DWX - Developer Week 2017
26.06.17 - 26.06.17
In Nürnberg

AppDRoadshow 2017
27.06.17 - 06.07.17
In Köln, Hamburg, Stuttgart, München, Zürich

Next IT con.
27.06.17 - 27.06.17
In Nürnberg

PM CHALLENGE IlluMinate: Communication
29.06.17 - 29.06.17
In München, SkyLounge

DIGILITY - Augmented und Virtual Reality
05.07.17 - 06.07.17
In Köln

Identity & Access ManagementUnternehmen haben längst verstanden, wie wichtig die gezielte Steuerung von digitalen Identitäten und Zugangsberechtigungen ist. Doch hohe Akzeptanz hat auch ihre Herausforderungen: Vor allem Großunternehmen haben nicht selten mehrere verschiedene IdM-Lösungen im Einsatz. Und es müssen immer mehr Applikationen, die auch noch vernetzt sind, verwaltet werden. 

Ein ganzheitliches und strukturiertes Identity und Access Management ist in Zeiten komplexer Unternehmensstrukturen ein Must-Have. Unternehmen sind sich der Vorteile, die ihnen durch die erzielte Risikominimierung, Kosteneinsparung und Verbesserung der Customer Experience entstehen, durchaus bewusst. Auch durch den Druck der Digitalisierung in allen Unternehmensbereichen, ob Finanzen, Materialwirtschaft oder Vertrieb, wird der Ruf nach einem systemübergreifenden Identity und Access Management und einem ganzheitlichem Blick auf Berechtigungs- und Compliance-Regelungen lauter. 

Warum ist ein arbeitsplatzbezogener Ansatz notwendig?

Mitarbeiter benötigen Accounts und Berechtigungen in einer Vielzahl von Applikationen. Diese müssen nicht nur angelegt, sondern auch gepflegt werden. Beispielsweise müssen Zugriffsberechtigungen bei Wechsel von Projektzugehörigkeit bzw. Abteilung oder bei Urlaubsvertretung angepasst werden. Andernfalls hat beispielsweise der Azubi, der alle Abteilungen eines Unternehmens durchläuft, eine ganze Menge an Berechtigungen und stellt ein Sicherheitsproblem dar. Eine grundsätzliche Differenzierung nach Rollen ist daher essenziell. Es obliegt also den IT-Abteilungen, dafür zu sorgen, dass durch die falsche oder unberechtigte Nutzung geschäftskritischer Anwendungen dem Unternehmen keine Schäden entstehen. Das regelmäßige Anpassen von Accounts und Berechtigungen ist zwar mit einem hohen Aufwand verbunden, ist jedoch unvermeidbar. Darüber hinaus wirft jede Änderung sicherheitsrelevante Fragen auf. Einige davon könnten sein:

  • Gibt es kritische Rechtekombinationen, so dass beispielsweise ein Besteller seine eigene Bestellung freigeben darf?
  • Was passiert, wenn der Nutzer weiterhin „alte“ Rechte benötigt, um seine bisherigen Aufgaben zu erledigen?
  • Gibt es Lücken in der Dokumentation von Änderungen?

Aber nicht nur bei Änderungen der Berechtigungsmatrix kommt es zu Komplikationen. Auch aufgrund von Überschneidungen bei Workflows kann es zu Sicherheitsrisiken und Mittelabflüssen kommen. Ein systemübergreifendes bzw. rollenbezogenes Konzept für die Verwaltung aller Identitäten im Unternehmen, ob im ERP-, CRM- oder Finanzsystem, kann helfen, das zu vermeiden. Um ein geeignetes Konzept zu entwickeln und nachhaltig zu etablieren, sind drei Schritte erforderlich.

Die Analyse – Prozesse auf den Prüfstand

Im ersten Schritt um Berechtigungs- und Identitätskonflikte zu erkennen, sollten Workflows und eingesetzte Software-Tools genau überprüft werden:

  • Welche Systeme sind für welche Bereiche und Rollen überhaupt relevant?
  • Wo überschneiden sich Zugriffsberechtigungen und Prozesse?
  • Wo bestehen Risiken, die unbedingt kompensiert werden müssen?
  • Welche Auswirkungen haben Anforderungen hinsichtlich Audits und Compliance?

