«Ist mein IAM noch zukunftsfähig?»

IAM Legacy – Verjüngungskur oder Alternativen?

Datum

13.12.2021

Dieser Beitrag wurde verfasst von:

«Ist mein IAM noch zukunftsfähig?»

Sollten sie sich diese Frage stellen, hilft dieser Fachbericht mit Überlegungen und Denkanstössen zu entscheiden, ob ihre IAM Lösung eine Verjüngungskur benötigt oder ob ein Ersatz eine diskutierbare Möglichkeit darstellt. Möglicherweise denken sie nicht, dass sie ein Legacy IAM System im Einsatz haben, auch hier lohnt es sich die nachfolgenden Anzeichen genauer zu betrachten.

Es gibt verschiedene Gründe, weshalb ein IAM System als Legacy IAM System eingestuft werden kann. Es kann zum einen sein, dass ein IAM Produkt in den letzten Jahren von den Herstellern nicht konsequent genug auf die neuen Herausforderungen der digitalen Transformation wie IoT oder Cloud Services vorbereitet wurde. Auf der anderen Seite haben Sie möglicherweise den einen oder anderen Upgrade auf die letzte Produktversion nicht durchgeführt. Viele dieser Faktoren können später noch einen Einfluss auf ihre Entscheidung zum weiteren Vorgehen haben.

Neue Herausforderungen bei der digitalen Transformation

Viele Unternehmen sahen sich in den letzten Monaten mit der raschen digitalen Transformation konfrontiert. Diese Transformation war möglicherweise schon auf der Roadmap, wurde aber durch die Pandemie priorisiert und konnte nicht wie geplant über mehrere Jahre umgesetzt, sondern musste in nur weniger Wochen realisiert werden. Manch Unternehmen musste innert wenigen Wochen die Arbeit aus dem Homeoffice ermöglichen. Mitarbeiter mussten mit Notebooks ausgestattet oder Internetverbindungen ausgebaut werden. Dies stellte für die Infrastruktur-Teams eine grössere Herausforderung dar.

Auch für das Identity & Access Management-Team zeigten sich plötzlich neue Herausforderungen. Die bekannten on-premise Applikationen wurden in die Cloud migriert oder durch neue Cloud Applikationen ersetzt. Diese Cloud-Dienste mussten schnellstmöglich mit den Unternehmensidentitäten versorgt werden, um den Mitarbeiter beispielsweise Single-Sign-On zu ermöglichen oder eine möglichst einfaches Benutzerexperience bereitzustellen.

Diese rasche Transformation hat viele IAM Systeme in den Unternehmensnetzwerken vor grosse technische Herausforderungen gestellt. Es gab aber in dieser Zeit nicht die Möglichkeit, über eine Verjüngungskur oder gar Ersatzlösung zu diskutieren, da der Druck nach Transformation einfach zu gross war. Viele Herausforderungen wurden durch Implementierungen gelöst, was zwangsläufig zu höherer Komplexität und Mehrkosten geführt hat.

IAM Legacy - Herausforderungen und Möglichkeiten

Als Identitätsmanagement wird der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität bezeichnet. Dies entspricht der Summe aller Massnahmen, die notwendig sind, um Personen, Identitäten und Benutzer in IT-Systemen eindeutig zu erkennen sowie ihnen genau die Zugriffe zu ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen.

Ein weiter Aspekt ist das ganze Access Management. Es umfasst alle Massnahmen für den sicheren Zugriff auf Anwendungen (Zugriffskontrolle). Dazu gehören die Authentisierung, Authentifizierung und Autorisierung sowie unterstützende und übergreifende Sicherheitstechniken.

Auch in ihrem Unternehmen sind diese Systeme ein starker Bestandteil im IT-Security-Konzept für die Einhaltung der verschiedenen internen, aber auch gesetzlichen Vorgaben sowie zum Schutz ihrer Unternehmensdaten.

