Interview mit Univention-Chef Peter Ganten

Auf zentrales ID-Management Wert legen!

| Autor: Ludger Schmitz

Das Management der zugriffsberechtigten Anwender ist nur zentral zu bewältigen.
Das Management der zugriffsberechtigten Anwender ist nur zentral zu bewältigen. (Bild: gemeinfrei, geralt, Pixabay / CC0)

Organisationen nutzen ihre eigene IT plus Cloud-Services verschiedener Anbieter. Diese Vielfältigkeit macht die Verwaltung der Benutzerberechtigung zu einem Problem. Daher plädiert Peter Ganten für ein zentrales ID-Management, am besten mit Open Source.

Der letzte ´Univention Summit´ hatte nicht irgendetwas mit Open Source als Titel, sondern „Reclaim Your Identities“. Warum?

Peter Ganten: Bei den Anwendern geht der Trend zur Multi-Cloud, was zunächst naheliegend erscheint, sie allerdings bald vor eine Mammutaufgabe stellt. Die Anwender nutzen mehrere Inhouse- und Cloud-Services – und bei allen soll die IT für Sicherheit sorgen. Es steht einiges auf dem Spiel: Datensicherheit, Compliance mit dem Datenschutzrecht, Interoperabilität und Flexibilität der Security-Maßnahmen, letztlich die Zukunftssicherheit. Und dann sind wir bald wieder bei unserem angestammten Thema Open Source

Woraus entsteht denn die Aufgabe in der Praxis?

Peter Ganten: Dazu ein Beispiel: Die Mitarbeiter eines mittelständisches Unternehmen verwenden über mehrere Standorte oder auch vom Home Office und von unterwegs einen Anwendungsmix. ERP, eine Branchenlösung und Software für das technische Design on premises. Außerdem gibt es die Google G-Suite zur Kommunikation und Dateiablage, Salesforce für CRM, aus der Cloud Atlassian für das Projekt-Management und Github als Repository.

Hausintern mag es ein rollenbasiertes Zugangssystem mit einem Benutzernamen und einem Passwort pro Mitarbeiter geben. Aber auf der Cloud-Seite kommen vier weitere Zugänge hinzu. Die Verwaltung der Berechtigungen wird schnell unübersichtlich. Sobald ein Mitarbeiter das Unternehmen verlässt, sollten dessen sämtliche Rechte sofort deaktiviert werden, oder man hat ein Problem.

Gut, das ist Arbeit, aber machbar.

Peter Ganten: Es bindet einfach zu viele Ressourcen und ist eine Quelle von Fehlern. Man braucht ein zentrales Identity Management System, kurz IDM. Im Beispiel gibt es eins für Inhouse-Anwendungen. Für die Cloud braucht es auch eins, on premises oder als Identity Management as a Service. Nur so können die verantwortlichen Administratoren sicher Benutzerkonten samt den benötigten Applikationen und Services einrichten, ändern und deaktivieren.

Das IDM on premises vorzuhalten scheint von Vorteil zu sein, schließlich geht es um die Sicherheit des Unternehmens…

Peter Ganten auf dem Univention Summit 2018
Peter Ganten auf dem Univention Summit 2018 (Bild: Univention)

Peter Ganten: ...nur hat das einen Haken: Wenn keine Internet-Verbindung zu dem Server besteht, gibt es auch von unterwegs oder anderen Standorten keinen Zugang. Da braucht es also eine Replikation in der Cloud. Dann ist die Ausfallsicherheit hoch und für Backup gesorgt. Der Nachteil ist, dass jede Replikation auch weiteren Wartungsaufwand verursacht.

Das IDM also gleich in die Cloud verlegen?

Peter Ganten: Das ist auch nicht so einfach gemacht. Zunächst ist die Frage, ob das Cloud-IDM die verwendeten Cloud-Services unterstützt. Nutzt es aktuell gängige Standards wie SAML? Und die Zukunft: Zweifaktor-Authentifizierung ist gegenwärtig noch nicht sehr verbreitet, wird es aber werden. Und gar nicht möglich ist es, vorauszusagen, welche Cloud-Services in Zukunft auch noch integriert werden sollen.

Das ist noch nicht alles. Was wenn künftige gesetzliche Änderungen bestimmte Kontrollen erfordern, die der Cloud-IDM-Anbieter nicht unterstützt? Ein Wechsel zu einem anderen Anbieter wird teuer – oder arbeitsintensiv, wenn der Anbieter einen Export der Daten nicht zulässt. Die Cloud ist immer eine mögliche Falle für Abhängigkeiten von Anbietern.

Dürfen solche Daten überhaupt irgendwo in der Cloud liegen?

Peter Ganten: In jedem Fall muss man zunächst prüfen, ob eine IDM-Lösung den hierzulande gültigen Rechtsvorschriften und der europaweiten Datenschutz-Grundverordnung DSGVO entspricht. Schon aus diesem Grund kann die IDM-Lösung nur auf Servern – ob im eigenen Rechenzentrum oder bei einem Cloud-Anbieter – in diesem Rechtsraum laufen.

Welche Kriterien gibt es denn für Cloud-basierendes IDM?

Peter Ganten: Zunächst wären die vom Bundesamt für Sicherheit in der Informationstechnik aufgezählten Qualitätssiegel wie SaaS von Eurocloud, CSA STAR, TÜV Trust IT Voraussetzungen. Zweitens sollte das IDM-System auch on premises zu betreiben sein, um Veränderungen der Cloud-Konditionen vorzubeugen. Allerdings ist dabei gleich wieder zu beachten, ob ein Export der IDM-Daten und der Inport in die hausintern betriebene Instanz der gleichen Software überhaupt zulässig ist.

Welche Datenformate und Schnittstellen werden verwendet? Drittens ist zu prüfen, ob das System die Replikation von Verzeichnissen zwischen unterschiedlichen Cloud-Systemen zulässt. Unterstützt es Verzeichnisdienste wie LDAP oder Microsoft Active Directory?

Dieses Liste von Bedingungen und Fragen lässt vermuten, dass Anwender auf eine Menge Restriktionen acht geben müssen.

Peter Ganten: Ja, die Liste der zu bedenkenden Faktoren ist nicht komplett. Kostengünstige Cloud-Angebote gibt es nicht, weil Anbieter so nett sind. Wirkliche Unabhängigkeit gibt es nur mit Open-Source-Lösungen. Der Quellcode ist frei verfügbar, die Programme haben offene Schnittstellen nach herstellerunabhängigen Standards.

Die Anwender können sie an neue Anforderungen anpassen oder das machen lassen. Und last not least ermöglicht Open Source eine unabhängige Überprüfung der in der Software abgebildeten Prozesse. Das ist für Compliance-Anforderungen und im übrigen auch für die Sicherheitsnachweise bei Versicherungen enorm wichtig.

Das riecht aber nach mehr Arbeit für die Anwender.

Peter Ganten: Nicht unbedingt. Aber die Flexibilität von Open-Source-Software auszunutzen, um sie präzise an die eigenen Anforderungen abzustimmen, bringt entweder hausintern Mehraufwand, oder man verwendet vorgefertigte Produkte, die es auch als Open Source Software gibt, am besten in Kombination einem entsprechenden Dienstleister. Letztlich geht es darum, dass Open-Source-Lösungen zukunftssicherer sind. Die Entscheidung über Open Source ist also eine strategische.

* Das Interview führte Ludger Schmitz, freiberuflicher Journalist in Kelheim.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45234849 / Sicherheit)