Im Zuge überhandnehmender Bedrohungsszenarien und Regulierungsauflagen wird ein effektives Identity & Access Management (IAM) immer wichtiger. Als Spezialistin für IAM gilt die Winterthurer IPG. Sie hat kürzlich eigens eine Abteilung für IAM Operation gegründet. ICTkommunikation unterhielt sich mit dem Leiter der neuen Abteilung, Michael Steinhauer, über die strategische Bedeutung, Trends und Auslagerungsmöglichkeiten von IAM.
Interview: Karlheinz Pichler
ICTkommunikation: Die IPG hat ihr Leistungsportfolio kürzlich durch die Abteilung IAM Operation erweitert. Was ist darunter genau zu verstehen?
Michael Steinhauer: In den letzten Jahren stellten wir bei unseren Kunden vermehrt fest, dass nach der erfolgreichen Implementierung einer IAM- oder SSO-Lösung das Bedürfnis nach einer umfassenden Betriebsunterstützung, welche über das normale Support-Angebot der Hersteller hinausgeht, besteht. Heute erbringen viele Integratoren Betriebsaufgaben - oft jedoch zu überhöhten Preisen. Aus dieser Erkenntnis haben wir unser IAM as a Service-Angebot entwickelt. Es umfasst Leistungen für den IAM-Betrieb und die Wartung von IAM-Applikationen. Darin enthalten ist auch die Unterstützung oder die komplette Übernahme von steuernden und betreibenden IAM-Prozessen resp. der daraus resultierenden Administrations-Arbeiten.
Was war die Motivation für den Aufbau des Bereichs IAM Operation?
Der Kerngedanke liegt darin, den IPG-Kunden unser Expertenwissen für den Betrieb der IAM-Lösung zur Verfügung zu stellen. Denn manche Kunden können oder wollen dieses Wissen intern nicht aufbauen. In diesem Falle übernimmt IPG die Betriebsleistungen und entlastet damit ihre Kunden indem spezifisches IAM-Wissen zur Verfügung gestellt wird oder wir unsere Kunden beim Aufbau von IAM-Wissen unterstützen. Dieses Ziel erreichen wir durch den Betrieb eines effizient organisierten IAM Operation-Centers. Unsere Leistungen bieten wir mit einer möglichst hohen Flexibilität, um die individuellen Bedürfnisse der Kunden umfassend abzudecken. Mit diesem Service garantieren wir dem Kunden jederzeit Transparenz, Nachvollziehbarkeit und Kostensicherheit.
Als "Head of IAM Operation" zeichnen Sie für diesen Bereich bei IPG verantwortlich. Wo setzen Sie Ihre Schwerpunkte an?
Im Vordergrund stehen die Kundenbedürfnisse. Es ist deshalb mein Anliegen, den Schwerpunkt so zu setzen, dass die Dienstleistung für den Kunden einen möglichst hohen Wert generiert. Aus diesem Grund liegt der Fokus auf den Schnittstellen zwischen Kunde und IPG. Wir wollen, dass die Prozesse nahtlos ineinander übergehen. Der Betrieb einer IAM-Lösung muss funktionieren wie das Servicepersonal in einem guten Restaurant. Es ist immer dann zur Stelle, wenn es einen Wunsch aufzunehmen gilt. Der Gast bleibt jedoch ungestört beim Essen. Für den IAM Operator gilt beim IAM-Betrieb dasselbe. Er erkennt die Probleme frühzeitig und stellt Lösungsansätze bereit, welche die gewünschten Prozesse im Einklang mit den unternehmensinternen Schnittstellen unterstützen sollen.
Wie gehen Sie vor, um den Betrieb eines Neukunden zu übernehmen?
Der Integrationsprozess für einen Neukunden besteht aus mehreren Schritten. Zuerst definieren wir gemeinsam, welche Leistungen IPG erbringen soll. Nachdem der Umfang definiert ist, erstellt IPG ein Betriebshandbuch, welches die Standardvorgehensweise für häufig auftretende Aufgaben beschreibt. Sind alle Vorgänge definiert, erfolgt die Einführung der IPG-Standardbetriebsprozesse. Denn nur wenn gewisse Abläufe standardisiert sind, resultiert daraus eine Qualitätssteigerung. Zur Sicherung der erreichten Qualität braucht es Kontrollen mit entsprechenden auf die Kundenlösung ausgerichteten Kontrollkriterien. Diese Kriterien erarbeiten wir gemeinsam mit dem Kunden in Workshops. Sobald alle Vorarbeiten abgeschlossen sind, folgt der Testbetrieb. Dieser dient der Aufdeckung allfälliger Mängel aus der Konzeptphase. Sobald der Betrieb in einen für beide Parteien befriedigenden Zustand überführt wurde, erfolgt die Annahme des Gesamtkonzeptes.
Welches sind die grössten Stolpersteine für die Betriebsübernahme eines IAM-Systems?
Legen wir den Fokus auf die Betrachtung der Hürden, welche nach Projektabschluss entstehen: Nach unserer Erfahrung lohnt es sich, der Betriebsorganisation genügend früh die notwendige Aufmerksamkeit zu schenken. Es sollte klar definiert sein, welcher Rolle welche Kompetenzen zuteil werden. Zudem müssen alle Mitarbeiter soweit geschult werden, dass sie die Prozesse kennen, in welche sie involviert sind. So werden fehlerhafte Eingaben minimiert und potenziellen Störungen vorgebeugt. Zudem ist es wichtig, die benötigten Dokumente wie das Betriebshandbuch, die System-Architektur, die Prozessdokumentation sowie ein allgemeiner IAM-Leitfaden aktuell zu halten und dem definierten Zielpublikum zur Verfügung zu stellen. Diese Dokumente sollten auch in die Schulung miteinbezogen werden, damit sie den Endnutzern bekannt sind.
