Post on 18-Oct-2020
IPG-Gruppe | Winterthur – Bern – Berlin – Dresden – Konstanz – Wien T +41 52 245 04 74 | F +41 52 245 04 73 | info@ipg-group.com | www.ipg-group.com 1
FACHBERICHT
Zukunft IAM – Die Cloud
Was ändert sich fürs IAM?
Autor: Aristide Guldenschuh, Business Consultant, IPG Group
Lydia Kopecz, Business Consultant, IPG Group
Inhaltsverzeichnis
1 Einleitung .......................................................................................................................... 1
2 Grundlagen Identity & Access Management ...................................................................... 2
2.1.1 Identity Management ............................................................................................................... 2
2.1.2 Access Management ................................................................................................................. 2
2.1.3 Identity Governance und Administration (IGA) ........................................................................ 3
3 Grundlagen Cloud-Dienste ................................................................................................. 3
3.1.1 Cloud Modelle ........................................................................................................................... 4
3.1.2 Cloud Services ........................................................................................................................... 5
3.1.3 Exkurs: Federation .................................................................................................................... 5
4 Heutige Situation............................................................................................................... 6
5 Zukunftsbild ...................................................................................................................... 7
5.1.1 Zukunftsaussichten ................................................................................................................... 9
5.1.2 Cloud-Only Architektur ........................................................................................................... 10
6 Hybride Welt ................................................................................................................... 10
7 Fazit ................................................................................................................................ 11
8 Porträt ............................................................................................................................ 12
8.1 Aristide Guldenschuh ................................................................................................... 12
8.2 Lydia Kopecz ................................................................................................................ 12
8.3 IPG-Gruppe .................................................................................................................. 12
9 Wie unterstützt IPG ......................................................................................................... 12
10 Verwendete Quellen ....................................................................................................... 13
Kapitel: Einleitung 1
1 Einleitung
Während heute viele Identity & Access Management (IAM) Systeme noch On-Premises genutzt wer-
den, verschiebt sich der Trend immer mehr in Richtung Cloud Computing (Cloud). Bei On-Premises-
Software kauft oder mietet der Kunde die Software und betreibt diese im eigenen Rechenzentrum
(On-Premises) unter eigener Verantwortung. Es gibt auch die Möglichkeit, dass der Kunde die Soft-
ware auf gemieteten Servern eines Fremdrechenzentrums betreibt, jedoch läuft bei On-Premises die
Software auf keinen Fall auf der Hardware des Anbieters. Vorteile bei On-Premises-Software sind,
dass diese an ein bestimmtes Einsatzgebiet angepasst und eigenständig erweitert werden können.
Somit können kundenspezifische Anforderungen durch eine zentrale Software-Lösung abgedeckt
werden. Diese bedingt allerdings neben Betriebs- und Anschaffungskosten, Wartungsgebühren und
Kosten für die Fehlerbehebung einen weiteren Kostenaufwand für die laufende Software-Adaptie-
rung.
Unter Cloud hingegen versteht man die internetbasierte Bereitstellung von Speicherplatz, Rechen-
leistung oder Anwendungssoftware als Dienstleistung. Die Nutzung dieser Services erfolgt in aller
Regel über Programme auf den Clients sowie über den Webbrowser. Durch die Nutzung von Cloud
Computing eröffnen sich den Unternehmen viele Vorteile. Die Unternehmen zahlen einen Betrag,
um die gewünschten Services zu mieten. Dies spart Geld, da die Services nicht mehr im eigenen Re-
chenzentrum betrieben werden, auf allen Computern installiert und gewartet werden müssen. Zum
einen werden Kosten bei der Beschaffung von Soft- und Hardware gespart, zum anderen aber auch
bei den Mitarbeitern in der IT-Abteilung, da für bestimmte Tätigkeiten keine Spezialisten mehr im
Unternehmen selbst benötigt werden. Die Services werden meist vorkonfiguriert und die teure Im-
plementierung fällt weg. Zusätzlich bieten Cloud-Lösungen eine gute Skalierbarkeit. Dies ermöglicht
eine sehr schnelle Nutzung der gewünschten Services und bietet zugleich eine hohe Flexibilität, die
wiederum zu Wettbewerbsvorteilen führen kann. Ein Hauptargument gegen den Einsatz von Cloud
Computing ist nach wie vor die Datensicherheit und die Datenverfügbarkeit. Dazu kommt die, im
Gegensatz zu On-Premises-Lösungen, begrenzte Individualisierung und die Abhängigkeit vom Cloud-
Anbieter und Dienstleister. Diese Abhängigkeit zeigt sich zum Beispiel, wenn durch Updates ein Bug
in die Cloud-Infrastruktur oder genutzte Software gelangt. Diesen spürt man unmittelbar und kann
nur bedingt über Workarounds oder Forcierung des Bugfixings beim Cloudanbieter Einfluss nehmen.
Durch die überwiegenden Vorteile der Cloud lagern viele Unternehmen ihre Dienste in die Cloud aus.
Einige Unternehmen setzen sogar nur noch auf Cloud-Dienste. Bei vielen Unternehmen können je-
doch aus unterschiedlichsten Gründen nicht alle Dienste in die Cloud verschoben werden, sondern
müssen weiterhin On-Premises betrieben werden. Dadurch entstehen dort hybride Architekturen
mit einer Mischung aus Cloud- und On-Premises-Diensten.
