In der heutigen Zeit ist oftmals von der “Informationsflut” die Rede, die immer mehr über uns hereinbricht. War in früheren Zeiten Information noch ein knappes Gut, dessen größtes Problem die Beschaffung war (ihre Verwendung, sollte sie einmal in Besitz sein, jedoch klar), so hat sich diese Situation in unserer heutigen Informationsgesellschaft genau ins Gegenteil verkehrt:
Informationen sind überall, zu (fast) jedem beliebigen Thema, in großer Zahl und leicht erhältlich.
Nun ist es ist die Verarbeitung, die uns vor Probleme stellt. Dies ist auch dadurch bedingt, daß es heute i.d.R. eine Informationsmenge zu sichten gilt, die für Menschen nicht mehr überschaubar ist. Der Einsatz computergestützter Mittel ist daher oftmals der einzige Ausweg.
Dies bedeutet daher, mithilfe statistischer Methoden eine große Menge von zur Verfügung stehenden Informationen nach zusammenhängenden Strukturen zu durchsuchen (etwa nach Person, Sache oder Ereignis), und daraus automatisiert Wissen abzuleiten.
Eine solche zusammenhängende Struktur nennt man ein Profil. Je nachdem, ob das durch das Profil repräsentierte Subjekt eine Person oder eine Gruppe ist kann man zudem weiter verfeinern in persönliche Profile oder Gruppenprofile.
Profiling kann somit auch als “der Prozess der Erstellung oder Anwendung eines Profils einer Gruppe oder einer Person” bezeichnet werden (freie Übersetzung nach FIDIS ).
Profiling ist zudem mit einem Lernprozess verbunden. Die bloße Anwendung eines Satzes von Regeln ist nicht ausreichend. Deswegen sind aus Profiling gewonnene Erkenntnisse auch immer kritisch zu hinterfragen und sollten nicht automatisch als korrekt angesehen werden. Ihre Qualität ist außerdem auch abhängig von der Menge an Informationen, die zur Analyse zur Verfügung stehen: Je größer die zugrundeliegende Datenbasis, desto besser wird in der Regel auch das Ergebnis sein (auch wenn man das natürlich nicht garantieren kann).
Profiling ist in der heutigen Zeit sehr verbreitet. Beispiele hierfür findet man z.B. auf Shopping-Seiten (”Andere Kunden, die dieses Produkt gekauft haben, kauften auch dieses andere Produkt…”), bei Rabattsystemen, die Kunden im Austausch für persönliche Daten bestimmte Vergünstigungen anbieten (Beispiel “Payback”) oder auch bei Kreditkartenfirmen, die Profiling einsetzen, um möglichen Kartenmißbrauch aufzuspüren. Einige der neuen Dienste im Web nutzen Profiling sogar als zentralen Aspekt ihres Angebots, etwa der Musikdienst last.fm. Dieser bietet eine Art persönliche Radiostation an, die nur Titel spielen soll, die einem auch gefallen. Hierzu werden die musikalischen Vorlieben eines Benutzers anhand seiner in der Vergangenheit häufig gespielten Lieder ermittelt, um dann andere Benutzer zu finden, die über einen ähnlichen Musikgeschmack verfügen. Die Titel, die ihn deren persönlicher Abspielliste stehen werden dann auch für die eigene persönliche Radiostation übernommen.
Man kann sich nun leicht vorstellen, warum Profiling ein sehr sensibles Thema ist, und auch eine hohe datenschutzrechtliche Relevanz besitzt:
- Man arbeitet in der Regel mit einem sehr großen Satz an Daten (heutige Data Warehouses erreichen schon mal mehrere 100 Terabytes)
- Diese Daten lassen sich alle auf bestimmte Personen oder Gruppen von Personen beziehen
- Man versucht, durch geeignete Verknüpfung dieser Daten neue Erkenntnisse zu gewinnen, aber
- Diese Erkenntnisse müssen nicht korrekt sein
Beim Einsatz von Profiling ergeben sich daher eine Reihe von Risiken.
Welche Risiken das sind, und wie man am besten mit ihnen umgeht, wird jedoch Thema von Teil 2 dieses Artikels sein.
In meinem letzten Post habe ich bereits über einige Vorteile gesprochen, die sich durch den Einsatz eines IDM-Systems erreichen lassen.
