“Die schwerste Aufgabe ist das Management mobiler Applikationen”
Auf der Austellungsfläche der European Identity&Cloud Conference tummelten sich zahlreiche CIOs großer Unternehmen als potenzielle Kunden und viele Anbieter von Enterprise-Lösungen. Einer der größten Anbieter: Die Firma Quest Software. Hier trafen wir den für die Identity-Produkte zuständigen Manager Jonathan Sander.
(Bild: Am Rande der Ausstellunsgfläche der European Identity Conference (im Hintergrund noch erkennbar) gaben sich CIOs und Produktmanager die Hand, um Produkt-Anforderungn und Angebote abzustimmen)
ITespresso.de: Wieso eigentlich ist Quest Software so groß und dennoch so unbekannt?
Jonathan Sander: Unser Fokus als Unternehmen liegt ganz eindeutig auf Forschung und Entwicklung. Rund 20 Prozent des Umsatzes investieren wir in diesen Bereich. Marketing spielt bei uns hingegen eine eher untergeordnete Rolle. Hier unterscheiden wir uns von Wettbewerbern.
ITespresso.de: Was bisher vor allem bekannt ist, sind immer wieder neue Meldungen über Unternehmens-Zukäufe zu nicht gerade kleinen Summen. Dabei ist Quest vor allem in IT-Abteilungen bekannt für seine Tools. Das alleine kann nicht so viel Geld hergeben, um so viele Unternehmen zu kaufen. Erklären Sie uns bitte, welche Geschäftsbereiche Sie noch haben.
Jonathan Sander: Insgesamt sind es sechs Geschäftsbereiche, wobei ich den Bereich Identity Management verantworte. Seit 1999 habe ich bei Quest Software mit Security- und Performance- Management-Produktlinien gearbeitet, Lösungen geschaffen und bei kleinen und großen Quest-Kunden implementiert. Seit dem Launch der Quest One Identity Solution verantworte ich diesen Bereich. Die anderen Bereiche sind Performance Monitoring, Data Protection, Datenbank-Management, User Workspace Management und natürlich Windows Server Management.
ITespresso.de: Was ist neu bei Ihnen in der Business Unit Identity & Access Management?
Jonathan Sander: Quest Software hat seine IAM-Lösung Quest One Identity erweitert. Durch die Integration der hochskalierbaren Autorisierungstechnologie des im Dezember 2011 übernommenen Unternehmens BiTKOO bieten wir derzeit das umfangreichste IAM- Portfolio weltweit an. Die neue Produktsuite unterstützt Firmen dabei, Zeit und Kosten dank einer automatischen, rollenbasierten Vergabe von Zugangsrechten einzusparen. Da Mitarbeiter nur Zugriff auf Anwendungen haben, die ihrer Rolle entsprechen, ist außerdem eine höhere Sicherheit gewährleistet.
ITespresso.de: Was genau sind die neuen Features der Lösung?
Jonathan Sander: Die neue Lösung verbessert die Zugangskontrolle durch eine nahtlose Integration in Sicherheitslösungen. Die “BiTKOO Keystone Technologie” ersetzt isolierte und unzusammenhängende Sicherheitsansätze durch eine sogenannte “Security-Dial-Tone”-Strategie. Das “Freizeichen” dient dabei als gemeinsames Sicherheitsbeispiel, das sich einfach und konsistent implementieren lässt und ad-hoc, inkonsistente und benutzerdefinierte Sicherheitskodierungen für einzelne Anwendungen überflüssig macht. Somit erleichtert das neue Produktportfolio Unternehmen den Überblick darüber, welcher Anwender wann und wie auf welche Daten zugegriffen hat und wie der Zugang genehmigt wurde. Dank der neuen Technologie lässt sich Quest One künftig noch individueller an die Bedürfnisse des jeweiligen Unternehmens anpassen.
ITespresso.de: Sie steuern das also über Rollenmodelle wie in Security-Systemen?
Jonathan Sander: Sogar noch sehr viel genauer. Immer wenn eine Änderung beantragt wird, fragt unsere Software zurück und registriert dann erst die endgültige Rechte-Veränderung gemäß der internen bzw. externen Compliance-Regeln. Das Wichtigste ist allerdings, dass sich die Unternehmen selbst darüber klar werden, wer was unter welchen Bedingungen tun darf. Das ist Teil des „Role-Engineering-Prozesses“. Die Steuerung der Nutzer-Account-Rechte ist viel granularer geworden. Die Frage ist nun: Wer hat wo welche Rechte und wie hat er sie bekommen? Die Antwort auf diese einfache Frage ist sehr komplex. Diese Daten müssen in der Regel von einer Vielzahl unterschiedlicher Systeme gesammelt werden. Noch wichtiger ist dann die Darstellung dieser Daten in einem lesbaren Format. Weiterhin stellt sich die Frage: Wie gebe ich den Administratoren genau die richtigen Rechte?
