„Zentrale Fragen des Identity Management”

Präsentation zum Thema: "„Zentrale Fragen des Identity Management”"—  Präsentation transkript:

1 „Zentrale Fragen des Identity Management”
Workshop „Identity Management“ „Zentrale Fragen des Identity Management” Version 0.1 Dr. Horst Walther 15:30 – 16:00 Dienstag, , Achat Plaza Hotel in Offenbach

2 Introduction Wahre Geschichten Zentrale Fragen des Identity Management
Begriffe rund um das Identity Management Die digitale Identität Eine multi-domain-Sicht auf die Identität Was ist Identity Management? Lebenszyklus einer digitalen Identität Prozesse des Identity Management Gruppen von Identity Management Prozessen Identity Administration Community Management Identity Integration Die 7 Identitätsgesetze

3 Barings Bank – ein Beispiel
1995 ging die Barings-Bank zum Preis von einem Pfund an den holländischen ING-Konzern. Die Bank der britischen Könige war seit war seit 1762 eine der feinsten Londoner Adressen. Bis 1992 Nick Leeson in Singapur begann Preisdifferenzen zwischen japanischen Derivaten auszunutzen. Es entstand ein Verlust von 1,4 Milliarden Dollar. Leeson wurde wegen Urkunden-fälschung, Untreue und Betrugs zu 6 ½ Jahren Haft verurteilt. Leeson hatte den Handel mit Finanzderivaten in Singapur und die Back-Office Funktionen wo die Trades kontrolliert wurden, geleitet. - ein katastrophaler Mix. Eine rollenbasierte Aufgaben-trennung hätte weniger gekostet.

4 Geschichten die das Leben schrieb (1)...
Ferngespräche frei! Ein Top-Manager eines Telekom-Providers zog in ein neues Haus ein. Seine Telephonkosten wurden weder ermittelt noch ihm berech-net. Als er das Unternehmen verließ, wurde (folgerichtig) vergessen, den Anschluss zu sperren. In der Zwischenzeit ging das Haus durch mehrere Hände. Schließlich wurde es offen mit dem Vorzug eines freien Tele-phonanschlusses angeboten.

5 Geschichten die das Leben schrieb (2)...
Das überzählige Kabel Einer meiner Mitarbeiter, ein Novell Administrator, hatte das Unternehmen vor 2 Jahren verlassen und sich selbständig gemacht. Etwa 6 Monate später habe ich ein Kabel mit unbekannter Funktion entdeckt. Es ließ sich bis in das Büro eines benachbarten Rechtsanwalts ver-folgen. Dessen Sekretärin loggte sich in unseren Server ein und benutzte unsere Ressourcen. Mein Ex-Mitarbeiter stellte Ihr dafür monatlich eine Rechnung. Außer meiner Frau habe ich Niemandem je etwas davon erzählt.

6 Zentrale Fragen des Identity Management
Was ist Identity Management? Wozu wird Identity Management benötigt? Welche Unternehmens- prozesse berührt Identity Management? Wie kann Identity Management zu anderen Disziplinen abgegrenzt werden? Welche Stellen und Verantwortlichkeiten arbeiten mit Identity Management? Warum gerade jetzt Identity Management? Was bedeutet das für Finanz-dienstleister?

7 Begriffe rund um das Identity Management
SAML / DSML / PSML / XCAML MS Passport – Liberty Alliance Virtueller Verzeichnisdienst Verzeichnisdienst Role Based Access Control User Provisioning Metaverzeichnisdienst Rollen Engineering ? Directory Service Trust Management Meta-Directory Service Berechtigungs-Management User Management Identity Management Authentifizierung Public Key Infrastructure Extranet Access Management Authentisierung Autorisierung Single Sign On Federated Identity Management Digital Identity X.500 / X.509 / LDAP / LDIFF / LDUP

8 Die digitale Identität
Die digitale Identität lässt sich gut mit einem Schalenmodell beschreiben. Beschreibung z.B.: Addresse Zertifikate z.B.: Signatur Existenz z.B.: ID z.B.: Kunden Profil Rollen & Berechtigungen z.B.: Mitarbeiter Profil z.B.: Lieferanten Profil Der Kern - Existenz: eindeutige Identifikation. “ID”, Name, Nummer natürliche oder juristische Person, Anwendung oder Hardwarekomponente. Gleiche Gültigkeit wie Objekt      Die erste Schale - Zertifikate: Zertifikate, unterschiedlich stark Password bis qualifizierte digitale Signatur Die zweite Schale - Beschreibung: rollenunabhängige gemeinsame Attribute aus, Adressinformationen charakteristische Merkmale. Die dritte Schale - Kontext: Rolle Berechtigungen Vergleichbar in analogen Welt mit einem Reisepass mit Visa für den Grenzübertritt

9 Eine multi-domain-Sicht auf die Identität
Berechtigung Rolle Persona Individuum Identität Das Individuum … Wird durch seine Identität bestimmt, Besteht aus mehreren personas, Von denen jede mehrere Rollen unterstützt, Jede verbunden mit einem Satz an Berechtigungen aund anderen Ressourcen several access rights may be bundled to a role. In my company the SiG I have the role of being ... my own principal consultant, a role of being the president and well, that's true, the most important (and only) shareholder. The sum of all my business roles form my business "persona"!  It adds a helpful structure to this weakly defined discipline. But going further I have to admit, that I not only flesh out .. my business persona, but - rarely enough – my family persona, my globetrotter persona, etc. So, what's the sum of all these Personas? As Andre Durand of PingID suggested that's the Identity, to our opinion the Identity is just the OID, the Object ID, a universal unique Identifier, which may indeed occur in several different incarnations (all the ID's I'm associated with). We think, we should call it the "Individual". - I'm the individual. The schizophrenia of modern life splits me into several personas, which each of them incarnates several roles, each supplied with a rich set of entitlements and other resources.

10 Modelle der Identitätsgültigkeit
Das Silo-Modell Das Federated Model

11 Was ist Identity Management?
Es gibt kein gemeinsames Verständnis über den Begriff Identity Management Analysten und Hersteller verwenden die Begriffe ... “Identity Management,” (Microsoft, Forrester Group) “Identity and Access Management,” (Gartner Group , Burton Group) „Secure Identity Management“ (Novell, Entrust, SUN) und weitere … Source: Forrester research Unsere Definition: Identity Management ist das ganzheitliche Management von digitalen Identitäten.

