Zugangsberechtigungen per Mausklick
Zugangsberechtigungen per Mausklick Die niedersächsische Kommune Wolfsburg automatisiert die Verwaltung der Benutzerrechte, um den Aufwand für die IT-Abteilung zu reduzieren und sich für das E-Government zu rüsten.
Die Stadt Wolfsburg beschäftigt in der Verwaltung rund 1500 Mitarbeiter. Die hausinterne Fluktuation ist beträchtlich. Häufig wechseln Mitarbeiter ihren internen Arbeitsplatz, etwa vom Sozialamt in die Bürgerdienste oder an eine andere Stelle, wo gerade Bedarf besteht. »Für die IT-Administration bedeuteten diese Wechsel einen immensen Aufwand«, erläutert Wolfgang Beuermann, im Wolfsburger Rathaus IT-Koordinator und Projektleiter für das Thema E-Government. Die IT-Abteilung musste bislang sämtliche Benutzerkonten und Zugangsberechtigungen der Mitarbeiter den Fachanwendungen und Datenbanken manuell zuweisen. Gleichzeitig mussten alte Berechtigungen gelöscht oder an andere Mitarbeiter übergeben werden. Und nicht nur in der IT-Abteilung war der Aufwand hoch, auch die Fachabteilungen mussten in die damit einhergehenden Freigabe- und Genehmigungsprozesse eingebunden werden, ebenso wie die Personalabteilung. Wenn ein Mitarbeiter zum Beispiel eine neue Kostenstelle betreuen sollte, dann musste ein Sachbearbeiter der Abteilung diese freigeben. Diese Freigabeverfahren liefen häufig umständlich per E-Mail oder über die Hauspost und konnten sich je nach Verfügbarkeit der Beteiligten in die Länge ziehen.
Bürger-Services im Web
Gleichzeitig plant die niedersächsische Kommune derzeit die Einführung eines E-Government-Portals, mit dem sie ihre Dienste den Bürgern auf elektronischem Weg anbietet. Hier sollen den Bewohnern Services wie virtuelles Bauamt, Kfz-Zulassung oder Melderegister online zur Verfügung stehen. Durch diese Schnittstellen nach draußen steigt die Anzahl der Nutzer stark an, für die ein sauberer und schneller Authentifizierungs- und Berechtigungsprozess benötigt wird, beispielsweise bei der Nutzung einer kostenpflichtigen Melderegisterauskunft. Um den Aufwand für diese komplexen, bislang manuellen Berechtigungsprozesse zu verringern, beschloss der Verwaltungsvorstand in Zusammenarbeit mit der IT-Abteilung der Stadt Wolfsburg die Einführung eines Identity- und Access-Management-Systems. Dieses soll Probleme bei unterschiedlichen Benutzerdatenbanken mit je eigener Administration und verschiedenen manuellen Genehmigungs- und Zuweisungsprozessen lösen. Ziele sind mehr Übersichtlichkeit für die Mitarbeiter, mehr Flexibilität und geringere Kosten. Um für diesen Bedarf eine Lösung zu finden, die sich rechnet, wandte sich die Stadt an das Beratungshaus First Attribute, das auf Identity-Management- und Sicherheitslösungen spezialisiert ist.
Eine Lösung für viele Aufgaben
Mit dem Projekt verfolgte die Stadt Wolfsburg mehrere Ziele: Die neue Software sollte ein schlüssiges Konzept für einen Single Point of Administration and Access bieten und dadurch den Verwaltungsaufwand und die Kosten beträchtlich verringern; zudem sollten die Verwaltungsprozesse auch im juristischen Sinn revisionsfähig sein. Das System muss darüber hinaus workflowbasiert administrative Rechte zuweisen können, um die Genehmigungsverfahren zu beschleunigen. Auf der Auswahlliste waren dann Produkte unterschiedlicher Hersteller: BMC, IBM, Siemens, Sun und Waveset. Die Kommune entschied sich in der engeren Auswahl schließlich für IBM und gegen Waveset. Die Gründe waren letztlich strategischer Natur: Preis-Leistungsverhältnis, Unternehmensgröße und Vertrauen waren die wichtigsten Kriterien, die den Ausschlag für IBM gaben. »Wir setzen ungern Software-Produkte ein, deren Hersteller in ein, zwei Jahren vielleicht verschwunden oder aufgekauft sind, sodass das Produkt nicht weiterentwickelt wird«, erläutert Beuermann die Entscheidung. Die Tivoli-Produkte Identity Management und Access Management sollen in Zukunft die automatische Verwaltung von Benutzern und Zugangsrechten bei der Stadtverwaltung ermöglichen; auch der Zugriff auf das E-Government-Portal soll dadurch gesichert werden.