Das heutige Identity & Access Management kann so nicht weiter betrieben werden, es ist nicht fit für
die Zukunft. Neue Herausforderungen entstehen, die anzugehen sind. Die IAM-Verantwortlichen
müssen sich bewusst werden, dass es grundlegende Überlegungen braucht, um IAM auch zukünftig
optimal einsetzen zu können.
Kapitel: Grundlagen Identity & Access Management 2
Ziel diese Berichtes ist es, einen Überblick über die aktuelle Situation von IAM und Cloud zu schaffen
und Anregungen zu liefern, wie sich IAM und das Umfeld aufgrund von vermehrten Cloud-Diensten
bereits verändert hat oder sich zukünftig verändern wird, denn eine einfache «Cloudisierung» der
bestehenden Systeme wird nicht zum Ziel führen, ein Umbau und Umdenken ist erforderlich.
2 Grundlagen Identity & Access Management
Identity & Access Management (IAM) beschreibt im Wesentlichen nichts anderes als die vollständige
Kontrolle über Benutzer und Berechtigungen. Diese Kontrolle erfolgt über alle Systeme und Applika-
tionen eines Unternehmens hinweg. Gartner beschreibt IAM folgendermassen:
«Identity and Access Management (IAM) is the security discipline that enables the right individuals
to access the right resources at the right times for the right reasons»
IAM wird oftmals auch mit dem Begriff Identity Governance und Administration (IGA) gleichgestellt.
Ein weiterer Ansatz ist zwischen Identity Management, Access Management und IGA zu differenzie-
ren. Dieser Ansatz wird folgend näher beschrieben.
Weitere Begriffe und Definitionen rund im Themengebiet Identity, Access und Governance finden
sich unter: https://www.ipg-group.com/de/ueber-uns/good-to-know/glossar
2.1.1 Identity Management
Als Identitätsmanagement wird der zielgerichtete und bewusste Umgang mit Identität, Anonymität
und Pseudoanonymität bezeichnet. Dies entspricht der Summe aller Massnahmen, die notwendig
sind, um Personen, Identitäten und Benutzer in IT-Systemen eindeutig zu erkennen sowie ihnen ge-
nau die Zugriffe zu ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen. Dabei sind alle
Massnahmen im Rahmen von angemessenen, standardisierten, prüfbaren und dokumentierten Pro-
zessen durchzuführen. Im Vordergrund steht beim Identity Management jeweils die digitale Identi-
tät, ihre Beziehung zur Organisation und ihre Attribute während dem ganzen Lebenszyklus. Der
Lebenszyklus beinhaltet dabei alle Prozesse, von der Erstellung, der Aktivierung und Deaktivierung,
der Änderung bis zur Archivierung und Löschung.
2.1.2 Access Management
Der Begriff Access Management beschreibt im Gegensatz zum Identity Management alles Techni-
sche, das mit dem Vorgang der Authentifizierung, Authentisierung und Autorisierung des Benutzers
zu tun hat.
• Authentisierung stellt den Nachweis einer Person dar, dass sie tatsächlich diejenige Person ist,
die sie vorgibt zu sein. Eine Person legt also Nachweise vor, die ihre Identität bestätigen sollen.
→ Eingabe von Login-Daten in einem EDV-System (Behauptung einer Identität)
• Authentifizierung stellt eine Prüfung der behaupteten Authentisierung dar. Bei der Authentifi-
zierung ist nun der Prüfer an der Reihe. Er überprüft die Angaben auf ihre Echtheit. Zeitlich be-
trachtet findet eine „Authentifizierung“ also nach einer „Authentisierung“ statt. → Überprüfung
der Behauptung durch das EDV-Systems inkl. Ergebnis der Prüfung (Verifizierung der Behaup-
tung aus dem Schritt Authentisierung)
Kapitel: Grundlagen Cloud-Dienste 3
• Autorisierung beschreibt die Einräumung von speziellen Rechten. Falls die Identifizierung einer
Person erfolgreich war, heisst es noch nicht automatisch, dass diese Person bereitgesellte
Dienste und Leistungen nutzen darf. Darüber entscheidet die Autorisierung. → Prüfung der
Rechte und Konsequenz (Einräumung oder Verweigerung von Rechten).
Das Password Management ist hierfür ein wichtiger Teil, da dieser Vorgang vielfach mit der Passwor-
teingabe des Benutzers beginnt. Bestandteile des Password Managements sind die Durchsetzung ei-
ner Kennwortrichtline, ein Selbstbedienungsportal für die Verwaltung von benutzerspezifischen
Angaben, wie Sicherheitsfragen und ähnliches, und ein Passwortrücksetzungsprozess durch Benut-
zer. Zudem ermöglicht die Passwortverwaltung, dass die Passwortänderungen in die nötigen Zielsys-
teme provisioniert werden.
Die Variante der Authentifizierung stellt dabei das Authentication Management sicher. Dies kann
entweder durch eine Abfrage von Benutzername und Passwort oder einer Zwei- oder Multi-Faktor-
Authentifizierung geschehen.
Single Sign-On (SSO) ermöglicht es dem Benutzer, nach einer einmaligen Authentifizierung, auf alle
Anwendungen, Systeme und IT-Dienste, für die er berechtigt ist, zuzugreifen, ohne sich erneut an-
melden zu müssen.