Dies ist aber natürlich noch nicht das Ende der Fahnenstange. Richtig eingesetzt, ergeben sich noch weitere Vorteile:
- Höhere Produktivität bei der Verwaltung der Nutzerkonten: Bedingt durch den höheren Automatisierungsgrad lassen sich mit weniger Aufwand mehr Konten verwalten. Die Verwaltungskosten pro Account sinken.
- Da ein Großteil der Arbeit, die bisher von den Administratoren manuell verrichtet wurde, nun durch das IDM-System übernommen wird, bekommen diese nun endlich den Freiraum, um die im System vergebenen Berechtigungen durchzugehen und auf den aktuellen Stand zu bringen. Ein Problem manueller Rechteverwaltung ist nämlich gerade auch die Tatsache, daß Berechtigungen zwar bei Bedarf mehr oder minder schnell erteilt, jedoch in der Regel nie mehr entzogen werden. Dadurch kommt es zum vielen Leuten bekannten Phänomen des Rechtesammelns (besonders “gefährlich” sind hier v.a. Personen, die oft Abteilungen und Aufgaben wechseln, z.B. gerade auch Praktikanten!). Dies verletzt jedoch das “Least Priviledge”-Prinzip, das besagt, daß jeder nur über die Berechtigungen verfügen sollte, die er zur Ausführung seiner ihm übertragenen Aufgaben minimal beötigt, und das Grundlage einer jeden Rechtevergabe sein sollte. Die Arbeit der Administratoren ist daher auch nach einer IDM-Einführung noch wichtig. Keinesfalls sollte eine solche Einführung zum Anlass genommen werden, personelle Kürzungen vorzunehmen. Hiermit lässt sich vielleicht erreichen, daß der Status Quo zu geringeren Kosten aufrecht erhalten werden kann. Da dieser jedoch meistens nicht von einer besonders hohen Qualität gekennzeichnet ist sollte stattdessen besser die Alternative “steigende Qualität bei gleichen Kosten” realisiert werden.
- Bessere Einhaltung von gesetzlichen Vorgaben, dadurch Vermeidung möglicher Sanktionen (neudeutsch „Compliance“): Gerade im Bereich der IT-Sicherheit gibt es heute eine Vielzahl von Gesetzen und Regeln, denen sich Organisationen unterwerfen müssen (z.B. BGB, GmbH-Gesetz, SOX, Basel II etc.). In einigen Fällen beinhalten diese Gesetze auch (teils regelmäßige) Nachweispflichten, die sich zumeist auf die Beantwortung der Frage reduzieren lassen, wer zu welcher Zeit was gemacht hat. Die Betonung liegt in diesem Falle auf „Wer“. Eine Antwort auf diese Frage kann in Zeiten zunehmend automatisierter Geschäftsprozesse manuell nur schwer erfüllt werden und wäre zumeist mit einem unrentabel hohen Aufwand verbunden. Eine mögliche Lösung besteht daher in der Einführung eines IDM-Systems. Tatsächlich hat sich in den letzten Jahren gezeigt, dass gerade Compliance eine der Haupttriebfedern für die Einführung von IDM-Systemen war.
- Effiziente Unterstützung Service-orientierter Architekturen (SOAs): In den letzten Jahren sind viele Unternehmen dazu übergegangen, neue Prozesse und Dienstleistungen auf Basis von serviceorientierten Architekturen anzubieten. Diese zeichnen sich in der Regel durch eine eher lose Kopplung verschiedener Systeme aus, die zudem in vielen Fällen noch über eigene Benutzer- und Berechtigungsverwaltung verfügen (und die schlimmstenfalls auch noch alle komplett unterschiedlich realisiert sind). Dies kann bei Einbindung in eine SOA zu hohen Aufwänden führen – und bei einem weiteren Ausbau der IT-Landschaft sogar gänzlich unbeherrschbar werden. Auch die Erreichung von Compliance wird auf diese Weise, d.h. ohne ein einheitliches Vorgehen beim Management von Identitäten, Rollen, Berechtigungen und Auditierung, nur schwer erreichbar sein. Man kann deswegen ohne weiteres sagen, dass Service-orientierte Architekturen ohne Identitätsmanagement nur sehr schwer zu verwirklichen sind, und eine sorgfältig geplante “Identitätsschicht” in jede SOA gehört.
