Auch kleinere Unternehmen benötigen Identity Management. Was bei der Einführung eines solchen Systems zu beachten ist, und welche Vorbereitungen nötig sind, erklärt Sebastian Rohr, Senior Analyst beim Analystenunternehmen Kuppinger Cole. Neue IT-Technologien werden oftmals zuerst von großen Unternehmen und Konzernen umgesetzt. Dort macht der Druck durch steigende Anforderungen an Effizienz oder Sicherheit oder gestiegene Compliance-Anforderungen solche Investitionen in Technologie in der Regel zuerst notwendig.
Große Softwarepakete entsprechen dem Wunsch gerade großer Unternehmen nach mehr Struktur, durchgängigen Prozessen und vor allem nach wirksamer Kontrolle, haben aber den Nachteil, dass sie ihre volle Wirkung erst nach umfangreicher und kostspieliger Anpassung entfalten können.
Dafür ebenso wie für die Software selbst sind erhebliche Kapitalmittel vorzuhalten, und Budgetüberschreitungen bei der Implementierung und Anpassung sind an der Tagesordnung, aber das ist man dort sozusagen schon gewohnt.
Auch kleinere Unternehmen benötigen Identity Management
Bei einem mittelständischen Unternehmen hingegen kann solcher Aufwand die notwendige Einführung von wichtigen IT-Systemen dauerhaft bremsen oder sogar stoppen. Das gilt gerade bei Lösungen zur Verwaltung von Identitäten und Zugriffsrechten, wo der Bedarf kleinerer Unternehmen mittlerweile ebenso ausgeprägt ist wie bei großen Konzernen.
IT-Verantwortliche in mittelständischen Unternehmen haben ohnehin mit etwas anderen Rahmenbedingungen zu kämpfen, wenn es um Identity Management-Projekte geht.
Ein wichtiger Faktor ist die Planbarkeit der Kosten und damit des Budgets für IT-Projekte. Der Bedarf für gebündelte Lösungen oder Paketangebote wird hier immer größer, da unkalkulierbare Implementierungskosten als KO-Kriterium gelten. Ist also »Identity Management zum Festpreis« die Lösung?
Anwendungslandschaft in kleinen Unternehmen
Die Anwendungslandschaft in kleineren Unternehmen ist ja zum Glück meistens vergleichsweise einfach. Zwar existieren auch im Mittelstand zahllose Individualprogramme und Spezial-Applikationen, jedoch sind sowohl deren Anwender als auch die verantwortlichen IT-Mitarbeiter viel einfacher auszumachen. Für die Anbieter von Paketlösungen kommt erleichternd hinzu, dass in bestimmten Branchen einige wenige Spezialprogramme zur Standardausstattung der Unternehmen gehören.
Außerdem läuft der Vertrieb inzwischen häufig über Marktplätze oder Online-Plattformen. Dass sich viele Unternehmen des Mittelstands zudem an Microsoft orientieren und eher selten komplexe und heterogene Misch-Lösungen betrieben, in denen Produkten beispielsweise von Sun, Novell, Oracle und SAP miteinander in Einklang gebracht werden müssen, macht die Sache noch einfacher. In der Regel sind Konnektoren für die beliebtesten Branchenlösungen vorhanden, was den individuellen Anpassungsaufwand weiter reduziert.
Workflow-Modellierung
Aber auch wenn es innerhalb bestimmter Branchen gewisse Ähnlichkeiten in den Anforderungen gibt, ist jedes Unternehmen doch ganz anders. Meist sind gewachsene und individuelle Abläufe und Prozesse vorhanden, die im neuen System entsprechend abgebildet werden müssen. Das gilt beispielsweise für Vertreterregelungen ebenso wie für Workflows, mit denen Nutzerrechten beantragt werden. Zum Glück fällt die Workflow-Modellierung selbst meistens deutlich einfacher aus, als das in einem großen Konzern der Fall ist. Manchmal reicht es aus, bereits vorhandene branchenübliche Abläufe als Vorlage zu übernehmen und diese mit wenig Aufwand anzupassen, zumal die meisten Anbieter beziehungsweise die Systemintegratoren in der Regel passende Workflow-Templates zur Verfügung stellen können.
