausforderungen zu bestehen: „IdM ist nicht Amazon“, d.h. die reine „Shop-Haptik“ passt nur begrenzt. Einerseits mussten die Designmöglichkeiten mit dem Funktionsumfang abgeglichen werden, die ein IdM System leisten kann, andererseits mussten auch Funktionen im Frontend neu umgesetzt werden, die im Produktstandard “out of the box” zur Verfügung stehen.

Projektlaufzeit des UX Designs betrug ca. 9 Monate, in denen es eine besondere Herausforderung war, die Erwartungen der Benutzer zu managen. Denn: Die Versuchung war sehr groß nach jeder Iterationen im agilen Vorgehen weitere Wünsche aufzunehmen.

Bei der Implementierung muss klar sein: Klassische Angular Webenentwickler wissen nicht wie ein IAM System funktioniert, also brauchte man einen Spezialisten, der die APIs implementiert, die es erlauben das Frontend „frei von Backendfunktionalität“ zu halten.

In einer Demo des aktuellen Testsystems zeigte Erich Fromm wie das Frontend den Kundenwünschen folgt:

• Basierend auf der Grundannahme dass jeder, der ins IdM Portal geht, dort eine Aufgabe abarbeiten will wurden die häufigsten Geschäftsvorfälle im Frontend sehr prominent positioniert: Ganz oben finden sich die Kacheln für „Ich möchte etwas bestellen“, „etwas neu anlegen“ oder ein „Passwort zurücksetzen“.
• In der zweiten Zeile finden sich die „To Dos“, also Genehmigungen oder Rezertifizierungen.
• In der dritten Zeile können die User Ressourcen wieder abbestellen, auch wenn das „nicht so häufig passiert“
• Die rechte Hälfte des Frontends ist den benutzerindividuellen Favoriten vorbehalten, die jeder selbst pflegen kann.
• In der Kopfzeile ist neben den Standardfunktionen (mein Profil, Einkaufswagen) die Reporting-Funktionen auswählbar. Beim eigenen Profil ist die Delegation von Verantwortlichkeiten – auch an Assistenzen – ein wichtige und häufig genutzte Funktion.
• Bei den Bestellungen sind direkt unterschiedliche Klassen auswählbar die dann pro Anwendung aufgefächert werden. Unabhängig vom reinen Frontenddesign blieb aber die die Herausforderung, den oft sehr technisch benannten Applikationsrechten sprechende Beschreibungen zu geben.

Zusätzlich wurden viele Optimierungen vorgenommen, die die Performance von der Komplexität im Backend entkoppelt. Beispielsweise werden Rezertifizierungen aus Performancegründen in einer Zwischentabelle gespeichert.

Migration One Identity 6 auf 8

Volker Klemm und Malte Krüss berichteten vom Mitgrationsprojekt in der OTTO Group, in der neben dem klassischen Einzelhandel auch Finanzdienstleister und Service Unternehmen wie die Hermes Logistik integriert sind.

Die Konzernstruktur schafft besondere Herausforderungen an ein Identity- und Accessmanagementsystem: Die HR Systeme liefern immer schon Daten, wenn ein Bewerber einen Vertrag zugestellt bekommen hat, unabhängig davon ob die Stelle angetreten wird. Viele Konzerngesellschaften sind nicht im zentralen HR-System geführt und müssen gleichwertige Daten anliefern. Externe werden im Frontend des IdM gepflegt.

Das eigenentwickelte Reatail-ERP System ist ebenso integriert wie die Standard-SAP-Systeme und eine virtuelle private cloud, die aus vielen virtuellen Maschinen besteht. Nicht direkt angeschlossene System werden über das ITSM System via Ticket angesprochen.

