IBsolution Blog

Wie systemübergreifendes Identity- und Access-Management gelingt

Geschrieben von Loren Heilig | 4. November 2016

Die Kontrolle, wer wann welches System mit welchen Berechtigungen benutzt, gehört zu den wichtigsten Aufgaben der IT-Sicherheit im Unternehmen. Doch wenn Zugänge und Berechtigungen an verschiedensten Stellen verwaltet werden, nicht aufeinander abgestimmt sind und sozusagen organisch wachsen, geht schnell der Überblick verloren. Mit einem systemübergreifenden, ganzheitlichen Ansatz für Ihr Identity- und Access-Management erhöhen Sie Produktivität und Kosteneffizienz, vor allem aber die Sicherheit Ihrer IT-Systeme.


Morgens ins System einloggen, arbeiten, abends wieder ausloggen: So sieht ein perfektes Identity- und Access-Management aus Anwendersicht aus. In der Realität ist es ein wenig komplexer. Es gibt zig Anwendungen mit jeweils eigenen Zugängen, Sicherheitskonzepten und Berechtigungen. Diese werden in verschiedenen IdM-Lösungen oder sogar einzeln für bestimmte Anwendungen gepflegt. Fehlt ein systemübergreifender Ansatz für das Identity- und Access-Management, kann das zu folgenden Fällen führen:

 

Fragmentierte Berechtigungsverwaltung stellt ein Sicherheitsrisiko dar

  • Bestehende Berechtigungen werden nicht mehr angepasst. So behält zum Beispiel ein Mitarbeiter beim Wechsel der Abteilung alle Berechtigungen, die er in seiner vorherigen Position benötigte. Oder nach dem Ende einer Urlaubsvertretung bleiben die zusätzlich gewährten Berechtigungen einfach bestehen.

  • Nach dem Ausscheiden eines Mitarbeiters werden nicht alle Zugänge in allen Anwendungen gelöscht.

  • Durch eine nicht abgestimmte Kombination von Rechten kann ein Mitarbeiter zum Beispiel seine eigenen Bestellungen oder Zahlungen freigeben.

  • Da sich Mitarbeiter für verschiedene Anwendungen einzelne Passwörter merken müssen, verwenden sie simple, leicht zu erratende Kombinationen oder notieren sich die Passwörter auf Post-its am Schreibtisch.

  • Wiederkehrende Support-Anfragen wegen vergessener Passwörter halten die IT-Abteilung von wichtigeren Aufgaben ab.

  • Einem Mitarbeiter fehlen für eine neue Aufgabe oder ein neues Projekt die erforderlichen Rechte. Diese müssen erst einzeln definiert, über den Vorgesetzten freigegeben und von der IT angelegt werden. Es vergehen einige Tage, bis der Mitarbeiter reibungslos arbeiten kann.

 

Die fragmentierte Verwaltung von Zugängen und Berechtigungen ist also nicht nur ärgerlich und arbeitsintensiv, sondern senkt auch die Produktivität, treibt die Kosten in die Höhe und bedroht vor allem die Sicherheit von Unternehmen. Es ist nicht nur ein Klischee, dass das größte Sicherheitsrisiko in der IT meist vor dem Rechner sitzt. Viele Betrugsmethoden, aktuell ist die „Fake President”-Masche in aller Munde, zielen auf die Ahnungslosigkeit von Mitarbeitern ab.

 

Und manchmal bringen leider auch die eigenen Mitarbeiter gewisse kriminelle Energien auf und machen sich Lücken im System zunutze, um dem Arbeitgeber zu schaden oder sich eigene Vorteile zu verschaffen. Natürlich lassen sich solche Fälle nicht zu 100 % verhindern, aber man kann es den Betrügern wenigstens so schwer wie möglich machen. Aufgabe der IT ist es in diesem Fall, den Mitarbeitern genau die Zugänge und Berechtigungen zur Verfügung zu stellen, die sie benötigen, jede falsche oder unberechtigte Nutzung der Systeme dagegen zu verhindern.