Man darf hier jedoch nicht den Fehler machen und IDM als ein einzelnes Produkt sehen, das einmal installiert alle Probleme in diesem Bereich löst (obwohl einem die Softwarehersteller das immer gerne glauben machen wollen). Stattdessen handelt es sich eher um eine Art Technologierahmenwerk, das vor einem tatsächlichen Einsatz immer erst auf das jeweilige Unternehmen angepasst werden muß.
Es gilt daher immer abzuwägen, ab welcher Schwelle sich der Einsatz eines IDM-Systems für ein Unternehmen lohnt, bzw. ab wann so ein Einsatz sogar unverzichtbar ist.
Für diese Berechnung wurden verschiedene Kennzahlensysteme entwickelt, deren Vorstellung jedoch hier den Rahmen sprengen würde. An dieser Stelle möchte ich daher gerne auf einen der nächsten Artikel verweisen.
Soweit die erste Einführung in das Thema Account Management. Der nächste Artikel wird sich dann um das Thema Föderierung drehen. Auch das ist ein sehr spannendes Themengebiet, das gerade dabei ist so richtig in Fahrt zu kommen, und das das Zeug dazu hat, zu einem der wichtigsten Treiber für IDM-Projekte zu werden.
BFI
Grundlagen des Account Management
16.05.08
In meinem letzten Post (nachzulesen hier) habe ich kurz die Klassifikation von IdM-Systemen nach dem FIDIS-Modell vorgestellt.
Darauf aufbauend möchte ich nun gerne etwas über die Grundlagen des Typ 1-Identitätsmanagement erzählen : Was versteht man darunter, und was sind hierbei die Herausforderungen und Schwierigkeiten?
Beim nächsten Mal werde ich dann darauf eing ehen, warum es sich dennoch lohnt, und in einigen Fällen sogar unerläßlich ist.
Basis dieses Artikels ist im übrigen ein Foliensatz über einen Vortrag, den ich letztes Jahr an einem “Blue Friday” der InterFace AG gehalten habe. Wenn jemand an diesem Foliensatz interessiert ist, oder natürlich auch daran, daß ich diesen Vortrag bei einer anderen Gelegenheit nochmal halte, so lade ich ihn gerne ein, sich bei mir zu melden ( unter bernhard.findeiss (at) interface-ag.de).
Wie bereits im letzten Post erwähnt, kann Account Management definiert werden als die konsistente Verwaltung von Identitäten und deren Zugriff auf IT-Ressourcen eines Unternehmens über die gesamte Dauer ihres Lebenszyklus hinweg.
Dies beinhaltet u.a.:
- Personen: Interne sowie externe Mitarbeiter, aber auch technische Objekte, soweit sie Zugang zu Ressourcen benötigen (etwa Drucker, die automatisiert EMails verschicken können etc.).
- Speicherung von identitätsbezogenen Daten (Zulieferung zumeist aus Personalsystemen)
- Weitergabe von Daten an Zielsysteme, z.B. um Benutzerkonten einzurichten, Berechtigungen zuzuweisen bzw. zu entziehen, bzw. ganz allgemein zur Synchronisation von Daten zwischen IdM-System und Zielsystem. Die Zahl und die Art der anzubindenden Zielsysteme trägt im Übrigen maßgeblich zur Komplexität von IdM-Projekten bei.
- Unterstützung von Workflows, die im Unternehmensalltag benötigt werden, z.B. Anlage/Änderung/Löschung von Identitäten, Zuweisung/Entziehung von Ressourcen, Definition von Rollen etc.
Account Management ist für Unternehmen natürlich beileibe kein neues Thema, sondern wird in der Regel bereits genauso lange praktiziert, wie zugriffsgeschützte (IT-) Ressourcen vorhanden sind. Bisher wurde ein Großteil dieser Arbeit jedoch von einem Administrator “per Hand” erledigt, was natürlich mit sehr viel Aufwand verbunden ist, und auch eine höhere Fehlerrate beinhaltet, als wenn man dies automatisiert durch Anbindung an ein IdM-System macht.
