Identity & Access Management

Der Autor ist IAM Senior Consultant bei United Security Providers.Das Identity & Access Management (IAM) ist kein reines IT-Thema – diese Schlüsselerkenntnis ist der Grundstein, auf dem das IAM-Modell der Schweizerischen Post heute fusst. Schon 2005 hatte der Servicebereich Informationstechnologie (IT Post) den Auftrag erhalten, die Bedeutung eines zentralen Zugriffsmanagements für den Konzern abzuklären. Was ist IAM, welche Lösungsansätze existieren und welche Bereiche sind betroffen? Wer profitiert und welchen Nutzen bringt es dem Unternehmen? Diese und weitere Fragen standen am Anfang des Projekts. Schnell wurde klar: Das Management von Identitäten und Berechtigungen ist in Geschäftsprozesse eingebettet, die ausserhalb der IT stattfinden. Zum Beispiel in der Personal­administration bei der Einstellung neuer Mitarbeitenden, im Rahmen der internen Revision oder bei der Überprüfung von Compliance-Anforderungen. Betroffen sind aber auch die Endbenutzer, die sich eine effiziente Berechtigungsvergabe wünschen, sowie die Geschäfts-bereiche, die auf einfache Art und Weise externe Mitarbeitende und Partner in ihre Wertschöpfungsprozesse einbinden wollen. Und natürlich hat auch die IT selbst ein In­-teresse daran, durch reibungslose Prozesse die Anzahl von Support-Anfragen zu reduzieren. Im Mittelpunkt: das IAM-Framework Unter Berücksichtigung all dieser Anforderungen wuchs der Wunsch nach einem «IAM Big Picture», das auf übersichtliche Weise alle relevanten Faktoren und deren Abhängigkeiten in einem standardisierten Modell darstellt. Dieses Modell wurde im Laufe des Projekts zu einem Framework ausgebaut, an dem sich noch heute die Planung aller IAM-Aktivitäten (Roadmap) ausrichtet. Das IAM-Framework stellt das gesamte Konstrukt von Abhängigkeiten und Wechselwirkungen im Identity & Access Management dar und garantiert dadurch eine umfassende Betrachtung der gesamten IAM-Landschaft eines Unternehmens. IAM bringt Veränderungen – in Infrastruktur, Prozessen und Organisation. Gleichzeitig ist es ein Sicherheitsthema. Voraussetzung für jede erfolgreiche Veränderung ist jedoch die Akzeptanz. Diese wird nur dann erreicht, wenn die Veränderungen durch die Fachabteilungen angestossen werden und nicht primär durch die interne IT. Der frühzeitige Einbezug der Geschäftsbereiche bzw. der Kunden ist daher ein wichtiger Erfolgsfaktor für IAM-Projekte. Am Anfang stand daher eine sorgfältige Analyse der Anforderungen über alle Konzernbereiche hinweg, gefolgt von einer Analyse der relevanten Hardware- und Software-Komponenten. Die aus dem Vergleich von Ist- und Soll-Zustand resultierenden Lücken wurden in Handlungsfeldern konsolidiert und beschrieben. Auf Bestehendem aufbauen Die Integration eines speziellen IAM-Tools in die Systemlandschaft erwies sich als ein rasch verworfener Lösungsansatz. In der Analyse wurde nämlich festgestellt, dass es sinnvoller war, von den bestehenden Prozessen und Systemen auszugehen, da diese historisch in den Geschäftsprozessen der Bereiche verankert waren und sich so weit bewährt hatten. Bestehendes sollte nur wo nötig verändert werden. «Für uns als interner IT-Dienstleister steht die Kundenfreundlichkeit an oberster Stelle», erklärt Markus Bacher, Verantwortlicher für IAM und Leiter Technologie und Infrastruktur beim Servicebereich Informationstechnologie Post. Resultat: Eine Roadmap Die ermittelten Handlungsfelder wurden im nächsten Schritt mit den Geschäftsbereichen abgestimmt, Abhängigkeiten identifiziert und Prioritäten definiert. Danach konnten die Vorhaben auf einer Zeitachse abgebildet werden. Dies war die Geburtsstunde der IAM-Roadmap, die bis heute gültig ist. Sie bringt Struktur in die Vorhaben und erhöht die Übersichtlichkeit. Die erste Bewährungsprobe verlief entsprechend erfolgreich: Ein Geschäftsbereich der Post musste aufgrund von Compliance-Anforderungen die Nachvollziehbarkeit der Vergabe von Zugriffsberechtigungen verbessern. Die Einführung der PostID war einer der ersten Schritte dazu. Jeder Mitarbeitende sollte eine eindeutige ID erhalten – dies über