 

Rollen statt individuell definierter Berechtigungen

Realisiert werden kann dies nur mit einem ganzheitlichen, systemübergreifenden Identity- und Access-Management-Konzept, das alle genutzten Anwendungen im Unternehmen einschließt. Basis eines solchen Konzepts sind sogenannte Rollen: fest definierte Sets aus Zugängen, Berechtigungen und Funktionen, die für die Erfüllung einer bestimmten Aufgabe oder Position notwendig sind. Wird einem neuen Mitarbeiter eine Rolle zugewiesen – idealerweise mit einem Mausklick –, hat er alle Zugänge und Rechte, die er braucht. Bekommt er eine neue Aufgabe oder verlässt er das Unternehmen, wird seine Rolle auch wieder mit einem Mausklick geändert oder gelöscht.

 

Schrittweise zu einem systemübergreifenden Konzept

Aber wie kommt man von einer organisch gewachsenen, fragmentierten Zugangs- und Rechteverwaltung hin zu einer integrierten, systemübergreifenden Lösung? Am besten schrittweise. Wichtig ist dabei, dass die Auswahl einer Lösung bzw. die technische Umsetzung erst am Ende steht. Zunächst braucht man ein tragfähiges Konzept.

  1. Bestandsaufnahme und Risikoanalyse
    Zuerst müssen Sie wissen, welche Systeme für welche Aufgaben in Ihrem Unternehmen wie eingesetzt werden, welche Prozesse es gibt und welche Berechtigungen. Das verschafft Ihnen einen Gesamtüberblick, welche Anwendungen und Zugänge für welche Aufgaben benötigt werden. Es hilft aber auch dabei, Schwachstellen und Risiken aufzuspüren: Wo bestehen Konflikte zwischen den Berechtigungen verschiedener Systeme? Wo könnten Lücken ausgenutzt werden? Wo wurden Berechtigungen vergeben, die gar nicht nötig sind?

  2. Rollen definieren
    Nachdem Sie den Ist-Zustand kennen, können Sie den Soll-Zustand planen. Fassen Sie die verschiedenen Aufgabengebiete in Rollen zusammen und definieren Sie, welche Anwendungen mit welchen Rechten notwendig sind, um eine Aufgabe zu erledigen. Wenn Sie in der Vergangenheit bereits Rollen definiert hatten, prüfen Sie, ob diese noch für die tatsächliche Situation passend sind, ob wichtige Berechtigungen fehlen oder ob nicht benötigte Berechtigungen entfernt werden können. Spielen Sie die verschiedenen Use Cases durch, um festzustellen, ob die neuen Berechtigungskonzepte praxistauglich sind und kritische Prozesse sicher und compliance-konform abgebildet werden. Definieren Sie jedoch nur Rollen für Aufgabengebiete, die gängig und wiederkehrend sind. Es wird immer Einzelfälle im Unternehmen geben, die individuell konfiguriert werden müssen.

  3. Umsetzung
    Vereinfacht gesagt, müssen Sie jetzt die neuen Rollen entsprechend Ihres Konzepts anlegen und die alten Berechtigungen anpassen oder löschen. Wie das praktisch aussieht, ist von Fall zu Fall ganz verschieden. Schließlich wird kaum ein Unternehmen sein altes Identity- und Access-Management-System platt machen und quasi von Null an ein neues aufsetzen. Meist muss der Übergang schrittweise und behutsam vollzogen werden, um die Abläufe nicht zu sehr zu stören.

 

Mit der Umsetzung hört die Arbeit nicht auf. Identity- und Access-Management ist nie wirklich „fertig”, das System muss permanent gepflegt werden. Sie werden von Zeit zu Zeit feststellen, dass Rollen angepasst werden müssen, und es werden neue Systeme hinzukommen, die integriert werden müssen. Das ist eine Menge Arbeit, aber nur mit diesem systemübergreifenden Ansatz können Sie die Kontrolle darüber behalten zu entcheiden, wer in Ihrem System was tun darf und was nicht.

 

Sie suchen Lösungen?