Ein weiterer Stolperstein liegt in der Kommunikation zwischen der technischen respektive der betreibenden und organisatorischen Seite. Leider sind die Leute rar gesät, welche sich in beiden Bereichen zu Hause fühlen. Da der IAM-Betrieb aber sehr tief in beide Bereiche vordringt, ist ein breites Wissen die Grundvoraussetzung für eine nachhaltige Lösungsentwicklung.
Die dritte Schwierigkeit liegt in der fachmännischen Verwaltung der anstehenden Changes. Zum einen wird viel produktespezifisches Know-how benötigt, da viele Änderungen tief in die Logik des IAM-Systems hineingreifen. Die neue Logik muss deshalb mit der bestehenden Datenbasis abgeglichen werden. Diese Herausforderung überfordert viele Kunden, da sie nur über ein oberflächliches Wissen verfügen. Sie sind kaum in der Lage, grössere Änderungen durchzuführen.
Wie sollen Unternehmen, die ein IAM-Projekt durchgeführt haben, weiter vorgehen? Welche Vorteile sprächen für eine Inhouse-Weiterbetreuung, welche für eine Auslagerung des IAM-Betriebs?
Wenn das Unternehmen bereits über personelle Ressourcen verfügt, die in der Lage sind, gewisse Aspekte des IAM-Betriebes zu übernehmen, dann macht es durchaus Sinn, dieses Know-how weiterhin zu pflegen. In diesem Fall sollte aber genau geprüft werden, wie weit das interne Wissen reicht. Oft beschränkt sich dieses auf den operationellen oder den organisatorischen Bereich. Ein solcher Kunde wäre prädestiniert, die erste Stufe unseres IAM-Betrieb-Angebots in Anspruch zu nehmen. Indem er die Expertise von IPG „abonniert“, würde er die Risiken eines Ausfalls oder das Auftreten technischer Probleme minimieren.
Bringt ein Unternehmen kein eigenes IAM-Wissen mit, sollte spätestens während der Umsetzung des IAM-Projekts über die Umsetzung des Betriebs nachgedacht werden. Besser ist es natürlich, wenn man sich bereits im Vorfeld damit auseinandersetzt. Denn es kann gut sein, dass diese Entscheidung das Projekt selbst beeinflusst, weil bei einer externen Betreuung können im Betrieb gewisse Prozesse anders laufen als beim Inhouse-Betrieb. Schliesslich profitiert der Kunde bei einer Vergabe eines IAM-Projekts mit anschliessendem Betriebsauftrag von den entstehenden Synergien, welche sich in tieferen Projektkosten niederschlagen.
Wäre beispielsweise die IPG in der Lage, ein IAM-Projekt eines Kunden über die Projektphase hinaus weiter zu betreuen? Wie würde so eine Betreuung in der Praxis konkret aussehen?
Wir begrüssen es selbstverständlich, wenn sich unsere Kunden direkt nach der Projektphase für den Betrieb mit IPG entscheiden. Wir möchten aber auch Unternehmen, die ihre IAM-Lösung selbst betrieben haben, die Möglichkeit bieten, ihren Betrieb auszulagern. Für diesen Fall können wir Full-Service-Verträge bieten, welche die Upgrades auf neuere Versionen enthalten. So muss sich der Kunde nicht einmal mehr darum bemühen, was in Bezug auf zukünftige Versionswechsel geschieht.
Es sind auch Szenarien denkbar, in denen wir den Betrieb für einen Kunden lediglich für eine beschränkte Zeitperiode übernehmen. Die Gründe dafür können vielfältig sein: So kann die Zeit in der IPG den Betrieb übernimmt dazu dienen, internes IAM-Wissen aufzubauen oder wir übernehmen den Betrieb während einer Phase in der viele Changes anfallen. Nach einer ordentlichen Überführung in den Betrieb wird es für den Kunden einfacher, die eigene IAM-Umgebung später selbst zu betreiben. Denn die Prozesse und die Dokumente würden damit nach Best-Practice Ansätzen aufgesetzt und gepflegt. Wir möchten deutlich machen, dass der Kunde auf keinen Fall mit dem abonnierten Service gefangen bleibt.
Um die Qualität unseres Services konstant hoch zu halten, unterliegt dieser einem kontinuierlichen Verbesserungsprozess. Als Messgrössen dienen die in der Eingliederungsphase mit dem Kunden bestimmten Kontrollkriterien. Sobald eine bestimmte Qualitätsgrenze unterschritten wird, lösen wir auf unserer Seite automatisch einen Eskalationsprozess aus, der dann gegebenenfalls in einem Change resultiert, um die Situation zu verbessern.
ZUR PERSON:
Michael Steinhauer studierte an der FHNW und hat den Abschluss Bachelor of Science FHNW in Informatik. Als Head of IAM Operation ist er bei IPG massgeblich am Auf- und Ausbau des Bereichs IAM Operation beteiligt.
ZUR FIRMA
Die IPG AG mit Hauptsitz in Winterthur und Niederlassungen in Hamburg und Wien ist auf IAM (Identity & Access Management) spezialisiert und bietet Lösungen für den umfassenden Schutz von Benutzerdaten und Zugriffrechten an; dies für Unternehmen und Verwaltungen der gesamten Wirtschaft. IPG mit seinen Experten verfügt über grosses Knowhow in Themen wie „Role Based Access Control“, „Identity Management & Provisioning“, „Access Management and Single Sing On“, „Management von privilegierten Accounts“, „Identity Management as a Service“.
