Sichere Identitäten in der Cloud

Cloud IAM im Praxiseinsatz bei Rémy Cointreau

31.08.2016
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Was treibt Anwender in Identity-Management-Projekten um, gerade im Bereich der Cloud-Applikationen? Der CTO eines französischen Cognac- und Likörproduzenten hat da so seine ganz eigenen Erfahrungen gemacht.

Der französische Spirituosenhersteller Rémy Cointreau mit Sitz in Paris befindet sich mit seinen 1800 Mitarbeitern inmitten des digitalen Umbaus. Chief Technology Officer Sébastian Huet trat 2015 an, um das gesamte Unternehmen in eine agile Organisation zu überführen. Eine Schlüsselrolle kommt dabei der Erneuerung der IT-Infrastruktur zu, damit zum einen schneller auf veränderte Arbeitsabläufe und Kundenwünschen eingegangen werden kann, die Mitarbeiter zum anderen aber auch einfacher und von überall aus auf Anwendungen in der Cloud zugreifen können.

Um das zu ermöglichen, nahm sich Huet des Mobile Device Management an und landete dadurch zwangsläufig bei Fragen rund um die IT-Sicherheit und das Identitätsmanagement in der Cloud. Das Unternehmen entschied sich für das "Identity Service"-Angebot von Centrify und entwickelt seitdem gemeinsam mit dem Anbieter seine Dienste weiter. Wir haben mit Huet über das Projekt und die Besonderheiten des Identitätsmanagements in der Cloud gesprochen.

Sébastien Huet treibt seit 2015 als CTO den digitalen Wandel bei Rémy Cointreau voran.
Sébastien Huet treibt seit 2015 als CTO den digitalen Wandel bei Rémy Cointreau voran.
Foto: Rémy Cointreau

CW: Warum ist Identitäts-Management gerade in Cloud-Umgebungen so wichtig?

SÉBASTIEN HUET: Weil es der Schlüssel zu allem ist. Früher hatten wir einen Schutzwall um unsere Anwendungen und das Unternehmen herum errichtet - wenn da die Identitäten nicht gut verwaltet wurden, war das nicht so kritisch, weil nichts nach außen drang. Heute hingegen sind die meisten Dienste über das Internet von überall aus erreichbar - für jeden Mitarbeiter und auch für jeden anderen. Deshalb ist das Thema Identitäten für mich sowohl der Schwachpunkt der Cloud als auch der Schlüssel für mehr Sicherheit. Hier das richtige Management zu entwickeln, ein Reporting und Visualisierungen der Zugriffe zu ermöglichen, ist entscheidend, um gleichermaßen sicher und agil zu sein.

"Egal, ob das Geschäft läuft oder nicht"

CW: Was bedeutet Agilität für Sie?

HUET: So schnell wie möglich auf das Business und seine Anforderungen reagieren zu können. Wenn wir beispielsweise eine neue Niederlassung eröffnen und Anwendungen neu einrichten oder neue Software entwickeln, um unsere Sales-Teams zu unterstützen, haben wir uns an vorgegebene Zeitpläne zu halten. Früher war das immer schwierig, weil wir keine Kapazitäten, keine Ressourcen, kein Budget hatten. Agil zu sein, heißt, diese Probleme gleich zu vermeiden und schnell handlungsfähig zu sein - egal, ob das Geschäft gerade läuft oder nicht. Ressourcen und Budget jederzeit reduzieren zu können, ist für mich ebenfalls Teil von Agilität.

CW: Sie berichteten im Rahmen einer Projektpräsentation, dass Sie für eine optimale IT-Sicherheit den Fokus vom Netzwerk und vom Gerät auf die Applikationen selbst transferieren mussten. Wie genau meinen Sie das?

