Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

01.07.2019
von: Peter Weierich - IPG AG

Kennzahlen statt ROI!

„Projekte müssen sich innerhalb eines Jahres rechnen.“ Mit derartigen Postulaten können Unternehmen nur
in Ausnahmefällen ein IAM-Programm starten. Denn die wenigsten Projekte amortisieren sich finanziell. Trotzdem sind Erfolge von IAM-Projekten messbar - indem man Kennzahlen verwendet.

Unterschiedliche «ROI-Fallen» lauern
Mit klassischen ROI-Überlegungen in IAM-Programme einzusteigen, lässt die Projekte in unterschiedliche Fallen laufen: Zum Ersten kann die Automatisierung zwar Administrationskosten einsparen. Nur in Ausnahmefällen, wenn bislang sehr viel manuell verwaltet wird und das Unternehmen ausreichend groß ist, ist eine Payback-Zeit nachweisbar. Es gibt allerdings einige Sonderfälle, in denen sehr schnell eine gesamtwirtschaftliche Rentabilität erzielt wird: Wenn man den „Ich habe mein Passwort vergessen“ Prozess automatisiert, sind die Vergesslichen bei einer Toolunterstützung viel schneller produktiv als bei einer Helpdesk-basierten Vorgehensweise. Single Sign-On Projekte helfen den Usern wertvolle Zeit bei der Anmeldung an vielen Systemen und der Passwortverwaltung einzusparen. Schließlich kann der Produktivitätsgewinn eines IdMs beziffert werden, wenn ein neuer Mitarbeitender ab der ersten Arbeitsminute Zugriff auf die IT-Systeme hat und nicht stunden- oder sogar tagelang auf seine Zugänge warten muss. Die so „gewonnene“ Arbeitszeit wird allerdings nicht den Kostenstellen der IT gutgeschrieben, welche die Kosten einer Implementierung zu tragen hat.

Eine dritte „Falle“ lauert regelmäßig bei outgesourctem IT-Betrieb: Da die Einkäufer immer nur „billig“ einkaufen wollen und Effizienzgewinne in den Vertragswerken gar nicht vorgesehen sind, hat in der Regel mindestens eine der Parteien ein Interesse an einer Automatisierung: Der Dienstleister nicht, weil das ja die Anzahl der kostenpflichtigen Tickets reduzieren würde. Bei Pauschalverträgen dagegen hat der Kunde keine
Motivation neue Prozesse einzuführen, da er damit ja „nichts spart“.

Dimensionen der Kennzahlen
Trotzdem lohnt es sich in jedem Fall den Nutzen von IAM-Projekten messbar zu machen. Das gilt umso mehr als vielfach Compliance-Anforderungen die eigentlichen Treiber sind. Kennzahlen können dabei nach Klassen eingeteilt werden:

  • Effizienz misst im Wesentlichen den Automatisierungsgrad
  • Effektivität adressiert vor allem compliance-getriebene Anforderungen
  • Enablement misst die Nutzeneffekte außerhalb der IT, also beispielsweise Auswirkungen auf die Geschäftsentwicklung

Der Klassiker: Passwort vergessen
Der Passwort-Reset ist der Klassiker unter den Automatisierungsprojekten: Je nach Kalkulation kostet ein „vergessenes“ Passwort oder ein zu spät neu gesetztes Passwort betriebswirtschaftlich zwischen 20 und wenigen hundert Euro. Mit Toolunterstützung kann man den Service-Desk wirksam entlasten: Derzeit arbeiten die meisten Tools mit der Abfrage von privatem Wissen, zum Beispiel der ersten Automarke oder dem Mädchennamen der Mutter. Verfahren der Nachbarschaftshilfe stellen beispielsweise zwei Kollegen jeweils eine Hälfte des neuen Passworts zu. Besser geschützt gegen social Engineering Angriffe ist man dagegen durch biometrische Verfahren: Seit über einem Jahrzehnt haben Unternehmen Stimmerkennung zur Authentisierung im Einsatz. Andere Verfahren sind prinzipiell verfügbar, allerdings muss in einer Gesamtkostenkalkulation auch der Aufwand für das Enrollment, also beispielsweise das Erfassen von Stimm-Mustern eingerechnet werden.

Ein weiteres Mittel, die Anzahl von Passwort Resets insgesamt zu reduzieren, sind SSO-Methoden. Das wird durch die Integration von möglichst vielen Anwendungen in die zentrale Anmeldung (meist via Active Directory) oder die Einführung von dezidierten Single Sign-On Produkten bzw. Federation-Technologien erreicht: Dann müssen sich Anwender nämlich insgesamt weniger Benutzernamen-Passwort-Kombinationen merken.

Effekte von Single Sign-On
Gut mit Kennzahlen belegen lässt sich die Anzahl von Anwendungen, an denen sich ein User explizit „anmelden“ muss. Viele Silosysteme sind nämlich nicht nur aus Mitarbeitersicht ineffizient. Sie stellen zusätzlich ein erhebliches Sicherheitsrisiko dar: Wenn Passwörter auf Post-its geschrieben oder unter der Schreibtischablage zu finden sind, könnte man auch gänzlich auf sie verzichten. Oft ist es der einfachste und kostengünstigste Weg, Applikationen in das führende Directory zu integrieren. Klassische SSO-Produkte
kommen zwar generell immer mehr „aus der Mode“, weil die Directory-Integration immer weiter fortschreitet. Sie erleben jedoch vor allem in Krankenhäusern derzeit eine Renaissance, weil sie auch einen schnellen Benutzer- bzw. Sessionwechsel auf den Stationsrechnern erlauben.

Ohnehin schwindet die Relevanz klassischer thick clients: Neu eingeführte Anwendungen sind meistens webbasiert – unabhängig davon ob sie intern betrieben werden oder von einem externen Cloud-Anbieter. Dafür werden die früher implementierten Web-SSO-Lösungen zunehmend abgelöst durch Standard- basierende Federationtechnologien. Diese haben zusätzlich den Vorteil, dass sie bei Bedarf eine on-the-flight Provisionierung ermöglichen, also eine Neuanlage von Accounts auf der Grundlage einer Vertrauensstellung.

Allerdings kann die Zählung der Integrationsart von Applikationen ein verzerrtes Bild der gelebten Wirklichkeit abgeben: Wenn es viele Anwendungen gibt, die sehr wenige User haben, die diese auch noch selten nutzen, kann die Statistik unangemessen negativ aussehen. Ideal wäre es, die realen Zugriffe zu zählen. Wenn diese Information nicht verfügbar ist, gibt immerhin eine Statistik über alle Accounts in den einzelnen Applikationen ein gutes Bild.
Lesen Sie hier den gesamten Bericht (PDF)
IPG AG auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter