Die Winterthurer IPG ist seit über 10 Jahren auf Identity & Access Management (IAM) fokussiert. Gerade im Zeitalter des Cloud Computings und der fortschreitenden mobilen Kommunikation wird die Verwaltung von Benutzer- und Zugriffsberechtigungen zusehends komplexer und wichtiger. Im Gespräch mit ICTkommunikation erläutert IPG-CEO Marco Rohrer, welches heute die grossen Knackpunkte von IAM sind und wohin die Zukunftsreise hier geht, Stichwort etwa „Identity Management as a Service“. Das Gespräch führte Karlheinz Pichler.
Die IPG beschäftigt sich mit der Verwaltung von Benutzerdaten und Zugriffsrechten, im Fachjargon ausgedrückt also mit Identity und Access Management (IAM). Was fällt alles in diesen Bereich, was ist das Kernbusiness von IPG konkret?
Marco Rohrer: Die Wertschöpfung der Unternehmen ist heute sehr stark von den IT-Systemen und von Applikationen abhängig. Sie ermöglichen den Zugriff auf Daten und Informationen und unterstützen die Business-Prozesse. Das Identity & Access Management ist als unterstützenden Prozess zu verstehen. Irgendwo im Unternehmen sind Menschen, zentral oder dezentral, damit beschäftigt, den Mitarbeitern den Zugriff auf diese IT-Ressourcen zu gewähren. Dabei ist zu beachten, dass jeder Mitarbeiter die Zugriffe und Berechtigungen erhält, die er für die Erfüllung seiner Tätigkeiten benötigt – nicht weniger, aber auch nicht mehr. Die IPG hat sich darauf konzentriert, die Unternehmen in der Planung, Konzeption und Einführung von IAM-Systemen zu unterstützen. Da geht es nicht nur um die Einführung von IAM-Software. Vielmehr geht es um den Brückenbau zwischen Organisation, Prozess und Technologie. Wir helfen, die benötigten, administrativen Prozesse ideal zu gestalten, daraus fachliche Anforderungen an ein IAM-System zu beschreiben, fachliche und technische Konzeptionen zu erstellen und natürlich auch, die für das Unternehmen geeignete Identity & Access Management Software zu evaluieren und zu implementieren. Heute arbeiten wir als Experten, Projektleiter, Architekten sowie als Integrationsspezialisten in den IAM-Projekten. Zum Portfolio der IPG gehören die Disziplinen Identity Management & Provisioning (IDM), Role Based Access Control (RBAC), Access Management & Single Sign On (AM), das Management von privilegierten Accounts (PAM) und das Thema Identity Management as a Service (IAMaaS).
IPG feierte 2011 zehn Jahre. Was hat sich bezüglich der IAM-Anforderungen in diesen Jahren geändert? Und was macht IPG, um ständig am Puls der Zeit zu sein?
M. R.: Als wir mit unserem Geschäft begonnen haben, war das Thema IAM nur in den Köpfen der IT-Leiter ganz grosser Unternehmen präsent. Sie erhofften sich mit den Lösungen eine Reduktion des Verwaltungsaufwands in der Benutzeradministration sowie eine höhere Qualität. Grundsätzlich war die IT der Treiber für ein Projekt, und allgemein war man der Meinung, dass es keinen Sinn macht, Lösungen für weniger als eintausend Mitarbeiter zu implementieren. Heute steht Access Governance im Vordergrund. Das Management des Unternehmens will und muss wissen, wer, wann, weshalb auf Daten zugreifen kann. Gesetze und Richtlinien, z.B. SOX oder das IKS fordern die periodische Überprüfung der Zugriffsrechte. Damit das funktioniert, braucht es ein IAM zur zentralen Verwaltung der Benutzerdaten und Zugriffsrechten. Nur so kann eruiert werden, was der Soll-Zustand (wer darf was machen) ist, und wo sich der Ist-Zustand davon unterscheidet.