12 Lebenszyklus einer digitalen Identität
Identity Management befasst sich mit ... Erzeugen Ändern registrieren, Verteilen bereitstellen integrieren transformieren, Verwenden, Terminieren und Archivieren Identity Management deckt alle Prozesse zur Behandlung einer digitalen Identität während des gesamten Lebenszyklus ab.

13 Prozesse des Identity Management
Die Prozesse des Identity Management lassen sich gruppieren ... Nach operativ und dispositiv operativ: authentisieren und autorisieren dispositiv: verwalten digitaler Identitäten Nach fachlich und physisch fachlich: verwalten und verwenden physisch: integrieren, transportieren, transformieren und publizieren Nach Existenz, Zertifikat und Kontext anlegen, erfassen, ändern, löschen zertifizieren, widerrufen zuweisen, ändern, entfernen von Rollen und Berechtigungen authentisieren autorisieren erzeugen zertifizieren transportieren ändern archivieren operativ dispositiv strategisch Jede Klassifizierung hat ihren besonderen Wert.

14 Gruppen von Identity Management Prozessen
Gruppierung auf der obersten Ebene Identity Administration – die dispositive Ebene Verwalten von digitalen Personenidentitäten, ihren Beziehungen zur Organisationseinheit und die Zuweisung von Ressourcen. Community Management – die operative Ebene Authentisierung, Bereitstellen / Publizieren und Autorisierung von Personen gemäß ihren digitalen Personenidentitäten. Identity Integration – die übergreifende Aufgabe Mechanismen für die Aktualisierung und Synchronisation von digitalen Personenidentitäten, die verteilt und teilweise redundant gehalten werden. Quelle: Microsoft Die bisher umfassendste Definition stammt von Microsoft.

15 Identity Administration
Gruppierung auf der Ebene 2 Existence Context Provisioning Identity Administration Verwalten von digitalen Personenidentitäten, ihren Beziehungen zur Organisationseinheit und die Zuweisung von Ressourcen. Existence Erzeugen, Verwalten, Synchronisieren von digitalen Personen-Identitäten. Context Verwalten der Beziehungen von Personen zur Organisation (Rollen) und ihren Ressourcen (Rechte). Provisioning Versorgen von Personen mit den ihrer Rolle entsprechenden Ressourcen und einbringen der Zugriffsrechte in die Zielsysteme, die die Ressourcenzugriffe steuern. Provisioning Context Identity Administration Existence

16 Community Management Gruppierung auf der Ebene 2 Authentisierung, von Personen gemäß ihren digitalen Personenidentitäten und Bereitstellen / Publizieren Autorisierung. Authentication Authentisierung, ist der Prozess der Verifikation der Identität anhand von Zertifikaten im allgemeinen Sinne. Authorisation Autorisierung ist der Prozess, Personen gemäß ihrer digitalen Personenidentität (Existence) und der über ihre Rolle im Unternehmen definierten Zugriffsrechte (Context) den Zugriff auf Ressourcen zu gestatten oder zu verweigern. Rendezvous Zusammenstellen und Publizieren von Adressbüchern, Verzeichnissen, Kalenderfunktionen für Terminvereinbarungen, Online-Meetings und gemeinsamer Ressourcennutzung. Authentication Rendezvous Authorization Community Management Companies need to promote collaboration among employees and partners, automate supply chains and respond more quickly to customers. Inside the company, digital communities make possible new forms of interaction and collaboration that can result in innovative ideas. They also speed implementation of those ideas to create new business opportunities. Outside the company, Internet-connected digital communities allow employees, partners, and customers to quickly find the right person, and interact and share resources in real-time from anywhere, at any time. This creates a new level of interaction, personal service and efficiency for all parties involved. Just as a business computing system must map internal business practices to digital infrastructure, it must also digitally represent, manage and foster relationships between and among employees, partners and customers. Digital community management is an extension of identity administration that includes collaboration and relationships between internal and external identities. The goal of community management is to promote synergy between and among employees, partners and customers with confidence that company resources are protected from misuse. There are three primary functions that make up community management: authentication, rendezvous, and authorization. Authentication focuses on providing proof of identity—particularly with external identities. Rendezvous includes connecting resources and people with each other. Authorization consists of granting of rights and privileges to appropriate resources.

17 Identity Integration Zusammenführung, Aktualisierung und Synchronisation von digitalen Personenidentitäten und Berechtigungen, die verteilt und teilweise redundant gehalten werden. Connection Mechanismen, die Eigenschaften von Verteilung und Heterogenität überwinden helfen. Technisch sind das Konnektoren zum Zugriff auf Standard Verzeichnisse (z.B. LADP, DAP, ANS-SQL) oder Nicht-Standard-Verzeichnisse. Brokerage Mechanismen, die es gestatten Attribute unterschiedlicher Informationsobjekte aufeinander abzubilden. Technisch realisiert z.B. über Regelmaschinen, die auf einem Satz definierter Abbildungsregeln operieren. Ownership Mechanismen, die bei redundant gespeicherten Informationsobjekten festlegen (und überwachen), in welcher (autoritativen) Quelle bestimmte Attribute führen geändert werden dürfen. Gruppierung auf der Ebene 2 Identity integration focuses on creating a holistic view of the identity information scattered throughout an enterprise. This requires recognizing the identity ownership roles of individual systems and establishing business rules for how identity data is maintained across the enterprise. Many companies have implemented applications for specific departmental or divisional functions. While these systems are often well suited for their specific function, they are frequently incapable of communicating with other systems. As a result, each system manages its own digital identity as an island within the overall computing infrastructure. Enterprise identity represents the intersection of identity information scattered throughout an organizations computer systems. The goal of identity integration is to provide a consistent, accurate representation of identities and relationships across heterogeneous systems. There are three components of identity integration: connection, brokerage, and ownership. Connection focuses on promoting communication between systems. Brokerage involves translating and interchanging identity information between systems. Ownership includes identifying the authoritative roles of individual systems across the organization with regard to managing identity information. Connection Brokerage Ownership Identity Integration

