Datenschutz | Impressum
News abonnieren
HomeFachartikelIdentity und Access neu aufgelegt

Der Weg zum rollenspezifischen Management

Ein ganzheitliches strukturiertes Identity und Access Management ist in Zeiten komplexer digitalisierter Unternehmensstrukturen ein Must-have. Unternehmen sind sich der Vorteile, die ihnen durch die erzielte Risikominimierung, Kosteneinsparung und Verbesserung der Customer Experience entstehen, durchaus bewusst. Und durch die Digitalisierung in allen Unternehmensbereichen wird auch der Ruf nach einem systemübergreifenden Identity und Access Management und einem ganzheitlichem Blick auf Berechtigungs- und Compliance-Regelungen lauter

(Bild: ©TBIT/pixabay.com)

Mitarbeiter benötigen Accounts und Berechtigungen in einer Vielzahl von Applikationen. Diese müssen angelegt und gepflegt werden. Beispielsweise müssen die Zugriffsberechtigungen bei Wechsel von Projektzugehörigkeit bzw. Abteilungswechsel oder bei Urlaubsvertretung angepasst werden. Andernfalls hat beispielsweise ein Auszubildender, der alle Abteilungen eines Unternehmens durchläuft, eine Vielzahl an Berechtigungen und stellt somit auch ein Sicherheitsproblem dar. Es obliegt also den IT-Abteilungen, dafür zu sorgen, dass durch die falsche oder unberechtigte Nutzung geschäftskritischer Anwendungen dem Unternehmen keine Schäden entstehen. Das regelmäßige Anpassen von Accounts und Berechtigungen ist zwar mit einem hohen Aufwand verbunden jedoch unvermeidbar. Darüber hinaus wirft jede Änderung sicherheitsrelevante Fragen auf – wie etwa, gibt es kritische Rechtekombination, so dass beispielsweise ein Besteller seine eigene Bestellung freigeben darf? Was passiert, wenn der Nutzer weiterhin alte Rechte benötigt, um seine bisherigen Aufgaben zu erledigen oder gibt es Lücken in der Dokumentation von Änderungen?

Ein rollenübergreifendes Konzept

Aber nicht nur bei Änderungen der Berechtigungsmatrix kommt es zu Komplikationen. Auch aufgrund von Überschneidungen bei Workflows kann es zu Sicherheitsrisiken und Mittelabflüssen kommen. Ein systemübergreifendes bzw. rollenbezogenes Konzept für die Verwaltung aller Identitäten im Unternehmen kann helfen, das zu vermeiden. Um ein geeignetes Konzept zu entwickeln und nachhaltig zu etablieren sind drei Schritte erforderlich.

Die Analyse

In einem ersten Schritt, um Berechtigungs- und Identitätskonflikte zu erkennen, sollten Workflows und die eingesetzten Software-Tools genau überprüft werden: @Aufzählung:Welche Systeme sind für welche Bereiche und Rollen überhaupt relevant?

  • Wo überschneiden sich Zugriffsberechtigungen und Prozesse?
  • Wo bestehen Risiken, die unbedingt kompensiert werden müssen?

Mit einer speziellen IdM-Prüfungssoftware kann man sich ein Bild über Risiken in der Berechtigungslandschaft verschaffen. Entscheidend ist dabei, dass diese Tools individuell konfiguriert und die richtigen Prüfungskriterien abgebildet bzw. angewandt werden. Mit Hilfe dieses Gesamtüberblicks über die Tätigkeiten aller Mitarbeiter entsteht die Möglichkeit, ein neues integriertes Konzept zu schaffen. Dabei ist es wichtig, dass alle Beteiligten in den Entwicklungsprozess und später auch in das Realisierungsprojekt einbezogen werden.

