„Identitäten im großen Maßstab verwalten“

Lasse Andresen ist ein Urgestein der Software-Industrie. Lange Jahre war er etwa als Führungskraft bei Texas Instruments und bei Sun Microsystems tätig. Als Sun von Oracle übernommen wurde, gründete die schillernde Persönlichkeit 2010 zusammen mit vier Partnern das auf Identity-Management spezialisierte Open-Source-Unternehmen ForgeRock. Im Interview mit com! professional schildert Andresen zunächst, wie es zur Gründung von ForgeRock kam, und erläutert dann das Besondere am Identitätsmanagement mit ForgeRock.

com! professional: Sie haben lange Jahre an maßgeb­lichen Stellen die Entwicklung der Software-Industrie mitgeprägt. Was würden Sie als Ihren persönlichen Schwerpunkt bezeichnen?

Lasse Andresen: Ich war immer ein Software-Guy, und wenn man so will, dann komme ich aus der altmodischen Unix-Ecke. Als CTO für Software habe ich mich bei Sun immer hauptsächlich mit Middle­ware beschäftigt, mit Identity-Management oder Application-Servern. Kurz: mit allem, was sich oberhalb des Betriebssystems befindet.

com! professional: Was genau verstehen Sie unter Middle­ware? Der Begriff wird ja häufig sehr unspezifisch verwendet.

Andresen: Middleware bedeutet für mich Software, die sich mit der Infrastruktur befasst, einschließlich Datenbanken, Application-Servern oder Identity-Management, also alles unterhalb der echten Anwendungen.

com! professional: Demnach fällt bei Ihnen auch Virtualisierung unter Middleware.

Andresen: Ja, eigentlich schon. Während meiner Zeit bei Sun wurde MySQL gekauft, als Teil des Stacks für Application-Server, und Sun übernahm auch eine Virtualisierungssoftware. Für mich gehört das zur Middleware-Schicht.

com! professional: Oracle hatte ja großes Interesse an vielen Sun-Units – zum Beispiel an den Unix-Servern, an Storage (ehemals StorageTek) und an Java. Warum nicht an Identity-Management, der Basis Ihrer Firma ForgeRock?

Andresen: Oracle hatte zuvor sehr viele Übernahmen getätigt, wodurch man bereits über Tools auf diesem Feld verfügte. Oracle hatte auch schon viele andere reine Software-Anbieter übernommen und sich oft sehr schwergetan mit der Integration in die bestehende Produktpalette. Man wollte sich schlicht nicht noch mehr Probleme aufbürden.

com! professional: Wer hat ForgeRock zu Beginn finanziert? Sie und Ihre Co-Gründer? Oder hat es auch sofort einige Venture Capitalists als Geldgeber gegeben?

Andresen: In den ersten Jahren war es nur unser eigenes Geld. Es gab bei uns auch keine geheime Phase, in der wir unser Produkt abgeschirmt von der Öffentlichkeit entwickelt hätten. Das heißt, wir sind einfach sofort auf den Markt gegangen.

com! professional: Warum mussten sie dann nach zwei Jahren Investoren beteiligen? Liefen die Geschäfte nicht?

Andresen: Nein, keineswegs. Es ging einfach nur um die Fortentwicklung unseres Unternehmens, darum, dass wir die führende Software-Company im Bereich Identity-Management werden wollten. Wir brauchten schlicht und einfach Geld, um schneller zu wachsen. Wir wollten unseren Firmennamen beziehungsweise unseren Brand stärken.

com! professional: Es hat sich also um eine ganz normale Entwicklung gehandelt, etwas, was viele Start-ups durchmachen, die von einer technischen Idee ausgehen und dann an die Grenzen ihrer Businesserfahrungen stoßen?

Andresen: Ja, es war der normale Prozess – „to execute“, wie man hier im Silicon Valley sagt.

com! professional: Mit anderen Worten: So richtig reibungslos verlief der Start für ForgeRock nicht?

Andresen: Er war erfolgreich. Aber natürlich konnten wir nicht in dem Maß expandieren, wie wir wollten. Zum Beispiel neue gute Leute einstellen oder in andere Märkte außerhalb der USA gehen.

com! professional: Scott McNealy, der frühere CEO von Sun, gehört jetzt zu den offiziellen Beratern von ForgeRock und macht das angeblich völlig unentgeltlich. Das ist schwer nachzuvollziehen bei einem Vollblutmanager aus dem Silicon Valley. Wie verhält es sich wirklich?

Andresen: Als ich ForgeRock gegründet habe, hat mir jede CEO-Erfahrung gefehlt. Deshalb habe ich relativ früh Scott McNealy kontaktiert und ihn wegen seiner Erfahrung wiederholt um Rat gefragt.

Er war mein persönlicher Mentor als CEO, er hat uns dabei geholfen, Investoren auszuwählen, er hat für uns mit potenziellen Kunden gesprochen und uns auch als Referenz bei unseren Kundenkontakten gedient.

com! professional: Stehen Sie in ständigem Kontakt mit McNealy?

Andresen: Ja, ich spreche fast jede Woche mit ihm. Er ist so etwas wie meine rechte Hand.

com! professional: Aber er hat keine finanziellen Interessen an Ihrem Unternehmen?

Andresen: Das war nicht der Grund, weswegen wir ihn anfangs kontaktiert haben. Inzwischen gehört er aber zu den Anteilseignern der Firma.

com! professional: Identity-Management ist lange etwas gewesen, was innerhalb eines Unternehmens stattgefunden hat. Es ging beispielsweise um Bereiche wie die Zugangsberechtigungen für Mitarbeiter. ForgeRock bietet eine andere Form von Identity-Management an. Wo liegt der Unterschied?

Andresen: Es gibt mehrere Unterschiede zum klassischen Identity-Management. In der klassischen Form passiert relativ wenig: Ein neuer Mitarbeiter tritt in das Unternehmen ein, seine Daten werden erfasst, er erhält die Erlaubnis für bestimmte Anwendungen, und wenn er später in eine andere Abteilung versetzt wird, erhält er andere Zugangsberechtigungen. Das ist ein sehr langsamer Prozess mit wenigen Transaktionen. In einer kundenorientierten Umgebung muss man jedoch sehr viel öfter und sehr viel schneller reagieren, beispielweise wenn etwas im Internet verkauft und registriert wird.

com! professional: Haben Sie das klassische Identity-Management nur verändern müssen oder verfolgen Sie einen komplett neuen Ansatz?

Andresen: Noch zu Sun-Zeiten hatten wir bereits externe Kontakte im Fokus. Wir haben uns auf die Menge und die Geschwindigkeit der zu erwartenden Transaktionen konzentriert sowie auf Schnittstellen und Protokolle, um mit anderen Systemen wie Google, Facebook oder Salesforce zu interagieren.

com! professional: Was ist der Unterschied zu einem Customer Relationship Management (CRM)?

Andresen: In einem traditionellen CRM-System geht es mehr um ein Directory der Kundennamen, der Branche, Adressen und ähnlicher Attribute. In einem IRM-System (Identity Relationship Management) geht es auch um die Beziehungen zwischen Personen und Geräten, also was man zum Beispiel mit einem iPhone macht oder welche Services man für seinen Fernseher aktiviert. Es geht darum, wie man die komplexen Beziehungen zwischen einem Gerät, einem Service und einer Person erfasst, kontrolliert und auswertet.

com! professional: Wie können Sie mit Ihrer Software Unternehmen unterstützen, die Produkte im Internet ankündigen und verkaufen?

Andresen: Kündigt zum Beispiel Apple ein neues iPhone an, gehen Millionen von Menschen im gleichen Augenblick ins Internet und es kann zu einer Überlastung der Systeme kommen. Skalieren Sie nicht genügend, können dann viele Verkaufstransaktionen nicht abgeschlossen werden. Die Fähigkeit, hier der Nachfrage entsprechend skalieren zu können, ist für E-Commerce geschäftskritisch. Versagen die Servicefunktionen, verliert man seinen Umsatz.

com! professional: Aber wie kommen hier die Produkte von ForgeRock ins Spiel?

Andresen: Indem wir die Zugriffe zusammen mit den persönlichen Daten organisieren und verwalten. ForgeRock ist der einzige Anbieter, der es Unternehmen ermöglicht, Identitäten in einem für das Internetzeitalter angemessenen Maßstab zu verwalten und die Beziehungen mit ihnen effizient zu gestalten.

Im Gegensatz zum Identity and Access Management (IAM), das auf das Management interner Identitäten eines Unternehmens ausgerichtet ist, richtet ForgeRock den Blick nach außen, auf die Kunden, und ermöglicht das Management von Hunderttausenden oder sogar Millionen von Identitäten.

Viele unserer Implementierungen unterstützen viele Tausend Transaktionen pro Sekunde. Die norwegische Regierung bietet zum Beispiel einen einheitlichen Zugang zu über 300 Behördendienstleistungen. Das wird von fast 100 Prozent der erwachsenen Bevölkerung und 500.000 Unternehmen genutzt.

An Stichtagen, etwa für die Steuererklärung, loggen sich eine Million User an einem Tag ein, ohne dass die Performance sinkt, geschweige denn die Verfügbarkeit eingeschränkt wäre.

com! professional: Sind Ihre Produkte auch für Cloud-Angebote geeignet?