Heute will sich ein Unternehmen gegen Bedrohungen schützen, z.B. gegen Datendiebstahl. Die Unternehmen sind generell sensibler geworden, dazu haben wir dank neuen Technologien auch mehr Spielraum in der Lösungsgestaltung, was insbesondere den Projekten mit kleineren Budgets entgegen kommt. So gehören schon Unternehmen mit 250 Mitarbeitern zu unseren Kunden. Sie wissen, dass wir ihnen genau das Mass an IAM konzipieren und implementieren, welches im Verhältnis zu deren Anforderungen und Budgets steht. Da wir immer schon sehr stark die Business-Seite berücksichtigt haben, integrierten wir schon früh Lösungen, die für kleinere Organisationen ideal waren. So waren wir bald im Vorsprung gegenüber anderen Mitbewerbern. Diesen wollen wir uns in Zukunft auch erhalten. So zum Beispiel mit der neuen Lösung „IAMnow“.
Information und die Informationssicherheit zählen zu den sensibelsten Bereichen in einem Unternehmen. Mit Ihrem Lösungsportfolio stossen Sie gleichsam in das Zentralnervensystem einer Firma vor. Ihre Kunden müssen also grosses Vertrauen in die IPG haben. Wie erlangen und sichern Sie dieses Vertrauen?
M. R.: Durch begeisterte Kunden, welche sich aktiv als Referenz einbringen. Sie sind ein wichtiges und wertvolles Gut. Wir können schon von uns selbst behaupten, dass wir die Besten sind – (lacht). Aber nun ernsthaft. IPG hat branchenübergreifend Kunden und Referenzen, die persönlich bestätigen, dass sie uns vertrauen, wir die Expertise haben und die geforderten Leistungen in der erwarteten Qualität liefern. IPG, das sind Menschen; seriöse, vertrauenswürdige Personen mit einer umfassenden Expertise. Das ist letztendlich entscheidend. Wir müssen ein Gefühl der Sicherheit vermitteln können; über die Menschen und über unser Schaffen. Wir präsentieren schon früh im Verkaufsprozess das Team, welches das Projekt umsetzt. Der viel zitierte, erste Eindruck ist natürlich wichtig. Diesen gilt es, mit echten, bedürfnisorientierten Lösungsansätzen zu bestätigen. Sie haben Recht. IAM stellt die Identität des Kunden ins Zentrum. Das tun wir auch. Dieser sehr sensible Bereich der Informations-Sicherheit müssen wir sorgfältig angehen und mit dem Kunden Schritt für Schritt seine eigene Lösung entwickeln.
Geschäftsprozesse und IT wachsen stärker zusammen. Entsprechend erhält IAM in Bezug auf die innere und äussere Sicherheit eine immer grössere Bedeutung. Inwieweit beeinflusst diese Verschmelzung der Prozesse mit der Unternehmens-IT Ihre Arbeit?
M. R.: Genau, diese Verbindung, die Sie ansprechen, die gefährdet zum einen die Informationssicherheit, erhöht aber mit guten, cleveren Lösungen diese auch. Mensch, Organisation und Technologie verschmelzen. Daraus folgt das Bewusstsein, dass Benutzer und Berechtigungen im Unternehmen besser gemanaged werden müssen. So entstehen vielfältigere Anforderungen durch die unterschiedlichen Interessen und Funktionen, die involviert sind. Die Prozesse für die Verwaltung wie auch für die periodische Kontrolle werden komplexer und es sind mehr Leistungserbringer in die Prozesse involviert. Da ist es nicht einfacher, eine Lösung zu implementieren, die allen Anforderungen und Stakeholdern gerecht wird. Aber, das ist ja genau unser Fokus; die Verbindung von Organisation, Prozessen, Menschen und Funktionen. Weiter wird unsere Arbeit durch die heutigen IAM-Software-Lösungen beeinflusst. Sie sind sehr reif, bieten aber so die Gefahr, das Konzeption und Expertisen vermeintlich aussen vor gelassen werden könnten, was natürlich zu schrecklichen Projektzuständen führt. Da ist dann wieder die Erfahrung von über zehn Jahren IAM-Praxis gefragt.
