Anzeige

Identity & Access ManagementUnternehmen haben längst verstanden, wie wichtig die gezielte Steuerung von digitalen Identitäten und Zugangsberechtigungen ist. Doch hohe Akzeptanz hat auch ihre Herausforderungen: Vor allem Großunternehmen haben nicht selten mehrere verschiedene IdM-Lösungen im Einsatz. Und es müssen immer mehr Applikationen, die auch noch vernetzt sind, verwaltet werden. 

Ein ganzheitliches und strukturiertes Identity und Access Management ist in Zeiten komplexer Unternehmensstrukturen ein Must-Have. Unternehmen sind sich der Vorteile, die ihnen durch die erzielte Risikominimierung, Kosteneinsparung und Verbesserung der Customer Experience entstehen, durchaus bewusst. Auch durch den Druck der Digitalisierung in allen Unternehmensbereichen, ob Finanzen, Materialwirtschaft oder Vertrieb, wird der Ruf nach einem systemübergreifenden Identity und Access Management und einem ganzheitlichem Blick auf Berechtigungs- und Compliance-Regelungen lauter. 

Warum ist ein arbeitsplatzbezogener Ansatz notwendig?

Mitarbeiter benötigen Accounts und Berechtigungen in einer Vielzahl von Applikationen. Diese müssen nicht nur angelegt, sondern auch gepflegt werden. Beispielsweise müssen Zugriffsberechtigungen bei Wechsel von Projektzugehörigkeit bzw. Abteilung oder bei Urlaubsvertretung angepasst werden. Andernfalls hat beispielsweise der Azubi, der alle Abteilungen eines Unternehmens durchläuft, eine ganze Menge an Berechtigungen und stellt ein Sicherheitsproblem dar. Eine grundsätzliche Differenzierung nach Rollen ist daher essenziell. Es obliegt also den IT-Abteilungen, dafür zu sorgen, dass durch die falsche oder unberechtigte Nutzung geschäftskritischer Anwendungen dem Unternehmen keine Schäden entstehen. Das regelmäßige Anpassen von Accounts und Berechtigungen ist zwar mit einem hohen Aufwand verbunden, ist jedoch unvermeidbar. Darüber hinaus wirft jede Änderung sicherheitsrelevante Fragen auf. Einige davon könnten sein:

  • Gibt es kritische Rechtekombinationen, so dass beispielsweise ein Besteller seine eigene Bestellung freigeben darf?
  • Was passiert, wenn der Nutzer weiterhin „alte“ Rechte benötigt, um seine bisherigen Aufgaben zu erledigen?
  • Gibt es Lücken in der Dokumentation von Änderungen?

Aber nicht nur bei Änderungen der Berechtigungsmatrix kommt es zu Komplikationen. Auch aufgrund von Überschneidungen bei Workflows kann es zu Sicherheitsrisiken und Mittelabflüssen kommen. Ein systemübergreifendes bzw. rollenbezogenes Konzept für die Verwaltung aller Identitäten im Unternehmen, ob im ERP-, CRM- oder Finanzsystem, kann helfen, das zu vermeiden. Um ein geeignetes Konzept zu entwickeln und nachhaltig zu etablieren, sind drei Schritte erforderlich.

Die Analyse – Prozesse auf den Prüfstand

Im ersten Schritt um Berechtigungs- und Identitätskonflikte zu erkennen, sollten Workflows und eingesetzte Software-Tools genau überprüft werden:

  • Welche Systeme sind für welche Bereiche und Rollen überhaupt relevant?
  • Wo überschneiden sich Zugriffsberechtigungen und Prozesse?
  • Wo bestehen Risiken, die unbedingt kompensiert werden müssen?
  • Welche Auswirkungen haben Anforderungen hinsichtlich Audits und Compliance?

Mit spezieller IdM-Prüfungs-Software kann man sich ein genaues Bild über Risiken in der Berechtigungslandschaft verschaffen. Entscheidend ist dabei, dass diese Tools individuell konfiguriert und die richtigen Prüfungskriterien abgebildet bzw. angewandt werden. Mit Hilfe dieses Gesamtüberblicks über die Tätigkeiten aller Mitarbeiter entsteht die Möglichkeit, ein neues integriertes Konzept zu schaffen. Dabei ist es ganz wichtig, dass alle Beteiligten in den Entwicklungsprozess und später auch in das Realisierungsprojekt einbezogen werden.