HUET: Wenn ich mir heutige WLAN- und 4G-Verbindungen zu unseren mobilen Anwendungen anschaue, reicht die Betrachtung des Netzwerks oder der einzelnen Geräte längst nicht mehr aus - dann habe ich nur 30 Prozent des Ganzen im Blick. Wenn ich hingegen alles kontrollieren möchte, muss ich den Security-Blickwinkel auf die Anwendungen verlagern. Dann spielt es bezogen auf das Sicherheitslevel auch keine Rolle mehr, ob sich jemand vom Büro, Flughafen oder von wo auch immer verbindet.

CW: In welchen Unternehmensbereichen und für welche Anwendungen setzen Sie Cloud-Identity-Services ein?

HUET: Überall mit Ausnahme der SAP-Systeme, die wir noch inhouse betreiben. Wir arbeiten aber gerade daran, auch diese zu virtualisieren, um den Zugriff per Web zu ermöglichen. Bei allen anderen Anwendungen ist das bereits möglich - wir haben gemeinsam mit unserem IAM-Dienstleister Centrify dafür ein Portal entwickelt, über das die Mitarbeiter auf alle Applikationen zugreifen können und einen Zugangskontrollpunkt eingeführt, den es früher nicht gab. Über dieses Portal können die User zudem beispielsweise ihre Passwörter verwalten.

Ein praktisches Beispiel: Auf meiner letzten Dienstreise zurück aus den USA ist mein Notebook abgestürzt. Im Flugzeug hatte ich damit eine wichtige Präsentation vorbereitet, die ich zum Glück noch rechtzeitig mit meinem mobilen Konto abgleichen und später im Büro dann vollständig auf mein iPad übertragen konnte, ohne dass etwas verloren gegangen war. Im Folgenden arbeitete ich eine ganze Woche per Tablet, bis ein neuer Rechner startklar war. Natürlich war das eine Umstellung, aber es ging - ohne Zeitverzug, ohne Einschränkungen bei den Anwendungen.

Der mobile Zugriff auf Firmenanwendungen muss genauso sicher erfolgen wie der stationäre. Deshalb spielt die Identitätsverwaltung so eine große Rolle.
Der mobile Zugriff auf Firmenanwendungen muss genauso sicher erfolgen wie der stationäre. Deshalb spielt die Identitätsverwaltung so eine große Rolle.
Foto: igorstevanovic - www.shutterstock.com

Wichtig: Kennzahlen und Reporting

CW: Die IT-Abteilung bei Rémy Cointreau besteht aus 50 Leuten. Spielt die Größe von IT-Teams bei der Wahl für oder gegen Cloud-Identity-Services eine entscheidende Rolle?

HUET: Das kommt darauf an, wie groß die Projekte sind. Wenn sie der Teamgröße angemessen oder sogar mehrere Projekte parallel problemlos umsetzbar sind, geht das auch ohne solche Dienste. Entscheidend bei Cloud-Services ist nicht, dass sie in der Cloud liegen, sondern, dass Sie sie nicht mehr selbst verwalten müssen. Das wiederum führt dazu, dass das Reporting wichtiger wird, weil Sie die Nutzerverwaltung nicht mehr komplett selbst steuern können. Darum entwickeln wir gerade Kennzahlen, um ein aussagekräftiges Reporting erstellen zu können. Ich finde es wichtig, einen guten Überblick über alle unsere Cloud-Dienste zu bekommen. Dafür arbeiten wir an einem ebenso einfachen wie einheitlichen Dashboard, das uns eine zentrale Übersicht liefert. Derzeit haben wir nämlich noch Reportings an allen Ecken und Enden, jede Anwendung liefert ihre eigenen Daten.

Es geht auch darum, dass unsere IT-Mitarbeiter ihre Rollen verändern - aus Entwicklern werden Dienstleister, die Services und Kennzahlen bauen und verwalten. Aus dem klassischen Systemadministrator oder Netzwerkadministrator wird zunehmend eine Art Cloud-Administrator, der sich um den Aufbau neuer Cloud-Services kümmert. Dieser Wandel stellt das IT-Team vor Herausforderungen.

