Das Identity Management in einem Unternehmen regelt den Zugriff der Mitarbeiter auf die Systeme. Dass die Implementation eines IDM durchaus kosten- und zeitintensiv sein kann, liegt vor allem an den Details.
Ohne das Identity Management – kurz: IDM – geht in einem Unternehmen fast nichts: Es sorgt dafür, dass der Zugriff auf Systeme, Anwendungen oder Applikationen zentral und automatisiert geregelt ist. So, dass sich im Idealfall alle Mitarbeiter jederzeit überall einloggen und auf gerade benötigte Software zugreifen können. Viele Firmen, die sich ein umfassendes IDM wünschen, sind aber häufig vom hohen Preis und der hohen Dauer eines Projekts überrascht. Dabei liegt es aber auf der Hand, warum IDM-Projekte so zeitaufwändig und teuer sind.
Das Themenfeld ist doch relativ groß und beinhaltet eine Vielzahl an zu beachtenden Faktoren. Es geht dabei um weit mehr als um die Zuteilung von Passwörtern. Aber welche Aufgaben umfasst denn nun IDM genau?
IDM bildet den Lebenszyklus eines Mitarbeiters ab
Die Journey, die ein Mitarbeiter zurücklegt, um in Ihren Systemen zu arbeiten, ist lang. IDM soll den gesamten Zyklus abbilden. Das sind zum einen der Benutzereintritts-, der Versetzungs- und der Benutzeraustrittsprozess sowie die Rechtevergabe und der Rechteentzug. Also: welcher Mitarbeiter darf auf welche Programme wie zugreifen und welchen – vor allem: ehemaligen – Mitarbeitern werden die Zugriffsrechte entzogen? Das betrifft auch Themen wie Attestierung und Compliance.
Fast alle Kunden sagen zu uns am Beginn ihres Projektes: „Bei uns sind die Prozesse super dokumentiert!“. Bei genauerer Betrachtung sind diese Projekte technisch nur schwer oder gar nicht abbildbar, sondern benötigen viel mehr Detailarbeit. Auf dem Papier sehen diese Prozesse meist gut aus – wie so oft liegt der Hund aber im Detail begraben.
IDM sichert die Qualität Ihrer Benutzer
Ein umfassendes Identity Management stellt sicher, dass sich nur valide Datensätze hinsichtlich der Identitäten in Ihren Systemen befinden. Es fragt: Welche Identitäten befinden sich im Unternehmen, die automatisiert verwaltet werden sollen, damit schnell aber durchdacht Rechte vergeben und entzogen werden können?
Bei Mitarbeitern ist es scheinbar einfach: Ein Mitarbeiter ist ein Mitarbeiter ist ein Mitarbeiter. In der Praxis kann das aber durchaus kompliziert werden, vor allem, wenn die Identität auch einer anderen Schwesternfirma mit anderen Genehmigungen und Hierarchiestufen zugeordnet wird. Was passiert, wenn ein Mitarbeiter aus der Firma ausscheidet? Soll er dennoch weiterhin Zugang haben? Im Rahmen eines IDM-Projektes kommt es zu solchen und ähnlichen interessanten Fragen, die dadurch meist Zeitverzögerungen oder Change Prozessen auslösen.
Darüber hinaus gibt es auch noch weitere, brennende Fragen, die individuell für jedes Unternehmen anders zu beurteilen sind: Wie sieht es etwa mit Zugriffen für Lieferanten, Leihkräfte, Freelancer oder andere externe Mitarbeiter aus? Was ist mit Teilzeitmitarbeitern, Schichtarbeitern, karenzierten oder geringfügig Beschäftigen? Wie geht man mit Identitäten um, die keiner realen Person entsprechen, wie Admin-Accounts, Shared-Accounts oder Zutrittskarten für die Feuerwehr?