Die Attribute und das Verhalten der aufgebauten Session können mittels Session Management, wel-
ches überdies SSO ermöglicht, gesteuert und konfiguriert werden.
2.1.3 Identity Governance und Administration (IGA)
IGA-Systeme verbinden die Identitätsverwaltung, die sich mit der Verwaltung von Konten und Be-
rechtigungen, der Bereitstellung und Verwaltung von Berechtigungen befasst, mit der Identitätsver-
waltung, die sich mit der Aufgabentrennung, der Rollenverwaltung, der Protokollierung sowie der
Analyse und Berichterstattung befasst. IGA ist für jede komplexe Organisation von entscheidender
Bedeutung, aber für die richtige Gestaltung braucht es mehr als nur Technologie. Unternehmen ste-
hen ständig vor den Herausforderungen, strengere behördliche Kontrollen zu erfüllen, um ihre Mar-
ken zu schützen und den Zugang zu ihren Ressourcen zu kontrollieren, während sie gleichzeitig
innovativ bleiben müssen, um die Kundenbedürfnisse abzudecken. Somit ist es unerlässlich konsis-
tente Prozesse, Workflows und Tools für die Verwaltung von Benutzeridentitäten und des Zugriffs im
gesamten Unternehmen einzusetzen. Insbesondere unterstützen diese Unternehmen bei der Erfül-
lung von Compliance-Anforderungen und ermöglichen ihnen die Prüfung des Zugriffs für die Compli-
ance-Berichterstattung. Sie automatisieren auch Arbeitsabläufe für Aufgaben wie
Zugriffsgenehmigungen und Bereitstellung/Deprovisionierung.
3 Grundlagen Cloud-Dienste
Die Cloud steht dafür, Daten oder Dienste nicht mehr lokal im eigenen Rechenzentrum und auf ein-
zelnen Rechnern zu speichern oder anzubieten, sondern diese standortunabhängig zur Verfügung zu
haben. Es ist möglich, die gleichen Daten auf mehreren Geräten gleichzeitig zu nutzen, es findet eine
Synchronisation über die Cloud statt. Ein Beispiel für diese Synchronisation ist die iCloud. iOS Nutzer
Kapitel: Grundlagen Cloud-Dienste 4
können sämtliche auf ihrem Smartphone gespeicherten Apps und Daten auf allen weiteren Geräten
genauso verwenden, wenn sie dort die gleiche Apple-ID verwenden.
Cloud-Dienste finden sowohl im privaten als auch im geschäftlichen Rahmen Verwendung, wobei
Privatpersonen tendenziell «vorgefertigte» Lösungen entweder zum Speichern (Dropbox, Swisscom
Cloud, Magenta Cloud, …) oder zur Synchronisation (iCloud, Google Cloud bei mobilen Endgeräten,
…) nutzen, während die Anwendung bei Unternehmen weit darüber hinaus geht. Die verschiedenen
Modelle sind im folgenden Unterkapitel erklärt.
Für Unternehmen besteht der grösste Vorteil darin, dass immer so viel Leistung zur Verfügung steht,
wie gerade benötigt wird und nicht zu viel oder zu wenig. Ausserdem ist die Aktualität von genutzter
Software eher gegeben, als das bei der Nutzung von lokaler Infrastruktur der Fall ist – mit der Ein-
schränkung bei der Nutzung von Private Clouds, hier muss immer noch das eigene Unternehmen für
die Aktualität sorgen, allerdings nur einmal zentral und nicht mehrfach dezentral.
In der Cloud können vollständige IT-Infrastrukturen verfügbar gemacht werden, also sowohl Spei-
cherplatz, Rechenleistung als auch Applikationen an sich. Der Nutzer merkt nicht, wie viele und wel-
che Server gerade die von ihm genutzten Dienste bereitstellen, er profitiert lediglich von der
Bereitstellung. Der Unterschied einer Cloud zu einem einzelnen Computer besteht in der Skalierbar-
keit, viele verschiedene Rechner arbeiten zusammen, um sie bereitzustellen.
3.1.1 Cloud Modelle
Es gibt verschiedene Modelle einer Cloud-Lösung, die Unternehmen zur Verfügung stehen; die Pri-
vate, Public, Community oder Hybrid Cloud. Sie werden nachfolgend kurz beschrieben.
• Private Cloud: Eine Private Cloud kann entweder im Unternehmen selbst oder bei einem exter-
nen Dienstleister gehostet werden, in jedem Fall gilt jedoch, dass die Dienste der Cloud nur dem
einen Unternehmen zur Verfügung stehen. Sie kommt häufig bei Unternehmen zum Einsatz, die
hohe Ansprüche an IT-Sicherheit und Datenschutz haben. Das bedeutet, die IT-Dienste werden
weiter vom Unternehmen selbst betrieben. Nur der Zugriff der eigenen Nutzer ändert sich. An-
wendungen sind per Web-Oberfläche zugänglich und Rechenleistungen können nach Bedarf op-
timiert werden. Alle Daten in der Private Cloud sind über die Firewall des Unternehmens
geschützt und entweder gesichert über das Internet oder über das firmeninterne Netzwerk ab-
rufbar.
• Public Cloud: Unter einer Public Cloud versteht man Angebote eines Providers, die für jeden
zugänglich sind. Zu unterscheiden ist zwischen Gratis-Angeboten und kostenpflichtigen Services,
zum Beispiel Microsoft Office 365 oder Microsoft Azure.