Im Rahmen einer Studie kritisierten die Analysten von Gartner, dass die Mehrzahl der Unternehmen beim Identitäts- und Zugangsmanagement zu sehr auf die Technologie fixiert sei. IAM über die angebotenen Produkte zu definieren, sei ein völlig falscher Ansatz. Die Marktauguren empfehlen, das Thema als unternehmensweiten Prozess zu begreifen. Wie steht IPG zu dieser Thematik?
M. R.: IPG ist seit der Gründung ein Verfechter dieser Meinung. IAM ist in erster Linie ein Prozess und die IT hat ihn bestmöglich zu unterstützen. Mit diesem Verständnis durften wir bei sehr vielen Kunden als Brückenbauer zwischen Organisation und IT wertvolle Dienste leisten. Das hat uns vom eher technologiefokussierten Mitbewerb abheben können. Daraus hat sich unsere marktführende Stellung im Bereich Role Based Access Control (RBAC) entwickelt. Schon in 2002 haben wir bei unseren Kunden systemübergreifende Business-Rollenkonzepte entwickelt, die Rollen modelliert und die zugehörigen Prozesse gestaltet und umgesetzt – zusammen mit der Implementierung einer unterstützenden IAM-Software.
Früher ging es bei IAM in erster Linie wohl nur um das Stopfen von Löchern. Mittlerweile hängen an IAM auch Risiko-, Compliance- und Transparenzfragen. Stichwort Access Governance. Wie wirken sich die steigenden gesetzlichen und regulatorischen Anforderungen aus Ihrer Sicht auf die IAM-Strategie der Unternehmen aus? Wie kann IPG diesbezüglich den Unternehmen unter die Arme greifen? Kann IAM-Governance sozusagen als Lebenszyklus etabliert werden?
M. R.: Früher waren die Themen zur Automatisierung der Prozesse, also Reduktion von Administrations-Aufwand und User-Self-Services wie Passwort-Management im Zentrum. Mit Access Governance tritt vermehrt die Frage nach der Verantwortlichkeit und der Revisionssicherheit in den Fokus des IAM. Die Linien-Manager müssen die Verantwortung fürs Erteilen von Berechtigungen tragen. Das bedeutet, diese müssen sprechend sein, für das Business also verständlich, nicht „kryptisch“ und nur für den Techniker interpretierbar. Die Vergabeprozesse müssen transparent und nachvollziehbar sein. Hier schätzen die Kunden unsere Stärken. Nur wer IAM-Richtlinien formuliert, klare Soll-Prozesse definiert und die Berechtigungsvergabe in Form von Rollen vereinfacht, hat letztendlich die Chance, die Anforderungen der Compliance zu erfüllen. Und mit diesen Themen beschäftigen wir uns nicht erst seit der Begriffsfindung „Access Governance“. Und ja, Access Governance ist ein Life Cycle. Es muss dauernd aktiv und reaktiv sichergestellt werden, dass die tatsächlich erteilten Zugriffsrechte auch mit den Aufgaben des Mitarbeiters in Zusammenhang stehen und keine Konflikte wie zum Beispiel nicht einhalten der Funktionstrennung auftreten.
Die derzeitigen technologischen Umwälzungen, denken wir nur etwa an Cloud- Computing, die Bedeutung der Sozialen Netze und den Boom von Smartphones, wirken nachhaltig auch auf die Unternehmensprozesse. Was bedeuten solche Veränderungen aus der Sicht eines IAM-Lösungsanbieters?