18 Ressource Provisioning Prozesse
Gruppierung auf der Ebene 3 Provisioning … Versorgung mit Ressourcen die automatisierte Zuweisung von Berechtigungen zur Systemnutzung. Änderung der Geschäftsrolle (Beförderungen, Abteilungswechsel) und Ausscheiden eines Mitarbeiters. De-Provisioning ... Unterstützung der Änderung und des Entziehens von Ressourcen. Aus Sicherheitsgründen wichtiger als das Provisioning. Begleitende Prüfprozesse: Abgleich der tatsächlichen Zugriffsrechte in den Systemen (Ist) mit den vergebenen Rechten (Soll) überein? Manuelle Beantragung und Vergabe von Einzelrechten ... Die Rechtestruktur eines Unternehmens lässt sich mit vertretbarem Aufwand nicht vollständig über ein Rollenmodell abbilden. Die semiautomatische Versorgung von Systemen, für es nicht möglich ist oder sich nicht lohnt, Konnektoren zu erwerben oder zu erstellen. Liste der Prozesse

19 Provisioning - Produktivität und Sicherheit
Mitarbeiter Vorgesetzter System Owner System Administrator Einstellung oder neue Funktion Zugriffsrecht beantragen Zugriffsrecht genehmigen Konto einrichten Produktivitätsverlust Vorgesetzten benachrichtigen Mitarbeiter benachrichtigen Beginn der Tätigkeit Kündigung oder neue Funktion Über Änderung informieren Sicherheitsrisiko Über Änderung informieren Konto löschen/ändern

20 Liste Provisioning-Prozesse
Anwender (Existence) Hinzufügen eines Anwenders Entfernen eines Anwenders Ändern eines Anwenders (Name, Abteilung, Vertragsende) Rolle (Context) Hinzufügen einer Rolle (und Zuweisen der damit verbundenen Rechte, auch über „Klonen“ oder über Vorlagen / Templates) Entfernen einer Rolle (auf die keine Referenz mehr existiert) Ändern einer Rolle. Prüfen auf Konfliktfreiheit Konto (Context) Vergeben individueller Rechte, Entziehen individueller Rechte, Zuordnen zu einer Rolle Lösen von einer Rolle Konten unwirksam werden lassen (Ausscheidedatum erreicht) Wiederinkraftsetzen abgelaufener Konten (Ausscheidedatum erreicht) Passwort setzen (Initial-Passwort und Neuvergabe) Regel (Context) Hinzufügen einer Regel Entfernen einer Regel Ändern einer Regel Genehmigungsstellen (Provisioning) Hinzufügen einer Freigabeautorität (mit Vertretungsregelung), Entfernen einer Freigabeautorität, Ändern einer Freigabeautorität, Information (Provisioning) Information des Anwenders über eigene Zugriffsberechtigungen Information des Verantwortlichen über die Zugriffsberechtigungen Dritter Information des Anwenders über den Status eines Antrages auf Rechtevergabe, Abgleich (Provisioning) Feststellen von Abweichungen der Rechte in den Zielsystemen vom Sollzustand (Hacker, Prozessmängel, Managementfehler, …) Bericht (Provisioning) Berichten der Rechtestruktur pro System oder Organisationseinheit,

21 Interface zu anderen Prozessen Messungen Qualitätskontrollen
Was ist ein Prozess? Fundamentale Prozesse laufen vom „Kunden“ zum „Kunden“ Support-Prozesse erzeugen Zwischenergebnisse und speichern sie. Teilprozesse werden zur Wiederverwendung aus Prozessen mit gemeinsamen anteilen heraus faktorisiert. „Essentielle“ Prozesse nehmen eine fachliche Transformation vor. „Physikalische“ Prozesse verändern nur Ort, Format oder Sprache. Interface zu anderen Prozessen Normen Standards Messungen Qualitätskontrollen Tansformation Metriken sind Teil der Modellierung Startpunkt der Modellierung sind fundamentale, essentielle Prozesse.

22 User control and consent Minimal disclosure for a constrained use
The 7 Laws of Identity Kim Cameron’s “Laws of Identity,” at the system level User control and consent Minimal disclosure for a constrained use Justifiable parties Directed identity Pluralism of operators and technologies Human integration Consistent experience across contexts Kim Cameron, Architect of Identity and Access Microsoft Corporation

23 Warum die 7 Identitätsgesetze?
Wir müssen in der Lage sein, unser Verständnis der digitalen Identität zu strukturieren. Wir müssen einen Weg finden, nicht immer mit einem leeren weißen Blatt zu beginnen, wenn wir über die digitale Identität sprechen. Wir müssen das Denken der Menschen beeinflussen, indem wir die Erfolge und Misserfolge von Identitätssystemen seit den 70ern erklären. Wir müssen aus unserer Beobachtung heraus eine überprüfbare Hypothese entwickeln. Unsere Ziele müssen pragmatisch darauf ausgerichtet sein, die Eigenschaften eines vereinheitlichenden Identitäts-Metasystems zu definieren. Die Identitätsgesetze bieten einen „guten Weg“ zum Ausdruck dieser Gedanken. Neben der bloßen Konversation bietet die Blogosphere die Feuerprobe, um die Gesetzte zu härten und zu vertiefen. The role of the laws was to be able to structure our understanding of digital identity. It's a deep conversation. I call myself the hair on the end of the long tail. This is not widespread conversation. I hope it is going to be held amongst a growing number of people, since we need to involve policy thinkers, legal thinkers. The solution involves more than simply technology. Not a microscopic conversation, but not a “Gone with the wind” blockbuster. When we do start discussing identity, do we always have to come back to a tabula rasa? Preventing this is what the laws are all about. We paid hard for our understanding of identity. It's a matter of watching peoples’ careers almost go down the drain for doing identity. We need to seize the things we've learned over time. We need to develop hypotheses, and they have to be testable. We need goals that are pragmatic, that have a specific aim. I want to come back to this idea of the blogosphere. I couldn't have done this except through the blogosphere. There is an actual tempering. There is a hardening and an all-sidedness that emerges through this discussion that I would not be able to achieve as an individual thinker. And it's not over – the discussion continues…

24 Begriffsdefinitionen
Digitale Identität Ein Satz von Ansprüchen eines digitalen Objektes über sich selber oder über ein anderes digitales Objekt. Digitales Subjekt Die beschriebene oder behandelte Person (oder ein Gegenstand) in der digitalen Welt. Geräte, Computer, Ressourcen, Vorschriften, Beziehungen Anspruch Die Behauptung, dass etwas wahr ist, was in Zweifel gezogen worden ist. Ein Identifikator Wissen oder ein Geheimnis Persönlich identifizierende Informationen Mitgliedschaft in einer bestimmten Gruppe (z.B.: Personen unter 18) Sogar eine Befähigung Diese Definitionen umfassen Kerberos, X.509, SAML und sich neu entwickelnde Techniken. Here's some words that allow dialogue. Digital identity is a set of claims made by one digital subject about itself or another subject. Digital subject is a person or thing represented in the digital realm which is being described or dealt with. Claim: An assertion of the truth of something, typically one which is disputed or in doubt. Could include knowledge of a secret, PII (personally identifying information), even a capability can be a claim. These definitions embrace Kerberos, X.509, SAML. They take this problem of the evaluation of the usefulness of a digital identity up to a higher level in the systems sense of multiple layers. These definitions separate the layer of where stuff is communicated from the layer where evaluations are done – a very important step forward.

