Gastkommentar zu Identity-Management
Schutzschirm Zugriffsrechte
Nicht nur die eigenen Mitarbeiter brauchen den Zugriff auf geschäftliche Daten und Applikationen. Auch die Mitarbeiter der Partner, selbst einzelne Kundengruppen, benötigen ihn. Damit wächst der Anspruch an eine umfassende und zugleich hohe Zugriffssicherheit. Rollenkonzept und -management spielen dafür eine Schlüsselrolle.
Identity-Management (IdM) ist die auserkorene Software-Suite, um Zugriffe über den gesamten Radius abzusichern. Das hat viele Gründe: Mit IdM wird die Administration von Kommunikationsteilnehmern und ihren Zugriffsrechten wirtschaftlich zentralisiert. Über IdM können Einträge und Rechte hinweg über eine Vielzahl an Anwendungen zeitnah und nachvollziehbar auf dem aktuellen Stand gehalten werden. So entstehen im Schutzschirm keine Sicherheitslöcher. Wird die Zugriffskontrolle über Rollen konzipiert und umgesetzt, wird der Zugriffsschutz vertieft, die Rechteverwaltung verschlankt sowie die Transparenz des gesamten Zugriffskontrollschirms und bei Revisionen gesteigert. Jeder Teilnehmer erhält eine Rolle mit seinen individuellen Rechten. Darüber ist es möglich, Berechtigungen und Zugriffe granular in Applikationen zu steuern. Ein professionelles IdM-System unterstützt diese Prozesse zur Umsetzung der Berechtigungen.
Damit ist nicht die Kardinalfrage gelöst, wie man zu einem tragfähigen Rollen-Modell kommt. Dazu ist eine professionelle Vorgehensweise notwendig, um in der Konzeptionsphase alle Berechtigungen innerhalb der Organisation zu erheben und in Rollen zu fassen. Darüber wird deutlich, wie wichtig ein Tool für die Verwaltung von Organisationsstrukturen, Identitäten, Rollen sowie zugehörigen Beschreibungen ist. Da das Rollen-Modell lebt, sollten zudem rechtzeitig Verfahren und Tools etabliert werden, um später im Betrieb bei regelmäßigen Prüfungen und Anpassungen das Modell zu unterstützen.
Wie ein solches Rollenkonzept und -management aufgesetzt und umgesetzt werden kann, wird am Beispiel einer regionalen Versicherung – Spezialist für Sach- und Personenversicherungen – deutlich. Hier wurden von Vollmachtenkoordinatoren, unterstützt durch ein Projektteam, zunächst fachseitig per Rollenkonzept die individuellen fachlichen Berechtigungen erhoben, die sich aus der Organisation, den Abläufen und der Tätigkeit ergeben. Mit dieser ersten Etappe wurden die gesammelten Informationen im »SUN Role Manager« abgebildet. Im nächsten Schritt wurden die bestehenden technischen Anwendungsberechtigungen – welche Zugriffe auf welche Applikationen, Funktionen und Inhalte – zur Validierung dem Konzept gegenübergestellt. Auch dabei unterstützte das vorgenannte Tool. Für ein umfassendes und in sich schlüssiges Rollenkonzept wurden über den jeweiligen Vollmachtenkoordinator alle Mitarbeiter der Versicherung in die Recherche und Planungsarbeit einbezogen. Die Vollmachtenkoordinatoren waren auch die verantwortlichen Instanzen, um in einer dritten Etappe das Rollenkonzept auf Schlüssigkeit zu prüfen, ebenfalls mittels des Tools. Die Ergebnisse dieser Prüfung konnten für die technische Umsetzung im IdM oder direkt verwaltet in den Anwendungen abgesegnet werden. Dafür mussten im Verlauf des Rollenkonzepts mit Unterstützung des jeweils zuständigen Projektteams immer wieder Berechtigungen auf ihre potenziellen Auswirkungen und Risiken auf Applikationen, Daten und Inhalte hinterfragt werden.
Die über das Rollenkonzept entstandene Brainware floss direkt in die Dokumentation ein. Jede individuelle Rolle darin weist eindeutig die dazugehörigen Rechte und Attribute für jede betroffene Applikation, Funktion oder Inhaltssequenz aus. Das vereinfacht nicht nur die
IdM-Administratoren insgesamt, sondern auch die Überwachung und Steuerung des Zugriffskontrollschirms. Das gilt auch für gezielte Anpassungen, wenn sich zwischenzeitlich Abläufe, Aufgaben oder Rechte/
Attribute einzelner Mitarbeiter ändern. Auch regelmäßige Revisionen gehen leichter und schneller von der Hand. Denn über jede dokumentierte Rolle wird transparent, was jeder einzelne Mitarbeiter der Versicherung darf und was nicht. Verstöße gegen interne Richtlinien oder externe Vorschriften treten so plastisch vor Augen. Weil die Systemadministratoren selbst der Logik der dokumentierten Rollen unterworfen sind, sind auch ihre Zugriffe und deren Auswirkungen jederzeit anhand der dokumentierten Brainware nachvollziehbar und revisionssicher überprüfbar. Das dokumentierte Rollenkonzept hat der Versicherung außerdem den Weg zu einer Re-Zertifizierung sämtlicher Rollen in regelmäßigen Zeitabständen geebnet.
Das Rollenkonzept und -management umfasst bei dieser Versicherung bisher erste Organisationsteile der eigenen Mitarbeiterschaft. Doch es liegt in der Natur solcher Rollen, dass darüber auch die Mitarbeiter von Geschäftspartnern, sogar bestimmte Kundenzielgruppen, in eine hieb- und stichfeste Zugriffskontrolle und Revision eingebunden werden können.
Norbert Drecker ist Geschäftsführer von Twinsec
E-Mail: Norbert.Drecker@twinsec.de
Lesen Sie mehr zum Thema