Mit spezieller IdM-Prüfungs-Software kann man sich ein genaues Bild über Risiken in der Berechtigungslandschaft verschaffen. Entscheidend ist dabei, dass diese Tools individuell konfiguriert und die richtigen Prüfungskriterien abgebildet bzw. angewandt werden. Mit Hilfe dieses Gesamtüberblicks über die Tätigkeiten aller Mitarbeiter entsteht die Möglichkeit, ein neues integriertes Konzept zu schaffen. Dabei ist es ganz wichtig, dass alle Beteiligten in den Entwicklungsprozess und später auch in das Realisierungsprojekt einbezogen werden.

Die Bedarfsermittlung – Business-Rollen festlegen

Im nächsten Schritt werden alle ermittelten Informationen über Workflows, eingesetzte Software-Tools und die entsprechenden Berechtigungen zusammengeführt. Alle Berechtigungen laufen in so genannten Business-Rollen zusammen. So bekommen Mitarbeiter über simple Genehmigungsschritte und -verfahren die für sie notwendige Berechtigung, falls nötig parallel in verschiedenen Systemen. Das macht es auch deutlich einfacher, zu überprüfen, ob die aktuelle Aufgabensituation dem Berechtigungskonzept in der Praxis überhaupt entspricht. Mit Hilfe einer systemübergreifenden Betrachtungsweise können einerseits Mittelabflüsse und Risiken aus den Prüfkatalogen der Wirtschaftsprüfer und der internen Audits besser berücksichtigt werden. Gleichzeitig ermöglicht ein solches Konzept das Aufspüren und Beseitigen von kritischen Berechtigungskombinationen. Das gilt zum Beispiel dann, wenn ähnliche oder verwandte Vorgänge technisch getrennt in verschiedenen Lösungen und Unternehmensbereichen abgebildet sind.

Die Umsetzung – eigene Wege gehen

Wie das systemübergreifende Berechtigungskonzept und dessen technische Umsetzung am Ende aussehen, hängt von den Anforderungen des Unternehmens und den Compliance-Vorgaben ab. Oft gibt es keine klaren Definitionen, welche Funktion im Unternehmen welche Arbeitsschritte durchführt und welche Software-Tools erforderlich sind. Gerade in Großunternehmen gibt es eine enorm große Anzahl an individuellen Rollen und dazugehörigen Berechtigungskonzepten, die sich über Jahre hinweg entwickelt haben. In einem solchen Fall sollte zu allererst eine international einheitliche funktionale Arbeitsplatz-Beschreibung geschaffen werden, um darauf ein Berechtigungskonzept aufbauen zu können. Der Weg zu einem systemübergreifenden und später auch Compliance-konformen Identity und Access Management ist in jedem Unternehmen anders und erfordert aufeinander aufbauende Teilprojekte und Projektphasen. Der Königsweg ist also ganz individuell. Fest steht, dass mit einem rollen- bzw. funktionsbezogenen Berechtigungsportfolio bis zu 80 Prozent aller notwendigen Berechtigungen, ob für CRM, ERP oder Datenbank, abgedeckt werden können. Bei komplexeren Unternehmensstrukturen stellt das bereits eine große Vereinfachung und Risikominimierung dar.

Fazit: Das Konzept steht über der Software

Wie in vielen IT-Projekten geht es auch im Identity Management 3.0 nicht nur darum, Software einzusetzen. Ein durchdachtes Konzept sowie die konsequente Umsetzung sollten oberste Priorität haben. Das erfordert Erfahrung, Know-how und ein kontinuierliches zeitliches Investment. Die Auswahl, Konfiguration und Einrichtung der IdM-Lösungen spielt daher nur eine untergeordnete Rolle. Es geht vor allem darum, den vorhandenen Zustand unter die Lupe zu nehmen, ein Wunschkonzept zu finden und den für das Unternehmen idealen Weg dorthin zu gehen.

Christian Birkenbeul (li.) und Jörn Kaplan Christian Birkenbeul (li.) und Jörn Kaplan, SAP Consultants, cellent

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet

 

Awareness Factsheet