M. R.: Es gibt bereits Ansätze für das Identity & Access Management, um die Möglichkeiten der Cloud einerseits für die Lösungskonzepte zu nutzen, andererseits um Unternehmen auch in einer verteilten Infrastruktur ein IAM zu ermöglichen. Dabei stellt Federation Identity Management ein Teil des Ganzen dar. IPG führt derzeit eine Studie durch. Diese hat das Ziel, mehr darüber zu erfahren, was der Impact auf die Prozesse, die Schnittstellenkonzepte und die Lösungsintegration ist; jedoch klar fokussiert darauf, was die Unternehmen tatsächlich auch tun resp. tun wollen. Sicher ist, dass der Identität noch mehr Bedeutung zukommt und die Identity Provider als vertrauliche Quellen gelten müssen.
Auf der Kundenliste von IPG finden sich klingende Namen wie etwa Swisscom, Amag, Raiffeisen oder Helsana. Das sind lauter Grossfirmen. Spielt IAM auch im KMU-Bereich eine entsprechende Rolle? Worin liegen die Unterschiede zwischen dem IAM-Einsatz bei grossen Betrieben und KMUs?
M. R.: Wir bedienen auch kleinere Firmen, zu anderen Anforderungen. Da stehen vermehrt unsere Prozess-Experten im Einsatz. Sie helfen in Fragen wie der optimalen Gestaltung von Benutzer- und Berechtigungsmanagement-Prozessen oder der periodischen Berechtigungsprüfung. Für kleinere Firmen ist es oft ausreichend, die Ist-Rechte aus den wichtigsten Systemen zu extrahieren, in verständlichen Reports aufzubereiten und dann zu analysieren. Fehl-Berechtigungen werden dann sofort korrigiert. Wir machen so auf „einfachste“ Art ein Identity & Access Management und verzichten auf die kostspielige Integration von Software. Nicht dass wir keine solche brauchen würden. Hier nutzt der Kunde für einzelne Aktivitäten das „On Demand“-Angebot. Er zahlt nur, wenn er etwas braucht. Da aber auch die KMU`s zunehmend eine integrierte IAM-Suite einsetzen wollen, beschäftigt sich IPG mit Individual-Standardisierungsmöglichkeiten. Mit IAMnow haben wir ein vollständiges Identity & Access Management System, das auf einem Miet-Kauf-Modell basiert und für die Standardanwendungen Active Directory, SharePoint, Exchange sowie für ein LDAP innerhalb schnellster Zeit konzipiert und produktiv gesetzt werden kann. Innovation pur!
Als Consulting- und Integrationspartner arbeitet IPG mit Herstellern von IAM-Software wie Quest, Microsoft, Beta Systems, CA oder BMC Software. Wie präferenziert IPG diese unterschiedlichen Hersteller. Entscheiden Sie jeweils projekt- oder kundenspezifisch, mit welcher Lösung Sie vorgehen? Können Sie hier völlig autonom vorgehen?
M. R.: Es nicht unsere Aufgabe, einen Hersteller zu bevorzugen. Das wäre auch entgegen unserem Verständnis, dass die Technologie dem Prozess resp. den fachlichen Anforderungen zu folgen hat. Es liegt auf der Hand, dass der Lösungsentscheid sehr kundenspezifisch erfolgen muss. Wir sind Experten für die Planung, Konzeption und Realisierung von IAM-Lösungen. Unsere Kunden erwarten von uns oft, dass wir ihnen sagen, welche Lösung für sie passt. Es gibt nicht immer eine grosse Evaluation mit Ausschreibung. Oft werden zwei, drei Produkte verglichen, die wir vorschlagen, weil wir sie gut kennen. Die Produkte in unserem Portfolio erfüllen jede noch erdenkliche Funktion des Identity & Access Managements. Heute haben wir unseren Fokus auf den Quest One Identity Manager, den Forfront Identity Manager, den CA Identity Manager, Control-SA von BMC und das Beta Produkt. Es kommt auch darauf an, welche Disziplin wir abdecken müssen (RBAC, IDM, Access Management). Damit können wir die Neukundenprojekte optimal abdecken und vernachlässigen dabei die Bestandeskunden nicht. Wir sind aber laufend dabei, uns auf verändernde Marktbedürfnisse und Angebote anzupassen. Bhold ist beispielsweise von Microsoft gekauft worden, damit wir die Lücke im Portfolio füllen können, sind wir nun eine Partnerschaft mit Crossideas eingegangen. Wenn ein Kunde aber eine Präferenz hat, wo wir kein vertieftes Produkt-Know-how haben, verstärken wir uns mit Partnern.
