Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnieren Sie unseren NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

vom Newsletter abmelden

Jutta Cymanek, Omada: Identity Management ist eine extrem wichtige Basiskomponente

November 2022 von Manuel Langhans, Global Security Mag

Gespräch auf der it-sa 2022: Omada verspricht seriöses, europäisches Identity and Access Management – on-prem und in der Cloud – sowie einen schnellen Start und ein hohes Level an Kundenzufriedenheit durch langfristige Betreuung

Jutta Cymanek, Vice President, Regional Manager bei Omada

Global Security Mag: Stellen Sie bitte kurz ihr Unternehmen vor

Ich glaube wichtig ist erstmal das Thema IAM oder IGA oder Benutzerverwaltung in den Kontext IT-Security zu setzen, denn das Thema ist ziemlich breit. Von Antivirus über Support protection oder MFA, all das gehört dazu. Beim Thema Identity-Management geht es darum, dass, wenn ein Mitarbeiter in ein Unternehmen kommt oder ein Externer, oder ein Kunde, dass er dann einen Zugang zu verschiedenen Applikationen und Anwendungen braucht, mal als Administrator, mal als normaler User, mal vielleicht als Auditor, mit jeweils verschiedenen Privilegien. Das sind ja die Zielsysteme sehr unterschiedlich. Früher hat man eine Art Laufzettel gemacht, jetzt haben wir das elektronische Pendant dazu. Da gibt es einen Identity Life-Cycle, was man abdecken muss. Es gibt so viele verschieden Szenarien. Zum Beispiel eine Vertragsverlängerung, der Wechsel in eine andere Abteilung, eine Namensänderung, eine Beförderung, usw. Das kriegt man in großen Unternehmen manuell nicht mehr hin. Man vergibt zwar die Rechte aber man vergisst beim Abteilungswechsel, die Rechte zu entziehen. Der Running Gag ist das „Azubi-Problem“. Da der Azubi durch die verschiedenen Abteilungen geht, hat er nachher mehr Rechte als der CEO. Das ist sicherheitstechnisch natürlich ungünstig.

Identity Management ist also das, was Omada macht. Viele Dinge, die passieren, wenn man kein Identity-Management hat, können wir verhindern. Zum Beispiel können wir, nach dem Least Privilege Prinzip sicherstellen, dass Benutzer Rechte nur bekommen, wenn sie diese wirklich brauchen, und automatisch Anpassungen vornehmen, wenn sich etwas ändert. Es gibt z.B. auch viele generische Benutzer, die von vielen verschiedenen Mitarbeitern benutzt werden und man weiß gar nicht mehr, wer was gemacht hat. Das 4-Augen-Prinzip wird komplett ausgehebelt, wenn derselbe User requested and approved. Da könnte man sich theoretisch Rechte verschaffen, die man nicht haben sollte. Es gibt da das Beispiel einer großen französischen Bank, wo sich jemand Rechte verschafft und für einen enormen finanziellen Schaden gesorgt hat. Man kann nicht alles verhindern aber man sollte zumindest einen Überblick haben, das Risiko einschätzen können und nach einer bestimmten Zeit auch neu bewerten. Deswegen ist Identity Management mit Sicherheit eine extrem wichtige Basiskomponente, da sie regelt, wer was darf, warum, wie lange und wer das genehmigt hat.

GSM: Was sind die Stärken Ihrer Software?

Wir als Omada haben ein Alleinstellungsmerkmal. Wir sind von denen, die bei Forrester, Gartner, KuppingerCole ganz vorne im Leader-Quadranten gelistet werden, die einzigen Europäer. Unser Headquarter ist in Kopenhagen, unsere Programmierstandorte sitzen alle in Kopenhagen. Wir haben uns für Nearshoring entschieden, haben Teams in Polen und Spanien, die sich auch physisch untereinander kennen. Das führt zu einer guten Abstimmungen zwischen den einzelnen Produktkomponenten, die seit 20 Jahren aus einem Guss programmiert wurden, die ein sehr cleveres Datenmodell haben, sehr generisch sind und die in der Cloud featuregleich sind. So haben wir alle Merkmale einer frisch programmierten SaaS. Wir haben unsere ganze Erfahrung aus unseren On-Prem-Produkten mitgenommen und quasi eine Neuportierung auf die Infrastruktur der Cloud gemacht.