• Community Cloud: Community Clouds werden von mehreren Unternehmen oder Institutionen
gemeinsam bereitgestellt und genutzt. Ziel ist es, auf die gleichen Dienste zuzugreifen und somit
eng zusammenarbeiten zu können. Im Gegensatz zur Public Cloud sind die Dienste nicht für je-
den verfügbar, sondern nur für die Community – man könnte die Community Cloud auch als
erweiterte Private Cloud bezeichnen.
• Hybrid Cloud: Eine Hybrid Cloud verbindet die Ansätze der Private und der Public Cloud mitei-
nander. Als nicht kritisch eingestufte Infrastruktur und Dienstleistungen werden aus einer Public
Cloud bezogen, alles was aus Datenschutz- und Sicherheitsgründen nicht öffentlich, sondern be-
Kapitel: Grundlagen Cloud-Dienste 5
sonders geschützt sein soll, wird vom eigenen Unternehmen bereitgestellt. Wichtig ist, die ver-
schiedenen Dienste klar voneinander zu trennen, sodass Datenschutz-Vorgaben auch eingehal-
ten werden können. Im Unternehmen müssen alle Daten klassifiziert werden, sodass sie
eindeutig der Bereitstellung bzw. Verarbeitung über entweder die Private oder die Public Cloud
zugeordnet werden können.
3.1.2 Cloud Services
Im Zusammenhang mit Cloud-Lösungen werden verschiedenste Services angeboten, am gängigsten
sind IaaS (Infrastructure as a Service), Paas (Platform as a Service) und Saas (Software as a Service).
Sie unterscheiden sich in der Art der bereitgestellten Dienste. In der Literatur ist die Abgrenzung nicht
einheitlich geregelt. Die Grenzen zwischen den Services werden je nach Anbieter flexibel gezogen.
Die nachfolgenden Beschreibungen der Services beruhen auf den Gemeinsamkeiten, die sich in den
unterschiedlichen Definitionen finden lassen.
IaaS bietet Server an, die der Nutzer beliebig verwenden kann, es handelt sich um virtualisierte Hard-
ware. Es werden vor allem Speicher- und Rechendienste angeboten. Der Cloud-Provider stellt die
Infrastruktur bereit, Betriebssysteme, Middleware und Anwendungen werden vom Nutzer darauf in-
stalliert, konfiguriert und nach Bedarf verwendet. IaaS kommt zum Beispiel zur Verarbeitung von Big
Data zum Einsatz, hier wäre es sehr kostenintensiv, die Rechenleistung selbst bereitzustellen und zu
verwalten, vor allem, da sie nicht immer in gleichem Masse benötigt wird.
PaaS hingegen bietet zusätzlich zur Hardware auch eingerichtete Software-Umgebungen, zum Bei-
spiel Linux oder Windows Plattformen an, auf denen der Nutzer dann eigene Anwendungen laufen
lassen kann. Weitere Inhalte des PaaS-Angebots sind Entwicklungstools und Datenbankverwaltungs-
systeme. Dementsprechend bietet sich PaaS auch zur Verwendung bei Software-Entwicklungen an.
Nicht alle notwendigen Grundlagen und Tools müssen selbst beschafft werden, sondern sind Teil des
Service.
SaaS bietet darauf aufbauend spezifische Software an, die ohne weitere Installation vom Nutzer ver-
wendet werden kann. Dennoch bestehen für den Kunden Möglichkeiten, eigene Konfigurationen und
Ergänzungen vorzunehmen. Im Unternehmensumfeld ist häufig Microsoft Office 365 im Einsatz, auch
Salesforce ist ein typisches Beispiel. Die Anwendungen werden vom Cloud-Anbieter gehostet, somit
ist auch die Verantwortung für Verfügbarkeit und Sicherung der Daten in dessen Verantwortung. Als
Nutzer dieses Service muss man selbst sich nicht um die Anschaffung, Verwaltung und regelmässig
notwendige Weiterentwicklung / Releasewechsel kümmern, man bezieht einen «Full-Service».
3.1.3 Exkurs: Federation
Dieser Artikel betrachtet das Thema Federation nicht näher, wer aber ein IAM im Einsatz hat und
Cloud-Dienste nutzt, muss sich früher oder später damit auseinandersetzen. Im Kern geht es darum,
dass die Authentifizierung von Identitäten durch Identity Provider von ausserhalb des Unternehmens
möglich ist, und diesen «vertraut» wird, genauso auch andersherum, dass der eigene Federation Bro-
ker Identitäten nach aussen liefern kann und somit den Zugriff auf externe Dienste mit der unterneh-
mensinternen Identifikation ermöglicht. Es wird eine Vertrauensstellung zwischen den Identity-
Providern und den Service-Providern geschaffen. (Detaillierte Informationen zum Thema Federation
im Fachbericht «Federated Identity Management» von Michael Petri)
Kapitel: Heutige Situation 6
Dies spielt heute schon bei Unternehmen vieler Branchen eine Rolle, die Kunden und Lieferanten in
ihre Prozesse einbinden. Ein Beispiel dafür sind Banken, die verschiedene Services für ihre Kunden
bereitstellen und für deren Zugriff nicht unbedingt ein eigenes Login notwendig ist, sondern wo bei-
spielsweise auch die SwissID akzeptiert wird.