seinen gesamten Werdegang beim Arbeitgeber Post. Für die IT war es zwar ein Leichtes, ein neues Datenfeld hinzuzufügen. Doch damit die PostID künftig als Schlüsselattribut für alle Benutzer auf allen Systemen eingesetzt werden konnte, waren Änderungen in den Personalprozessen auf Konzernstufe notwendig. Insbesondere der Umgang mit Mitarbeitenden, die mehrere Arbeitsverträge mit der Post abgeschlossen haben oder sogar in mehr als einer Konzerngesellschaft tätig sind, erwies sich in diesem Zusammenhang als echte Herausforderung. Der dank dem zugrunde liegenden Framework erfolgreiche Abschluss dieses Projekts stiftete für Geschäftsprozesse wie IT gleichermassen Nutzen und schuf gleichzeitig eine wichtige Voraussetzung für weitere IAM-Vorhaben. Externe Unterstützung Die Schwierigkeit und die Komplexität von IAM liegen darin, die unterschiedlichen Anforderungen der beteiligten Anspruchsgruppen zu erkennen und zu vereinigen. Aufgrund der zahlreichen Auswirkungen auf die unter­schiedlichsten Geschäftsprozesse ist ein hohes Mass an Koordination und Kommunikation gefordert. Die Schweizerische Post arbeitete daher über die gesamte Dauer mit United Security Providers als externem Security-Spezialisten zusammen, zu dessen Kernkompetenzen Identity & Access Management zählt. «Die Entkoppelung der IAM-Vorhaben von der Linie hat sich bewährt», meint Markus Bacher. «Durch den Einbezug eines externen, objektiven Spezialisten konnten wir enorm profitieren.» Fazit: Aufwand lohnt sich Die Schweizerische Post hat heute ein konzernweites Verständnis für Identity & Access Management. Der beachtliche Aufwand in der Analysephase hat sich gelohnt. Es konnten zeitgerecht Voraussetzungen geschaffen werden, die einen optimalen Umgang mit Identitäten und Berechtigungen erlauben. Die dazu nötige Veränderung der Prozesse wurde in den Geschäftsbereichen selbst angestossen. Die IT hat in ihrer Rolle als Dienstleister unterstützend gewirkt und konnte mit ihrem koordinierten Vorgehen auf allen Konzernebenen Akzeptanz schaffen. Das Projekt Umfang: Aktuell werden bei der Post mehr als 65?000 Identitäten mit unterschiedlichsten Rollen und Berechtigungen verwaltetIT-Infrastruktur: Heterogene Systemlandschaft, Einsatz von SAP-HCM als Mastersystem für Identitäten mit Synchronisation der Identitäten in verschiedene VerzeichnisseProjektdauer: Initiales Projekt zur Definition der Roadmap, laufendes Initialisieren und Durchführen von Teilprojekten koordiniert als ProgrammBereiche: Verwaltung von Identitäten, Rollen, Berechtigungen, Compliance, SAP Interview: Lessons learned Markus Bacher, Leiter Technologie und Infrastruktur beim Ser­vicebereich Informationstechnologie Post, berichtet über seine Erfahrungen mit dem IAM-Projekt.Worauf sollten Firmen achten, die heute das Thema IAM angehen?Bacher: IAM kann nur unter Einbezug der Kunden – sprich der Geschäftsbereiche – erfolgreich angegangen werden. Jedes Unternehmen, das die Verwaltung seiner Benutzer und deren Berechtigungen verbessern will, muss den klassischen Problem­lösungszyklus durchlaufen, der bei der Analyse beginnt und bei der laufenden Erfolgskontrolle aufhört. Ist das IAM-Framework auch kleineren Unternehmen zu empfehlen?Auf jeden Fall. Das Framework erlaubt ein methodisches Vorgehen. Zusammenhänge und Abhängigkeiten werden leichter erkannt.Wie kann IAM in einem Unternehmen angestossen werden?Der Impuls sollte aus dem Business kommen. Sei es aufgrund einer Revisionspendenz, einer Gesetzes­änderung oder eines hohen Leidensdrucks in der Administration, etwa aufgrund von Medienbrüchen in Prozessen, die unnötig viel Aufwand verursachen. Welches sind die nächsten Schritte auf der IAM-Roadmap der Schweizerischen Post? Als nächster grosser Schritt steht die Verbesserung und Automatisierung des sogenannten Provisionierungsprozesses an. Konkret soll die Verwaltung von Berechtigungen mithilfe eines zentral zur Verfügung gestellten Werkzeugs transparenter und einheitlicher gestaltet werden. Damit helfen wir unseren Kunden, ihre Geschäftsprozesse zu vereinfachen und gleichzeitig die Sicherheit zu erhöhen.