Wir laufen auf Azure, haben unsere Back-up-Zentren in den Niederlanden und Irland und dort jeweils 3 Regionen, wo wir die ganzen Dienste deployen. Wir können über Internet nachgucken, wie die Verfügbarkeiten der Microservices sind, haben alle Eigenschaften von cloud native.

Kunden entscheiden sich für uns, weil wir europäisch sind, cloud native und die Möglichkeit haben zu sagen: on-premise oder Cloud, entscheidet euch jetzt oder später. Ihr könnt später von A nach B migrieren. Das ist ein Alleinstellungsmerkmal. Wir kümmern uns lange und kontinuierlich um unsere Kunden und haben sehr wenige Wechsel bei uns im Team.

Wir werden jetzt auch in Richtung Intelligent IGA gehen. Unsere Lösung hat also auf der einen Seite die ganze Automatisierung und Governance-Themen, macht aber auch Entscheidungshilfen. Zum Beispiel, wenn jemand etwas beantragt, das noch nie dagewesen ist, dann bekommt der Entscheider eine farbige Warnmeldung (Ampelcode), um zu verhindern, dass Sachen einfach aus Zeitmangel weggedrückt werden. Wir haben auch Risk-Themen dabei. Als Beispiel wieder der Azubi, der sehr viele Rechte hat oder jemand mit Rechten in hohen Risikoklassen. Um zu entscheiden ‘Ist das ein Risiko oder nicht?‘, wird dann angeregt, dass jemand das noch einmal prüft. Es kann natürlich alles in Ordnung sein, aber man sollte vorsichtig bleiben.

GSM: Was stellen Sie auf der it-sa vor?

Wir fokussieren uns auf ein Produkt: Omada Identity oder Omada Identity Cloud. Viele große Unternehmen arbeiten bisher nur mit Skripten und IAM wird oft als Prio2-Thema behandelt. Viele denken, das Ganze dauert lange und scheuen sich vor der Einführung eines IAM. Wir haben mit dem Accelerater Package ein Festpreiseinführungsprojekt für eine Basisinstallation. On-Prem dauert das vier Monate, in der Cloud drei. Danach haben sie aber zum Festpreis eine Basis und somit den ersten, wichtigen Schritt getan. Wir binden ein HR an, wir machen Request-Access, wir cleanen das AD oder Azure AD, wir hängen dann noch ein SAP oder Ähnliches dazwischen, die für die interne Vermarktung gut ist, wir trainieren die Leute, machen Strategieworkshops zu den Themen: Wo geht es generell hin? Wer sind die Stakeholder?

Wir haben auf der einen Seite also das Produkt, vorgefertigte Prozesse, die wir über Jahre gesammelt haben. Zusätzlich haben wir eine Projektmethodologie. Beim IAM müssen sie rechts und links noch die HR mitnehmen, den Securityverantwortlichen, usw., das heißt es ist nicht nur ein IT-Projekt, sondern es muss auch Stakeholdermanagement gemacht werden. Hinzu kommt das Training. Unsere guten Referenzen zeigen, dass wir nicht zu viel versprechen. Wir haben eine Costumer Success Abteilung, die dafür sorgt, dass unsere Versprechen eingehalten werden und sind insgesamt sehr auf Kundenzufriedenheit bedacht.

GSM: Was ist Ihre Message an unsere Leser?

Ich glaube in dem Bereich ist es wichtig zu wissen, wer, warum, wann, was genehmigt bekommen hat und auch sicherzustellen, dass die Berechtigungen nach abgestimmten Regeln vergeben werden. Und wenn Sie, obwohl es sich aufgrund der ganzen Abstimmungen wie eine Mammutaufgabe anhört, trotzdem schnell sein wollen, dann können Sie das mit uns machen, da wir das schon sehr häufig gemacht haben. Wir haben sehr viele Kunden, 80 Kunden im DACH-Bereich, und behalten diese Kunden, weil wir das halten, was wir versprechen und nicht weglaufen, wenn es Probleme gibt. Wir machen seriöses IAM von Europäern.
Wir haben eine Zukunftsvision, wir gehen realistisch an die Sache, und können in drei oder vier Monaten eine erste Basis anbieten, die z.B. auch einen Auditor zufriedenstellt. Das können wir versprechen. Wir haben das getestet und wir machen das wahr. Mit uns bekommt man einen schnellen Start, Konsistenz, europäische Kultur, Sicherheit, gute Referenzen und Stabilität.


Mehr zum Thema:

zum vorherigen Artikel

    

zum nächsten Artikel