All diese Anforderungen müssen von ihrem IAM System jederzeit für die geforderten Applikationen erfüllt werden können, da die neue IT-System-Landkarte nun auch verschiedene Cloud sowie verschiedene zusätzliche IoT-Komponenten beinhaltet.

Anzeichen für IAM Legacy

Es gibt verschiedene Indizien, weshalb ein IAM System als Legacy System eingestuft werden kann. Solche Indizien sind nachfolgend beschrieben.

Integration: In den letzten Jahren haben sich die Technologien, welche für die Applikationsintegration zur Verfügung stehen rasant weiterentwickelt. Vor allem die verschiedenen Clouddienste stellen neue Schnittstellen zur Verfügung, welche nicht alle IAM Systeme unterstützen, respektive erst verspätet unterstützen. Dies führt dazu, dass Applikationen möglicherweise erst verspätet oder gar nicht angebunden werden können.

LifeCycle: Der LifeCycle ihres IAM Systems ist natürlich ein wichtiger Faktor dafür, ob ihr System als Legacy System gezählt werden kann. Es kann vorkommen, dass ihre IAM Lösung nicht mehr oder nur unzureichend weiterentwickelt wird und somit die neuen Bedürfnisse der Transformation nicht mehr abgedeckt werden können. Ein weiteres Problem kann auch sein, dass die eingesetzte Produktversion nicht der aktuellen Version entspricht. Diese ausstehenden Updates können verschiedene Hintergründe haben. Die Erfahrungen zeigen aber, dass solche ausstehenden Updates meist auf ein grosses Customizing hindeuten, welches die Releasefähigkeit beeinträchtigt oder gar unmöglich macht.

Verfügbarkeit: Auf Grund der verschiedenen Remote Arbeitsszenarien werden auch externe Zugriffe, externe Dienstleister oder auch Mitarbeiter immer mehr ins Zentrum einer IAM Lösung gerückt. So sollen Approval Requests einfach, sicher, schnell und unkompliziert von den mobilen Endgeräten aus erledigt werden können. Ebenfalls muss für gewisse Anforderungen eine IAM Lösung über das Internet erreichbar gemacht werden. Diese Erreichbarkeit erhöht auch das Risiko für Angriffe, falls eine IAM Lösung nicht dafür ausgelegt wurde.

Vorschriften: Verschiedene sicherheitsrelevante Vorfälle haben dazu geführt, dass die Datenschutzbestimmungen und Gesetze immer strenger werden und auch die entsprechenden Vorschriften wie die DSGVO oder Finanzdienstleistungsgesetze laufend verfeinert und konkretisiert werden. Dies führt zu einer rasant steigenden Anzahl an auditrelevanten Anforderungen, die das IAM System in ihrem Unternehmensnetzwerk erfüllen muss.

Auf Grund dieser Indizien lässt sich nun beurteilen, ob ihr IAM System potential zu einem Legacy IAM System hat. Da jeder sicherheitsrelevante Vorfall im Unternehmensnetzwerk einen beträchtlichen Reputationschaden verursachen kann, ist eine regelmässige Prüfung ihres IAM Systems angebracht und notwendig, um früh genug mögliche Handlungsfelder zu erkennen und die entsprechenden Themen anzugehen.

Verjüngungskur oder Ablösung?

Viele Unternehmen erkennen zwar, dass sie eine Legacy IAM Lösung im Unternehmensnetzwerk betreiben, jedoch folgen auf diese Erkenntnis in den wenigsten Fällen konkrete Massnahmen. In den meisten Fällen wird versucht, eine Ablösung oder Verjüngungskur zu vermeiden, da bereits zu viele Investitionen in die bestehende IAM Lösung getätigt worden sind. Folgende Überlegungen sollten aber unbedingt in Betracht gezogen werden. Investitionen in die bestehende IAM Lösung getätigt worden sind. Folgende Überlegungen sollten aber unbedingt in Betracht gezogen werden.

