Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Kommentar: Zugriffs- und revisionssicher über Rollen

Kommentar: Zugriffs- und revisionssicher über Rollen

28. September 2010, 11:56 Uhr | Ralf Ladner
Fortsetzung des Artikels von Teil 1

Beispiel eines revisionssicheren Rollenkonzepts

Wie ein solches Rollenkonzept und -management aufgesetzt und umgesetzt werden kann, wird am Beispiel einer regionalen Versicherung - Spezialist für Sach- und Personenversicherungen - deutlich. Hier wurden von Vollmachtenkoordinatoren, unterstützt durch ein Projektteam, zunächst fachseitig per Rollenkonzept die individuellen fachlichen Berechtigungen erhoben, die sich aus der Organisation, den Abläufen und der Tätigkeit ergeben. Mit dieser ersten Etappe wurden die gesammelten Informationen im SUN Role Manager abgebildet. Im nächsten Schritt wurden die bestehenden technischen Anwendungsberechtigungen - welche Zugriffe auf welche Applikationen, Funktionen und Inhalte - zur Validierung dem Konzept gegenübergestellt. Auch dabei unterstützte das vorgenannte Tool. Für ein umfassendes und in sich schlüssiges Rollenkonzept wurden über den jeweiligen Vollmachtenkoordinator alle Mitarbeiter der Versicherung in die Recherche und Planungsarbeit einbezogen. Die Vollmachtenkoordinatoren waren auch die verantwortlichen Instanzen, um in einer dritten Etappe das Rollenkonzept auf Schlüssigkeit zu prüfen, ebenfalls mittels des Tools. Die Ergebnisse dieser Prüfung konnten für die technische Umsetzung im IdM oder direkt verwaltet in den Anwendungen abgesegnet werden. Dafür mussten im Verlauf des Rollenkonzepts mit Unterstützung des jeweils zuständigen Projektteams immer wieder Berechtigungen auf ihre potenziellen Auswirkungen und Risiken auf Applikationen, Daten und Inhalte hinterfragt werden.

Die über das Rollenkonzept entstandene Brainware floss direkt in die Dokumentation ein. Jede individuelle Rolle darin weist eindeutig die dazugehörigen Rechte und Attribute für jede betroffene Applikation, Funktion oder Inhaltssequenz aus. Das vereinfacht nicht nur für die IdM-Administratoren insgesamt die Überwachung und Steuerung des Zugriffskontrollschirms. Das gilt auch für gezielte Anpassungen, wenn sich zwischenzeitlich Abläufe, Aufgaben oder Rechte/Attribute einzelner Mitarbeiter ändern. Auch regelmäßige Revisionen gehen leichter und schneller von der Hand. Denn über jede dokumentierte Rolle wird transparent, was jeder einzelne Mitarbeiter der Versicherung darf und was nicht. Verstöße gegen interne Richtlinien oder externe Vorschriften treten so plastisch vor Augen. Weil die Systemadministratoren selbst der Logik der dokumentierten Rollen unterworfen sind, sind auch ihre Zugriffe und deren Auswirkungen jederzeit anhand der dokumentierten Brainware nachvollziehbar und revisionssicher überprüfbar. Das dokumentierte Rollenkonzept hat der Versicherung außerdem den Weg zu einer Re-Zertifizierung sämtlicher Rollen in regelmäßigen Zeitabständen geebnet.

Das Rollenkonzept und -management umfasst bei dieser Versicherung bisher erste Organisationsteile der eigenen Mitarbeiterschaft. Doch es liegt in der Natur solcher Rollen, dass darüber auch die Mitarbeiter von Geschäftspartnern, sogar bestimmte Kundenzielgruppen, in eine hieb- und stichfeste Zugriffskontrolle und Revision eingebunden werden können.

 

  1. Kommentar: Zugriffs- und revisionssicher über Rollen
  2. Beispiel eines revisionssicheren Rollenkonzepts
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Riello UPS GmbH

Riello UPS GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
HP Deutschland GmbH

HP Deutschland GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH