Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

16.06.2014
von: Claudio Fuchs

"IAM-Projekte sind Innovationsprojekte"

Claudio Fuchs, Head of Project Delivery Switzerland bei der Winterthurer IAM-Spezialistin IPG, erläutert im Interview mit ICTkommunikation die strategische Bedeutung von IAM (Identity & Access Management) für die Unternehmen und worauf es bei der Implementierung von IAM besonders ankommt.

Sie sind bei der IPG als "Head of Project Delivery" tätig. Was versteht man darunter konkret? Welches sind Ihre zentralen Aufgaben dabei?

Das Project Delivery ist die Einheit der IPG, welche unsere Projektaktivitäten beim Kunden vor Ort durchführt. Dies beinhaltet die Aufträge, welche wir direkt akquirieren und mit unseren Experten ausführen, im Schnitt sind dies etwa 25 bis 30 Projekte parallel. Dem Team gehören über 20 Personen aus drei Ländern an. Für meine Aufgabe bedeutet dies im groben Rahmen: Das Führen der Mitarbeitenden, die Koordination des Pre-Sales, das Managen des Projekt-Portfolios aber auch die Etablierung und kontinuierliche Verbesserung unserer IAM- Projektstandards.

Es ist interessant zu beobachten, dass sich die IT-Technologien in den letzten 40 Jahren rasend weiterentwickelt haben, das Einloggen in ein System aber zumeist immer noch auf der Eingabe von Benutzername und Passwort erfolgt, so wie am Beginn des IT-Zeitalters. Warum ist dies so? Vom Technologischen her wäre es doch kein Problem, andere Lösungen zu entwickeln.

Ja genau. Noch vor einiger Zeit waren die Smart Cards auf dem Vormarsch. Seit dem Einzug der mobilen Geräte ist diese Entwicklung aber gebremst. Man möchte flexibel bleiben. Das heisst, man möchte sich mit möglichst vielen verschiedenen Geräten im System einloggen können. Einzig im medizinischen Bereich ist die Nachfrage nach Smart Cards ungebrochen. Bezüglich Biometrie bestehen aus Datenschutzgründen noch viele Vorbehalte.

Die Schweizer Unternehmen gelten ja bezüglich neuer Technologien als "early adapters". Gilt dies auch für IAM? Wie sind die helvetischen Betriebe hinsichtlich IAM aktuell bestückt?

Das würde ich jetzt nicht pauschal sagen. Es gibt auch typische Follower, die nur das einsetzen möchten, was andere bereits erfolgreich verwenden. Das Ganze ist vom Risikoappetit der Unternehmung, leider zu oft aber nur von der IT-Abteilung, abhängig. Erfolgreiche IT-Unternehmenseinheiten können sich in der Regel mehr erlauben und sind auch experimentierfreudiger. Man darf davon ausgehen, dass Schweizer Unternehmen im Vergleich zu seinen Nachbarn eher überdurchschnittlich bestückt sind.

Die spektakulären und medienwirksamen Cybercrime-Fälle kommen zumeist von aussen. Was ist aber, wenn der Täter von innen kommt? Wie schützt man sich da aus Sicht des IAM-Spezialisten?

Sie sagen es genau richtig. Die spektakulären kommen von Aussen. Es gibt auch aber medienwirksame Angriffe von Innen. Denken wir nur an die Daten-CDs der Schweizer Banken. Die zahlreichen Angriffe von Innen, meist sind dies eher Versehen als vorsätzliche Taten, verursachen den grösseren Schaden. Der Schutz gegen Innen lässt sich aber nicht nur mit technischen Hilfsmitteln lösen. Es braucht zwar technische Massnahmen, die Organisationen müssen aber auch Risiken in Arbeitsabläufen minimieren. Last but not least sollten die Unternehmen auch für gut ausgebildete und zufriedene Mitarbeiter sorgen. Das ist immer der beste Schutz.

Inwieweit eignet sich IAM für Cloud-Umgebungen?

Nur teilweise, denn es gibt immer noch Bestandteile, vor allem die organisatorischen Ansätze, für welche die Lösungen nicht in der Cloud zu suchen sind. Die meisten technischen Bestandteile sind heute jedoch Cloud-fähig. Welches Produkt sich dafür eignet, müssen wir mit jedem unserer Kunde individuell anschauen.

Wie geht man bei der Integration von IAM ins Unternehmen strategisch am besten vor?

Wenn man nach Lehrbuch vorgeht, dann holt man zuerst die Anforderungen der verschiedenen Stakeholder und Leistungserbringer ab. Aus diesen definiert man ein Projekt oder ein Programm mit einem klaren Scope. Wichtig ist, dass das Thema resp. das Projekt im Management abgestützt ist. Grossen Erfolg haben die Projekte, wenn eine IAM-Richtlinie erarbeitet werden kann. Diese definiert langfristig, warum IAM gemacht werden soll und welches die grundlegen Prinzipien sein sollen. Ebenso bewährt sich die Definition einer IAM-Prozesslandkarte. Aus letzterer geht dann die die Entwicklung der IAM-Geschäftsprozesse hervor, allenfalls sogar mit organisatorischen Veränderungen. Erst danach sollte der Fokus auf die technischen Inhalte gelegt werden und die Auseinandersetzung mit Themen wie eindeutige Benutzerkennung, Aufbau einer Identitätsdatenbank, Provisioning, Passwort Management, Rollen, Single Sign-On erfolgen.

Auf was muss ein Unternehmen bei der Implementierung von IAM besonders achten?

IAM-Projekte sind Innovationsprojekte. Das heisst, man kommt in Berührung mit neuen Technologien, mit neuen Prozessen und muss teilweise auch Reorganisationen vornehmen. Projekte dieser Art benötigen einen breitabgestützten Steuerungsausschuss, einen erfahrenen Projektleiter und engagierte Projektmitarbeiter. Ein IAM-Projekt ist nicht zu unterschätzen. Es sollte auf keinen Fall wie ein unbedeutendes Mini-Vorhaben in die Wege geleitet werden.

Hat IAM einen Einfluss auf das Tagesgeschäft eines Unternehmens, zum Beispiel auf die Produktivität?

Leider nur teilweise. Es lassen sich sehr selten rein monetär wirksame Business Cases berechnen, die z.B. eine erhöhte Produktivität belegen, um die getätigten Ausgaben zu amortisieren. Der Nutzen von IAM liegt bestimmt auch in einer verbesserten Effizienz mit positivem Effekt auf die Produktivität der Mitarbeiter, wichtig sind heute aber Themen wie Compliance, zuverlässigere Prozesse und eine viel bessere Datenqualität. IAM soll der Schiedsrichter sein, je weniger ein Mitarbeiter davon spürt, je reibungsloser läuft es ab.

Haben Sie IAM-Projekte auch schon scheitern gesehen?

Natürlich. Jeder, der lange genug im IAM-Geschäft ist, hat diese Erfahrung schon gemacht. Wir sind aber täglich bestrebt die Erfolgsquote gegen 100 Prozent zu drücken. Das ist unsere Vision. Wir können heute komplexe Projekte um einiges erfolgreicher abwickeln als noch vor zehn Jahren. An der Technologie scheitert heute kaum ein Vorhaben. Wenn es Probleme gibt, dann im Setup des Projekts. Deshalb legen wir grossen Wert darauf, günstige Rahmenbedingungen zu schaffen. Wir haben jetzt zum Beispiel beschlossen, alle unsere Projektleiter nochmals intensiv zu schulen und mit IPMA zertifizieren zu lassen.


Security-Finder Schweiz: Newsletter