Und: Wie sieht es mit dem Entziehen von Berechtigungen aus? Bei uns IDM-Consultants gibt es einen leider teilweise wahren Satz: „Ist ein Mitarbeiter als Lehrling ins Unternehmen gekommen und hatte in vielen Fachbereichen, vielleicht sogar als Entscheider zu tun, dann hat diese Identität irgendwann alle im Unternehmen möglichen Rechte.“ Ohne vernünftiges IDM kommen immer nur Rechte dazu, aber werden selten entzogen? Wer entscheidet, ob Rechte nicht mehr benötigt werden? Dem neuen Chef ist es meistens egal, der alte hat meistens wichtigere Sorgen.
Wie Sie sehen können, kommen intern fehlende Definitionen mit neuen Anforderungen zusammen, die nur im Zuge einer Vernetzung zu lösen sind. Es ist schön ersichtlich, welchen Fragen man sich im Zuge eines IDM-Projektes stellen muss und vor allem, welche Entscheidungen dem Unternehmen abverlangt werden.
IDM schützt die Daten Ihrer Zielsysteme
Identity Management steuert bekanntlich mehrere Zielsysteme – das heißt: Applikationen, die den Zugang zu mittels verschlüsselten Daten verschlossenen Systemen (selbst) steuern. Vielen Unternehmen ist gar nicht bewusst, wie viele Applikationen ihre Benutzer selbst verwalten – und es gibt einige größere Unternehmen, die teilweise 10.000 und mehr Zielsysteme haben. Jedes funktioniert nach eigens definierten und von den Herstellern vorgegebenen Einschränkungen. Nicht alle Unternehmen sind zum Start eines IDM-Prozesses so organisiert, dass es für jedes System einen Verantwortlichen gibt.
Anders ausgedrückt: Denken Sie an die vielen kleinen und großen Datenbanken, die im Laufe der Zeit entstanden sind und die sich niemand mehr traut, anzugreifen, weil keiner mehr die Regeln kennt. Viele Leser werden sagen: „Das gibt es bei uns nicht!“. Wir glauben das auch immer, aber nur solange wir oder unsere Kunden selbst fündig werden und der nächste Change argumentiert werden muss.
Das größte kaufmännische Problem ist die Tatsache, dass viele der bereits verankerten Unzulänglichkeiten nicht transparent an die nächsthöhere Hierarchie-Ebene weitergegeben werden oder gar werden dürfen. Das Management darf doch bitte davon ausgehen, dass in ihrem Unternehmen diese Themen schon vor einem IDM-Prozess gelöst sind. Ein weiterer Faktor für einen echten Spießrutenlauf.
Warum tun sich dennoch immer mehr Firmen die Lösung dieser so schwierigen Aufgabe an?
Dass viele Unternehmen trotz der zeitlichen und finanziellen Aufwände, die hinter einem IDM-Prozess stecken, diesen dennoch forcieren, ist auch der heutigen Zeit geschuldet: Alles ist in Bewegung, viele Projekte mit unterschiedlichstem Inhalt bis hin zur Umsetzung von disruptiven Ideen benötigen die gesamte Aufmerksamkeit. Deshalb sind Strukturen und funktionierende Prozesse an der Basis unerlässlich.
Außerdem wird die Compliance immer wichtiger: War sie in vielen Branchen zwar immer wichtig, aber nie ernsthaft implementiert, setzt sich nun das Mindset durch, dass Nachvollziehbarkeit, Automatisierung und Datenqualität unerlässlich sind.
Aber, es gibt auch eine gute Nachricht: Hat man alle Hausaufgaben ordentlich erledigt und IDM als User-Daten-Drehscheibe für alle wichtigen Zielsysteme und Identitätstypen implementiert, ist die Anbindung neuer Systeme und weiterer Benutzertypen fast ein Kinderspiel.
ITdesign besitzt jahrelange Erfahrung im Bereich IDM und unterstützt Ihr Unternehmen in allen Bereichen des IDM-Prozesses.