4 Heutige Situation
Die typische Unternehmensarchitektur aus IAM-Sicht heute – mit Fokus auf die Vergangenheit – be-steht aus lokal gehosteten Systemen und Applikationen, wie unten grob als Übersicht dargestellt.
Abb 1: IAM in der On-Premises-Umgebung (Quelle: IPG)
Es gibt ein oder mehrere Quellsysteme, typischerweise aus dem HR, von denen das IAM die Identitä-
ten bezieht. Zusätzlich zum IAM kann es auch eine PAM-Applikation sowie ein separates Rollenma-
nagement geben. Das IAM erstellt die Accounts für Active Directory (AD) und Exchange und die
übrigen angeschlossenen Zielsysteme und provisioniert diese. Die meisten IAM-Anbieter und ihre
Lösungen sind nach wie vor auf diese On-Premises Unternehmensarchitektur ausgerichtet.
Alle für das IAM relevanten Daten werden vom eigenen Unternehmen bereitgestellt. Es gibt spezifi-
zierte Joiner, Mover und Leaver Prozesse, welche die Datenqualität und auch -authentizität sicher-
stellen. Tritt zum Beispiel ein neuer Mitarbeiter ein, so verfügt man über dessen CV und alle
notwendigen persönlichen Daten, die durch das HR geprüft wurden. Alle nachgelagerten Schritte,
wie das Generieren von Accounts und der E-Mail-Adresse, liegen dann beim eigenen IAM-System. Es
gibt erarbeitete Schutzkonzepte, IAM-Weisungen und weitere Grundlagen, welche die Identitäts-
und Berechtigungsverwaltung steuern und wodurch sichergestellt wird, dass höchstmögliche Anfor-
derungen an IT-Sicherheit und Datenschutz erfüllt sind. Die Server für Applikationen stehen in je nach
Bedarf spezifizierten Schutzzonen und Firewallregeln sorgen für die notwendigen Abgrenzungen.
Kapitel: Zukunftsbild 7
Betrachtet man jedoch die Situation in den Unternehmen heute, so stellt man fest, dass ein Grossteil
einen Strategiewechsel anstrebt. Statt auf On-Premises zu setzen und weiter wie bisher zu gehen,
gilt die Strategie «cloud first». Langfristig wird angestrebt, wo möglich, neue Applikationen als Ser-
vice aus der Cloud zu beziehen. Die ersten Schritte auf diesem Weg geschehen bereits, immer mehr
Unternehmen stellen zum Beispiel auf Azure AD anstelle des lokalen AD oder SAP SuccessFactors als
umfassendes HR-Tool um. Als Folge daraus muss das klassische IAM-System nicht nur die bestehende
On-Premises Infrastruktur bedienen, sondern auch die neuen Cloud-Elemente. Anbieter reagieren
darauf, indem sie spezifische Konnektoren zu Verfügung stellen, welche die Integration dieser Ser-
vices leisten können.
Abb2: IAM in einer hybriden Architektur von Cloud und On-Premises-Diensten (Quelle: IPG)
Am Aufbau des IAM ändert sich in obiger Abbildung noch nichts. Die Server und Datenbanken des
Systems bleiben im Unternehmen selbst. Es wird lediglich anstelle eines lokalen AD das Azure AD
angebunden und provisioniert. Häufig trifft man sogar die Situation an, dass innerhalb des Unterneh-
mens weiterhin das lokale AD betrieben wird und zusätzlich das Azure AD. In dieser Situation ist die
Entscheidung zu treffen, ob das IAM lediglich das lokale AD provisioniert und dieses das Azure AD
speist, oder ob beide ADs aus IAM-Sicht «parallel» betrachtet werden, also es auch eine direkte
Schnittstelle zu beiden gibt.
5 Zukunftsbild
Ziel dieses Abschnittes ist es, ein mögliches Zukunftsbild aufzuzeigen, in dem ein Grossteil oder sogar
alle Dienste in der Cloud sind. Denn immer mehr Unternehmen setzen auf eine Cloud First-Strategie.
Bei einer Cloud-First-Strategie evaluieren die Unternehmen Cloud-basierte Lösungen, bevor Alterna-
tiven in Betracht gezogen werden (siehe Abschnitt 4). Auch gibt es Unternehmen, die mittlerweile
einen Cloud-Only Ansatz verfolgen. Bei diesem Ansatz werden nur noch Cloud-Dienste in Betracht
gezogen. Es gibt viele Vorteile, die Unternehmen bei solchen Strategien sehen, angefangen bei Kos-
teneinsparungen von Software, Plattformen oder Infrastruktur bis zu ständiger, standortunabhängi-
ger Verfügbarkeit, Skalierbarkeit sowie einfache Update-Szenarien. Die Unternehmen müssen somit
Kapitel: Zukunftsbild 8
nicht mehr für die Verwendung von bestimmten Services eigene Technologiestacks aufbauen, son-
dern können die gewünschten Services bequem abonnieren.
Gartner prognostiziert, dass 55% der grossen Unternehmen bis 2025 eine Cloud-Only-Strategie fah-
ren werden. Für solche Unternehmen stellt sich dabei die Frage, was für Cloud-IAM-Alternativen es
gibt. Identity as a Service (IDaaS) ist hierfür eine Option, um einen sicheren Zugriff auf die wachsende
Anzahl von Software und SaaS-Anwendungen zu gewährleisten.
