Thought Leadership
Oft ist die Realität von Organisationen komplexer als es klassische Identitätsmodelle abbilden können. Dieselbe Person kann mehrere Rollen innerhalb einer Organisation parallel innehaben.
Zum Beispiel kann sie etwa als Dozent und Alumni an einer Hochschule, als Manager und Kunde in einem Finanzinstitut oder als Mitarbeiter, der in geschäftigen Zeiten in einer anderen Abteilung aushilft, fungieren. Auch Franchise- und Kooperationsmodelle bringen solche Konstellationen mit sich.
Diese parallelen Rollen sind in modernen Arbeitsumgebungen unvermeidbar und in vielen Unternehmen der Schlüssel für effizientes Arbeiten. Sie bringen jedoch die Herausforderung mit sich, dass Mitarbeiter gleichzeitig ihre bestehenden Berechtigungen behalten, hin und wieder aber neue Zugriffe benötigen – ohne dass eine einzelne Vorgesetzte volle Kenntnis vom Aufgabengebiet des Mitarbeiters hat. Die Flexibilität, die dieses Modell ermöglicht, geht mit einer deutlichen Steigerung der Komplexität im Identitäts- und Zugriffsmanagement einher.
Die drei zentralen Herausforderungen dabei lassen sich klar benennen:
Eindimensionale Datenmodelle
Viele Identitätslösungen sind nur für eine Stelle pro Person ausgelegt. Sobald mehrere Tätigkeitsprofile hinzukommen, wird eine zweite Identität erzeugt, und schon entsteht eine Gefahr: Künstliche Duplikate müssen separat verwaltet und vergrößern die Angriffsfläche der Organisation. Jeder zusätzliche Account ist einer mehr, der von Cyber-Kriminellen mit nur einem einzigen gelungenen Phishing-Angriff gekapert werden kann. Zudem macht jedes Duplikat das Monitoring und den Abgleich aufwendig und führt leicht zu Inkonsistenzen. Im Hochschulbeispiel müsste ein Professor, der gleichzeitig Online-Kurse besucht, mit zwei Identitäten geführt werden – jede mit eigenen Zugriffsrechten, und ohne die Möglichkeit, Interessenskonflikte zu identifizieren.
Mangel an Kontextinformationen
Identity Governance lebt vom Grundsatz, zu verstehen, wer welche Rechte zu welchem Zweck erhält. Bei parallelen Rollen fehlt häufig der eindeutige Bezug, welche Rechte mit welcher Funktion verbunden sind. Ändert ein Mitarbeiter die Abteilung oder verlässt ein Projekt, muss oft lediglich ein Teil der vorhandenen Berechtigungen auf den Prüfstand gestellt werden. Die Funktion des Identity Managements und des Unternehmens gehen auseinander, und Verantwortliche können wichtige Entscheidungen nicht mehr treffen. In der Praxis behalten Betroffene daher oft mehr Rechte, als sie benötigen. Das Least-Privilege-Prinzip wird aufgeweicht und Risiken steigen, weil diese Intransparenz mit Zugriffsrechten überversorgte Konten hervorbringt, deren feindselige Übernahme durch Hacker weitreichende Schäden anrichten kann.
Verteilte Identitätsquellen
Identitätsinformationen liegen in der Regel nicht nur in einem einzigen System vor. HR-Daten sind im Personalmanagementsystem gespeichert, andere Profile im Active Directory, externe Partner oder temporäre Accounts in weiteren Plattformen. Für Personen mit mehreren parallelen Anstellungen hat dies oft zur Folge, dass sie mit inkonsistenten Berechtigungen arbeiten müssen. Unternehmen tragen hierbei oft unnötige Lizenz-Kosten und das Risiko von Sicherheitslücken – wenn beispielsweise das Ausscheiden eines Mitarbeiters nur in einem Teil der Informationsquellen eingepflegt wird. Ohne moderne IGA-Lösung entsteht ein Flickenteppich, der die Übersicht erschwert und die Gefahr von Sicherheits- und Compliance-Lücken vergrößert.
Es zeigt sich: Für die Compliance und die Unternehmenssicherheit ist es kritischer denn je, Rollen und Berechtigungen entlang des gesamten Identity Lifecycles dynamisch zu steuern: vom Onboarding über Rollenwechsel bis hin zum Offboarding. Automatisierte Workflows und regelbasierte Anpassung von Rechten verhindern, dass parallele Rollen zu dauerhaftem Rechte-Wildwuchs führen. Die Kontexte, in denen diese Rollen benötigt werden, können dabei verschiedener Natur sein: Sei es zeitlich (Vertretungen von Kollegen), organisatorisch (Abteilung, Standort), funktional (Projektzugehörigkeit) oder regulatorisch (kritische Systeme, geschützte Daten). Moderne IGA-Lösungen müssen diese Dimensionen in Echtzeit abbilden können, um nicht zuletzt auch den regulatorischen Anforderungen von Seiten des Gesetzgebers zu entsprechen.
Fazit
Mitarbeiter arbeiten heute flexibel und projektorientiert zusammen, während eindimensionale Tätigkeitsbeschreibungen zur Ausnahme werden. Eine zeitgemäße Identity Governance muss solche Kontexte sauber abbilden, Zugriffe pro Rolle steuern und Ownership dorthin verlagern, wo die jeweilige Verantwortung tatsächlich liegt. Kontextuelle Governance bedeutet, Rollen nicht nur technisch zu beachten, sondern Verantwortliche in die Lage zu versetzen, Zugriffe zu genehmigen, zu überprüfen und zu entziehen. So behalten Unternehmen die Kontrolle über die digitalen Identitäten, bleiben im Rahmen der Compliance, müssen keinen Audit fürchten und ermöglichen zugleich den Angestellten die Flexibilität, die man für effizientes Arbeiten am modernen Arbeitsplatz benötigt.
