Gibt es Identitätsmanagement aufgrund des natürlichen und notwendigen, wenn nicht sogar geschäftskritischen Bedürfnisses nach Sicherheit oder schafft das Vorhandensein von Identitäten überhaupt erst dieses Bedürfnis? Was war zuerst da? Bedingen sich die beiden Themen oder sind es gleichwertige Bereiche mit einer gewissen Schnittmenge?
Wenn von IT-Sicherheit die Rede ist, sind oftmals die klassischen Bemühungen gemeint, etwas Schützenswertes, seien es nun Daten, Dinge oder Menschen, vor dem Zugriff Dritter zu bewahren. Meist wird zu diesem Zwecke eine Mauer, neudeutsch Firewall, gebaut, mit mehr oder weniger großem Erfolg, wie die Statistiken der Virenangriffe belegen. Aber: In den seltensten Fällen ist es ein Schutz um seiner selbst willen – meist will man das geschützte Gut auch weiter verwenden, vorzeigen oder ähnliches. Wobei “man” in diesem Fall die Personenzahl beschreibt, die das auch tatsächlich darf. Es muss also in dieser Mauer irgendwo eine Tür geben, die sich mit Passwörtern, den modernen “Sesam-Öffne-Dich”-Lösungen, aufschließen lässt. Und damit wären wir schon bei Identitätsmanagement. Denn genau darum geht es: Den richtigen Personen zur richtigen Zeit den Zugriff auf die richtigen Systeme, Ressourcen und Daten zu ermöglichen.
Dabei ist Identitätsmanagement noch weit mehr als die Tür in der Mauer. Es geht nicht nur um Sicherheitsaspekte, sondern auch darum, Kosten und Komplexität zu reduzieren, Compliance-Richtlinien einzuhalten und vieles mehr: um Management und Verwaltung von Systemen und die Automatisierung von Prozessen, beispielsweise für die Überwachung und Protokollierung von Events. Abgesehen davon, dass die Verwaltung von Identitäten oder der Wunsch danach schon uralt ist, befinden wir uns nach der IT-Zeitrechnung derzeit in der dritten Generation von Identitätsmanagement. Die erste Generation stand ganz im Zeichen einer einfachen Zugangskontrolle zu Systemen und Ressourcen. Die zweite Generation konzentrierte sich auf Sicherheits-Tokens und Single-Sign-On für Rechenzentren, auf das Management von Verzeichnisdiensten sowie auf Metaverzeichnisdienste für die Daten-Synchronisation. In der aktuellen, dritten Generation, geht es vorwiegend um Rollen und Rechte sowie um Genehmigungsprozesse und deren Dokumentation - also um das Management von Prozessen und gleichzeitig auch wieder um die Lösung von Sicherheitsherausforderungen durch definierte Rollen und Rechte. Jeder kann gemäß seiner Rolle auf Unterlagen und Systeme zugreifen. Die nicht zu unterschätzenden Gefahren, die den Unternehmen von Seiten der eigenen Mitarbeiter drohen, werden damit minimiert.
Die Nachfrage nach IT-Sicherheit entstand traditionell aus dem Bedürfnis heraus, die internen Daten vor Zugriff bzw. Angriffen von außen zu schützen – zu diesem Zweck wurden Virenschutz und Firewalls entwickelt. Hinter einer Firewall fühlte man sich in der Vergangenheit sicher vor Angriffen. Das hat sich mit der Öffnung der Systeme für Telearbeiter sowie für externe Nutzer drastisch geändert. Aber das ist nicht die einzige Gefahr. Ein Großteil der Angriffe geht von eigenen Mitarbeiten aus. Identitätsmanagement entwickelte sich aus der Anforderung heraus, die Nutzer interner Systeme effizient zu verwalten. Durch die Flexibilisierung der IT erkennt man heute, dass Identitätsmanagement einige der neuen Sicherheits-Herausforderungen lösen kann, unter anderem Compliance-Anforderungen. Den Sesam-Öffne-Dich-Schlüssel braucht man trotzdem noch, aber zusätzlich wird nun genau darauf geachtet, wer eine Kopie von was zu welchem Zweck erhält.