Sukzessive Einführung
Nachdem die Entscheidung für die Software-Produkte gefallen war, setzte die IT-Abteilung zusammen mit dem IT-Dienstleister die ersten Pilotprojekte für die sukzessive Einführung der Identity- und Access-Management-Lösung in der Stadtverwaltung auf. Zunächst sollten die internen Mitarbeiter einen Single-Sign-On-Zugang bekommen. Dafür war eine exakte Profil- und Rollenerstellung für sämtliche Mitarbeiter der Stadtverwaltung nötig. Entsprechende Daten lagen hauptsächlich im Personalverwaltungssystem vor. Zum einen liefert dieses Informationen zu allen Mitarbeitern, die Leistungen von der Stadt beziehen, zum anderen ist hier ihr Aufgabenfeld hinterlegt. Aus diesem lässt sich ableiten, zu welchen Anwendungen der Mitarbeiter Zugang haben sollte. Außerdem erhält dieses System zuerst Informationen über neue oder ausscheidende Mitarbeiter. Im Zuge des ersten großen Anwendungsszenarios ermittelte das Projekt-Team Mitarbeiterdaten samt organisatorischen Zugehörigkeiten aus dem Personalverwaltungssystem, um damit für jeden Mitarbeiter eine entsprechende Kennung im Active Directory zu erzeugen. Über diese Kennung sollten den Mitarbeitern automatisch Accounts, Gruppen, standardisierte E-Mail-Adressen und ähnliches zugewiesen werden können. Im nächsten Schritt wurden innerhalb des Active Directory die Gruppen befüllt, um den rollenspezifischen Zugriff auf das Mitarbeiterportal zu ermöglichen. Die entsprechenden Rollenprofile wurden zusammen mit den Fachabteilungen erstellt. Umgekehrt sollten auf diesem Weg auch die Benutzerkennungen im Personalverwaltungssystem aktuell gehalten werden. Durch Urlaube von Mitarbeitern, Support-Anfragen und die komplexe Aufgabe der Erstellung des Rollenkonzepts verzögerte sich die Durchführung des Projektes zwar, doch Ende Oktober konnte die Kommune den Mitarbeitern den Single-Sign-On-Zugang an ihrem Arbeitsplatz bieten. Ein früher Erfolg dieser Pilotphase war auch, dass die Account-Basis durch die Vorarbeiten stark bereinigt werden konnte. Falsche Accounts oder nicht mehr gültige Zuweisungen von Mitarbeitern zu bestimmten Anwendungen und Systemen konnten eliminiert werden.
Effizienz durch Automatisierung
Den großen Vorteil des neuen Systems wird man absehen können, wenn die nächsten wichtigen Schritte der Implementierung vollzogen sind. Vor allem die Automatisierung der Workflows dürfte zu Effizienzvorteilen führen. Die Genehmigungsprozesse, die jetzt noch manuell und auf Papierbasis ablaufen, können damit entscheidend beschleunigt werden. »Dann werden die Fachabteilungsleiter nur noch angeben müssen, für welche Aufgaben und Systeme ein neuer Mitarbeiter vorgesehen ist, und die entsprechenden Einrichtungsprozesse laufen automatisch an, ohne dass die IT-Mitarbeiter Hand anlegen müssen«, beschreibt Beuermann das Szenario. »Früher dauerte es bis zu vier Wochen, bis wir das Profil für einen Mitarbeiter komplett angelegt hatten«, vergleicht er. In Zukunft werde das durch Automatisierung erheblich schneller gehen, erwartet der IT-Manager. Nach Einführung der Workflows stehen Mitarbeiterschulungen für die Kollegen an, die sich in Zukunft mit dem System beschäftigen werden. Dann wird die Stadt daran gehen, weitere Module einzuführen. »Einen Abschluss findet ein umfangreiches Identity-Management-Projekt nicht«, resümiert Beuermann. Wie in jedem größeren System werde es auch hier immer wieder Änderungen geben, die zu einzuarbeiten seien.
Jens Petersen ist Geschäftsführer des IT-Dienstleisters First Attribute.