25 Ein Identitäts-Metasystem
Die unterschiedlichen Bedürfnisse der Beteiligten verlangen nach einer Integration der vielfältigen beitragenden Techniken. Das sehen wir in der IT-Welt nicht zum ersten Mal ... Denken Sie zurück an so grundlegende Dinge wie abstrakte Display Services, die durch Geräte Treiber möglich wurden. Oder das Aufkommen von Sockets und TCP/IP Unified Ethernet, Token Ring, Frame Relay, X.25 and sogar die „unerfundenen“ Drahtlos-Prototolle Wir brauchen ein “vereinheitlichendes Identitäts-Metasystem” Um die Anwendungen vor der Komplexität der Systeme zu schützen, Das es ermöglicht, digitale Identitäten „lose“ zu koppeln. Vermeide es Dich a priori auf dominante Technologien festzulegen – sie werden sich aus dem Ökosystem entwickeln. An identity metasystem: Diverse needs of players mean integrating multiple constituent technologies. Analogy to displays. Over time things evolved to an abstraction of a graphic surface we programmed to. Device drivers sat between this abstract display and the actual hardware devices. The hardware devices became loosely coupled to the abstraction layers. Made it easier to write to them and to create new hardware devices. Hey, plug in, it works, but it's clearer, or has some advantages. TCP/IP didn't make Ethernet, TR, FR, X25 disappear. They continued to exist. That and sockets. All of a sudden you can develop applications without knowing if they had TR or Ethernet. Even wireless was able to come in and use the abstractions that were defined. We require the same kind of metasystem at the level of identity to provide this missing layer of the Internet. Protect the applications from the complexity of systems, and have identity be loosely coupled. We see new concepts coming out of the university environment. We're not at the end. Part of my work is to make contact with the innovators. Ways and systems that can have very nice properties for privacy, reliability, accountability. We need to allow solutions to come out of an ecology.

26 The 7 Laws of Identity – die 7 Identitätsgesetze
1. User Control and Consent 2. Minimal Disclosure for Limited Use 3. Justifiable Parties 4. Directed Identity 5. Pluralism of Operators and Technologies 6. Human Integration 7. Consistent Experience Across Contexts 1. Steuerung und Zustimmung durch den Benutzer 2. Minimale Offenlegung für beschränkte Nutzung 3. Berechtigte Parteien 4. Gerichtete Identität 5. Vielfalt von Akteuren und Technologien 6. Menschliche Integration 7. Einheitliche Erfahrung über alle Umgebungen

27 1. Steuerung und Zustimmung durch den Benutzer
Die Systeme, die die Digitale ID bearbeiten, dürfen Benutzer identifizierende Informationen nur mit der Zustimmung des Benutzers offen legen. Bequeme und einfache Veröffentlichung Müssen sich das Vertrauen des Benutzers verdienen, um Bestand zu haben. Dazu bedarf es ... einer ganzheitlichen Verpflichtung einer Steuerung durch den Benutzer, wie die Identität genutzt wird und welche Information frei gegeben wird. eines Schutzes gegen Betrug der Information der Benutzer bei bei Prüfaktionen der Beibehaltung des Prinzips der Zustimmung in alles Umgebungen. Digital identity systems must only reveal information identifying a user with the user's consent. Because of the pivotal role of the user. Even in prison the user can make the system really ineffective, but in the Internet the user has control. We can appeal through means of convenience and simplicity. Otherwise enough people reject the system that it doesn't become unifying. It's a system integrity issue, making sure the system isn't fundamentally divisive. This requires a holistic commitment. We need to put the user in control of what identities are used and what information is released. We need to protect against deception, both of info going to the wrong destination, and not understanding its intended use. We have to retain the paradigm of consent across all contexts. I think even when people sign into a corporate network, they are giving their consent. That isn't always clear however.

28 2. Minimale Offenlegung für beschränkte Nutzung
Die Lösung, die die geringst mögliche identifizierende Information bekannt gibt und die Verwendung am besten begrenzt, wird die stabilste Langfristlösung sein. Informations-Lecks sind unvermeidbar. Zur Risikobegrenzung dürfen Informationen nur nach den Prinzipien“nötig zu wissen“ und „nötig zu speichern“ beschafft und gespeichert werden. Weniger Information heißt weniger Wert heißt weniger Attraktivität heißt weniger Risiko. “Die geringst mögliche identifizierende Information” enthält: Verringerung von bereichsübergreifenden Informationen (universelle IDs) Anspruchstransformation um die Identifikation zu erschweren (z.B.: „älter als 18“ statt „23 Jahre alt“ Kein Horten von Informationen für nicht genannte spätere Zwecke. Relativiert wird dieses Gesetzt bei „Informations-Katastrophen“. 2. Minimal disclosure for limited use. The solution that discloses the least identifying information and best limits its use is the most stable long term solution. Don't ask for a SSN if all you need is a music preference. If you do, you're increasing your risk. If you did that in other aspects of business, you'd be fired. Be creative about achieving this minimalism. The date allows triangulation of personal identity; to get into a bar, age is all that's necessary. If you don't do this, you do become a target, as happened for example at the University of California. Why did they have information like SSN? [Q: Do they need to keep the birthdate? A: Anything they can forget they should forget. Studies show this. Let's not have everything everywhere, any more than we have to. I'm asking people to consider the reduction of risk. The systems that conform to that aren't going to be the Choicepoints of tomorrow.]

