Identity Management: Schlechte Datenqualität Ursache für mangelhafte Benutzerverwaltung

Benutzerverwaltung und Erzielung einer hohen Datenqualität nicht alleine eine Frage der Technik

(27.08.07) - Laut einer Analyse von Gartner Research und Völcker Informatik laufen viele Identity-Management-Projekte zeitlich und finanziell aus dem Ruder, weil deren Komplexität unterschätzt wird. Einer der wichtigsten Aspekte in diesem Zusammenhang sei die unzureichende Qualität der vorhandenen Daten. "Üblicherweise liegt die Datenqualität bei den häufig genutzten Active Directory oder Lotus Notes Systemen bei 80 bis 85 Prozent, in stark fragmentierten ERP-Landschaften sogar noch weit darunter. Initiale Datenqualitäten von über 95 Prozent sind dagegen nur ganz selten anzutreffen", konkretisiert Eckhard Völcker, Vorstandsvorsitzender der Völcker Informatik AG. Außerdem machten viele Unternehmen den Fehler, die Erzielung einer möglichst hohen Qualität der Daten und die Benutzerverwaltung als rein technisches Problem einzustufen.

Aus dem Abschlussbericht zur Analyse geht hervor, dass sich ein Betrieb bei der Verbesserung der Datenqualität neben der Technik auf zwei weitere wesentliche Eckpfeiler konzentrieren muss. Zum einen sind dies die Mitarbeiter selbst: Die Notwendigkeit einer hohen Datenqualität muss ihnen in Fleisch und Blut übergehen, damit sie zur Selbstverständlichkeit wird. Zum anderen geht es um die Prozesse. Entsprechende Regeln, Workflows und Audits sollten fester Bestandteil der Unter-nehmenskultur sein und von den Angestellten "gelebt" werden. Da es kein Patentrezept für alle Unternehmen gleich welcher Branche und Größe gibt, muss eine Lösung zudem flexibel und individuell auf die Bedürfnisse des jeweiligen Betriebes zugeschnitten sein.

Die Experten der Völcker Informatik sind überzeugt, dass viele Tools der Benutzerverwaltung nur unzureichenden Support zur Verbesserung der Datenqualität bieten. Deren vordringlichste Aufgabe sei es, einer bestimmten Person unternehmens- und konzernweit nicht nur eine eindeutige Identität (unique ID) zuzuordnen. Anschließend müsse sicher gestellt sein, dass jeder Account auf allen relevanten IT-Systemen dieser unique ID zugeordnet wird. "Wichtig ist, dass die Einordnung von Personen in Organisationsstrukturen und funktionale Einheiten klar und widerspruchsfrei ist", sagt Eckhard Völcker. "In Organisationen mit wenigen hundert oder wenigen tausend IT-Benutzern lässt sich die Zuordnung vielleicht noch manuell durchführen. Je größer die Anzahl ist, desto schwieriger wird dieses Vorhaben."

Wie lässt sich die Datenqualität verbessern?

Völcker Informatik hat hierzu beispielsweise Best practice-Verfahren aus über fünfzig einschlägigen Projekten heraus destilliert und in das Produkt AcitveEntry integriert. In einem ersten Schritt erfolgt das Einlesen von Hauptidentitäten der Nutzer aus einer möglichst vertrauensvollen Quelle - meist handelt es sich dabei um Human-Resource-Systeme, weil dort häufig jeder Mitarbeiter eindeutig identifiziert ist. ActiveEntry generiert dann für jeden Mitarbeiter eine global gültige Nutzer-ID. Diese als "clean" bezeichneten Benutzerdaten verwaltet die Völcker-Software selbst. Ab sofort können beispielsweise Genehmigungsabläufe, Provisionierung oder Abrechnungen über ActiveEntry laufen. Konten, die nicht eindeutig einer Person zuzuordnen sind (so genannte "dirty data"), werden zunächst nicht aktiv verwaltet, sondern im Rahmen einer manuellen Datenbereinigung über ein Web-Interface extrahiert und "gesäubert".

Die Verwaltung aller notwendigen Änderungen der IT-Zugangsberechtigungen erfolgt von einer zentralen Plattform aus, so dass über die hohe Transparenz und Kontrolle die Qualität der angelegten Datensätze merklich steigt. "Das Identity-Management-Projekt sollte eine Quick Win-Situation schaffen und mit geringem Aufwand eine möglichst große Anzahl von Nutzern der am häufigsten genutzten Zielsysteme integrieren", meint Eckhard Völcker. "Auch unter Risiko-Aspekten bedeutet das: Eine schnelle Neunzig-Prozent-Lösung für drei wichtige Zielsysteme ist wichtiger als eine Hundert-Prozent-Lösung für nur ein einziges Zielsystem." (Völcker: ra)