Gartner definiert IDaaS als:
" a predominantly cloud-based service in a multi-tenant or dedicated and hosted delivery model that
brokers core identity governance and administration (IGA), access and intelligence functions to target
systems on customers' premises and in the cloud.".
IDaaS stützt sich auf die folgenden Kernfaktoren:
• IGA: User-Provisioning für Cloud-Anwendungen und Funktionen für die Passwort-Rücksetzung.
• Access: Benutzerauthentifizierung, SSO und Autorisierung mit Unterstützung für Föderations-
Standards wie z. B. SAML.
• Intelligenz: Identitäts-Zugangsprotokoll, Überwachung und Reporting.
Gartner geht davon aus, dass sich 40 Prozent der mittleren und grösseren Unternehmen bis 2022 für
SaaS-basiertes IAM entscheiden werden. Unternehmen sehen bei der Einführung von IdaaS vor allem
die, im Vergleich zu On-Premises-Lösungen, einfache Implementierung und die zeitnahe Amortisie-
rung als grossen Vorteil. Da immer mehr Unternehmen Cloud- und Mobiletechnologien einsetzen
und dabei die traditionellen Netzwerkgrenzen und die Möglichkeiten der meisten herkömmlichen
IAM-Lösungen überschreiten, gewinnt IDaaS an Relevanz. Das Verwalten von Cloud-Diensten über
die Cloud ist grundsätzlich einfach. Deswegen ist IDaaS besonders für Unternehmen, die auf eine
Cloud-Only Strategie setzen und nicht ihr eigenes Netzwerk verwalten oder ihre eigenen Server und
Anwendung hosten, relevant und kann hierbei als geeignete Alternative zu einem On-Premises-IAM
dienen. Besonders in kleinen und mittleren Unternehmen hat sich diese Lösung als wirkungsvoll be-
währt, insbesondere bei Firmen, die im Cloud-Zeitalter gegründet wurden. Damit IDaaS in digitalen
Unternehmen jedoch effektiv eingesetzt werden kann, muss IDaaS aber eine breitere Anwendung
finden. In den meisten Firmen findet man komplexe IT-Architekturen, bestehend aus einer Kombina-
tion von lokalen, IaaS-, PaaS- und SaaS-Anwendungen. In Kapitel 0 wird näher auf die hybride Welt
eingegangen. Viele Unternehmen nutzen IDaaS um ihre bestehende IAM-Infrastruktur zu erweitern.
Wichtig ist hierbei, dass IDaaS-Anbieter für die Unternehmensebenen folgende Leistungen ermögli-
chen:
• Brücken schlagen zu bestehenden Benutzerverzeichnissen (z.B. AD) zwecks Authentifizierung.
• Integration in vorhandene Produkte für das Web Access Management (WAM), um Zugriffsricht-
linien erfüllen zu können.
• Kompatibilität mit einem breiten Spektrum an Unternehmensanwendungen ohne SaaS in den
eigenen Rechenzentren oder im Rechenzentrum eines Drittanbieters wie AWS oder Microsoft
Azure.
• Bereitstellen von Zugriffsmanagement für mobile, Web- und API-Umgebungen.
Kapitel: Zukunftsbild 9
5.1.1 Zukunftsaussichten
Eine weitere Frage ist, wie eine Cloud-Only-Zukunft das Thema IAM sonst noch tangieren könnte.
Nachfolgend werden einige Zukunftsthemen aufgegriffen.
Elektronische Identität: Bei einem Eintrittsprozess eines neuen Mitarbeiters steht heute meist das
Personalstammblatt im Mittelpunkt welches vom neuen Mitarbeiter und teilweise vom HR ausgefüllt
werden muss. Danach wird das HR-System ans IAM angebunden und die Daten somit eingelesen. Ein
Teil dieses Prozesses könnte sich durch die Verwendung einer elektronischen Identität (E-ID) ändern.
In Zukunft könnten die Daten über einen Cloud-Service direkt von der E-ID ins IAM-System geladen
und verarbeitet werden. Das HR wird vermutlich weiterhin benötigt werden, es könnte aber durch
diesen Service zumindest punktuell entlastet werden. Die Schweizer Regierung forciert die Schaffung
einer staatlich anerkannten, nationalen E-ID. Die rechtlichen Rahmenbedingungen für eine sichere
Identifizierungslösung für Online-Dienste sind seit 2019 gegeben. Die eidgenössischen Räte haben in
der Schlussabstimmung das Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz)
beschlossen. Das Gesetz sieht vor, dass sich Staat und Private, wie in vielen anderen Bereichen, die
Aufgaben teilen. Während Schweizer Unternehmen das Authentifizierungsmittel für die E-ID bereit-
stellen, ist der Staat für die Bereitstellung und Bestätigung der Identität einer Person sowie die recht-
lichen Vorgaben und die Aufsicht über die privaten Anbieter zuständig. Diese Lösung ist
technologieoffen und kann flexibel auf die schnell ändernden Bedürfnisse und Technologien reagie-
ren. Auch in Deutschland und Österreich gibt es bereits Vorstösse. In Österreich befindet sich die E-
ID ebenfalls in Entwicklung und zwar als eine Weiterentwicklung der Bürgerkarte/Handy-Signatur.