Die Migration wurde in einem Sprung von One Identity Version 6 auf 8 vorgenommen. Allerdings war zunächst zu entscheiden: Migration oder Neu-Implementierung? Die Entscheidung fiel gegen das gelieferte Migrationstool des Herstellers. Trotzdem betraf ca. 60 % der Umstellung eine Migration bestehender Prozesse, die zum Teil von denselben Entwicklern vorgenommen wurde, die die ursprüngliche Implementierung geleistet hatten. 40 % des Funktionsumfangs wurden neu implementiert.

Ebenfalls vollständig neu gestaltet wurde das Webfrontend: Die OTTO Group hat dafür einen externen UX-Designer beauftragt. Dazu wertete das Projektteam für jeden Menüpunkt aus: Wer braucht was? Wer benutzt diese Funktion in welcher Rolle? Selbst die Namensfindung war nicht einfach: Nennt man es weiterhin IT Shop, obwohl Berechtigungen nicht „gekauft“ werden? Allerdings war der Begriff „IT Service Portal“ schon anderweitig besetzt. Also blieb es beim bisherigen Namen.

Anders als die Union Investment wurde die Grundfunktionalität des Produkts verwendet, um dem System ein neues “look and feel” zu verleihen. Beispielsweise werden nur diejenigen Kacheln sichtbar gemacht, die aktuell relevant sind: Wenn beispielsweise keine Genehmigung ansteht, wird die Genehmigungs-Kachel ausgeblendet.

Vom Projektalltag berichtet Projektleiter Malte Krüss: Die Herausforderung war, innerhalb von 4 bis 5 Monaten ca. 400 bis 500 Personentage zu leisten: So musste ein großes Team aufgebaut werden, einschließlich eines Produktmanagers, Architekten, eines externen Scrum Masters, internen und externen Entwicklern und Betriebsunterstützung. Die agile Vorgehensweise wurde für das Migrationsprojekt adaptiert: Ein Kanban-Board beinhaltete als Vorplanungsboard die Stories. In den Stories wurden soviele Detailinformationen gesammelt wie möglich, um die Schätzungen möglichst exakt vorzunehmen. Die Sprints dauerten im Schnitt vier Wochen.

Da die Schätzungen oft zu lange gedauert haben und „meistens falsch waren“ – sehr häufig wurden Tasks auch schneller abgearbeitet als gedacht – wurden sie nach einigen Sprints wieder eingestellt. Stattdessen arbeitet das Team einfach die anstehenden Tasks ab. Obwohl der go live verschoben werden musste (ursprünglich sollte die Migration innerhalb von drei Monaten abgeschlossen werden), konnten parallel Aufgaben spätere Umsetzungsphasen vorgezogen werden.

Sehr hilfreich für einen reibungslosen go-live der neuen Version war ein Drehbuch, in dem detailliert alle Schritte einschließlich der reinen Datenmigration beschrieben worden waren.
Trotzdem: Der IT Shop war eine Woche lang nicht erreichbar. Das wurde von einigen Kunden kritisiert, trotz intensivem Projektmarketings mit Postern und Flyern (mit aufgeklebten Gummibärchen), die an Nutzer verteilt worden waren.

IAM ganzheitlich: Die Herausforderungen einer Spitalgruppe

Die Zentralisierung und Standardisierung des Benutzermanagements hat viele spannende Facetten, das vor allem organisatorische Herausforderungen beinhaltet. Michael Geisser, Business Engineer, Spital Thurgau AG beriichtete über die IdM-Einführung im Spital Thurgau.

Ziele: Standardisierung, Funktionstennung, Einführung von Prüfprozesse, u.a. Rezeritifizierung, Umsetzung von persönlichen Accounts in allen Systemen und die Anbindung der wichtigsten System, wobei ursprünglich nur die „Kernsysteme“: AD/Exchange, KISIM / e-Archiv, KABA Exos, SAP und ELO berücksichtigt wurden.

Effizienzgewinn: Ein Onboarding erfolgt nun in 5 Minuten. Früher dauerte es bis zu 2 Wochen.