29 3. Berechtigte Parteien Digitale Identitäts-Systeme dürfen identifizierende Informationen nur an Parteien herausgeben, die einen notwendigen und berechtigten Platz in der Identitätsbeziehung haben. Dem Benutzer muss klar sein, wer die Information erhält. Die Berechtigung bezieht sich auf den Anwendungsfall und die Partei. In welchen Umgebungen werden Regierungsidentitäten erfolgreich oder erfolglos sein? Das gilt auch für Mittelspersonen (Rechtsvertreter, Bevollmächtigte) Die Parteien einer Informationsoffenlegung müssen den Verwendungszweck angeben. Strafverfolgung macht den Staat nicht zu einem Partner für die Offenlegung im üblichen Sinne. 3. Justifiable parties. Digital identity systems must limit disclosure of identifying information to parties having a necessary and justifiable place in a given identity relationship. Justifiable from the point of view of ALL those participating in the relationship. Users should be aware of who all these parties are. Some argue Passport was a complete and dismal failure. But in its role as an MSN identity provider, Microsoft's passport was very successful. Used by 250m people/day, does 1b authentications/day. Yet it was a failure in providing a generalized authentication service for the Internet. People want a relationship with MS segregated within a particular context that makes sense to them: their relationship to Microsoft. It's not appropriate in their relationship with Amazon or eBay. And which parties offering Web services want a Microsoft between them and their customers? Not hard to figure out why they don't want to. Whatever I'm proposing is not the son of Passport. It's a call to study our experiences and see them in an all-sided way.

30 4. Gerichtete Identität Ein vereinheitlichendes Identitäts-Metasystem muss sowohl „omnidirektionale“ IDs für öffentliche Objekte wie auch „unidirektionale“ Identifikatoren für private Objekte (Personen) unterstützen. Die digitale Identität ist immer gegenüber einer anderen oder einem Satz anderer Identitäten gegenüber erklärt. Öffentliche Objekte erfordern allgemein bekannte Signale. Beispiele: web Seiten oder öffentliche Vorrichtungen Private Objekte (Personen) erfordern die Option to kein Signal zu senden. Unidirektionale Identifikatoren in Verbindung mit Einzel-Signalen: keine Handhabe für Korrelationen Beispiele: Bluetooth und RFID – wachsende Rückschläge Wireless LAN hatte in diesem Sinne ebenfalls Entwurfsfehler. 4. Directed identity. A universal identity metasystem must support both “omni-directional” identifiers for public entities and “unidirectional” identifiers for private entities. This was a shocker for me because our current systems need a lot of fixing in this regard. Public entities like Web sites should have an identity beacon. Same for public devices. This microphone is a public thing – everyone can see it. It can have a public identifier. Private entities like people need the option not to be turned into a beacon. This Bluetooth phone makes me into a beacon. Anyone interested in getting back at me can tune into my beacon. There are things that need to be public, and things that need not to be public. Unidirectional and voluntary overlap but are not the same. Even public figures want to be able to purchase books and not have that be a beacon. Not only is Bluetooth designed wrong from this point of view, but RFID uses beacons too. You can imagine remote detonation devices triggered by your very passport identification technology. Such technologies are not suitable to be impregnated in our children. Private individuals need systems that only respond to legitimate beacons that they can trust. It has to be more than just a unidirectional identifier. The shocking thing is we have designed all this wonderful technology in a very naïve way.

31 5. Vielfalt von Akteuren und Technologien
Ein vereinheitlichendes Identitäts-Metasystem muss die Zusammenarbeit von vielfältigen Identitätstechniken unterschiedlicher Identitätsherausgeber kanalisieren und ermöglichen. Eigenschaften, die ein System in einer Umgebung ideal erscheinen lassen, disqualifizieren es in einer anderen. Beispiele: Regierung vs. Arbeitgeber vs. Individuum als Verbraucher oder (schlicht) Mensch. Verlangt nach einer Trennung der Umgebungen. Im entstehen befindliche wichtige neue Techniken – dürfen nicht an einer einzigen Technologie “kleben“ oder ein „Gabelstapler“-Upgrade erfordern. Konvergenz darf sein, aber nur, wenn es eine Plattform gibt (Identitäts-Ökosystem), in dem sie stattfinden kann. 5 Pluralism of operators and technologies. A unifying indentity metasystem must channel and enable the inter-working of multiple identity technologies run by mulitple...

32 6. Menschliche Integration
Ein vereinheitlichendes Identitäts-Metasystem muss den menschlichen Nutzer als durch eine geschützte und über alle Fragen erhabene Mensch-Maschine-Kommunikation integriert definieren. „Bei der Sicherung der ersten km haben wir gute Arbeit geleistet, aber auf den letzten 2 Metern Lücken gelassen.“ Die Strecke zwischen dem Bildschirm und dem Gehirn ist bedroht. Wir müssen vom Nachdenken über Protokolle zu einem Denken in Zeremonien (Verfahren) kommen. Wie bekommen wir die höchste Zuverlässigkeit der Kommunikation des Benutzers mit dem Rest des Systems? 6. Human integration. A unifying identity metasystem must define the human user to be a component integrated through protected and unambiguous human-machine communications. You can have an SSL connection that is completely secure for 5000 miles – but which connects to the wrong party. And most people will be unable to tell. That is because the last 2 feet of the connection – between the computer display and the human brain – can be intercepted in such a way that the user doesn’t understand who he is connecting with. The channel between the display and the brain is under attack. We need to move from thinking in terms of protocols to thinking about cermonies. For example if you listen to a conversation between a pilot and air traffic control - Channel 9 on United - you'll see an example of how very important communication can be done very reliably. It uses a very limited semiotic field – meaning only a limited number of words are allowed. No one can talk about their vacation in Barbados. It’s highly controlled and predictable. That limitation produces clarity and reliability. We need that kind of a clear and defined channel between us and the rest of the system when we're releasing identifying information.

33 7. Einheitliche Erfahrung über alle Umgebungen
Ein vereinheitlichendes Identitäts-Metasystem muss eine einfache und widerspruchsfreie Erfahrung bieten, während sie gleichzeitig die Trennung der Umgebungen über vielfältige Betreiber und Technologien ermöglicht. Identitäten gegenständlich machen – aus Ihnen “Gegenstände” auf dem Schreibtisch machen, damit die Nutzer sie sehen, untersuchen, Details hinzufügen und löschen können. Welche Art digitale Identität ist in jedem Kontext akzeptabel? Die Eigenschaften möglicher Kandidaten werden von einer vertrauenden Partei spezifiziert. Passende vergegenständlichte Identitäten die dem Nutzer gezeigt werden, erlauben es ihm, eine zu wählen und die damit verbundene Information zu verstehen. Eine einzelne vertrauenden Partei kann mehr als einen Identitätstypen wählen. Der Benutzer kann die für diesen Kontext für ihn beste Identität verwenden. Sehen Sie dies als synergetischen Ausdruck über alle Gesetze. 7. Consistent experience across contexts. A unifying identity metasystem must provide a simple consistent experience while enabling separation of contexts through multiple operators and technologies. Need to “thingify” identities – make them “things” on the desktop so users can see them, inspect details, add, delete. Example of a company where a new system was put in place allowing employees to access their 401(k) information using their employee identity. Much to the surprise of those working on the project, many employees were upset that this theoretically allowed the employer to see their private investments, including the state of their investments with other companies. Everything leads us back to the idea of putting the user in control. If we had a system where the user had a choice of identities, each user could gravitate to the one that made them feel safe in a given context. The 401(k) provider could then respect the user’s wishes. Again, this means we need to have a consistent experience across identifiers so people can select the identity they want in a given context.