Die Bedarfsermittlung

Im nächsten Schritt werden alle ermittelten Informationen über Workflows, eingesetzte Software-Tools und die entsprechenden Berechtigungen zusammengeführt. Alle Berechtigungen laufen in so genannten Business-Rollen zusammen. So bekommen Mitarbeiter über simple Genehmigungsschritte und -verfahren die für sie notwendige Berechtigung – falls nötig parallel in verschiedenen Systemen. Das macht es auch deutlich ein

facher, zu überprüfen, ob die aktuelle Aufgabensituation dem Berechtigungskonzept in der Praxis überhaupt entspricht. Mit Hilfe einer systemübergreifenden Betrachtungsweise können einerseits Mittelabflüsse und Risiken aus den Prüfkatalogen der Wirtschaftsprüfer und der internen Audits besser berücksichtigt werden. Gleichzeitig ermöglicht ein solches Konzept das Aufspüren und Beseitigen von kritischen Berechtigungskombinationen. Das gilt z.B. dann,wenn ähnliche oder verwandte Vorgänge technisch getrennt in verschiedenen Lösungen und Unternehmensbereichen abgebildet sind.

Die Umsetzung

Wie das systemübergreifende Berechtigungskonzept und dessen technische Umsetzung am Ende aussehen, hängt von den Anforderungen des Unternehmens und den Compliance-Vorgaben ab. Oft gibt es keine klaren Definitionen, welche Funktion im Unternehmen welche Arbeitsschritte durchführt und welche Software-Tools erforderlich sind. Gerade in Großunternehmen gibt es eine enorm große Anzahl an individuellen Rollen und dazugehörigen Berechtigungskonzepten, die sich über Jahre hinweg entwickelt haben. In einem solchen Fall sollte zu allererst eine international einheitliche funktionale Arbeitsplatz-Beschreibung geschaffen werden, um darauf ein Berechtigungskonzept aufbauen zu können. Der Weg zu einem systemübergreifenden und später auch Compliance-konformen Identity und Access Management ist in jedem Unternehmen anders und erfordert aufeinander aufbauende Teilprojekte und Projektphasen. Der Königsweg ist also ganz individuell. Fest steht, dass mit einem rollen- bzw. funktionsbezogenen Berechtigungsportfolio bis zu 80 Prozent aller notwendigen Berechtigungen, ob für CRM, ERP oder Datenbank, abgedeckt werden können. Bei komplexeren Unternehmensstrukturen stellt das bereits eine große Vereinfachung und Risikominimierung dar.

Fazit

Wie in vielen IT-Projekten geht es auch im Identity Management 3.0 nicht nur darum Software einzusetzen. Ein durchdachtes Konzept sowie die konsequente Umsetzung sollten oberste Priorität haben. Das erfordert Erfahrung, Know-how und ein kontinuierliches zeitliches Investment. Die Auswahl, Konfiguration und Einrichtung der IdM-Lösungen spielt daher nur eine untergeordnete Rolle. Es geht vor allem darum, den vorhandenen Zustand unter die Lupe zu nehmen, ein Wunschkonzept zu finden und den für das Unternehmen idealen Weg dorthin zu gehen.

Datum:18. September 2017

Autoren:Jörn Kaplan und Christian Birkenbeul

Themen: Fachartikel

Webseite: www.cellent.de

Downloads:

Das könnte Sie auch interessieren
Technik

Die Zukunft der Fertigung basiert auf Open Source

Die Industrie arbeitet daran, die Barrieren zwischen IT und OT abzubauen. So können Unternehmen ihre Produktion effizienter und innovativer gestalten und im immer härter werdenden globalen Wettbewerb bestehen. Francis Chow von Red Hat erklärt, welche Rolle Open-Source-Technologien dabei spielen.‣ weiterlesen
Topstory

Generative KI in der Fertigung: Der Mehrwert ist oft noch unklar

3 Prozent der großen Industrieunternehmen setzen GenAI bereits großflächig ein, und rund ein Viertel hat erste Pilotprojekte gestartet. Laut einer Untersuchung der Unternehmensberatung McKinsey kann die Mehrheit der Unternehmen den Mehrwert der Technologie für den Unternehmenserfolg bislang aber noch nicht beziffern.‣ weiterlesen
Technik

Wie steht es um die OT-Sicherheit?

