IdM für die Cloud : Digitale Identitäten zentral und zukunftssicher managen

Von Peter Ganten, Bremen

Wenn Organisationen Services unterschiedlicher Anbieter nutzen, wird aus dem Management digitaler Identitäten schnell eine echte Mammutaufgabe – vor allem, wenn man den aktuellen Trend zur „Multi-Cloud“ betrachtet. Abhilfe schaffen zentrale Identitätsmanagementsysteme (IdM). Ihre Auswahl stellt eine wichtige und sorgfältig zu treffende Entscheidung dar, weil damit entscheidende Fragen in Bezug auf Zukunftssicherheit, Interoperabilität, Datensicherheit und Compliance mit dem Datenschutzrecht sowie Flexibilität bei der Auswahl künftiger neuer Cloud-Services verbunden sind.

Herausforderung Multi-Cloud

Das nachfolgende Beispiel verdeutlicht die Problematik beim Einsatz verschiedener Cloud-Dienste: Die Mitarbeiter eines mittelständischen Unternehmens arbeiten an unterschiedlichen Standorten, im Homeoffice oder von unterwegs. Das Entwicklerteam nutzt Google G-Suite zur Kommunikation und Dateiablage, das Cloudangebot von Atlassian für das Projektmanagement mit Jira und setzt GitHub als Repository für Eigenentwicklungen ein. Jeder dieser Dienste verfügt über ein eigenes Benutzermanagement und ist unabhängig von den anderen zu verwalten. Mitarbeiter benötigen zur Zusammenarbeit also mindestens drei Logins nebst zugehörigen Passwörtern.

In der Praxis schalten Administratoren oft lediglich die Anwendung frei, die Verantwortung für die Nutzerverwaltung liegt innerhalb der Fachabteilungen oder sogar einzelner Teams. Dies ist nicht nur unkomfortabel, bindet wertvolle Ressourcen und führt zu hohen Kosten, sondern wirft auch Sicherheits- und Compliance-Probleme auf: Sobald ein Mitarbeiter das Unternehmen verlässt, müssen alle Konten zuverlässig deaktiviert werden – und das möglichst schnell. Es wäre schließlich fatal, wenn ein Entwickler, der inzwischen für einen Mitbewerber tätig ist, weiterhin Einblick in die Forschungsarbeiten seines ehemaligen Arbeitgebers hätte. Hier den Überblick zu behalten und Accounts in lokalen und cloudbasierten Diensten zu verwalten, wird mit jedem weiteren Cloud-Dienst, den eine Gruppe im Unternehmen einsetzen möchte, anspruchsvoller und aufwendiger.

Zentrales IdM

Aus Sicherheits- und Effizienzgründen sollte das Management digitaler Identitäten möglichst zentral erfolgen. Administratoren haben die Wahl, entweder einen Account pro Benutzer und Service manuell zu verwalten oder diese Aufgabe mit einem zentralen IdM-System zu erledigen. Dieses kann entweder innerhalb des eigenen Netzwerks „on Premise“ installiert oder als Identity-Management as a Service (IdMaaS) in der Cloud genutzt werden.

Anforderungen und Auswahlkriterien

Kernfunktionen – Nutzerverwaltung und Single-Sign-on

Ein zentrales Identitätsmanagement muss den Aufwand für die Administration digitaler Identitäten senken und eine einheitliche Integration von externen Diensten und Angeboten in die Unternehmens-IT sicherstellen (Federation). Darüber hinaus sollte es möglich sein, aus persönlichen Informationen automatisiert Benutzerkonten zu erzeugen und Zugang zu allen benötigten Applikationen und Services zu gewährleisten (Provisioning). Verlässt ein Mitarbeiter das Unternehmen oder vergisst er seine Zugangsdaten, muss zudem ein Zurücksetzen der digitalen Identität möglich sein – und zwar automatisch für alle verwendeten Services (De-Provisioning).

Integration – Schnittstellen und unterstützte Dienste prüfen

Agil operierende Organisationen müssen in der Lage sein, einzelnen Teams neue Anwendungen zur Verfügung zu stellen – auch kurzfristig. Die mit dem IdM-System zukünftig zu verbindenden Dienste sind zum Zeitpunkt der Auswahl also oft noch gar nicht vollständig bekannt. Aus diesem Grund kommt es bei der Auswahl neben der Frage, ob das IdM-System die bereits im Unternehmen eingesetzten Dienste unterstützt, vor allem darauf an, ob im Enterprise-Umfeld gängige Standards wie SAML unterstützt werden. Denn das ist die Voraussetzung dafür, dass sich neue Dienste zukünftig einfach mit dem IdM-System verbinden und technisch besser in bestehende IT-Infrastrukturen integrieren lassen.