Diese soll sukzessiv weitere Attribute aufweisen und dadurch erweiterte Nutzungsmöglichkeiten bie-
ten. Geplant ist hierfür, dass man künftig den Führerschein auf dem Smartphone speichern kann. In
Deutschland hat jeder Personalausweis seit 2017 die sogenannte e-ID Funktion aktiviert. Dies ist ein
eingebauter Chip, mit dem sich Nutzer auch im Netz ausweisen können. Die Funktion wird in Deutsch-
land bis jetzt jedoch kaum genutzt, da der Online-Ausweis im Vergleich zum bisherigen Ausweis eher
umständlich ist. Die Entwicklung zeigt jedoch auf, dass in der DACH-Region die E-ID auf einem guten
Weg ist, ein fester Bestandteil zu werden und somit auch Einfluss auf die IAM-Welt haben wird.
Standortunabhängige Zugriffe: Früher konnte man nur im Büro am festen Arbeitsplatz den Compu-
ter bedienen und somit auf Unternehmensdaten zugreifen. Heute gibt es aufgrund von Bring your
own device (BYOD) wie auch den erwähnte Cloud-Lösungen unzählige Geräte, um standortunabhän-
gig auf Unternehmensdaten zuzugreifen. Es ist für Unternehmen eine Herausforderung den Über-
blick zu behalten und die Zugriffe zu kontrollieren. Zwar wird heute meist noch eine VPN-Verbindung
aufgebaut für den Zugriff auf das Firmennetzwerk, in einer Cloud-Only Zukunft ist aber auch dies
hinfällig. Für solche Szenarien ist es umso wichtiger eine IAM-Lösung zu haben, die Cloud-Dienste
abdeckt bzw. schützt.
Kooperationen: Durch die Kooperation von verschiedenen Unternehmen können Wettbewerbsvor-
teile entstehen. Wird hierfür zusätzlich eine gemeinsame Collaboration-Plattform genutzt, können
die Kooperationen noch effizienter gestaltet werden. Über IDaaS gestaltet sich die Kooperation mit
Kunden, Partnern oder anderen Stakeholdern, die Zugriffe auf Onlineportale oder andere Dienste
benötigen, einfacher. IDaaS lässt sich unter anderem in diese Anwendungen integrieren und kann
dadurch cloudbasierte Funktionen für die Identitätsverwaltung wie Benutzer-Self-Service, Passwort-
zurücksetzung, Profilerstellung und Verteilung vergessener Benutzernamen bereitstellen.
Kapitel: Hybride Welt 10
Die Nutzung von IDaaS hat auch Auswirkungen auf das Fachpersonal, da das nutzende Unternehmen
keine personellen Investitionen für On-Premises-Anwendungen tätigen muss. Somit ist auf Unter-
nehmensseite der Aufbau von entsprechend ausgebildeten Fachpersonal, wie auch die laufende Be-
treuung des Systems und die kontinuierliche Anpassung der technischen Prozesse, obsolet
geworden. Umso wichtiger sind dadurch IAM-Experten auf Seiten der Cloud-Provider, die sich um die
laufende Betreuung und technisch fachgerechte Bereitstellung der Services kümmert.
5.1.2 Cloud-Only Architektur
Abb.3: IAM in der Cloud-Umgebung (Quelle: IPG)
6 Hybride Welt
Bevor das im vorangegangenen Abschnitt beschriebene Zielbild «Cloud-Only» mit IdaaS und allen
Umsystemen aus der Cloud erreicht wird, wird uns noch lange eine «hybride» Systemlandschaft be-
gleiten. Hybrid bedeutet in diesem Zusammenhang eine Mischung aus Cloud und On-Premises-Lö-
sungen. Als genauso realistisch ist der Ansatz zu betrachten, dass es Unternehmen geben wird, die
nie eine «Cloud-Only» Landschaft erreichen werden, sei es aus Legal- oder Datenschutzgründen, al-
lenfalls auch aus Performance-Überlegungen heraus. In der Regel bieten Cloud-Services zwar eine
höhere Performance als lokal gehostete Anwendungen, Ausnahmen können jedoch bei Anwendun-
gen wie CAD-Lösungen auftreten. Eine Zeichnung besteht aus enorm vielen einzelnen Elementen und
nicht aus einem Block, denn jedes einzelne wird mit Put/Get geholt. Selbst bei minimaler Latenzzeit
kommt es hier zu Verzögerungen von mehreren Sekunden. Ist die Voraussetzung gegeben, dass die
Anwendung speziell wie im Beispiel ist und Daten ausschliesslich lokal zur Verfügung stehen müssen
und keine Synchronisierung notwendig ist, dann spricht die Performance im Ausnahmefall für ein
Beibehalten der On-Premises Lösung.
Kapitel: Fazit 11
Sowohl On-Premises IAM als auch IDaaS haben ihre Schwierigkeiten mit dem Verwalten der hybriden
Welt. Zukunftsfähige IAM-Systeme müssen hierfür aber Lösungen anbieten, denn es macht nur be-
dingt Sinn, neben dem bestehenden IAM noch eine weitere IDaaS-Lösung zu betreiben. Ebenfalls
nicht ganz trivial ist die Umstellung für Unternehmen, die bereits ein On-Premises IAM nutzen und
dieses gerne in der Cloud nutzen möchten. Die meisten On-Premises IAM-Systeme lassen sich nicht
einfach in die Cloud verschieben, sondern müssen umgebaut werden und dem Architekturansatz ei-
ner Microservice-Architektur und eines Deployment in Container folgen.