34 Zu dieser Diskussion haben beigetragen …
Arun Nanda, Andre Durand, Bill Barnes, Carl Ellison, Caspar Bowden, Craig Burton, Dan Blum, Dave Kearns, Dave Winer, Dick Hardt, Doc Searls, Drummond Reed, Ellen McDermott, Eric Norlin, Ester Dyson, Fen Labalme, Identity Woman Kaliya, JC Cannon. James Kobielus, James Governor… Jamie Lewis, John Shewchuk, Luke Razzell, Marc Canter, Mark Wahl, Martin Taylor, Mike Jones, Phil Becker, Radovan Janocek, Ravi Pandya, Robert Scoble, Scott C. Lemon, Simon Davies, Stefan Brandt, Stuart Kwan and William Heath Und Weitere …

35 Zusammenfassung Die unter uns, die mit und an Identitätssystemen arbeiten, müssen diesen Identitätsgesetzen gehorchen. Sie zu ignorieren, hat unerwünschte Konsequenzen zur Folge. Ähnlich einem Ingenieur, der die Gesetze der Schwerkraft missachtet. Indem wir den Identitätsgesetzen folgen, können wir ein Identitäts-Metasystem bauen, dass weithin akzeptiert werden und Bestand haben kann.

36 Gründe für ein Identity Management
Denken in kompletten Geschäftsprozessen ... verlangt eine einheitliche Infrastruktur. Isoliert pro Anwendung definierte Benutzeridentitäten und Zugriffsrechte behindern die Implementierung. Verschwimmende Grenzen ... Reduktion der Fertigungstiefe einzelner Unternehmen zugunsten eines Netzwerkes von Lieferanten und Abnehmern Der logischen Vernetzung folgt die elektronische Vernetzung. Im e-Business müssen Unternehmen ihr Inneres nach außen kehren. Externe Partner werden an bisher interne Geschäftsprozesse angeschossen. Unternehmensübergreifende automatisierten Zusammenarbeit ... Lässt sich nicht mit unternehmensweiten technischen Lösungen unterstützen. Standardisierte Formate, Protokolle und Verfahren lässt sind erforderlich Zugriffsrechte verlässlich über Unternehmensgrenzen hinweg weiterreichen. Ressourcenvirtualisierungen (Grid-Computing, Web-Services)... Erfordern eindeutige digitale Identitäten Automatisierte Rechteprüfungen.

37 Gründe für ein Identity Management
(Fortsetzung ..) Steigende Dynamik Der Wechsel wird zum Normalzustand. Mitarbeiter bleiben für kürzere Zeit mit einer Geschäftsrolle verknüpft. Sie wechseln Abteilungen, Sie arbeiten in Projekten. Sie gehen für einige Wochen zu einer Niederlassung. Zeitweise externe Kräfte benötigen interne Ressourcen. Höheres Sicherheitsbewusstsein Erfahrungen mit den Gefahren des Internet, Die hohe IT-Abhängigkeit Das aktuelle Weltgeschehen Ein "Leih' mir 'mal Dein Passwort!" wird heute nicht mehr akzeptiert. Externe Auflagen Die elektronische Verkettung von Geschäftsprozessen birgt Risiken. Behördliche Regelungen definieren entsprechende Anforderungen. Banken müssen nach Basel Accord II für die operativen Risiken (operational risks) ihrer internen Abläufe Rückstellungen zu bilden. Nur nachgewiesen geringere Risiken reduzieren diese Kosten.

38 Neue Anforderungen an die Sicherheitsarchitektur
Die Mittel der Kommunikation der Anwender ändern sich … Kunden Vertragspartner Internet Angestellte Niederlassungen Lieferanten

39 Die e-Business – Herausforderung (1)
Interoperabilität und Portabilität: Im e-Business müssen Unternehmen ihr Inneres nach außen kehren stark gekoppelt, beständig, innen schwach gekoppelt, dynamisch außen Extranets Interne Systeme & Daten Das Internet Mitarbeiter Partner Kunden Weniger bekannt unbekannt

40 Die e-Business-Herausforderung (2)
Die verschwimmenden Grenzen kehren das Innere nach außen … Die Erfordernisse das Netz zu „öffnen“ bescheren uns zwei gegenläufige Bewegungen flexibleren Zugang und strengere Sicherheit Sicherheitsmaßnahmen über logische und physische Grenzen hinweg. Anwendungen, Datenbanken und Betriebssystemen fehlt ein skalierbarer und ganzheitlicher Mechanismus, um Identitäten, Zertifikate und Geschäftsregeln über alle Grenzen hinweg zu verwalten. Wireless- und andere Endgeräte erhöhen die Komplexität Von falsch verstandenem “SSO” gehen Gefahren aus. Die unvermeidbare Überschneidung von öffentlichen und privaten Identity Strukturen kompliziert diesen komplexen Fall weiter.