Andresen: Ja, sie eignen sich sehr gut für die Cloud. Einige unserer Kunden haben ihre Daten bereits bei Amazon.

com! professional: Die Produktpalette von ForgeRock besteht im Wesentlichen aus vier Angeboten. Worin unterschieden sich diese Angebote und auf welche Kundengruppen zielen sie besonders?

Andresen: OpenAM (Access Management) befasst sich mit Single Sign-on, Federation, Authentification und Policies – mit allem, was mit dem Zugang und der Autorisierung von Ressourcen zu tun hat.

Bei OpenDJ (Directory Java) handelt es sich um einen Access-Directory-Service.

Und Open­­IDM (Identity Management) kümmert sich um das Provisioning von Identitäten, das heißt um On-Boarding, Änderungen, Workflows oder Transformation – kurz um das Lifecycle-Management der Identitätseigenschaften von Personen, aber auch von Geräten. Und schließlich OpenIG (Identity Gateway): Dabei geht es im Kern um den Schutz von Autorisierung und Zugriff auf einem API-Level.

Zu den Kundengruppen: Hier lässt sich keine genaue Grenze ziehen – fast alle großen Unternehmen brauchen ein Management externer Identitäten. Wir kümmern uns nicht zuletzt um sehr akute Herausforderungen, beispielsweise von Telekommunikationsunternehmen, Online-Shops, Versorgungsunternehmen oder E-Government-Projekten.

com! professional: Sie schmücken sich und Ihre Produkte mit dem Zusatz „Open“. Was hat es damit auf sich?

Andresen: Hier gibt es zwei Aspekte: Wir sprechen von Open Source und von Open Standards. Wir integrieren offene Standards wie SAML und OAuth in unsere Produkte und profitieren damit von der Weiterentwicklung dieser Standards. Open Source bedeutet für uns, dass der Source Code unserer Produkte frei verfügbar ist.

com! professional: Zu welchem Zweck sollte jemand diesen Code von Ihrer Webseite herunterladen?

Andresen: Es gibt zwei Personengruppen, die einen Vorteil davon haben. Zum einen sind da die Administratoren in den Rechenzen­tren unserer Kunden, die unsere Produkte einsetzen und die von uns neue Patches und Releases bekommen und sie vor dem tatsächlichen Einsatz auf der Code-Ebene überprüfen können.

Zum anderen sind es Entwickler, die ein bisschen mit den neuesten Versionen unserer Software spielen wollen – zum Überprüfen der Funktionalität oder zu Testzwecken – und das, ohne auf ein neues Release warten zu müssen.

com! professional!: Legen Sie damit nicht Code-Geheimnisse Ihrer Software vor der Konkurrenz offen?

Andresen: Wenn ich Ihnen drei Millionen Zeilen Code gebe, wie lange würden Sie brauchen, um diese zu verstehen und dafür vollumfänglichen Support anzubieten?

Es gibt zwei Sorten Firmen, die mit ForgeRock konkurrieren. Da sind zum einen die ganz großen Software-Unternehmen, von denen zum Teil schon die Rede war. Ihre Produkte sind das Resultat von 15 oder mehr Jahren an Akquisitionen, ihre Innovationszyklen sind vergleichsweise langsam und sie müssen alle Puzzle-Teile zusammenhalten. Von dieser Seite haben wir nicht viel zu befürchten.

Zum anderen gibt es eine Kategorie von „Best of breed“-Unternehmen, die in der Regel nur ein einziges Identity-Produkt anbieten – zum Beispiel Access, aber ohne Authentification und Provisioning, oder nur ein Directory. Kunden, die sich auf so etwas einlassen, sind gezwungen, sich die Produkte von verschiedenen Herstellern zu besorgen, wenn sie einen umfassenden Ansatz anpeilen. Das führt bei der Integration zu einem Albtraum. Consulting-Firmen lieben das natürlich, aber die Kunden haben damit zu kämpfen, dass die Integrationskosten zehnmal so hoch sind wie die ursprünglichen Lizenzausgaben.

com! professional: Wenn die Situation so ist, wie Sie sie beschreiben, dann gibt es nur zwei Zukunftsszenarien für ForgeRock: Entweder Sie schaffen demnächst den auch von Ihren Investoren ersehnten „Exit“ und gehen erfolgreich an die Börse oder Sie werden entweder von Oracle oder von IBM übernommen, um endgültig deren Integrationsprobleme mit Identity-Management aus der Welt zu schaffen. Ich tippe mal auf Oracle.

Andresen: (Lacht.) Zum Thema Börsengang möchte ich nichts sagen. Und was die Sache mit Oracle angeht: Das glaube ich nicht.