Eine sehr individuelle - und damit schwierig zu paketierende - Aufgabe ist die Ableitung von Regeln, Rollen und Gruppen(-Rechten), mit denen sich das Identity Management für eine Provisionierung der Benutzeraccounts nutzten lässt. Hier muss die Modellierung entweder Bottom-Up (etwa durch Analyse der bestehenden Accounts und Berechtigung = Rollenanalyse) oder Top-Down (Festlegung generischer Gruppen, Rollen und Rechte durch die IT oder das Management) vorgenommen werden, was einerseits durch technische Hilfsmittel erleichtert werden kann, im zweiten Falle jedoch Beratungsaufwand erfordert.
Notwendige Anpassungen in der Einführungsphase sind ebenfalls zu berücksichtigen, da über Rollen und Regeln nicht wirklich alle Anforderungen abgedeckt werden können. Der Umfang und die Reichweite der Rollen und Gruppen sollte ja dabei eher zu klein als zu weit geschnitten werden. Dazu müssen sich aber Einzelberechtigungen bzw. Accounts über das System auch »nachordern« lassen.
Klare Verantwortung und Qualität der Daten
Neben diesen eher produkt- oder lösungsspezifischen Problemen sind aber auch vom Unternehmen bestimmte Voraussetzungen nötig, um überhaupt in den Genuss eines Paketpreises oder eines Paketangebotes kommen zu können. Aus den Lehren großer Konzerne lässt sich ableiten, dass Identity Management-Projekte fast immer scheitern, wenn die grundlegenden Voraussetzungen nicht erfüllt sind. Dazu zählen vor allem die Qualität der Daten sowie klare Verantwortungen innerhalb des Unternehmens.
Schlechte Daten in den anzubindenden Anwendungen und Verzeichnissen hat in den frühen Jahren des Identity Managements viele Projekte zum Absturz gebracht. Das konnten Unmengen von »Leichen« oder Geisterkonten in den einzelnen Systemen sein, nicht zuordenbare Benutzerkonten oder bereits vorhandene Gruppen und Rollen, die wegen Unstimmigkeiten und Überlappungen nicht übernommen werden konnten.
Mangelhafte Datenqualität
Ob die Datenqualität in den meisten mittelständischen Unternehmen heute überhaupt ausreicht, um an Paketlösungen zu denken, darf mit einigem Recht bezweifelt werden. Hier sind noch umfangreiche Hausaufgaben zu machen. Werden Verzeichnisse und Applikationsrepositories ohne vorige Bereinigung verknüpft, so multiplizieren sich die bereits bestehenden Fehler schnell zum hoffnungslosen Datenchaos! Ein einfaches Beispiel, bei dem die Datenqualität von fünf Identitätsquellen in Prozent angegeben wie folgt dargestellt wird: Vz1 = 90%, Vz2 = 95%, Vz3 = 98%, Ap1 = 85%, Ap2 = 88%
Qualität der Daten ohne Bereinigung: 0,9 * 0,95 * 0,98 * 0,85 * 0,88 = 0,627
Analyse der Datenqualität
Eine solche Berechnung kann zwar nur als Näherung gewertet werden, sie zeigt jedoch deutlich wie riskant es sein kann, ohne eingehende Analyse der Datenqualität Verzeichnisse und Applikationsspeicher einfach zu verknüpfen. Selbst die recht gute Datenqualität von 88 bis 95 Prozent in den Quellen führt hier zu einer absolut inakzeptablen Quote von 62,7 Prozent einwandfreier Datensätze im Zielsystem. Über 35 Prozent der Datensätze wäre somit unvollständig, fehlerhaft oder nicht zuordenbar - die manuelle Nacharbeit ist keinesfalls mit einem Festpreisangebot abzudecken!