41 Die Antwort – Virtual Enterprise Network
Die Antwort: Eine flexible Infrastruktur Integration intern Temporäre Bindungen extern Logisch ein Virtual Enterprise Network Interne Systeme & Daten Das Internet Mitarbeiter Partner Kunden Weniger bekannt unbekannt

42 Das Festungsdenken reicht nicht mehr
Das Festungsdenken ist dem e-Business nicht mehr angemessen Es versagt in dem Maße, wie Anwendungen für Partner und Kunden geöffnet werden. Firewalls allein reichen nicht mehr aus Vergabe (und Entzug) von Schlüsseln für den Zutritt im Hotel Gesicherte Safes mit begrenztem Zugriff “hinter dem Tresen” Sicherheitspersonal patrouilliert. Traditional approaches to providing security don’t reflect today’s e-business requirements. Not that many years ago, the prevailing philosophy was to embed as much security as possible in a few strong gateways at the perimeter of the enterprise, much like a medieval fortress. But as more and more customers, suppliers and remote employees start directly accessing applications, this model breaks down under performance pressures or insufficient security for the applications and users that are opened through the firewall. So you need additional measure to supplement the firewall, both for security and performance reasons. The solution is to look at security in a more comprehensive fashion across the enterprise applications, in a fashion similar to the way in which hotels provide security. Keys provide access to particular locations within the hotel, while there are strongly-guarded secure areas of the hotel where valuables are stored. The security staff, instead of simply guarding the doors, patrol the premises for mischief-makers. This multi-level security model still leaves an important role for perimeter security, such as that provided by firewalls, but doesn’t place the full security burden on the perimeter. Gestern Festungs-Modell Heute Hotel-Modell

43 Ein fein granulares Zugriffs-Management
Sicherstellen, dass die richtigen Personen die richtigen Rechte haben … Home Page Support Datenbank unbekannt (Web User) ‘XYZ Co.’ (Partner) ‘Bob’ (Kunde) Nur für Partner Proprietary

44 Role based access control
Benutzern werden Rollen zugewiesen Rollen können hierarchich aufgebaut sein Allgemein (aber nicht immer) haben übergeordnete Rollen alle Berechtigungen der untergeordneten Rollen. Permissions sind Operationen auf Objekte. Permissions können + (additiv) oder - (subtraktiv) zugewiesen werden. Rollen können auch temporär pro Sitzung zugewiesen werden. The central idea behind roles is to simplify authorisation management by associating permissions with a role and then assigning this role to a user. Roles are often used in applications to enforce policy. For example, an application might impose limits on the size of the transaction being processed depending on whether the user making the request is a member of a specified role. A bank teller might have permission to process transactions only less than a specified threshold, supervisors might have a higher limit, and managers might have a higher limit, etc. In other words, roles can be related to various job positions and the permissions associated with them. A way to look at Roles is the collection of resources and permissions associated with a class of user(s). The class will be granted a consistent set of services based upon their Role. Roles are often equal to job functions in many organisations. Currently, different administrators or application vendors have different definitions of roles. As this situation may serve as a source for confusion, we therefore henceforth will refer to the deserving research of the National Institute of Standards and Technology (NIST). Source: Ferraiolo, Sandhu, Gavrila: A Proposed Standard for Role-Based Access Control, 2000.

45 Problematik – wo beginnen?
Operative Bereiche fordern Komfortverbesserung ... Single-sign-on Self-Service (schnelles) Provisioning Revision, Security, Compliance fordern ... Transparenz (Evidenz) Report & Analysen Incident alerts Sauberes & schnelles De-Provisioning Berechtigungssituation oft nicht bekannt ... Befragungen helfen oft nicht weiter Analysen sind erforderlich Sie „enthüllt ihr Gesicht“ oft erst im Umsetzungs-Projekt. Risiken für die Umsetzung Identity Management Projekte können sehr komplex werden. Risiko begrenzende Maßnahmen sind von beginn an erforderlich.

46 Vorgehen – Tiefe vs. Breite
Einführung in der Breite vs. Tiefe Durchstich in der Tiefe wenn ... Einige wenige Systeme gut angebunden werden sollen Rechtesituation gut bekannt bidirektionale Anbindung technisch vorhanden Wichtige Massensysteme: Windows Exchange Lotus NOTES Systemneueinführung Evidenzbildung in der Breite wenn ... Eine zentrale Benutzerverwaltung aufgebaut werden soll Sicherheits- und Complience-Erwägungen im Vordergrund stehen. Viele wichtige und wenig bekannte Altsysteme angebunden werden sollen. Prozesse Systeme Anbindung in der Tiefe Prozesse Systeme Anbindung in der Breite In Großunternehmen mit gewachsenen Systemlandschaften lassen sich nicht alle Systeme in einem Schritt einbinden..

47 Evidenzbildung – Einführung in der Breite
Vorteile Wenn Benutzermanagement aufgebaut werden soll ... Schneller Überblick über viele Systeme Auskunftsfähigkeit Complience schnell erreichbar Gut schrittweise einbindbar (viele kleine Erfolge  geringes Projektrisiko) Enthüllt Berechtigungs- und User-Mapping-Komplexität in dispositiven Prozessen. Macht den Erfolg nachfolgend eingeführter operativer Prozessunterstützung messbar transparent. Macht die Revision zum Verbündeten Schaltet das Licht an.

48 Evidenzbildung – Einführung in der Breite
Nachteile Es sind noch keine operativen Prozesse automatisiert Kein single sign-on Kein Provisioning Keine einheitliche ID Abbildungsregeln sind oft sehr aufwändig Unterschiedliche ID-Konventionen HMeyer, MeyerH, Hans.Meyer, ... Unterschiedliche Schreibweisen Möller, Moeller, Møller, ... Unterschiedliche Verlässlichkeit der Quellen Behandelte Ausnahmen ausblenden Abgleich mit Soll-Beständen erforderlich HR-Daten, Soll-Berechtigungen, Lizenzen, Zur Erkennung von Ausnahmen (Schattenkonten, Unter-, Überberechtigungen) Erst dann der volle Nutzen Durch die Hersteller nicht gut unterstützt

49 Komplexitätsfaktoren ...
Bestehende Lösungen Je mehr bestehende Lösungen für das Identity Management existieren, umso höher wird der Aufwand, sie zu harmonisieren und zu ersetzen. Je reifer die existierenden Lösungen sind, umso schwerer finden neue Ansätze Akzeptanz. Querschnittscharakter Identity-Management Prozesse sind typischerweise bereichsübergreifend. Es sind viele gleichberechtigte Stakeholder in ein Projekt involviert. 3 bis 5 mal höhere Kommunikationskomplexität zu „normaler“ SW-Entwicklung. Typischer Change Management Prozess: Macht-Sponsor erforderlich! Prozessreife Je höher die Reife der Management-Prozesse (z.B. nach CMMI) umso leichter fällt die Einführung von IAM- Prozessen, -Regeln, -Rollen, -Policies. Reife IAM-Prozesse in einem unreifen Prozess-Umfeld finden wenig Akzeptanz (Aufwandstreiber). Projektzuschnitt SW-Implementierungsprojekte sind überfordert, wenn sie die organisatorischen Voraussetzungen erst schaffen müssen Prozess- und Rollen-Definitionen erfordern eigene Definitionsprojekte vor der oder parallel zur Implementierung. Marktkonsolidierung Mergers & Acquisitions führen zu wenig kompatiblen Produktsammlungen. Die Software übernommener Unternehmen wird häufig nicht mehr optimal unterstützt.