Zudem hat man auch noch das Problem der Datensynchronisierung, da man natürlich auch hier sicherstellen muß, daß alle Systeme, zu denen eine Person Zugang haben soll, auf dem selben Satz von Identitätsdaten basieren. Diese sind aber nicht fest, sondern können sich im Laufe der Zeit ändern (etwa durch Heirat oder Umzug). Die Daten dann konsistent zu halten kann durchaus eine Herausforderung darstellen (z.B. Auflösung von Widersprüchen zwischen 2 Systemen).
Um dieses Problem zu lösen wurden in den 1990er-Jahren die ersten Verzeichnisdienste eingeführt. Diese sammeln alle personenbezogenen Daten und stellen sie über eine einheitliche Schnittstelle zur Verfügung (am bekanntesten dürfte hier LDAP sein). Diese Schnittstelle wird dann in Bezug auf die Stammdaten als “führend” definiert, sodass alle anderen Systeme sich damit abgleichen können.
Leider aber konnten auch hiermit nicht alle Probleme gelöst werden. Nicht alle relevanten Systeme unterstützen die Externalisierung von Identitätsdaten, bei manchen (z.B. Personalsystemen) kann dies aus verschiedenen Gründen sogar unerwünscht sein.
Mithilfe eines Identitätsmanagementsystems lässt sich jedoch auch diese Situation in den Griff kriegen:
Man erlaubt allen Systemen ihre Datenhoheit zu behalten, lediglich relevante Änderungen werden an das IdM-System weitergegeben. Dieses übernimmt daraufhin die Synchronisierung mit der restlichen Systemlandschaft. Auch auf diese Weise ist es möglich, die Konsistenz der Identitätsdaten über alle Systeme eines Unternehmens hinweg zu garantieren.
Dies ist einer der Vorteile der Einführung eines IdM-Systems. Über weitere Vorteile werde ich beim nächsten Mal schreiben.
Ganz herzlich begrüßen wir in unserer Runde Bernhard Findeiss, unseren Spezialisten im Bereich Identity Management (IdM)!
Hier sein erster Post bei IF-Blog:
Eines der Themen, die innerhalb der IT-Welt immer mehr in den Fokus der Öffentlichkeit rücken, ist das Thema “Identitätsmanagement”, bzw. “Identity Management” oder “IdM”, wie man heute auf neudeutsch gerne auch dazu sagt.
Was versteckt sich jedoch dahinter, und warum sollte jeder, der heute mit einem Computer arbeitet und sich im Internet bewegt, etwas darüber wissen?
Zuerst sollte man wissen, daß sich hinter dem Begriff “Identitätsmanagement” nicht ein einziges konsistentes Thema versteckt, sondern aus mehreren verschiedenen Themengebieten besteht, die auf dem ersten Blick nicht viel miteinander zu tun haben.
Diese Unterscheidung zu treffen ist in meinen Augen jedoch sehr wichtig um zu einer gemeinsamen Gesprächsgrundlage zu kommen, da viele der in diesem Bereich tätigen Personen sich nur auf jeweils ein Teilgebiet konzentrieren, am Ende des Tages jedoch alle von “Identitätsmanagement” sprechen (und so potentiell aneinander vorbei).
Eine solche Klassifizierung wurde z.B. im Rahmen des FIDIS-Projekts der EU vorgeschlagen (nachzulesen hier). Es definiert 3 verschiedene Kategorien, in die sich alle IdM-Systeme einordnen lassen:
Typ 1: Account Management
Dies ist die Art von Identitätsmanagement, die hauptsächlich von Unternehmen durchgeführt wird. Hierunter versteht man das Management des Lebenszyklus einer Identität im Unternehmen, vom Neueintritt nach der Einstellung, über Beförderungen/Degradierungen und Abteilungswechsel bis zu einem späteren Austritt. Ziel ist es, die Mitarbeiter des Unternehmens mit Zugriffsrechten auf genau die Ressourcen des Unternehmens auszustatten, die sie zur Ausführung ihrer Arbeit brauchen (etwa EMail, Internet, Dateizugriffsrechte etc.), aber auch Rechte zu entziehen, sollten diese Anforderungen zu einem späteren Zeitpunkt ändern.
Diese Art der Administration wird üblicherweise zentral von speziell dafür beauftragten Administratoren erledigt, nur in Ausnahmefällen vom Benutzer selbst. Der Fokus dieser Art von Identitätsmanagement liegt in der sicheren Identifizierung von Personen (”Authentifizierung”) und der anschließenden sicheren Zuweisung von Berechtigungen an diese Person (”Autorisierung”), weniger jedoch in der Aufrechterhaltung von Privatsphäre.