ITespresso.de: Sie meinen den Prozess, den eine Firma durchgehen muss, bevor sie das in der Software festlegt. Unterstützt Ihre Software diese Entscheidungsfindung?
Jonathan Sander: Um sie im System abbilden zu können müssen die Rollen im Vorfeld definiert werden, wobei bei wir unterstützen. Für die Gewährleistung von „Access Governance“ sind Rollen aber in unserer Software nicht zwingend notwendig. Bei der Vergabe privilegierten Zugangs zu Systemen sind diese Definitionen natürlich relevant.
ITespresso.de: Ihre Identity-Management-Systeme scheinen sich schnell aktuellen Trends anzupassen. Der derzeitige Run auf den Zugriff privater Mobilgeräte – „bring your own device“ – stellt sicherlich eine Herausforderung für Sie dar.
Jonathan Sander: Ob mobiler Zugriff oder Zugriff via lokalem Computer macht für mich keinen Unterschied. Wer über welches Gerät wie ins Netzwerk kommt, ist zunächst eine Frage der Sicherheit. Die Aufgabe im Identity Management beginnt, wenn der Nutzer oder Administrator durch das VPN und verschiedene Barrieren durchkommt. Natürlich hängen das ID-Management und die Sicherheit miteinander zusammen. Doch natürlich ist das sehr viel komplizierter als die meisten glauben.
ITespresso.de: Wie meinen Sie das?
Jonathan Sander: Niemand unterscheidet wirklich zwischen der Kontrolle mobiler Daten und mobiler Apps. Wenn Sie einem Nutzer verbieten, bestimmte Informationen weiterzugeben, reicht es nicht, Applikationen auf dem mobilen Gerät zu sperren – beispielsweise wenn ein E-Mail-Anhang auf dem Handy direkt in die Dropbox verschoben werden soll und so in die Cloud gelangt. Unterbindet der Admin die Installation der Dropbox-App, legt sich der Benutzer einfach ein zweites Handy zu und macht es darüber. Es muss gesteuert werden „dieser Anhang darf nicht verteilt werden“. Die Verwaltung des Geräts und was darauf installiert wird, ist also nicht die Herausforderung. Vielmehr kommt es darauf an, durch eine gute Überwachung zu ermitteln, wie die Applikationen verwendet werden.
ITespresso.de: Widerspricht das nicht den Datenschutzgesetzen?
Jonathan Sander: Aufgezeichnet und weitergegeben wird nur, was vorher festgelegten Sicherheits-Richtlinien widerspricht.
ITespresso.de: Abgesehen von Anwendungen, die überwacht werden müssen, macht den CIOs sicher auch zu schaffen, dass Anwender etwas über die Cloud und SaaS-Dienste erledigen und die Kontrolle dann schwieriger wird.
Jonathan Sander: Sie müssen natürlich ihre Policies auch bei Web-Apps durchsetzen. Die meisten Anbieter wie etwa Google und Salesforce bieten entsprechend Schnittstellen, die unsere Software nutzt. Wir bieten den Unternehmen Überwachungsfunktionen auch für die meistgenutzten Cloud-Dienste – natürlich alles im Rahmen der Datenschutzgesetze.
ITespresso.de: Das sind schon eine ganze Menge Einzelheiten und Trends im Identity Management. Was ist nun für Sie der wichtigste?
Jonathan Sander: Ich betone immer wieder, dass der korrekte Zugriff von Mitarbeitern auf geschäftlich kritische Daten von der geschäftlichen und nicht von der IT-Seite her verwaltet werden sollte. Es ist nicht zu viel verlangt, nach einer IAM-Lösung zu fragen, die sowohl den IT- als auch den geschäftlichen Benutzern zugutekommt. Mit der richtigen Lösung lassen sich Sicherheitsrisiken minimieren, die IT-Effizienz steigern und die mit einer Überprüfungen verbundenen Anstrengungen und Kosten reduzieren. Das Alles mit passenden Verwaltungsfunktionen zu kombinieren, drtzt noch ein Sahnehäubchen obendrauf.
ITespresso.de: Wenn Die schon alles haben, was man braucht – was macht Quest die nächsten zwölf Monate in diesem Bereich?
Jonathan Sander: Erwarten Sie in den nächsten 5 bis 12 Monaten keinen Unternehmenszukauf mehr von uns. Erst einmal sind wir damit beschäftigt, alles zu integrieren, was wir in diesem Bereich zugekauft haben.
Um sie im System abbilden zu können müssen die Rollen im Vorfeld definiert werden, wobei bei wir unterstützen. Für die Gewährleistung von „Access Governance“ sind Rollen aber in unserer Software nicht zwingend notwendig. Bei der Vergabe privilegierten Zugangs zu Systemen sind diese Definitionen natürlich relevant.