Folgt man dem Gedanken, dass das IAM in die Cloud umgebaut wird, stellt sich die Frage nach der
Verbindung in die lokale Welt. Die Verbindung muss in jedem Fall abgesichert erfolgen, sie darf kein
Einfallstor für Cyber-Attacken sein, daher kann beispielsweise mit einem VPN gearbeitet werden. Es
ist zu prüfen, ob die lokalen Systeme des Unternehmens in der Lage sind, an ein in der Cloud laufen-
des IAM-System angeschlossen zu werden, oder ob es einen verarbeitenden Server dazwischen gibt,
der als Drehscheibe bzw. Übermittler dient und die Verbindung herstellen kann. Es lässt sich keine
generell gültige Aussage treffen, wie die hybride Welt mit solchen Ansätzen bedient werden kann.
Die Möglichkeiten sind immer individuell zu betrachten und auszuwählen.
7 Fazit
Eine schrittweise Transformation von bestehenden IAM-Infrastrukturen ist nicht nur empfohlen, son-
dern, aufgrund der stetig wachsenden Anzahl von Cloud-Diensten, ein logischer Schritt. IDaaS ist hier-
für eine spannende Lösung mit grossem Potenzial, nachhaltig Ressourcen- sowie
Kosteneinsparungen vorzunehmen. Aber auch der Umbau von bestehenden IAM-Systemen, die dann
die benötigten Services bereitstellen, ist eine interessante Option, die uns in Zukunft noch begleiten
wird. Aufgrund der unterschiedlichen Architekturen sind unterschiedliche Lösungsansätze gefordert,
um IAM-Systeme optimal einsetzen zu können. Sicher ist jedoch, dass die bestehenden IAM-Infra-
strukturen an die neuen Herausforderungen angepasst werden müssen.
Kapitel: Porträt 12
8 Porträt
8.1 Aristide Guldenschuh
Aristide Guldenschuh ist seit 2019 für die IPG-Gruppe tätig und unterstützt als Bu-
siness Consultant Unternehmen bei der Beratung und Umsetzung kundenspezifi-
scher IAM-Lösungen.
8.2 Lydia Kopecz
Lydia Kopecz ist seit 2019 für die IPG-Gruppe tätig und unterstützt als Business Con-
sultant und Projektleiterin Unternehmen bei IAM-Assessments und der Umsetzung
kundenspezifischer IAM-Lösungen.
8.3 IPG-Gruppe
Die IPG-Gruppe ist auf die Konzeption, Integration, den Betrieb und die Ausbildung von IAM-Lösun-
gen spezialisiert. Das Unternehmen, gegründet 2001 in Winterthur, bietet inzwischen auch in den
Niederlassungen in Deutschland und Österreich Lösungen für den umfassenden Schutz von Benut-
zerdaten sowie Zugriffs- und Zutrittsrechten. Zu den Kunden zählen Unternehmen aller Branchen wie
auch Organisationen der öffentlichen Verwaltung. IPG ist bevorzugter Partner für bedeutende Soft-
ware-Hersteller in der Schweiz, Deutschland und Österreich und beschäftigt über 90 Mitarbeitende.
www.ipg-group.com
9 Wie unterstützt IPG
Die IPG-Gruppe unterstützt Unternehmen in der Findung der für sie richtigen IAM-Strategie zur
Cloud. Wir bieten Beratungsdienstleistungen rund um Architektur und Umsetzung einer zukunftsfä-
higen Lösung an.
Kapitel: Verwendete Quellen 13
10 Verwendete Quellen
E-ID umsetzen—Www.egovernment.ch. (o. J.). von https://www.egovernment.ch/de/umsetzung/umset-zungsziele/elektronische-identitat/
Gartner Predicts Increased Adoption of Mobile-Centric Biometric Authentication and SaaS-Delivered IAM. (o. J.). Gartner. von https://www.gartner.com/en/newsroom/press-releases/2019-02-05-gartner-predicts-increased-adoption-of-mobile-centric
Glossar | good to know | Über uns | IPG - Experten für IAM (Identity and Access Management)—Schweiz. Deutschland. Österreich. (o. J.), von https://www.ipg-group.com/de/ueber-uns/good-to-know/glossar
Identity And Access Management (iam). (o. J.). Gartner. von https://www.gartner.com/en/information-technology/glossary/identity-and-access-management-iam
Know The Latest Cloud Computing Technology & Security. (o. J.). Gartner. von https://www.gartner.com/en/information-technology/insights/cloud-strategy
Kuppinger, M. (o. J.). Identity & Access Management Software: Wie IAM zukunftsfähig wird. von https://www.computerwoche.de/a/wie-iam-zukunftsfaehig-wird,3548647
Smith, D. M. (o. J.). Gartner Insights on How and Why Leaders Must Implement Cloud Computing. 29.
Typen des Cloud Computing. (o. J.). Abgerufen von https://www.redhat.com/de/topics/cloud-compu-ting/public-cloud-vs-private-cloud-and-hybrid-cloud
Was bedeutet Public, Private, Hybrid Cloud? (o. J.). Fraunhofer-Allianz Cloud Computing. von https://www.cloud.fraunhofer.de/de/faq/publicprivatehybrid.html