Projektdauer: 2013 sah die Planung vor, das Projekt von Januar 2013 bis März 2015 durchzuführen. Tatsächlich wurde das Erstprojekt 6 Moante später abgeschlossen – im August 2015.

Herausforderungen im Projekt:

• SAP HR kannte nur die Kostenstellenstruktur, aber keine Führungsstruktur. Diese musste im IdM gesondert aufgebaut werden.
• Im IdM war es wegen eines fehlenden HR-Portals nötig, „HR-Produkte“ anzubieten.
• Moving Targets: Im Lauf des Projekts sind ständig neue Anforderungen gewachsen: Der Appertit kommt beim Essen.
• 4 Tage offline während der Migration waren erstaunlich schmerzhaft.

Achieved:

• Bestellprozesse können überwacht werden
• Hoher Automatisierungsgrad
• Entlastung durch viele Reports bis hin zu Geburtstagslisen.
• 300 Poweruser, aber über 4.000 persönliche Benutzer-Accounts
• „Das System ist nicht mehr wegzudenken“
•  Compliance sichergestellt sowie eine hohe Datenqualität.
• Auch Austritte sind innerhalb weniger Minuten effektiv umsetzbar.

IAM Einführung: Disruptive Digitalisierung von Prozessen im Universitätskrankenhaus

Guido Gerken, Leiter Systembetrieb, PMP, Universitätsklinikum Hamburg-Eppendorf, berichtete über die Einführung einer Identity Management Lösung für ca. 11.000 Mitarbeiter im KRITIS-Umfeld.  
 

IAM als zentraler Enabler der digitalen Transformation

Hager ist ein führender Hersteller von elektrischen Sicherheitslösungen und war bislang reiner Ptrodukthersteller. Bekannt wurde Hager als Erfinder der Leistungschutzschalter aus Bakelit. Heute beschäftigt das Unternehmen 11.605 Mitarbeiter in 129 Ländern. 50 % des Umsatzes erwirtschaftet Hager in Frankreich und Deutschland. 

Martin Kaiser, Leiter des Dienstleistungsbereichs der Hager Group, berichtete über die Digitale Transformation durch Digital Identity.

Historisch gesehen gab es zwei Vertriebswege: über den Großhandel an die Elektroinstallateure und für einige Produkte auch den Direktvertrieb über Baumärkte oder Energieversorger.

Das strategische Ziel mit 20.000 Mitarbeitern 3 Mrd Umsatz zu generieren soll über die Digitaliserung erzielt werden. Ähnlich wie in der Automobilindustrie soll das dadurch gelingen, mit dem Endkunden direkt zu interagieren. Bisher gab es praktisch keinen Endkundenkontakt im klassischen Geschäft, in dem ein Schaltschrank typischerweise jahrzehnelang ohne Probleme im Einsatz ist.

Es wird allerdings erwartet, dass immer mehr Geräte im Haushalt komplexer werden und Dienstleistungen beinhalten können, z.B.

• Einbruchdiebstal / Gebäudesicherheit: In Frankreich ist bereits 80% des Marktes ein reiner Dienstleistungsmarkt
• Energiemanagement
• Ambient Assitsed Living: Unterstützung im Wohnbereich älterer Menschen
• E-Mobility

Dieses Szenario schafft neue Herausforderungen an die Konnektivität und den Aufbau von Beziehungen zu den Endkunden: Es wird neben dem bisherigen dreistufigen Vertrieb direkte Vertriebskanäle für dienstleistungslastigere Prodkukte geben.

Auf dem Weg zur Positionierung als Smart Home Provider sollte ein CIAM aufgebaut werden: Ein Kundenkonto, unabhängig vom Brand: Sowohl Elektriker, Vertriebspartner und Endkunden werden im selben C-IAM verwaltet und verfügen dort über einen Single Sign-on (SSO) für alle Produkte.

In Frankreich werden bereits Hausalarmlösungen als Service angeboten, die Grundidee soll immer stärker für das heimische Energiemanagement angewandt werden, bis hin zu intelligenten Energiespeichern.
 