Verfügbarkeit – lokal oder in der Cloud

Mit einer On-Premises-Installation befindet sich das IdM-System vollständig innerhalb des Unternehmens. Wird jedoch die Internetverbindung zum betreffenden Server unterbrochen, können Mitarbeiter an anderen Standorten oder von unterwegs oft nicht mehr auf benötigte Dienste zugreifen. Wird ein IdM hingegen redundant im Rechenzentrum eines Cloud-Anbieters betrieben, ist die Wahrscheinlichkeit, dass es von außen nicht mehr erreicht werden kann, viel geringer. Deswegen ist der Betrieb in einem vertrauenswürdigen unabhängigen Rechenzentrum die beste Wahl. Hier werden in der Regel auch geeignete Maßnahmen für eine hohe Ausfallsicherheit ergriffen und Backup-Systeme verfügbar gehalten.

Sicherheit – Zweifaktor-Authentifizierung (2FA) ist Pflicht

Zur Absicherung von Konten, mit denen auf kritische Daten zugegriffen wird, ist 2FA ein Muss. Derzeit ist es in den meisten Unternehmen noch ein Randaspekt (vgl. S. 32), doch sollten Lösungen für das Management digitaler Identitäten diese Funktion unbedingt unterstützen – besonders, wenn sie in der Cloud betrieben werden.

Datenschutz – as a Service oder mit eigenem Identitätsprovider

Die Nutzung zentraler Clouddienste und Angebote für IdMaaS ist sehr einfach und komfortabel geworden. Dabei sollten sich Entscheider jedoch darüber im Klaren sein, dass sie damit die eigene Kontrolle darüber einschränken, auf welche Anwendungen Mitglieder der eigenen Organisation zugreifen können. Werden wichtige Anwendungen von der IdM-Lösung nicht unterstützt oder ändert sich das Lizenzierungsmodell des Anbieters, kann einen das Outsourcing des IdM unter Umständen teuer zu stehen kommen. Darüber hinaus entstehen neue Anforderungen in puncto Datenschutz: Werden persönliche Daten der Nutzerprofile auf Server-Systemen außerhalb der EU gelagert, reicht der Abschluss eines ADV-Vertrags oft nicht mehr aus (vgl. www.datenschutzbeauftragter-info.de/datenschutz-und-datensicherheit-beim-cloud-computing). Es gilt also genau zu prüfen, ob der Einsatz einer bestimmten IdM-Lösung den gültigen Rechtsvorschriften entspricht und auch alle Regelungen der in Kürze in Kraft tretenden EU-Datenschutz-Grundverordnung (EU-DSGVO) erfüllt. Ein möglicher Ausweg ist der zentrale Betrieb einer von Cloud-Anbietern unabhängigen IdM-Lösung bei einem IaaS-Anbieter – jedoch sollten für dessen Services die Gesetze des Rechtsraumes gelten, in dem auch der Kunde ansässig ist.

Herstellerabhängigkeit

Gegen die Nutzung von in der Cloud bereitgestellten IdM-Systemen spricht also zunächst nichts – im Gegenteil: Entsprechende Angebote sind sehr einfach in Betrieb zu nehmen, da viele Herausforderungen rund um Datensicherheit, Netzanbindung, Verfügbarkeit, Sicherung und Betrieb bereits vom Cloud-Anbieter gelöst wurden.

Diesbezüglich signalisieren die vom BSI aufgezählten Qualitätssiegel wie SaaS von EuroCloud, CSA STAR, TÜV Trust IT ein hohes Maß an Zuverlässigkeit (s. a. www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/CloudZertifizierung/CloudZertifizierung_node.html). Neben den bereits angesprochenen Kriterien müssen Organisationen vor der Entscheidung für ein Cloud-IdM aber auch prüfen, inwieweit sie sich damit in eine möglicherweise nur schwer auflösbare Abhängigkeit vom Anbieter begeben. Dazu ist die Beantwortung der folgenden drei Fragen hilfreich:

Kann das IdM-System unabhängig vom spezifischen Angebot eines Cloud-Anbieters auch On-Premise oder bei einem anderen Cloud-Anbieter betrieben werden?

