Der Zugriff auf Information, Daten und Anwendungen, muss reglementiert sein. Benutzer sollen den Zugang gewährt bekommen, der für die Erfüllung ihrer Aufgaben benötigt wird – mehr aber auch nicht.

Hinter dieser einfachen Anforderung versteckt sich eine aufwändige Verwaltungsaufgabe, die nur durch ein Rollenkonzept und Werkzeugunterstützung effizient gelöst werden kann. Heute werden von den Mitarbeitern in Unternehmen die unterschiedlichsten IT-Systeme und Arbeitsmittel benötigt, um produktiv arbeiten zu können. Damit nicht für jeden einzelnen Mitarbeiter individuell die benötigten Arbeitsmittel herausgefunden und festgelegt werden müssen, könnten typische Profile von Arbeitsmitteln zu sogenannten Unternehmensrollen zusammengefasst werden. So werden etwa einem Sachbearbeiter, egal in welchem Unternehmensteil er beschäftigt ist, generell der Zugang zum Intranet, zur Zeiterfassung, zum HR-Self Service sowie ein eMail-Account zugeordnet. Zusätzlich zu diesen allgemeinen Arbeitsmitteln benötigt er noch ein Buchungssystem für seinen Geschäftsbereich sowie Berechtigungen für Files Shares, Drucker und landesspezifische Informationssysteme an seinem Standort. Die gleichen, auf den Standort bezogenen Berechtigungen, benötigen auch das lokale Marketing und die Vertriebsabteilung. Diese nur ansatzweise dargestellte Komplexität stellt fast jedes Unternehmen ab einer Größe von 1.000 Mitarbeitern fest. Einen Lösungsansatz für die IT-Systeme bieten die Identity Management (IDM)-Systeme. Allerdings liegt der Fokus dieser Systeme aktuell primär auf der technischen Unterstützung einer Vielzahl von Zielsystemen, also Anlage, Änderung, Löschung von Benutzerkonten in diesen Systemen. Die Themen Rollenmanagement &-Design decken sie nur ansatzweise ab. Hier kommen neue Zusatztools zum Einsatz, zum Beispiel von Omada oder bHold. Häufig nicht im Blickpunkt der klassischen IdM-Systeme liegt die effektive Verwaltung der unterschiedlichsten Rollen und der dazugehörigen Rechte oder die Nutzbarkeit dieser Systeme durch Mitarbeiter oder Manager aus Fachbereichen. Aber genau im Personalbereich und in den Fachbereichen ist das Wissen vorhanden, wann ein Mitarbeiter ein- oder austritt und welche IT-Systeme und sonstige Arbeitsmittel er benötigt.

Neue Anforderungen – neue Tools

Um diese Lücke zu schließen gibt es spezielle Tools, die es dem Personalbereich und den Fachvorgesetzten ermöglichen, die Arbeitsmittel automatisch zuzuweisen, ohne dass spezielle IT- Kenntnisse vorhanden sind. So werden dem Mitarbeiter von den Fachabteilungen keine technischen Systeme, sondern Unternehmensrollen zugewiesen. Solche Unternehmensrollen werden durch bestimmte Attribute wie Abteilung, Standort, Position oder Projektmitgliedschaft bestimmt und fassen die jeweils für die Abteilung, den Standort, die Position oder das Projekt benötigten Arbeitsmittel, meist IT-Systeme, zusammen. Wird nun ein neuer Mitarbeiter eingestellt, können Personalabteilung und Fachvorgesetzter ohne tiefe Kenntnis der zur Verfügung stehenden Zielsysteme, die benötigten Arbeitsmittel mittels Rolle entsprechend Position, Abteilung und Standort zugewiesen. Die gleiche Rollendefinition wird verwendet, wenn ein Mitarbeiter innerhalb des Unternehmens zu einem anderen Standort wechselt. Rollen und damit Arbeitsmittel, die etwa über die Abteilung zugeordnet wurden, bleiben erhalten, Rollen und Arbeitsmittel die am alten Standort benötigt wurden, werden entzogen und die für den neuen Standort gültigen Rollen zugewiesen. So wird sichergestellt, dass keine ungenutzten Accounts oder Arbeitsmittel zurückbleiben, die unproduktiv sind und dennoch Kosten verursachen.

Was wäre wenn

Würde die gleiche Aufgabe ohne ein leistungsfähiges Rollenmanagement auf Basis von individuell zugewiesenen Arbeitsmitteln und IT-Systemen anstehen, ist es beispielsweise bei einem anstehenden Standortwechsel sehr viel schwerer herauszufinden, welche Rechte oder Arbeitsmittel ein Mitarbeiter behalten sollte oder welche entzogen werden müssen. Ist neben der automatischen Anlage und Verwaltung von Benutzerkonten in den IT-Systemen auch die Einhaltung von Compliance- Anforderungen und die intuitive Nutzbarkeit durch Mitarbeiter der Fachbereiche ein Ziel des Projektes, dann können diese Anforderungen heute nur durch spezielle Tools, die eine Rollen basierende Zugriffsverwaltung ermöglichen, umgesetzt werden. Diese Tools sollten dann neben der einfachen Aggregation ebenfalls

• Hierarchien von Rollen (Rollen auf Ebene der Unternehmen, Abteilungen, Teams, etc.) entsprechend RBAC (Role Based Access Control),

• die gleichzeitige Zuweisung mehrerer Rollen und Einzelrechte zu Benutzern oder Organisationseinheiten,

• Segregation of Duties (SoD), also den Ausschluss von nicht gleichzeitig an die gleiche Person vergebbaren Rollen – etwa Einkäufer und Controller,

• Workflows für die Beantragung und Genehmigung von Rollen und Rechten,

• eine Aufzeichnung aller vergebenen Rechte, der dafür eingeholten Genehmigungen, der verwendeten Rollen, etc.,

• die Möglichkeit zur Auswertung der gesammelten Daten

• und ein sehr flexibles Modell der Rechte und Rollen im Werkzeug selbst (auch hier hängen die Rechte von der Rollen, der Abteilung, dem Standort, etc. ab) unterstützen.
Da die Erfüllung obiger Anforderungen

– besonders bei steigenden Benutzerzahlen

– immer akuter wird, diese Funktionen über die heute verfügbaren klassischen IdM-Systeme aber meist nicht abgedeckt werden, ist der Einsatz von Zusatzwerkzeugen, die die Rechtevergabe über Rollen und rollenbasierte Workflows in den Fachabteilungen selbst ermöglichen, empfehlenswert.

Ulrich Parthier

Diesen Artikel finden Sie auch in der Ausgabe 10/07 des it management.