Verjüngung durch Lifecycle: In den meisten Fällen ist es ein Wettrennen zwischen den Technologien und den Herstellern der IAM Lösungen. Dies bedeutet, dass unter Umständen gewisse benötige Funktionalitäten im aktuellen Release ihrer IAM Lösung bereits zur Verfügung gestellt werden. Es lohnt sich also, die Release Notes des Herstellers genauer zu analysieren und ein Produkt-Upgrade in Betracht zu ziehen.

Meist enden solche Upgrades in Grossprojekten und generieren grosse Aufwände. Auch dieser Fakt spricht meist gegen ein Upgrade der Lösung. Die grösseren Aufwände sind meist komplexen technischen, kundenspezifischen Anpassungen geschuldet, die im Rahmen des Upgradeprojektes analysiert und möglicherweise umgebaut werden müssen. Solche Punkte stellen nicht nur Herausforderungen, sondern auch Chancen dar, sich wieder dem Produktstandard anzunähern. Denn gerade die wachsende Anzahl an Cloud-Lösungen zeigt, dass es für die Unternehmen durchaus möglich ist, die Prozesse an eine Applikation an zugleich, da im Cloudumfeld meist mit geschlossenen SaaS Lösungen gearbeitet wird, welche nur wenig Customizing erlauben.

Verjüngung durch Entflechtung: Viele Legacy IAM Systeme haben sich in den letzten Jahren zu komplexen Systemen entwickelt, die in den meisten Fällen viel mehr machen, als der klassische IAM Kontext umfasst. So kann es sinnvoll sein, die aktuellen Funktionalitäten zu prüfen und kritisch zu hinterfragen, denn in vielen Fällen ist nicht die IAM Lösung selbst Legacy, sondern die Handlungsunfähigkeit in der Entwicklung hat die Lösung zur Legacy-Lösung gemacht. In sehr vielen Unternehmen ist ein Upgrade oder ein grösserer Umbau erst nach langfristiger Planung möglich, da viele Stakeholder mit einbezogen werden müssen. Dies führt dazu, dass Neuerungen, Upgrades oder Weiterentwicklungen nicht zeitnah umgesetzt werden können.

Durch eine solche Entflechtung kann die Handlungsunfähigkeit reduziert und die angestrebten Verjüngungskuren können eingeleitet werden.

Ablösung als Chance: Eine Ablösung wird in den wenigsten Fällen in Betracht gezogen, da meist die Investitionen in die bestehende IAM Lösung kaum noch beziffert werden können. Dabei werden die Chancen einer solchen Ablösung meist zu wenig beleuchtet. Fangen wir bei der Anzahl an Anpassungen der Geschäftsprozesse während der Laufzeit des IAM Systems an. Wurden diese alle im IAM System sauber angepasst? Weiter gibt es sicher diverse Designüberlegungen, wie z. B. Arbeitsverhältnisse, die nicht unterstützt werden oder Ownership Prozesse, welche nicht sauber funktionieren. Diese Punkte können in einer bestehenden IAM Lösung mit etablierten Prozessen kaum oder nur sehr teuer gelöst werden. Auch hier besteht eine grosse Chance, die Produktstandards zu übernehmen, wo es möglich ist. Somit kann gestärkt und mit einer höheren Betriebsstabilität dem Legacy IAM Dilemma entkommen werden.

Sprechen Sie uns an!

Sie stehen genau vor der Frage, ob jetzt der richtige Zeitpunkt wäre und welche Möglichkeiten massgeschneidert auf Ihr Unternehmen ein IAM Legacy bietet. Unsere Experten stehen Ihnen gerne zur Verfügung - von der Beratung, über die Umsetzung bis zum weiteren Betrieb.
Wir sind für Sie da!

Autor

Mario Bader

Senior Technical Consultant / Solution ArchitectIPG Information Process Group AGKontakt