Unabhängig davon, ob nun das Huhn oder das Ei, also Identitätsmanagment oder IT-Sicherheit zuerst da waren: IT-Sicherheit ist eine der großen Herausforderungen der heutigen Zeit und Identitätsmanagement ein essentieller Teil der Lösung.
Wenn von IT-Sicherheit die Rede ist, sind oftmals die klassischen Bemühungen gemeint, etwas Schützenswertes, seien es nun Daten, Dinge oder Menschen, vor dem Zugriff Dritter zu bewahren. Meist wird zu diesem Zwecke eine Mauer, neudeutsch Firewall, gebaut, mit mehr oder weniger großem Erfolg, wie die Statistiken der Virenangriffe belegen. Aber: In den seltensten Fällen ist es ein Schutz um seiner selbst willen – meist will man das geschützte Gut auch weiter verwenden, vorzeigen oder ähnliches. Wobei “man” in diesem Fall die Personenzahl beschreibt, die das auch tatsächlich darf. Es muss also in dieser Mauer irgendwo eine Tür geben, die sich mit Passwörtern, den modernen “Sesam-Öffne-Dich”-Lösungen, aufschließen lässt. Und damit wären wir schon bei Identitätsmanagement. Denn genau darum geht es: Den richtigen Personen zur richtigen Zeit den Zugriff auf die richtigen Systeme, Ressourcen und Daten zu ermöglichen.
Dabei ist Identitätsmanagement noch weit mehr als die Tür in der Mauer. Es geht nicht nur um Sicherheitsaspekte, sondern auch darum, Kosten und Komplexität zu reduzieren, Compliance-Richtlinien einzuhalten und vieles mehr: um Management und Verwaltung von Systemen und die Automatisierung von Prozessen, beispielsweise für die Überwachung und Protokollierung von Events. Abgesehen davon, dass die Verwaltung von Identitäten oder der Wunsch danach schon uralt ist, befinden wir uns nach der IT-Zeitrechnung derzeit in der dritten Generation von Identitätsmanagement. Die erste Generation stand ganz im Zeichen einer einfachen Zugangskontrolle zu Systemen und Ressourcen. Die zweite Generation konzentrierte sich auf Sicherheits-Tokens und Single-Sign-On für Rechenzentren, auf das Management von Verzeichnisdiensten sowie auf Metaverzeichnisdienste für die Daten-Synchronisation. In der aktuellen, dritten Generation, geht es vorwiegend um Rollen und Rechte sowie um Genehmigungsprozesse und deren Dokumentation - also um das Management von Prozessen und gleichzeitig auch wieder um die Lösung von Sicherheitsherausforderungen durch definierte Rollen und Rechte. Jeder kann gemäß seiner Rolle auf Unterlagen und Systeme zugreifen. Die nicht zu unterschätzenden Gefahren, die den Unternehmen von Seiten der eigenen Mitarbeiter drohen, werden damit minimiert.
Die Nachfrage nach IT-Sicherheit entstand traditionell aus dem Bedürfnis heraus, die internen Daten vor Zugriff bzw. Angriffen von außen zu schützen – zu diesem Zweck wurden Virenschutz und Firewalls entwickelt. Hinter einer Firewall fühlte man sich in der Vergangenheit sicher vor Angriffen. Das hat sich mit der Öffnung der Systeme für Telearbeiter sowie für externe Nutzer drastisch geändert. Aber das ist nicht die einzige Gefahr. Ein Großteil der Angriffe geht von eigenen Mitarbeiten aus. Identitätsmanagement entwickelte sich aus der Anforderung heraus, die Nutzer interner Systeme effizient zu verwalten. Durch die Flexibilisierung der IT erkennt man heute, dass Identitätsmanagement einige der neuen Sicherheits-Herausforderungen lösen kann, unter anderem Compliance-Anforderungen. Den Sesam-Öffne-Dich-Schlüssel braucht man trotzdem noch, aber zusätzlich wird nun genau darauf geachtet, wer eine Kopie von was zu welchem Zweck erhält.
Unabhängig davon, ob nun das Huhn oder das Ei, also Identitätsmanagment oder IT-Sicherheit zuerst da waren: IT-Sicherheit ist eine der großen Herausforderungen der heutigen Zeit und Identitätsmanagement ein essentieller Teil der Lösung.