CW: Sie haben sich im Bereich der Cloud Identity Services bewusst für Centrify entschieden - einen spezialisierten IAM-Anbieter - und keinen der großen IT-Hersteller, die alle möglichen Services offerieren. Warum?

HUET: Es geht um Agilität und Innovationskraft. Wir haben in der Vergangenheit viel mit IBM zusammengearbeitet, die eine Menge Lösungen anbieten - das machte die Sache aber auch so komplex, dass sie selbst häufig nicht genau wussten, was sie liefern können und was nicht. Wir sind selbst eine kleine Firma und wollten deshalb auch mit einem kleineren Anbieter zusammenarbeiten, der hohe Qualität und großes Fachwissen bietet, gleichzeitig aber auch sehr schnell Innovationen umsetzen kann. Wir stehen in direktem Kontakt zum Entwicklerteam des Centrify Identity Service und können Rückmeldungen zu den Produkten geben - die auch berücksichtigt werden. Und zwar innerhalb von Monaten, nicht von Jahren, wie es beispielsweise bei HP oder IBM der Fall wäre. Wenn diese Dickschiffe zudem wieder einmal ihre Strategie ändern, können Sie als Kunde ziemlich schnell in Schwierigkeiten kommen.

Wir bevorzugen deshalb einen kleinen Anbieter, bei dem wir merken, dass wir als Kunde wichtig sind und dass es sich um eine gleichberichtigte Partnerschaft handelt. Deshalb ist es mir beispielsweise auch wichtig, über unser Identity-Management-Projekt mit Centrify zu berichten.

Zufriedene Mitarbeiter das Wichtigste

CW: Wie sieht Ihr Resümee des Projekts bis jetzt aus?

HUET: Positiv überrascht hat mich, wie gut die Mitarbeiter die Umstellung des Mobile Device Managements grundsätzlich angenommen haben - aufgrund dessen, dass sie nun sowohl auf ihrem Notebook als auch auf ihrem mobilen Geräten das gleiche Nutzererlebnis haben und die gleichen Anwendungen überall in gleicher Weise nutzen können. Das half uns übrigens sehr im gesamten Change-Management-Prozess, normalerweise dem klassischen Schwachpunkt eines jeden Projekts. Wir verändern schließlich die Arbeitsweise der Menschen - neue Dienste wie das Anwendungsportal oder Single Sign On sind da nur die produktiven Teile des Ganzen. In unserem Hauptquartier in Paris stellen wir das Arbeitsplatzkonzept gerade komplett auf offene Großraumbüros und Heimarbeitsplätze um - immer mehr Mitarbeiter arbeiten mobil und nutzen gar keinen Desktop-PC mehr. Das müssen wir abbilden.

Auf der technischen Seite hatten wir durchaus einige Schwierigkeiten mit der Implementierung neuer Features, die sich nicht mit unserer bestehenden Infrastruktur vertrugen. Hier haben die Centrify-Entwickler aber immer schnell reagiert und alle auftretenden Probleme in der Regel innerhalb einer Woche beheben können.

Wenn etwas nicht läuft, ist in den Augen der Mitarbeiter grundsätzlich immer die IT-Abteilung schuld. Das mussten wir uns im Team auch selbst immer wieder klarmachen: Wir sollten den Projekterfolg nicht daran messen, wie gut etwas implementiert oder dokumentiert ist, sondern nur daran, wie zufrieden unsere Nutzer sind. Das müssen wir sicherstellen und das ist auch in meinen Augen der Kern des digitalen Wandels. Mein wichtigstes Ziel ist es, dass die Mitarbeiter ihre Arbeit machen können, ohne überhaupt nachdenken zu müssen, von wo aus, mit welchen Geräten und welchen Tools sie das tun.

Mehr zum Thema?

Neun Gründe für sichere Identitäten in der Cloud

So schützen Provider die Cloud-Identitäten