Identity Management als fortwährender Prozess - Prof. Dr. Norbert Pohlmann

O. Achten, S. Feld, N. Pohlmann:,
“Identity Management als fortwährender Prozess”,
IT-Sicherheit – Management und Praxis,
DATAKONTEXT-Fachverlag,
1/2010

Identity Management (IdM) oder Identity and Access Management (IAM) ist eine grundsätzliche Herausforderung für nahezu jedes Unternehmen: Ohne ein gutes IdM-Konzept ist es schwer, sich am Markt zu behaupten, und fast unmöglich, Verwaltungsabläufe effi zient zu steuern. Es ist ein entscheidender Erfolgsfaktor. Aber was genau ist IdM, welche Elemente sind relevant und warum ist es ein Sicherheitsthema? Dieser Artikel gibt einen Überblick über das weite Feld des IdM und erläutert, wie es sich in Bezug auf die Faktoren Mensch, Politik, Prozess und Technik einordnet.

Im Zeitalter der digitalen Kommunikation werden nicht mehr Dinge, sondern Daten und Informationen als das primäre und schützenswerte Gut angesehen. Eine digitale Identität ist allgemein gesprochen die Teilmenge der Daten und Informationen (Attribute) eines Menschen, eines Computers oder eines Internetdienstes (allgemein: einer Entität), die die Entität eindeutig unterscheidbar zu anderen macht. Die reale Entität muss nun präzise auf eine digitale Identität abgebildet werden, die anschließend nutzbar gemacht wird. Hierauf aufbauend beschreibt der Begriff Identity Management (IdM) die Erzeugung, Nutzung, Pflege und Löschung von digitalen Identitäten mitsamt der Attribute und Berechtigungen.
Der Einsatz von digitalen Identitäten erfordert vertrauenswürdige, identitätsbezogene und regelkonforme Prozesse, die unabhängig von Organisationen und Plattformen standardisiert nutzbar sind. Schlussendlich ist es ein Identity Management System (IdMS), das die entworfenen Prozesse eines IdM-Modells technisch realisiert und die praktische Nutzung der digitalen Identitäten ermöglicht.

Einordnung von IdM
Es mag überraschend erscheinen, dass für die Einführung eines IdM-Systems in einem Unternehmen nicht der Faktor Technik entscheidend ist, sondern organisatorische Faktoren wie der Mensch, die Politik und
Prozesse überwiegen. So wird ein Mitarbeiter im produktiven Einsatz zwar nur den technischen Faktor nutzen, aber damit ein IdMS zufriedenstellende Erfolge erbringen kann, ist eine Gewichtung der organisatorischen Faktoren von etwa 80 Prozent (grober Erfahrungswert) erforderlich. Es gilt: Die Realisierung und Durchführung eines IdMS steht und fällt mit dem Faktor Mensch. Es muss sowohl das Konstrukt „Identity Management“ als Ganzes gesehen werden, als auch der Sinn und Zweck der Umstellung kommuniziert werden, um die notwendige Akzeptanz bei den Mitarbeitern zu schaffen. Dadurch können Aufgaben in die Abteilungen delegiert und die Einführung eines IdMS auch aus den Abteilungen heraus vorangetrieben werden.

…