Typ 2: Profiling von Benutzerdaten durch eine Organisation
Typ 2-Identitätsmanagement beschäftigt sich damit, aus einer Menge von vorhandenen Daten über eine Person auf deren Verhalten und Vorlieben zu schließen. Ähnlich wie Typ 1 wird auch diese Art von Identitätsmanagement durch eine Organisation durchgeführt, genau wie auch hier der Fokus eher auf der sicheren Zuweisung der Profilinformationen zu einer Person liegt, als auf der Aufrechterhaltung von Privatsphäre.
Im Unterschied zu diesem steht jedoch bei Typ 2-IdM nicht der Zugang zu unternehmenseigenen Ressourcen im Vordergrund, sondern der Erkenntnisgewinn über eine Person (oder auch einer Gruppe von Personen) aus der Analyse der zur Verfügung stehenden Daten.
Als Grundlage für Profiling können öffentlich zugängliche Informationen aus dem Internet zum Einsatz kommen, die die meisten Personen im Laufe der Zeit hinterlassen, aber auch solche, die durch eigens für den Zweck der Datensammlung angelegte Systeme gewonnen werden.
Ein Beispiel für ein solches System ist z.B. das bei vielen Personen so beliebte Payback-Programm, mit dessen Hilfe mehr über unser Kaufverhalten herausgefunden werden soll. Auch Kreditkartenfirmen setzen Profiling ein, um so etwa Kartenmissbrauch aufzudecken, der sich in aller Regel durch ein abweichendes Nutzungsprofil auszeichnet.
Mittlerweile gibt es auch bereits spezielle Suchmaschinen, die öffentlich zugängliche Informationen aus dem Internet zu einem Profil über diese Person verknüpfen . Wer dies mal für sich selbst versuchen will, dem sei der Besuch der Seite www.yasni.de oder auch www.spock.com empfohlen, auch wenn letztere Seite sich hauptsächlich auf US-Bürger konzentriert.
Typ 3: Benutzergesteuertes kontextabhängiges Rollen- und Pseudonymmanagement
Hinter diesem etwas sperrigen Begriff versteckt sich die Art von Identitätsmanagement, die wir betreiben müssen, wenn wir die Spuren, die wir hinterlassen, wenn wir uns im Internet bewegen, bewusst steuern wollen, um z.B. ein späteres Profiling zu verhindern oder zumindest zu erschweren.
Das Hauptaugenmerk dieser Art von Identity Management liegt deswegen auf der Verwaltung persönlicher Daten, (üblicherweise Daten über einen selbst), und dem Schutz der (eigenen) Privatsphäre, z.B. indem man sich genau überlegt, auf welchen Internetseiten man welche Informationen hinterlässt.
Einem bewußten Typ-3-Identitätsmanagement wird in Zukunft noch wesentlich mehr Aufmerksamkeit zuteil werden als dies aktuell der Fall ist, kann sich aber auch heute schon lohnen, etwa wenn man beim nächsten Bewerbungsgespräch peinlichen Fragen über zu fortgeschrittener Stunde entstandenen und bei Youtube veröffentlichten Videos ausweichen will.
Mittlerweile gibt es sogar spezialisierte Unternehmen, die sich einzig und allein darum kümmern, solcherlei “Fehler” im Sinne ihrer Kunden zu korrigieren, und so das Profil der betreffenden Person in einem positivem Licht erscheinen zu lassen. Wenn man bedenkt, wie sorglos heute vor allem Jugendliche auf Seiten wie StudiVZ, Lokalisten usw. mit ihren persönlichen Daten umgehen, scheint dies ein Geschäftsmodell mit viel Potential für die Zukunft zu sein.
Soweit der kurze Überblick über die drei Aspekte des Themas Identitätsmanagement nach der FIDIS-Klassifikation.
Aufbauend auf diese Klassifizierung wollen wir in Zukunft in loser Folge weitere Artikel zu spannenden Themen in diesem Bereich veröffentlichen, etwa zu Identity Federation, kontext-basierter Authentifizierung oder SOA und IdM.
BFI
