Identity und Access neu aufgelegt Der Weg zum rollenspezifischen Management
Mitarbeiter benötigen Accounts und Berechtigungen in einer Vielzahl von Applikationen. Diese müssen angelegt und gepflegt werden. Beispielsweise müssen die Zugriffsberechtigungen bei Wechsel von Projektzugehörigkeit bzw. Abteilungswechsel oder bei Urlaubsvertretung angepasst werden. Andernfalls hat beispielsweise ein Auszubildender, der alle Abteilungen eines Unternehmens durchläuft, eine Vielzahl an Berechtigungen und stellt somit auch ein Sicherheitsproblem dar. Es obliegt also den IT-Abteilungen, dafür zu sorgen, dass durch die falsche oder unberechtigte Nutzung geschäftskritischer Anwendungen dem Unternehmen keine Schäden entstehen. Das regelmäßige Anpassen von Accounts und Berechtigungen ist zwar mit einem hohen Aufwand verbunden jedoch unvermeidbar. Darüber hinaus wirft jede Änderung sicherheitsrelevante Fragen auf - wie etwa, gibt es kritische Rechtekombination, so dass beispielsweise ein Besteller seine eigene Bestellung freigeben darf? Was passiert, wenn der Nutzer weiterhin alte Rechte benötigt, um seine bisherigen Aufgaben zu erledigen oder gibt es Lücken in der Dokumentation von Änderungen?
Ein rollenübergreifendes Konzept
Aber nicht nur bei Änderungen der Berechtigungsmatrix kommt es zu Komplikationen. Auch aufgrund von Überschneidungen bei Workflows kann es zu Sicherheitsrisiken und Mittelabflüssen kommen. Ein systemübergreifendes bzw. rollenbezogenes Konzept für die Verwaltung aller Identitäten im Unternehmen kann helfen, das zu vermeiden. Um ein geeignetes Konzept zu entwickeln und nachhaltig zu etablieren sind drei Schritte erforderlich.
Die Analyse
In einem ersten Schritt, um Berechtigungs- und Identitätskonflikte zu erkennen, sollten Workflows und die eingesetzten Software-Tools genau überprüft werden:
- • Welche Systeme sind für welche Bereiche und Rollen überhaupt relevant?
- • Wo überschneiden sich Zugriffsberechtigungen und Prozesse?
- • Wo bestehen Risiken, die unbedingt kompensiert werden müssen?
Mit einer speziellen IdM-Prüfungssoftware kann man sich ein Bild über Risiken in der Berechtigungslandschaft verschaffen. Entscheidend ist dabei, dass diese Tools individuell konfiguriert und die richtigen Prüfungskriterien abgebildet bzw. angewandt werden. Mit Hilfe dieses Gesamtüberblicks über die Tätigkeiten aller Mitarbeiter entsteht die Möglichkeit, ein neues integriertes Konzept zu schaffen. Dabei ist es wichtig, dass alle Beteiligten in den Entwicklungsprozess und später auch in das Realisierungsprojekt einbezogen werden.
Die Bedarfsermittlung
Im nächsten Schritt werden alle ermittelten Informationen über Workflows, eingesetzte Software-Tools und die entsprechenden Berechtigungen zusammengeführt. Alle Berechtigungen laufen in so genannten Business-Rollen zusammen. So bekommen Mitarbeiter über simple Genehmigungsschritte und -verfahren die für sie notwendige Berechtigung - falls nötig parallel in verschiedenen Systemen. Das macht es auch deutlich einfacher, zu überprüfen, ob die aktuelle Aufgabensituation dem Berechtigungskonzept in der Praxis überhaupt entspricht. Mit Hilfe einer systemübergreifenden Betrachtungsweise können einerseits Mittelabflüsse und Risiken aus den Prüfkatalogen der Wirtschaftsprüfer und der internen Audits besser berücksichtigt werden. Gleichzeitig ermöglicht ein solches Konzept das Aufspüren und Beseitigen von kritischen Berechtigungskombinationen. Das gilt z.B. dann,wenn ähnliche oder verwandte Vorgänge technisch getrennt in verschiedenen Lösungen und Unternehmensbereichen abgebildet sind.
Die Umsetzung
Wie das systemübergreifende Berechtigungskonzept und dessen technische Umsetzung am Ende aussehen, hängt von den Anforderungen des Unternehmens und den Compliance-Vorgaben ab. Oft gibt es keine klaren Definitionen, welche Funktion im Unternehmen welche Arbeitsschritte durchführt und welche Software-Tools erforderlich sind. Gerade in Großunternehmen gibt es eine enorm große Anzahl an individuellen Rollen und dazugehörigen Berechtigungskonzepten, die sich über Jahre hinweg entwickelt haben. In einem solchen Fall sollte zu allererst eine international einheitliche funktionale Arbeitsplatz-Beschreibung geschaffen werden, um darauf ein Berechtigungskonzept aufbauen zu können. Der Weg zu einem systemübergreifenden und später auch Compliance-konformen Identity und Access Management ist in jedem Unternehmen anders und erfordert aufeinander aufbauende Teilprojekte und Projektphasen. Der Königsweg ist also ganz individuell. Fest steht, dass mit einem rollen- bzw. funktionsbezogenen Berechtigungsportfolio bis zu 80 Prozent aller notwendigen Berechtigungen, ob für CRM, ERP oder Datenbank, abgedeckt werden können. Bei komplexeren Unternehmensstrukturen stellt das bereits eine große Vereinfachung und Risikominimierung dar.
Fazit
Wie in vielen IT-Projekten geht es auch im Identity Management 3.0 nicht nur darum Software einzusetzen. Ein durchdachtes Konzept sowie die konsequente Umsetzung sollten oberste Priorität haben. Das erfordert Erfahrung, Know-how und ein kontinuierliches zeitliches Investment. Die Auswahl, Konfiguration und Einrichtung der IdM-Lösungen spielt daher nur eine untergeordnete Rolle. Es geht vor allem darum, den vorhandenen Zustand unter die Lupe zu nehmen, ein Wunschkonzept zu finden und den für das Unternehmen idealen Weg dorthin zu gehen.
Mitarbeiter benötigen Accounts und Berechtigungen in einer Vielzahl von Applikationen. Diese müssen angelegt und gepflegt werden. Beispielsweise müssen die Zugriffsberechtigungen bei Wechsel von Projektzugehörigkeit bzw. Abteilungswechsel oder bei Urlaubsvertretung angepasst werden. Andernfalls hat beispielsweise ein Auszubildender, der alle Abteilungen eines Unternehmens durchläuft, eine Vielzahl an Berechtigungen und stellt somit auch ein Sicherheitsproblem dar. Es obliegt also den IT-Abteilungen, dafür zu sorgen, dass durch die falsche oder unberechtigte Nutzung geschäftskritischer Anwendungen dem Unternehmen keine Schäden entstehen. Das regelmäßige Anpassen von Accounts und Berechtigungen ist zwar mit einem hohen Aufwand verbunden jedoch unvermeidbar. Darüber hinaus wirft jede Änderung sicherheitsrelevante Fragen auf - wie etwa, gibt es kritische Rechtekombination, so dass beispielsweise ein Besteller seine eigene Bestellung freigeben darf? Was passiert, wenn der Nutzer weiterhin alte Rechte benötigt, um seine bisherigen Aufgaben zu erledigen oder gibt es Lücken in der Dokumentation von Änderungen?
Cellent AG Technology Solutions
Dieser Artikel erschien in Industrie 4.0 - 17 2017 - 07.09.17.Für weitere Artikel besuchen Sie www.i40-magazin.de