Privilegierte Accounts mit IdM-Bordmitteln managen

Peter Will vom Bundesamt für Justiz (BfJ) hat das Management privilegierter Accounts mit „Bordmitteln des IdM“ umgesetzt. Das BfJ stellt unter anderem polizeiliche Führungszeugnisse aus und führt die Register von Sammelklagen.

Bereits seit 2013 ist ein IdM-System beim Bundesamt für Justiz im Einsatz, das seit 2015 auch das Berechtigungsmanagement umfasst. Gebeutelt von der langen Zeit der Regierungsbildung im vergangenen Jahr, was eine Ausgabensperre von sechs Monaten einbrachte und neue Aufgaben, dass z.B. die sogenannte e-Akte in das IdM integriert werden musste.

Das BfJ vergibt Berechtigungen über eine kombinierten RBAC- und ABAC Ansatz: Geschäftsrollen werden u.a. Organisationseinheiten, Standorten oder auch Projektteams zugewiesen werden.
Administrative Konten existieren losgelöst von personengebundenen Hauptaccount, sind aber mit der organisatorischen Zugehörigkeit verknüpft. Für alle Fälle, so sensible Berechtigungen temporär losgelöst von der organisatorischen Zughörigkeit bzw. Fachrolle, musste ein Mechanismus geschaffen werden.

Derartige Berechtigungen können auch periodisch vergeben werden, z.B. für Arbeiten die ein Administrator 14-täglich auszuführen hat, werden genauso wie die dauerhaften über Attestierungen im IdM gesteuert.

Damit eine Person sensible Berechtigungen überhaupt bestellen kann, muss das Attribut „CanHavePrivileges“ gesetzt werden. Wird dieses Attribut entzogen, werden automatisch alle administrativen Rechte entzogen. Das BfJ hat zur granularen Steuerung der Admin-Berechtigungen in etliche Systeme einige neue Attribute und Rollen im IdM eingeführt.

Die bewussten Grenzen dieses Ansatzes sind:

• Passwörter werden nicht verwaltet
• Admin-Sessions werden nicht generiert bzw. verwaltet
• Die Sessions werden nicht aufgezeichnet

Diese Mechanismen sind klassischen PAM-Lösungen vorbehalten, die vorerst beim BfJ nicht erforderlich sind.

Vortrag von Peter Will, Bundesamt für Justiz, auf der IAM CONNECT am 19. März 2019

C-IAM in Versicherungen: Die Herausforderung hoher Sicherheitsanforderungen

Die Generali will Versicherung „simpler und smarter“ anbieten und zählt sich als Vorreiter in den Bereichen gesundheitsbewusstes Leben (Vitality), Mobility (Telematikstecker im Fahrzeug) sowie im Smart Home. Die Standard-Prozesse beispielsweise in der Schadenabwicklung sind weiterhin langwierig und beinhalten zahlreiche Medienbrüche. Conrad Duden, IT Security Architekt bei der Generali, berichtete über Identity-Management für Kunden der Generali im Kontext wachsender Digitalisierung.

Bereits die Eliminierung der Medienbrüche schafft hohe Anforderungen an das Identitätsmanagement: Die digitalen Kommunikationswege müssen sicherstellen, dass die Identitäten verifiziert sind und ein angemessenes Authentisierungsniveau gegeben ist.

Viele Anforderungen des Endkundenorientierten IAM konnten mit der existierenden Lösung für Mitarbeiter und Makler nicht abgedeckt werden konnten, weshalb ein Auswahlverfahren für eine C-IAM Lösung gestartet wurden. Zum Zug kam eine IAM-Lösung, die vor allem in der Schweiz im transaktionalen Geschäft weit verbreitet ist (Internetbanking und Versicherungen). Da es in Deutschland keinen allgemein verfügbaren Identitätsprovider gibt, müssen Kunden einen Account aktiv anfordern, den er nach Erhalt eines Aktivierungsbriefes nutzen kann.