Die Bedarfsermittlung – Business-Rollen festlegen

Im nächsten Schritt werden alle ermittelten Informationen über Workflows, eingesetzte Software-Tools und die entsprechenden Berechtigungen zusammengeführt. Alle Berechtigungen laufen in so genannten Business-Rollen zusammen. So bekommen Mitarbeiter über simple Genehmigungsschritte und -verfahren die für sie notwendige Berechtigung, falls nötig parallel in verschiedenen Systemen. Das macht es auch deutlich einfacher, zu überprüfen, ob die aktuelle Aufgabensituation dem Berechtigungskonzept in der Praxis überhaupt entspricht. Mit Hilfe einer systemübergreifenden Betrachtungsweise können einerseits Mittelabflüsse und Risiken aus den Prüfkatalogen der Wirtschaftsprüfer und der internen Audits besser berücksichtigt werden. Gleichzeitig ermöglicht ein solches Konzept das Aufspüren und Beseitigen von kritischen Berechtigungskombinationen. Das gilt zum Beispiel dann, wenn ähnliche oder verwandte Vorgänge technisch getrennt in verschiedenen Lösungen und Unternehmensbereichen abgebildet sind.

Die Umsetzung – eigene Wege gehen

Wie das systemübergreifende Berechtigungskonzept und dessen technische Umsetzung am Ende aussehen, hängt von den Anforderungen des Unternehmens und den Compliance-Vorgaben ab. Oft gibt es keine klaren Definitionen, welche Funktion im Unternehmen welche Arbeitsschritte durchführt und welche Software-Tools erforderlich sind. Gerade in Großunternehmen gibt es eine enorm große Anzahl an individuellen Rollen und dazugehörigen Berechtigungskonzepten, die sich über Jahre hinweg entwickelt haben. In einem solchen Fall sollte zu allererst eine international einheitliche funktionale Arbeitsplatz-Beschreibung geschaffen werden, um darauf ein Berechtigungskonzept aufbauen zu können. Der Weg zu einem systemübergreifenden und später auch Compliance-konformen Identity und Access Management ist in jedem Unternehmen anders und erfordert aufeinander aufbauende Teilprojekte und Projektphasen. Der Königsweg ist also ganz individuell. Fest steht, dass mit einem rollen- bzw. funktionsbezogenen Berechtigungsportfolio bis zu 80 Prozent aller notwendigen Berechtigungen, ob für CRM, ERP oder Datenbank, abgedeckt werden können. Bei komplexeren Unternehmensstrukturen stellt das bereits eine große Vereinfachung und Risikominimierung dar.

Fazit: Das Konzept steht über der Software

Wie in vielen IT-Projekten geht es auch im Identity Management 3.0 nicht nur darum, Software einzusetzen. Ein durchdachtes Konzept sowie die konsequente Umsetzung sollten oberste Priorität haben. Das erfordert Erfahrung, Know-how und ein kontinuierliches zeitliches Investment. Die Auswahl, Konfiguration und Einrichtung der IdM-Lösungen spielt daher nur eine untergeordnete Rolle. Es geht vor allem darum, den vorhandenen Zustand unter die Lupe zu nehmen, ein Wunschkonzept zu finden und den für das Unternehmen idealen Weg dorthin zu gehen.

Christian Birkenbeul (li.) und Jörn Kaplan Christian Birkenbeul (li.) und Jörn Kaplan, SAP Consultants, cellent

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

IAM

Kombination von Digital Risk Protection-Plattform und IAM

ID Agent erweitert seine Digital Risk Protection (DRP)-Plattform mit Passly, eine integrierte Lösung für sicheres Identity- und Access-Management.
Asset Protection

Cyberkriminalität - PAM schützt Assets

Cyberkriminalität hat sich weltweit zu der am häufigsten vorkommenden kriminellen Aktivität entwickelt. Bis 2021 werden die illegalen Erlöse 6 Trilliarden US-Dollar ausmachen. Unternehmen müssen sich deshalb vor dieser ständig wachsenden Bedrohung schützen.
Passwort-Ablösung

Resident Keys: Passwörter und Benutzernamen gehören bald der Vergangenheit an

Viele Nutzer schätzen bereits heute kennwortlose Authentifizierung. Über Touch-ID auf unseren Smartphones ist sie heute schon Realität. Der nächste Schritt in dieser Entwicklung ist die Authentifizierung ohne Benutzernamen.
No Access

Unternehmen scheitern bei der Umsetzung einer Least Privilege-Strategie

Obwohl sie die Bedeutung einer effektiven Least Privileged-Strategie für ihre Cybersicherheit erkannt haben, kämpfen einige Unternehmen nach wie vor mit deren Umsetzung.
Mythen und Fakten

Die vier größten Fehleinschätzungen zum Privileged Access Management

Privileged-Access-Management-Lösungen, die den Zugang zu kritischen Geschäftsinformationen sichern, sind ein elementarer Bestandteil eines effektiven Cyber-Security-Programms. Allerdings gibt es nach wie vor Fehleinschätzungen rund um die Sicherung…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!