Wie Sie vor kurzem in einer Aussendung betonten, sehen Sie IPG als eine Art IT-Security-Brückenbauer zwischen der IT und den Organisationseinheiten eines Unternehmens. Wo sehen Sie aus der Perspektive des Brückenbauers mittelfristig die grössten Herausforderungen auf sich zukommen? Und welchen Stellenwert kommt darin dem ebenfalls von Ihnen propagierten „IAM as a Service“ zu?
M. R.: Das IAM von heute ist sehr dynamisch. Es muss sich laufend auf neue Rahmenbedingungen anpassen. Die Organisation verändert sich laufend und muss im IAM abgebildet werden. Rollen müssen angepasst, Regeln überprüft und Berechtigungen nach deren Risikoeinstufung in einer gewissen Periodizität geprüft werden. All diese fachlichen Anforderungen müssen vom Betreiber der IAM-Lösung umgesetzt werden. Auf der anderen Seite entwickeln sich die Systeme weiter, es werden neue Applikationen eingeführt, alte fallen weg, usw. IAM ist lebendig und erfordert ein entsprechend fundiertes und intensives Management. Wir möchten auch künftig der Partner für unsere Kunden sein, der hilft, die fachliche und die technische Entwicklung in Einklang zu halten, damit jederzeit die höchst mögliche Sicherheit für die Benutzerdaten und Zugriffsrechte gewährleistet ist. IAM as a Service sehe ich heute als Versprechen der IPG. Wir können als Partner den vollen Service bieten und, wenn dies ein Unternehmen wünscht, auch den Betrieb der Lösungen übernehmen. Da stehen wir aber noch am Anfang. Für ein echtes Application-Service-Modell habe ich aktuell viel Respekt und einige offene Fragen zur Umsetzbarkeit. Ich glaube, hier brauchen wir noch etwas Zeit um herauszufinden, wohin sich die IAM-Technologie als Service entwickelt und wie sie in Konzepte integriert und angeboten werden kann.
ZUR PERSON
Marco Rohrer ist Experte für Identity & Access Management und Geschäftsleiter der in Winterthur angesiedelten IPG AG. Er macht Beratungen und Expertisen zum Thema Identity & Access Management, insbesondere Strategie-Entwicklungen zur Umsetzung von Projekten für Identity & Access Management und Organisationsentwicklungen für den Aufbau von Rollenmanagement-Organisationen und -Prozessen.
Als Mitgründer der IPG AG ist er seit 2001 im Bereich Security, mit Spezialisierung auf Identity und Access Management / Role Based Access Control, tätig. Vor der Ernennung zum CEO war Marco Rohrer in verschiedenen Positionen bei IPG tätig, zuerst als Projektleiter für Identity & Access Management Projekte, dann als Leiter für den Bereich IAM und zuletzt als Leiter Verkauf.
Der 1978 geborene IPG-CEO ist Eidg. Dipl. Betriebsökonom FH mit der Studienrichtung Enterpreneurship sowie Vertiefungsstudien in Organisation und Marketing. Zudem hat sich Rohrer stetig im Bereich Verkauf, Marketing und Informatik weitergebildet.
Als Experte für IAM ist Rohrer zudem ein bekannter Referent und hat auch schon als Dozent an der Hochschule Rapperswil im Lehrgang Identity & Access Management das Spezialgebiet Role Based Access Control unterrichtet.
Der IPG-CEO ist verheiratet und hat zwei Söhne. Die Freizeit verbringt er gerne in der Natur mit vielfältigen Familien-/Outdoor Aktivitäten. Er ist begeisterter Koch und im Winter leidenschaftlicher Snowboard- und Skifahrer.