Identity Management-Lösung zum Festpreis
Die Vorstellung eines Identity Management-Systems inklusive Einführung zum Festpreis ist sicher für viele IT-Entscheider im Mittelstand verlockend. Auch bei ihnen haben sich schließlich die Vorteile einer geordneten Verwaltung der Identitäten und Zugriffsrechte inzwischen herumgesprochen. Trotz großer Fortschritte ist Identity Management aber immer noch eine anspruchsvolles technische Herausforderung, und die Ansprüche aus den nachgelagerten Business-Prozessen hinsichtlich des Nachweises der Einhaltung rechtlicher Vorgaben sowie aus dem Revisionswesen und dem Risikomanagement (neudeutsch: Governance, Risk Management & Compliance, kurz GRC) sind massiv gestiegen.
Eben diese Verlagerung der Anforderungen aus der Technik hin zu geschäftlichen Problemstellungen muss gerade beim Mittelstand berücksichtigt werden, um die unvermeidlichen Kosten einer solchen Investition andererseits durch das Schaffen von gesamtwirtschaftlichem Mehrwert sowie durch Kosteneinsparungen beispielsweise im Reporting relativiert werden können. Die aktuelle Kreditklemme macht Risikomanagement unter Einsatz von Identity Management und GRC Technologien zusätzlich zum absoluten Muss. Ob sich diese Vorteile jedoch im Rahmen eines Paketpreises erzielen lassen, ist mehr als fraglich.
Pflege und Anpassung im Regelbetrieb
Identity Management ist keine statische Lösung, sondern fordert auch im Regelbetrieb viel Aufwand für Pflege und Anpassungen. Diese zielen zumeist eher auf Arbeitsabläufe und Gruppen, Rollen sowie Berechtigungen ab, die Mitarbeiter sollten also auf die Ausführung solcher Änderungen geschult werden. Anpassung am sogenannten Back-End des Systems (etwa beim Wechsel auf eine neue Version der ERP Software) ist für den typischen Kunden aus dem Mittelstand keine unerhebliche finanzielle Belastung, insbesondere im laufenden Betrieb, da sie nur durch die Spezialisten den Systemintegrators ausgeführt werden können.
Ohne vorbereitende Analyse geht es nicht
Fazit: Die Umsetzung eines »einfachen« technischen Identity Management Projektes im Mittelstand ist durchaus zum Festpreis möglich. Für einen erfolgreichen Abschluss sind jedoch umfangreiche technische und organisatorische Voraussetzungen nötig, um »Identity Management Readiness« im Unternehmen zu schaffen.
Auch in kleineren Firmen sind vorbereitende Analysen (und damit einhergehender externer Beratung) wichtig, bevor man sich an die Implementierung einer solchen Paketlösung wagt. Solche vorbereitende Maßnahmen sind ebenso wie wiederholte Änderungen am produktiven System in der Projektkalkulation zu berücksichtigen.
Der erfolgreiche Abschluss eines solchen Projektes erfordert die genaue Definition der erwarteten Funktionalität und den Umfang und Detailgrad der Abbildung von Arbeitsprozessen im Rahmen der Workflows. Sowohl der Auftraggeber als auch der Systemintegrator sollten im jeweiligen Interesse auf die Abgrenzung der vereinbarten Projektziele achten und so genau als möglich definieren, was Teil der Paketlösung ist und was nicht. Auf das endgültige Angebot des Dienstleisters sollte der Entscheider dann einen Risikozuschlag von mindestens zehn Prozent der Auftragssummer einkalkulieren, um nicht von unabwendbarem Anpassungsaufwand während der Implementierung überrascht zu werden, was den Gesamterfolg des Projekts gefährden kann.