50 ... Komplexitätsfaktoren
Technische Risiken IAM-SW-Suiten sind komplex und schwer zu handhaben. Ohne Implementierungserfahrung in exakt der geforderten Umgebung sind die Projektrisiken nicht kalkulierbar. Hinter „harmlosen“ Versionssprüngen (z.B.: 5.6 auf 6.0) stecken oft komplette Neuentwicklungen. Die Matrix der vom Hersteller unterstützten Komponenten vs. Version ist of sehr dünn besetzt. Ersatz von Infrastruktur-Komponenten führt oft zu hohem Aufwand. Verfügbarkeit von Fachspezialisten Verfügbarkeit von Fachpersonen mit Domänen-Wissen ist oft der Engpass-Faktur bei Rollen- und Prozess-Definitionen. Sie werden in der Anforderungs-definition und der QS benötigt. Wartezeiten (auf Spezialisten) sind Aufwandstreiber. From scratch vs. Templates Nur ein Teil der IAM-Prozesse ist wirklich unternehmensspezifisch. Die Übernahme von Prozessen und / oder Rollen aus anderen Projekten oder generischen Modellen kann Projekte beschleunigen.

51 Inkrementelle Entwicklung
1st Inc. 2nd Inc. Wegen des hohen immanenten Projektrisikos für Identity Management Projekte ist dringend anzuraten, Methoden des „agilen Projekt-managements“ zu verwenden. Projekt Management Prozess Design Rollen & Regeln Architektur Design Implementierung 1st Inc. Implementierung 2nd Inc. Anwendungs- spezifisches Design Implemen- tierung Test potentielle weitere Segmentierung Kickoff 05-10 05-11 05-12 06-01 06-02 06-03 06-04 06-05

52 Ausblick Was kommt auf uns zu? Was haben wir bisher erreicht?
Markt Trends Die Bewegung zum Identity Management Die Entwicklung des Identity Managements Erwartung – Der Hype wird bald enden.

53 Was haben wir bisher erreicht?
Federated Identity Allows the interoperability of identities across companies and networks. Portals Web single sign-on, enabled through a portal, provides access to web-enabled applications, content and services based on your identity. User Account Provisioning Using identity to provision applications and services Identity Roles Define user roles and policies Integrated Authoritative Source Populating the Identity Repository from HR, CRM or other authoritative source Business Value Strong Authentication Incorporation of encryption, PKI, biometrics, and smart cards provide stronger levels of authentication. Identity Repository Consolidate user identities into a centralized repository Access Management Access management that provides authorization and authentication of users. Vision

54 Markt Trends: Die Verschiebung von Verzeichnisdiensten zum Identity Management IdM Strategie LDAP Verzeichnis Identity Management Markt Gewicht Identity Management Strategien gewinnen Gewicht am Markt. (Burton Group)

55 Die Entwicklung des Identity Management
Erst allmählich wird deutlich, wie hoch die Voraussetzungen für ein Unternehmens-übergreifendes e-Business sind Identity Management steht an erster Stelle zukünftige Anwendungen e-Business Wertschöpfung heutige Anwendungen Mit Geschäftspartnern Unternehmensintern Integration Lieferketten Auftragsabwicklung Lager und Beschaffung Optimierung Vertriebskanäle Real-time B2B-Verträge Real-time B2B-Prozesse Single-Sign-On für Kunden vert. Sicherheitsinfrastruktur Kostensenkung Sicherheitsgewinn Zeitverlauf Quelle: RSA

56 Erwartung – der Hype wird bald enden.
Hier sind wir heute

57 Identity Management - Zusammenfassung
Der Begriff Identity Management scheint sich zu etablieren. Unternehmen implementieren automatisierte und unternehmensüber-greifende Geschäftsprozesse mit dem Internet als Trägermedium. Dualistische Einteilung der Netzwelt nicht mehr aktuell (internes Intranet und externes Internet). Spezielle Extranets als Behelfs-konstrukt. Implementierung eines ganzheitlichen Identity Managements erforderlich, für eine sichere und feingranulare Zugriffssteuerung. Aktuelle Bestrebungen zur Ressourcenvirtualisierung wie Web-Services oder Grid-Computing erhöhen den Handlungsdruck weiter. Gleichzeitig haben viele Marktangebote eine für einen unternehmens-weiten Einsatz hinreichende Reife erlangt. Amortisationsdauern unter zwei Jahren, lassen Investitionen in bestimmte Systeme auch in wirtschaftlich schwierigen Zeit als sinnvoll erscheinen. Es ist ratsam die Implementierung einzelner Lösungen in eine Gesamtarchitektur einzubetten.

58 Danke

59 Hier kommen die berüchtigten back-up-Folien ...
Achtung Anhang Hier kommen die berüchtigten back-up-Folien ...

60 The Identity Network Constituents
The Identity Principal – This is the individual to which the identity profile or attribute information corresponds. The Primary Authenticator – This is any entity which authenticates an Identity Principal and subsequently shares (asserts) that authentication with another party -- the recipient or relying party. Normally, the Primary Authenticator is the party that introduces the identity principal into the network. The Identity Provider (asserting party) – This is any party which hosts identity profile and attribute data concerning an Identity Principal. This party, in turn, provides that information to other parties upon request and with the permission of the Identity Principal. The Service Provider (relying party) – This is any party which provides services to end-users and relies upon the authentication of a Primary Authenticator or upon the profile information of an Identity Provider. The Identity Network Operator – This is any third party which provides a standardized legal and business framework within which each of the above constituent are able to engage one another in secure, quality assured identity interchange. The Identity Network Operator pools the interests of each constituent and focuses on identifying the redundant processes and eliminating them, providing services which boost confidence and quality, while reducing risk and liability for all.

61 The identity (well known) problem
User information fragmented, duplicated and obsolete; Redundant processes; No visibility or auditability

62 Business Consequences
Flawed security High administration and support costs Lost business Unrealized business opportunities Inefficient supply chains Audit and regulatory exposure Cash outflow