Ist ein IdM-System auch als Software unabhängig vom Cloud-Angebot am Markt verfügbar, kann man bei späteren Änderungen wie dem Wechsel des Cloud-Providers mit deutlich geringerem Aufwand rechnen. Datenformate und Schnittstellen können dann unverändert bleiben und es sind keine oder lediglich geringe Anpassungen notwendig. So können Organisationen leichter auf Veränderungen im Markt oder zukünftige Compliance-Anforderungen reagieren.

Unterstützt das System die Replikation von Verzeichnissen zwischen unterschiedlichen Cloud-Systemen und mit Verzeichnisdiensten anderer Hersteller wie Microsoft Active Directory?

Verzeichnisreplikation ist immer dann wichtig, wenn bei unterschiedlichen Providern verwendete Services genutzt werden oder lokale Anmeldungen an mehreren Standorten notwendig sind. Fällt ein Cloudsystem aus, sind wichtige Daten (z. B. Benutzereinstellungen) dennoch weiter verfügbar. Nutzer können sich also selbst bei Ausfall eines Cloud-Rechenzentrums noch an ihren Computern anmelden und nicht vom Ausfall betroffene Dienste wie gewohnt nutzen. Unternehmen, die bisher (auch) Microsoft Active Directory zur Verwaltung von Nutzern verwenden, sollten zudem darauf achten, dass dieses sich mit dem ausgewählten IdM-System integrieren lässt.

Ist das IdM-System auch unter Open-Source-Lizenz verfügbar?

Open-Source-Software (OSS) lässt sich unabhängig vom Hersteller prüfen, pflegen und anpassen – und ist damit zukunftssicherer als proprietäre Lösungen. Organisationen können so die dauerhafte Nutzbarkeit von offenen Schnittstellen, Anpassungen und Erweiterungen gewährleisten. Auch der Export von Daten oder Integrationen mit nicht-standardkonformen Systemen, die es leider auch immer wieder gibt, ist mit Zugriff auf den Quellcode einfacher möglich. Eine Open-Source-Lizenz ermöglicht zudem die unabhängige Überprüfung der durch die Software abgebildeten Prozesse. Dies ist für erhöhte Sicherheits- und Compliance-Anforderungen von enormer Wichtigkeit.

Obwohl OSS theoretisch auch unabhängig vom Hersteller betrieben werden kann, ist dies für die meisten – und gerade für kleinere – Organisationen oft nicht wirtschaftlich. Bei einer Open-Source-Lösung sollte man deswegen darauf achten, dass diese auch als sogenannte Enterprise-Subscription erhältlich ist: Dabei übernimmt der Hersteller zu marktüblichen Konditionen die Verantwortung für Funktionsfähigkeit, Pflege und Support, ohne dass man auf die Vorteile des offenen Quellcodes verzichten müsste.

Tipp: Ein guter Startpunkt für eigene Recherchen ist der AWS Marketplace. Dort sind verschiedene IdM-Systeme zu finden, die in der Regel sowohl als Cloudlösung als auch unabhängig davon als Software verfügbar sind. Einige davon sind auch vollständig als OSS implementiert.

Fazit

Zentrales Identity-Management erleichtert die Administration von IT- und Cloud-Services enorm. Um die Kontrolle darüber zu behalten, welche Anwendungen Nutzern auch zukünftig bereitgestellt werden können, sollten Unternehmen jedoch nicht nur auf bequeme Handhabung und Konnektoren achten. In vielen Fällen ist eine weitgehende Kontrolle über ein so zentrales System wie das IdM mehr als empfehlenswert.

Das IdM-System der Wahl muss etablierte Standards unterstützen und sollte unabhängig vom Cloudservice auch als Software verfügbar sein – idealerweise ist es sogar Open Source. Unternehmen können dann Dienste so unterschiedlicher Anbieter wie Amazon Web Services (AWS), Google G-Suite und Office 365 mit vielen weiteren Angeboten kombinieren und die Rechte der Nutzer dennoch zentral, einheitlich und datenschutzkonform verwalten.

Die Entscheidung, ob eine Organisation ein eigenes IdM „on Premise“ oder bei einem deutschen Cloud-Provider betreibt oder als IdMaaS bei einem großen internationalen Anbieter nutzt, ist strategischer Natur. CIOs sollten hier ein Für und Wider genau abwägen, nach individuellen Kriterien urteilen und rational entscheiden. Wollen sie ihre IT flexibel und zukunftssicher aufstellen, ist Open-Source-Software aus den genannten Gründen die beste Wahl.

Peter Ganten ist CEO von Univention und Vorsitzender der Open Source Business Alliance (http://osb-alliance.de).