Ein Bericht von ABI Research und Palo Alto Networks über den Stand der OT-Sicherheit zeigt, dass im vergangenen Jahr eines von vier Industrieunternehmen seinen Betrieb aufgrund eines Cyberangriffs vorübergehend stilllegen musste. Die Komplexität beim Einsatz von OT-Sicherheitslösungen stellt für die Befragten das größte Hindernis dar.‣ weiterlesen
Topstory

Deutsche Hersteller bereiten Smart Manufacturing vor

Für dauerhafte Wettbewerbsfähigkeit müssen deutsche Hersteller angesichts weiterhin drohender Rezession und hoher Energiekosten die nächste Stufe der Digitalisierung erreichen. Die Mehrheit der Unternehmen bereitet sich in diesem Zug auf Smart Manufacturing vor, wie eine von Statista durchgeführte und Avanade beauftragte Studie zeigt.‣ weiterlesen
Technik

Hannover Messe 2024: Die Industrie auf dem Weg zu mehr Nachhaltigkeit

Vom 22. bis zum 26. April wird Hannover zum Schaufenster für die Industrie. Neben künstlicher Intelligenz sollen insbesondere Produkte und Services für eine nachhaltigere Industrie im Fokus stehen.‣ weiterlesen
Technik

Deutsche Industrie sieht Data Act als Chance

Eine Umfrage von Hewlett Packard Enterprise (HPE) unter 400 Führungskräften in Industrie-Unternehmen in Deutschland zeigt, dass zwei Drittel der Befragten den Data Act als Chance wahrnehmen. Der Data Act stieß unter anderem bei Branchenverbänden auf Kritik.‣ weiterlesen
Technik

Was ist Do-it-yourself-Automatisierung?

Mit der Do-it-yourself-Automatisierung sollen Unternehmen ihre Automatisierungskonzepte selbst gestalten können. Die Komponenten dafür werden über eine Plattform bereitgestellt. Etienne Lacroix, CEO der DIY-Plattform Vention erklärt das Konzept.‣ weiterlesen
Technik

Ein Helm schützt vor Schwingungen

Fraunhofer-Forschende haben für Fahrer und Fahrerinnen von Baumaschinen einen Helm mit integriertem Beschleunigungssensor entwickelt. Die Helm-Sensorik misst die Vibrationen der Baumaschinen. Die Sensorsignale werden analysiert, eine Software zeigt die Belastung für den Menschen an.‣ weiterlesen
Technik

Unternehmen sehen Cyber-Angriffe als größte Bedrohung der digitalen Transformation

Deutsche Unternehmen nehmen eine zunehmende Bedrohung durch Cyber-Angriffe wahr. Das zeigt eine aktuelle Umfrage vom Markt- und Meinungsforschungsinstitut YouGov im Auftrag von 1&1 Versatel, an der mehr als 1.000 Unternehmensentscheider teilnahmen.‣ weiterlesen
Topstory

Carbon Management: Wegbereiter für eine klimaneutrale Zukunft

Carbon Management-Technologien stehen im Fokus, um CO2-Emissionen zu reduzieren und zu managen. Die Rolle des Maschinenbaus und mögliche Entwicklungspfade betrachtet eine neue Studie des VDMA Competence Center Future Business.‣ weiterlesen
Technik

Achema 2024 mit Angeboten für Nachwuchskräfte

Rund 2.700 Aussteller aus mehr als 50 Ländern werden vom 10. bis 14. Juni zur Achema in Frankfurt erwartet. Mit mehr als 1.000 Rednern setzt das begleitende Kongress- und Bühnenprogramm darüber hinaus Impulse für eine erfolgreiche Transformation der Prozessindustrie. An allen fünf Messetagen sollen zudem Angebote für den Nachwuchs zur Zukunftssicherung der Branche beitragen.‣ weiterlesen