Registrierte Kunden können sich dann anmelden und müssen – abhängig vom Schutzbedarf des gewählten Services – ggf. eine Multifaktorauthentisierung vornehmen. Federation Technologien sind zwar grundsätzlich möglich, bei denen die Generali sowohl als reiner Service-Provider oder auch Identity Provider agieren kann. In nächsten Ausbaustufen sollen die Möglichkeiten genutzt werden, z.B. für die Zusammenarbeit mit den Maklern oder als Serviceprovider für den Innendienst.

Außerdem sollen neben den bisherigen zweiten Faktoren Gridcard, Sicherheitsfragen und Geräteinidentitäten andere Wege ermögoich werden: Eine Secure-App-Lösung, Behaviour Security sowie Biometrischer Faktoren.
 

Neue Anforderungen außerhalb des IdM-Systems erfüllen

Dominik Schönwetter von der A1 Telekom informierte die Teilnehmer, wie sich schrittweise ein erfolgreiches rollenbasiertes IAM in einem compliance-getriebenen Unternehmen etablieren lässt.
Compliancevorgaben hatten die Erweiterung des IdM-Systems notwendig gemacht: 73584 registrierte User in 15 SOX-relevanten Systemen und ca. 40.500 Änderungen (Joiner, Mover und Leaver) pro Jahr müssen gemanagt werden.

Ursprünglich waren die Genehmigungsprozesse nicht standardisiert, kaum automatisiert; es gab weder eine Rezertifzierung von Rechten und Mitarbeitern noch präventive Kontrollen von SoD-Regeln. Es gab kein übergreifendes Rollenmodell mit klar definierter und gelebter Fachverantwortung.

Die A1 hat dann drei unterschiedlichliche Funktionstrennungsprozesse definiert:

• Präventive Segregation of duties (SoD) Kontrollen
• SoD Eskalation: Einführung einer Kontrolle, die einen SoD-Konflikt auflöst
• SoD Self Assessment: jährliche Überprüfung der Regeln

Die ursprüngliche Rezertifzierungsplattform „Excel“ für Berechtigungen, Rollen und SoD Checks musste durch ein geeignetes Tool umgesetzt werden, was in diesem Fall mit Nexis Controle erfolgte. Nexis Controle wickelt jetzt die präventiven SoD Checks, die Rezertzifizerungen, das Rollenmanagement sowie eine ständige Datenbereinigung durch. Im IdM verbleiben weiterhin: Identitätslebenszyklus und Provisionierung.

Mit einer technischen Analyste der bestehenden Rechte und der Nutzung der Rechte derletzten 13 Monate wurden Ausreißer und überschüssige Rechte genauso gefunden wir Kandidaten für Fachrollen. Für die Umsetzung wurde ein Funktionstrennungsmodell umgesetzt: Die IAM-Organisationseinheit ist verantworlich für die Rollenmodellierung und Pflege. Der IAM Betrieb übernimmt dann die techische Umsetzung. Die Rollenmodellung erfolgte in einem hybriden Modell und bestand aus der Analyse bestehender Rechte und der verfügbaren Organisationsdaten.
 

Kennzahlen statt ROI

„Projekte müssen sich innerhalb eines Jahres rechnen,“ mit derartigen Postulaten können Unternehmen nur in Ausnahmefällen ein IAM Programm starten. Denn die wenigsten Projekte amortisieren sich finanziell. Trotzdem sind Erfolge von IAM Projekten messbar, indem man Kennzahlen verwendet. In seinem Vortrag zeigte Peter Weierich zuerst die klassischen „ROI-Fallen“ von Projekten auf bevor er beispielhaft typische Kennzahlen erläuterte. Die Ergebnisse dieses Vortrags sind in einem eigenen Fachbeitrag zusammengefasst.

Vortrag von Peter Weierich, IPG, auf der IAM CONNECT am 19. März 2019